lundi 16 octobre 2006

LA TOIP

Jean-Marc CHARTRES
 Sommaire

„ Quelques définitions
„ Principes d’architectures
„ Sécurité ToIP

2
 La téléphonie, hier

PABX : Private Automatic Branch Exchange

Autocommunatuer téléphonique Privé

Menaces ; Préconisations;

Blocage de lignes Accès télémaintenances- Modems

Usurpation de boites vocales Messagerie vocale
Écoutes Configurations : Ex fonction DISA
Modification configurations Direct Inward System Access
Appels et taxation détournés Numéros spéciaux
Etc.. Taxation
Outils de piratage « simples » Périphériques
3
 Les dix principales menaces pour le système
d'information téléphonique

„ Les services Disa (Direct inward system access)

„ Tout type de renvoi vers un numéro de téléphone extérieur à la société
„ La conférence à trois ou plus, avec fonction d'enregistrement
„ Le squatt , ou possibilité de rapatrier le profil utilisateur d'un poste sur un autre
„ L'entrée en tiers discrète, qui autorise l'introduction sans signalisation particulière dans
une communication établie
„ L'écoute discrète. Exemple : l'interphonie avec une sonnerie d'appel rendue muette
permet de décrocher un poste de manière automatique
„ La fonction Écoute bébé, qui permet, à distance, de décrocher un poste muni d'un
microphone mains libres
„ L'accès à la fonction messagerie, à cause de la fragilité du code d'accès (4 chiffres
rarement mis à jour). Les fonctions de messagerie autorisent l'écoute du message, sa
suppression, sa modification et permettent de rappeler un numéro différent de celui du
propriétaire de la boîte téléphonique dès réception d'un nouveau message
„ Le non-verrouillage du poste (absence de code d'accès)
„ La surnumérotation autorisant l'accès à distance à d'autres fonctionnalités

4
 Les dix vulnérabilités d'accès au système d'un
PABX

„ Modem de télémaintenance non protégé à l'aide du couple login -mot de

passe constructeur
„ Lien IP donnant accès à la maintenance en utilisant le même login -mot de
passe qu'au point 1
„ Ports de communication ouverts par défaut
„ Accès X.25 non protégé
„ Services Disa (Direct inward system access)
„ Modem connecté à un PC, lui-même connecté au LAN de l'entreprise
„ Combifax connectés au réseau téléphonique et au réseau de l'entreprise
(imprimante réseau-fax tout-en-un)
„ Surnumérotation permettant d'accéder à d'autres fonctionnalités à distance
„ SDA (sélection directe à l'arrivée). Poste accessible sans contrôle depuis
l'extérieur

5
 La Convergence ………..

TDM: Time Division Multiplex CPE : Customer Premise Equipment (ie,modem)

PSTN :Public Switched Telephone network
6
 Comparaison de la voix sur IP et de la téléphonie sur IP

„ VoIP : Voix sur IP „ ToIP : Téléphonie sur IP

Technologie de transport de la Ensemble des services de téléphonie en
voix sur un réseau IP IP (terminaux et serveurs)
7
 Téléphonie sur IP

„ Téléphonie « Mixte »
Postes
numériques,
Analogiques, Fax
…

Autocom « Mixte »

Poste IP

Postes de Travail

Poste IP

Poste IP Serveurs Application

/ Ressources

8
 Gestion des projets ToIP : 1 = 3

Le Téléphone est proche de l’utilisateur,

Le Téléphone conditionne les modes de travail de l’entreprise.

Contrairement aux systèmes de téléphonie « classique » ,

l’architecture ToIP est répartie sur l’ensemble du réseau de communication

– Commutation : sur l’infrastructure réseau LAN / MAN / WAN

– Routage : sur les systèmes d’exploitation des serveurs de téléphonie

– Sécurité : sur les systèmes d’exploitation et l’infrastructure réseau

– Applications : sur les systèmes d’exploitation et dans les applications clients

1 projet d’intégration ToIP = 3 projets d’intégration « traditionnels »

( réseau + sécurité + système)

La gestion des projets ToIP est donc critique et complexe.

