JSSI – Sécurité et dépendance

- aux nouvelles technologies – 22 mai 2006

Déploiement d’une solution de

téléphonie IP dans un campus
(4 200 postes)
Loïc PASQUIET
 PLAN

‹ Présentation du projet : contexte, …

‹ Le projet : sa mise en oeuvre

‹ Premier bilan / architecture : les composants

 PLAN … suite

‹ La sécurité : les éléments retenus

‹ Quelques mécanismes du fonctionnement

 Présentation du projet (1)
Elèves et étudiants
100100
320 Militaires

Professeurs
1500

Chercheurs / ITA

Personnel administratif
1500
Ouvriers
100
340
Autres (allocataires,
emplois jeunes, CES…)

● Un réseau informatique récent interconnectant tous les postes de travail

● Un réseau téléphonique de 4200 postes

~ 4000 personnes
 Le projet : sa mise en œuvre (1)
Etude d’opportunité et schéma directeur

¾ Appel d’offres sur performances (PFD)

SECURITE
¾ Maquettage sur deux mois ● Postes IP
● Vlans

¾ Mise au point du CCTP ● Niveau 3

● Redondances

¾ Choix de l’intégrateur-constructeur
Le projet : sa mise en œuvre (2)

Présentation des scénarios étudiés

¾ Scénario 1 : tout en technologie voix

sur IP (ToIP)
¾ Scénario 2 : tout en technologie
numérique conventionnel (TCO)
¾ Scénario 3 : mixte (Résidents en TCO,
ERA en ToIP)
Le comité exécutif de l’Ecole a choisi
le scénario 1 : le tout IP
 Elements financiers

¾Un budget prévisionnel pour la ToIP

comparable aux investissements de 1990
¾Couvre l’architecture (voix/data), les 4200
postes, les prestations et la maintenance
¾300 euros par abonné dont 100 euros de
poste
 Le projet : sa mise en œuvre (3)
¾ 2005 : système pour 1600 postes et 600
postes en production,
¾ 2006 : les 1000 résidents actuels,
¾ 2007 : extension du système à 4200
postes et équipement de la recherche
(1600 postes),
¾ 2008 : équipement enseignement et
administration (1000 postes)
=> arrêt PABX
 Premier bilan (1)

Quelques éléments …
¾ 2 salles télécoms redondantes
¾ Architecture du transport de la voix
séparée
¾ 600 postes en production, 1600 à l’été
¾ Interconnexion QSIG à renforcer
¾ Audit externe ToIP favorable
¾ Régions téléphoniques
Premier bilan : architecture ToIP (2)
Configuration cible 4 200 Postes IP

Call server
Serveur de communication Serveur de communication
S8700 S8700

S 8700

OPER.
OPER..

C-LAN
QSIG
Med-pro Media Gateway
G 650
PABX
ALCATEL Passerelles de communication G650
4 300 L

Passerelles de communication G650

Réseau LAN
 La sécurité (1)

¾ Garantir la continuité de service par la

mise en place d’une protection contre:
▪ Les défaillances de liens physiques ou
d’équipements
▪ Les attaques
▪ La dégradation de la qualité de service (QoS)

¾ Empêcher les écoutes téléphoniques

Redondance des liens physiques, des équipements et des passerelles
La sécurité (2)

¾ Secours électrique (onduleurs dans tous

les locaux techniques)
¾ 802.3af (alimentation par la prise RJ45)
¾ Redondance des call servers
¾ Redondance des passerelles par défaut
des téléphones : VRRP
¾ Redondance des liens optiques : EAPS
Schéma du réseau voix / données
Routeur WAN Wan NRD Orsay
La sécurité (3)
100 Mbits
PWR