Facteur de risque 3 ou plus …

9
 Vision et Stratégie ToIP

ƒ Le point de départ : la transition technologique IP

ƒ Protocole : du mode circuit au mode paquet
ƒ Réseau : de l’infrastructure TDM au LAN/WAN IP
ƒ Plateforme : du PABX dédié au PC standard
ƒ Interfaces : du propriétaire au standardisé

ƒ La ToIP : une vision d’architecte

ƒ Séparation de la commutation et des services
ƒ Infrastructure voix et données commune
ƒ Les applications deviennent indépendantes de l’infrastructure
ƒ Centralisation des équipements, des données et de
l’administration
ƒ Intégration des applications par les standards du Système
d’Information
10
 La ToIP: les équipements clés

ƒ Les hardphones:
ƒ Prévu pour remplacer les téléphones traditionnels
ƒ Disposent d’une connexion LAN

ƒ Les softphones:
ƒ Logiciels d’émulation de terminaux téléphoniques sur PC
ƒ Numérotation par clicks de souris
ƒ L’utilisation est tributaire du PC connecté au réseau IP

ƒ Le Gatekeeper:
ƒ Serveur informatique localisé sur le LAN avec les postes IP
ƒ Réalise les fonctions H.323 ou SIP

ƒ La Gateway:
ƒ Passerelle avec le réseau téléphonique commuté
ƒ Contient des cartes d’interface T0, T2 ou analogique
11
 La ToIP: les équipements complémentaires

ƒ Plateforme de supervision et d’administration du réseau ToIP

ƒ Serveurs de messagerie vocale
ƒ Standards téléphoniques
ƒ Serveurs de taxation
ƒ Serveurs d’enregistrement
ƒ Etc.

12
Schéma illustratif de la communication ToIP

13
Architecture ToIP & VoIP

14
IPBX et Centrex IP

15
 Composants ToIP

ƒ Terminal « utilisateur »: ordinateur « multimédia »/Téléphone IP

/…
ƒ Passerelle ( Gateway ) : transformation du signal pour son
transport sur IP et vice versa ( i.e. format, signalisation, codecs
audio) si nécessaire.
ƒ Garde-Barrière ( Gatekeeper ) : Contrôle des appels,gestion de la
bande passante, translation d ’adresse,authentification,
résolution d ’adresses, etc… ( facultatif )
ƒ SBC : Session Border Controller , passerelle d’interconnexion de
réseaux IP pour les services de Voix et de Vidéo sur IP .
ƒ MCU : gestion de sessions multicasts

ƒ Les différents éléments peuvent être matériels ou logiciels

16
 Principes techniques Protocoles

Transport Signalisation
Signalisation de la voix
„ H.323 (ITU)

Qualité service
Codec
H.323 MGCP – Bonne réponse aux besoins télécoms
SIP
et maturité
RTP
– Protocole pénalisé par sa complexité
TCP UDP et son manque de d’évolutivité
– Solution la plus supportée
IP actuellement sur le marché

„ SIP (IETF)
Transport de la voix
– Plus grande souplesse et évolutivité
„ G.711 (sans compression)
– Protocole jeune sujet à de
„ Compression quasi systématique pour le nombreuses extensions propriétaires
trafic WAN (G.729 ou G.723)
– Fort engouement du marché

Codage Qualité (MOS*) Compression

„ MGCP/H.248 (IETF/ITU)
G.711 / PCM 4,1 64 kbit/s – Protocole de type maître/esclave
G.729 / CS-ACELP 3,92 8 kbit/s complémentaire
G.723.1 / ACELP 3,65 5,3 kbit/s ÎParticulièrement adapté pour les
* Mean Opinion Score offres IP Centrex et résidentielles
17
 SIP, H.323 and MGCP

Call Control and Signaling Signaling and Media

Gateway Control
Audio/
H.323 Video

H.225

H.245 Q.931 RAS SIP MGCP RTP RTCP RTSP

TCP UDP

IP

H.323 Version 1 and 2 supports H.245 over TCP, Q.931 over TCP and RAS over UDP.
H.323 Version 3 and 4 supports H.245 over UDP/TCP and Q.931 over UDP/TCP and RAS over UDP.
SIP supports TCP and UDP.
18
 H323, SIP, …

„ La norme H323 définie par l’ITU (International Telecommunication Union) -

développée à l'origine pour le RNIS- pour les réseaux IP (la visioconférence au
travers du protocole TCP/IP). Il existe également des déclinaisons pour
d'autres types de réseau (ATM, réseaux locaux et même pour les réseaux
téléphoniques et en particulier les réseaux mobiles).
„ SIP : Session Initiation Protocol est un protocole normalisé et standardisé
par l'IETF. Il se charge de l'authentification et de la localisation des multiples
participants. Il se charge également de la négociation sur les types de média
utilisables par les différents participants en encapsulant des messages SDP
(Session Description Protocol) destiné à la description des sessions
multimédia incluant :
Le nom et l'objet de la session
Le type de support (vidéo, audio, etc.)
Le protocole de transport (RTP/UDP/IP, H.320, etc)
Le format de support (vidéo H.261, vidéo MPEG, etc.)
Les adresses et ports