OK
WIC0
ACT /CH0

AC T/CH 1
WIC 0
ACT/CH0

AC T/C H1
ETH
ACT

COL
Renater 3

DMZ 1
DNS
Administration
HTTP
MX polytechnique.fr

DMZ 2

PROXIES WEB

Cajun P112T SD

1 2 3 4 9 10 11 12 17 18 19 20

5 6 7 8 13 14 15 16 21 22 23 24
P WR NM A RED LNK COL TX RX RDX

NMA

Lu cen t Technologies

R S Ens
Tél B 1 2
4 5
7 8
* 8
3
6
9
#

Cajun P112T SD

1 2 3 4 9 10 11 12 17 18 19 20

5 6 7 8 13 14 15 16 21 22 23 24
P WR NM A RED LNK COL TX RX RDX

NMA

Lucent Technologi es

VRRP MASTER VRRP BACKUP

PIX 515
1 2 3
4 5 6
7 8 9
* 8 #
Tél A EAPS UR

PASSIF
Serveur ACTIF
Serveur
DHCP/TFTP
DHCP/TFTP
Téléphonie
Téléphonie

Administration du Administration Application

système (Linux) réseau (windows) DEM

ANCIEN ALCATEL 4300L Modular Serveur de

Messaging taxation
SYSTÈME
TELEPHONIQUE
Modem Bank

T2 QSIG

Réseaux données
Réseaux téléphonie

ACTIF PASSIF
SYNCHRONISATION
Redondance du routeur par défaut VRRP (RFC 2338)
La sécurité (4)

SD
Cajun P112T
1 2 3 4 9 10 11 12 17 18 19 20

5 6 7 8 13 14 15 16 21 22 23 24
PWR NMA RED LNK COL TX RX RDX

NMA

Lucent Technologies

1 2 3
4 5 6
7 8 9
* 8 #
 Boucles EAPS (RFC 3619) : convergence <50ms
La sécurité (5)

AVAYA P580 R AVAYA P580 ENS AVAYA P580 S

S Y S M O N

S Y S M O N S Y S M O N
S Y S M O N

AT-104-XL AT-104-XL AT-104-XL

lien résilient ENS lien résilient S

lien résilient R lien résilient KEPHREN

Pile de 2 P334T-ML
(KEPHREN)

AT-104-XL AVAYA
AT-104-XL AT-102-XL
AT-104-XL

AVAYA

3804
45015

3804
TM 45015
TM
TM
TM

DIAG A PSU CONSOLE MODEM MGMT

SMM SMM
i
LINK\ 45014 DIAG A PSU CONSOLE MODEM MGMT
STATUS B ACTIVE PCMCIA LINK\ 45014
STATUS B

1:2 – Primary Up 1:2 – Primary Up

ACTIVE PCMCIA

GM-4X i GM-4X i
45112
AMBER
GREEN
- ACTIVITY
- LINK OK
1 2 3 4
1000 BASE-X
1 AMBER - ACTIVITY
1 2 3 4
45112
1
FLASHING ORANGE - DISABLED GREEN - LINK OK 1000 BASE-X
STATUS 1 2 3 4

AMBER - ACTIVITY
2 VLAN protégés STATUS 1 2 3 4 FLASHING ORANGE - DISABLED

FM-24Fi
1303 : interco-pix
GREEN - LINK OK AMBER - ACTIVITY i
FM-24F

STATUS
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
45211

100 BASE-FX
2 Mode MASTER Mode TRANSIT GREEN - LINK OK

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
100 BASE-FX
45211
2

1127 : dhcptoip
STATUS

3 3
2:17 – Secondary Blocked 2:17 – Secondary Up
4 4

Packet Alarm Packet Alarm

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48
PO MT
PORT
MG
PO MT
PORT
MG

RT 49
RT 49

50
50

CONSOLE CONSOLE

49 50 Extreme Networks Summit48si 49 50 Extreme Networks Summit48si

Protection contre les attaques
La sécurité (6)

¾ Code téléphonique renforcé

¾ Séparation des VLAN voix/données
¾ Quadruplet de protection (@MAC-PORT-
VLAN-IP), 802.1x (été 2006)
¾ Sonde Intrusive Packet Alarm, filtrage L4
¾ Call Servers avec unix épuré
¾ Bus TDM entre G650 et CallServer (pas de
trafic IP possible)
¾ Régions téléphoniques « étanches »
Distribution Linux RedHat (certifiée par le DoD)
La sécurité (7)

Separate Physical HTTPS

Invalid shadow Interfaces for VoIP,
passwords Admin, and Control. SSH

No Direct ROOT access SNMPv3

TCP Wrappers
Logging all connection
Partition/NOEXEC
attempts
Hard Drives
Statefull Failover
Software upgrades
are digitally signed
NTP Authentication

Backup files encryptet Network Interface

CAST5/AES Defense

Intrusion Detection Native Red Hat OS

Checking via Inherent IP Chains Kernel Security
“Tripwire” Firewall Enhancements
Code des téléphones renforcé
La sécurité (8)

Restricted Access to
Restricted end user´s
Local Administration
ability to view Network
Procedures
settings
(can be PIN protected)

Pasword protection of
personal Information

SNMP queries to
(read-only) MIB only
from configured
management stations
Harden Real Time OS DOS Protection
VX works
Protection contre les écoutes téléphoniques
La sécurité (9)

¾ Chiffrement du payload des packets RTP

(contenant de la voix numérisée)
¾ AEA (Advanced Encryption Algorithm)
RC4-104 bits
¾ AES réduit de 25% le nombre de
communications simultanées assuré par
un même codec…
…mais plus le cas bientôt.
Les mécanismes : démarrage …(1)
REGION R

Cajun P112T

Ens
SD

REGION KEPHREN
1 2 3 4 9 10 11 12 17 18 19 20

5 6 7 8 13 14 15 16 21 22 23 24
PWR NMA RED LNK COL T X RX RDX

NMA

R
Lucent Technolo gies

1 et 2 3 S
Tél A
Cajun P112T SD

1 2 3 4 9 10 11 12 17 18 19 20

5 6 7 8 13 14 15 16 21 22 23 24
PWR NMA RED LNK COL T X RX RDX

1 2 3 NMA

4 5 6 Lucent Technolo gies

7 8 9
* 8 #

Tél B 1 2 3
4 5 6
7 8 9
* 8 #

VRRP

Serveur
DHCP/TFTP
Téléphonie
1 : Echange DHCP pour
l'obtention d'une adresse IP
+ Option 176
(vlan,gatekeeper,tftp...)

2 : Mise à jour éventuelle du

firmware via le serveur TFTP

3 : Enregistrement du poste sur

une C-LAN et initialisation des
appels (H225.0)
- RAS (UDP:1719)
- Signalisation Q931 (TCP:1720)
qui permet :
Réseaux données
l'établissement de l'appel
Réseaux téléphonie
la libération de la ligne

la signalisation : occupation, non

réponse, etc
Les mécanismes : communication Inter-Régions (2)

SD
Cajun P112T
1 2 3 4 9 10 11 12 17 18 19 20

5 6 7 8 13 14 15 16 21 22 23 24
PWR NMA RED LNK CO L TX RX RDX

NMA

Lucent Technologies

1 2 3
4 5 6
7 8 9
* 8 #

Cajun P112T SD

1 2 3 4 9 10 11 12 17 18 19 20

5 6 7 8 13 14 15 16 21 22 23 24
PWR NMA RED LNK COL TX RX RDX

NMA

Lucent Technologies

1 2 3
4 5 6
7 8 9
* 8 #
Les mécanismes : communication Intra-Régions (IP-IP) (3)
REGION R
SD
Cajun P112T
1 2 3 4 9 10 11 12 17 18 19 20

5 6 7 8 13 14 15 16 21 22 23 24
PW R NMA RED LNK CO L TX RX RDX

NMA

Lucent Techno log ies

2
3
Tél B 1 2 3
4 5 6
7 8 9
* 8 #

REGION R R

SD
Cajun P112T
1 2 3 4 9 10 11 12 17 18 19 20

5 6 7 8 13 14 15 16 21 22 23 24
PW R NMA RED LNK CO L TX RX RDX

NMA

Lucent Techno log ies

3 1

1 2 3
4 5 6
7 8 9
* 8 #
Tél A VRRP

1 : Demande d'établissement d'une

communication (Signalisation H.225)

2 : Le système fait sonner le poste

désiré

3 : Etablissement de la
communication RTP en mode
shuffling (voix)
La signalisation H.323 est maintenue
par le S8700 via les C-LAN

Réseaux données
Réseaux téléphonie
 Bibliographie

¾ Security Alliance de la voix sur IP.

http://www.voipsa.org, crée fin 2004.
¾ National Institute of Standards and Technology, Special
publication 800-58, Security Considerations for Voice
over IP Systems, January, 2005
http://csrc.nist.gov/publications/drafts/.
¾ http://www.avaya.com/gcm/master-usa/en-
us/resource/assets/applicationnotes/av-iptel-imp-gd-
cm21-0804.pdf
¾ http://www.afutt.org
DES QUESTIONS
?