19
 H.323 is an “Umbrella” Specification

Media
H.261 and H.263 – Video codecs. H.323
G.711, G.723, G.729 – Audio codecs. Media Data/Fax Call Control and
RTP/RTCP – Media. Signaling

Data/Fax
Audio
T.120 – Data conferencing. Video
Codec
T.38 – Fax. Codec
G.711
H.261 H.225 H.225
G.723 RTCP T.120 T.38 H.245
H.263 Q.931 RAS
„ Call Control and Signaling G.729

„ H.245 - Capabilities advertisement,

media channel establishment, and
conference control. RTP

„ H.225 UDP TCP TCP UDP TCP

„ Q.931 - call signaling and call setup.

IP
„ RAS - registration and other admission
control with a gatekeeper.

20
 Qualité de service – Indicateurs

ƒ le délai (delay) : différents délais doivent être pris en compte. Le délai de

propagation, c'est-à-dire le temps mis par le signal pour être transmis de
bout en bout. Le délai de transport, c'est-à-dire le temps total passé au
niveau des composants actifs du réseau (switch, firewall, routeur, etc.). Le
délai de "paquetisation", soit le temps nécessaire pour que le codec réalise
sa tâche;
ƒ la latence (latency): la somme de tous les délais, dans une direction,
d'une communication en temps réel. Une limite de 75 millisecondes est
tolérable. Au delà, la conversation est dégradée ou de faible qualité;
ƒ la variance (ou gigue ou jitter): la variation de la latence. La valeur
optimale couramment admise en VoIP, pour la gigue, est inférieure ou
égale à 40 ms;
ƒ la perte de paquets (packet loss): le pourcentage de paquets qui sont
perdus ou supprimés au sein du réseau à cause de congestions ou de
défaillances matérielles. L'impact de ce critère est différent selon le codec
qui est utilisé. En général, le maximum toléré est une perte de 1%.
Délai total =
délai de propagation + délai de transport + délai de paquétisation + délai de la gigue.
21
 La Voix et la Vidéo

„ Problématique : Diffuser des Flux en

Temps Réel

– Lors d’un Transfert de Vidéo ou de Voix seule importe la

vitesse minimum garantie

1mn à 8Mb/s Ù 30s à 4MB/s puis 30s à

12MB/s

Premier cas : Ok
Second : Le film est saccadé pendant les 30 premières
Secondes

22
 La QoS démarre dès les premières couches

„ Câblage et LAN IEE802.1

Cœur de réseau Gigabit cuivre ou fibre
Technologies switch 100Mb/s, cable UTP ou F2TP cat6/7

„ Mise en place des protocoles 802.1 pour une QoS

Technologie PoE – 802.3af Power over Ethernet, attention à la volumétrie et aux
extensions
802.1D – Spanning Tree Protocol pour assurer une redondance mais attention aux temps
de rétablissement (environ 20 secondes)
802.1w – Rapid Spanning tree , permet de réduire la phase de reconfiguration à moins
de 2 secondes
802.1s – Multiple spanning tree, liens redondants actifs – partage de charge
802.1Q – Virtual LANs , créer un VLAN spécifique pour les flux VoIP, (transport et
signalisation)
802.1p – Packet Prioritization, les paquets voix sont priorisés
802.1x Port-Based Authentification autorisation du poste, attention tous les
équipementiers n’ont pas la même réponse. Pour les postes téléphoniques dotés d’un
micro switch, pour la connexion du PC, cela suppose deux VLANs sur un même port –
Voix, data (ne fait partie de la norme)

23
 Téléphonie sur IP : Environnement

La TOIP est une Application Voix et Data

24
 Approche sécurité :Spécificités de la ToIP

ƒ Les vulnérabilités liées à la TOIP vont être issues du réseau téléphonique

traditionnel, du réseau de données (IP), et des vulnérabilités propres aux
spécificités des applications de téléphonie.
ƒ La ToIP n'est pas équivalente à la téléphonie classique. La signalisation et
le transport de la voix sont sur le même réseau et la notion de localisation
géographique de l'appelant est donc perdue.
ƒ Exigences câblage (cat6/7) – Appliquer 802.1&
ƒ ce n'est pas juste "une application en plus"
ƒ Application « temps réel », mobile, …
ƒ Exigeante ( DCIP, … secours (flux, réseau, sauvegarde, ..))

25
 Risques liés à la ToIP

Trois grandes familles de risques pour les protocoles de Voix sur IP,

1- Risques au niveau de l’application

Menaces et vulnérabilités liées à l’application

2- Risques au niveau IP

Interception des communications (écoute...)

Déni de service (avec ou sans spoofing)

Sur les équipements

Sur les flux

3- Risques des protocoles

Surfacturation (par redirection)

Usurpation d'identité

Insertion, re-jeu,

Déni de service 26
 Principes techniques Pré-requis Sécurité

„ Redondance des équipements

– Téléphonie : Serveur de contrôle et Passerelle
Haute – Mais aussi LAN et WAN (architecture en double étoile)
disponibilité du – Avec des contraintes spécifiques (temps de convergence, distance)
service „ Sécurisation de l’alimentation électrique pour les sites sensibles
„ Maintien de lignes analogiques en secours (appel d’urgence)
ª Mesures nécessaires mais bénéficiant à l'ensemble du service data

„ Contrôle du téléphone IP (interdire l’accès aux équipements pirates)

Authentification „ Chiffrement de la signalisation

et „ Chiffrement des communications (intégré au poste, IPSec, …)

confidentialité „ Authentification des utilisateurs

„ Durcissement des serveurs (OS allégé pour éviter les failles)

Protection face „ Antivirus et contrôle de conformité
aux attaques „ Cloisonnement en zones en fonction de la criticité (Firewall, VLAN)
réseau „ Détection d’attaque (IDS, analyse de logs)
(déni de service, „ Vulnérabilités plus importantes pour les softphones
virus, intrusions) ª Intégration de la téléphonie aux processus opérationnelles de gestion de
la sécurité
27
 Marché et Acteurs - La réglementation

„ Position des autorités de régulation non arrêtée sur le sujet

– Europe : contradiction entre les directives de neutralité technologique et de
limitation des contraintes réglementaires sur des nouveaux services
– États-unis : décisions contradictoires entre service de téléphonie et
d’information

„ Évolution du plan de numérotation

– Utilisation de numéros géographiques ou de plages spécifiques
– Portabilité des numéros et gestion des annuaires
– Tarification d’interconnexion

„ Gestion des numéros d’urgence

– Reconnaissance de la localisation de l’appelant
– Routage des appels (tables de correspondance variant dans le temps)

„ Bouleversement de l’économie de l’interconnexion des réseaux commutés

Un
Un environnement
environnement réglementaire
réglementaire fort
fort dans
dans le
le domaine
domaine de de la
la
téléphonie,
téléphonie, dont
dont l’adaptation
l’adaptation au
au contexte
contexte IP
IP reste
reste àà faire
faire 28
Architectures

29
 Marché et Acteurs

Double stratégie des opérateurs

Approche multi-services autour d'IP
VoIP/ToIP : une opportunité pour
compléter le portefeuille produit

Parts de marché ToIP* - Europe Ouest 2004

Avaya-Tenovis Ericsson
7% Autres
6%
Mitel 10%
8%
Alcatel
Nortel 22%
13%

Cisco Siemens
16% 18%

30
 Les logiciels Peer-to-Peer : exemple de Skype

Port 443
HTTPS
Réseau Internet
Port 80
HTTP
WAN

Port 80
HTTP

Port 443
HTTPS Établissement d’un connexion
PC multimédia
Softphone Appel en P2P Skype Login Server

„ Une solution tirée par le grand public…

(180 millions de freewares Skype téléchargés dans le monde, source Skype)
– Une tarification qui tire parti de la croissance des débits d’accès à
Internet
– pas d’abonnement,
– Minute en national (fixe/mobile) : 0,017€ / 0,16€
– Minute en Europe (fixe/mobile) : 0,02€ / 0,20€

„ …inadaptée aux environnements Grands Comptes

– Une architecture propriétaire et opaque, difficile à sécuriser
– Des antivirus partiellement inefficaces (situation analogue à la
messagerie instantanée)
– Consommation de la bande passante non maîtrisée (un poste utilisateur 31
peut jouer un rôle de noeud)
 Communications Unifiées
Des besoins et des utilisateurs variés !

Familles de services de communications

Téléphonie Contacts Accueil Groupes Messagerie Mobilité

Agent formel ou informel

Support, télémarketing…

Utilisateur intensif
Assistante, hôtesse

Utilisateur avancé
Commercial, télétravailleur

Utilisateur bureautique
Tertiaire, administratif…

Exemples de profils

32
 Débat

Questions & réponses

33