téléphonie sur IP

les sites et hébergés de façon centralisée dans un datacenter.

Le troisième type de composant est la passerelle de communica-tion, qui assure l’interface entre le monde ToIP et la téléphonie classique, interne ou externe. A l’instar des serveurs d’appels, les passerelles sont mutualisables et centralisables. Les points d’ac-cès au réseau téléphonique public peuvent donc être supprimés

sur tout ou partie des sites utilisateurs. A noter que certains opé-rateurs proposent depuis peu des offres d’interconnexion avec la téléphonie externe en IP natif, par exemple Business Talk IP d’Orange. Dans une telle configuration, c’est l’opérateur qui gère l’interface avec le réseau téléphonique public, à travers des équi-pements de type firewall et proxy H.323.

Des risques à tous les niveaux

Quels sont donc les nouveaux risques qui pèsent sur les architec-tures ToIP ? Aux vulnérabilités de la téléphonie classique déjà exploitées par les phreakers – comme par exemple les appels automatiques sur des numéros surtaxés – viennent s’ajouter les nombreuses menaces du monde IP. Elles portent à la fois sur les terminaux téléphoniques, le réseau de transport et les serveurs dédiés à la ToIP. En tête des dangers, on retrouve les attaques en déni de service qui impactent la disponibilité, l’écoute illicite des communications, l’usurpation d’identité et, dans une moindre mesure, le spam vocal ou « SPIT » (Spam over IP Telephony).

Comment fonctionne la ToIP ?

Une architecture ToIP d’entreprise fait intervenir trois principaux types de composants : les terminaux téléphoniques, les serveurs d’appels et enfin la ou les passerelles de communication vers l’extérieur.

Une rupture technologique profonde Le type de terminal le plus utilisé aujourd’hui reste le téléphone dédié, qui se raccorde directement au réseau IP. Il intègre généra-lement un micro-switch et un deuxième port Ethernet pour permet-tre la connexion du PC via le téléphone, ceci afin d’éviter le câblage de prises supplémentaires. A noter également que le téléphone peut être alimenté électriquement à travers le câblage réseau (norme PoE, Power over Ethernet). Il existe aussi des téléphones purement logiciels, les softphones, fonctionnant sur tout poste de travail équipé d’une sortie son et d’un microphone. Leur déploie-ment en entreprise reste aujourd’hui très marginal : outre l’utilisation qui n’est pas toujours pratique - il n’est pas facile de répondre rapi-dement quand l’écran de veille de l’ordinateur est protégé par un mot de passe - ils sont aussi plus difficiles à sécuriser.

Second type de composant intervenant dans une architecture ToIP, le serveur d’appels, ou IPBX gère la signalisation associée à la communication (décroché, raccroché), et de fournir les services évolués (renvoi, transfert, audioconférence, routage d’appel…).

Contrairement à la téléphonie classique, où le PABX agit comme un nœud de commutation pour le flux voix, l’IPBX ne traite que la partie signalisation, la voix numérisée transitant directement entre terminaux téléphoniques. A noter qu’en ToIP, il n’est pas nécessaire de déployer des IPBX sur tous les sites. Comme les autres serveurs d’applications informatiques, ceux-ci peuvent être mutualisés entre

Réseau IP

Une seule infrastructure réseau (IP) pour les flux voix et données L'intelligence du PABX est reprise

par le serveur d'appels ; la passerelle fait l'interface avec la téléphonie traditionnelle

Le serveur d’appels gère la signalisation, le flux voix circule directement

entre les terminaux

Les serveurs ToIP peuvent se situer hors des sites utilisateurs ; le point d’accès au RTC public

peut être supprimé sur certains sites

Terminaux, serveurs d’appels et passerelles sont administrables à distance,

comme tout composant IP

1

La ToIP introduit une rupture technologique profonde par rapport à la téléphonie traditionnelle

48 IT-expert n°70 - novembre/décembre 2007

La disponibilité au cœur des préoccupations

Dans tous les projets de migration vers la ToIP, la disponibilité est au cœur des préoccupations. Au cours des dernières décennies, les utilisateurs se sont en effet habitués à l’excellente qualité de service de la téléphonie fixe traditionnelle, aussi bien en entre-prise qu’à domicile. Bien qu’il soit tout à fait possible aujourd’hui de construire des architectures IP résilientes, garantissant la continuité de fonctionnement en cas de panne (doublement des points d’accès, redondance des serveurs…), subsiste le risque

Les utilisateurs A et B sont en communication téléphonique sur

un LAN cloisonné par VLAN

Découverte des caractéristiques de l’infrastructure et insertion

dans le VLAN voix

Mise en place d’une attaque de type ARP spoofing / man-in-the-middle

L’attaquant enregistre les paquets de transport de la voix (RTP)

B A

L’attaquant convertit les paquets de données en fichier son

D’autres outils spécifiques à la ToIP

PROTOS H.323 Fuzzer - PROTOS SIPOreka - PSIPDump - SIPomatic - SIPv6 Analyzer SIP-Scan - SIPcrack - SIPSCAN - SiVuS - SMAP - VLANping - VLANPing VoIPAudit IAXFlooder - INVITE Flooder - kphone-ddos - RTP Flooder…

1

2

3

4 5

L’attaquant peut également : - interrompre la conversation - insérer et modifier le flux voix

6

Lorsque le flux voix n’est pas chiffré, il est relativement facile d’écouter les conversations

0 10 20 30 40 50

Entreprise qui n'ont pas encore lancé d'étude de ToIP Entreprise qui ont implémenté la ToIP

résiduel de déni de service résultant d’une attaque logique et notamment virale sur le réseau IP. Quelles en seraient les consé-quences pour le service de téléphonie ? Dans le cas le moins défavorable, une difficulté à établir les appels et une dégradation de la qualité voix par manque de bande passante, pouvant aller jusqu’à une indisponibilité complète du service. D’un autre côté, les vulnérabilités spécifiques aux protocoles de signalisation uti-lisés en ToIP peuvent aussi être exploitées dans le cadre d’atta-ques ciblées sur le service de téléphonie. Par exemple, le protocole SIP (Session Initiation Protocol) ne prévoit pas d’au-thentification entre le terminal téléphonique et le serveur d’appel.

Un attaquant peut donc exploiter cette faille pour générer de façon aléatoire des messages « INVITE » qui feront sonner tous les téléphones en continu, ou bien envoyer des messages « CAN-CEL » afin de raccrocher toutes les communications en cours.

L’écoute illicite à la portée de tous

En téléphonie classique, l’écoute d’une communication néces-site l’accès physique au PABX, au local de brassage ou au télé-phone de la victime afin de pouvoir installer un dispositif espion.

Les utilisateurs ont donc conscience que, même si le trafic voix circule en clair, il est peu probable que les communications soient écoutées à leur insu. Ce qui change radicalement en ToIP, c’est la facilité avec laquelle le flux voix peut être intercepté à distance depuis le PC d’un utilisateur indélicat, d’autant plus que de nom-breux outils disponibles sur l’Internet facilitent le travail. Le prin-cipe est le suivant : dans un premier temps, l’attaquant met en

Les principaux risques associés à la ToIP perçus par les entreprises (source : enquête Solucom, 2006)

place une attaque « man-in-the middle » en envoyant des broad-casts ARP notifiant de fausses associations entre les adresses MAC et IP de ses victimes. Ceci a pour effet de rediriger tout le trafic IP ultérieur vers son PC, en particulier les paquets voix. A l’aide d’un analyseur réseau tel que Wireshark, l’attaquant peut alors réassembler le flux voix, en vue d’une écoute illicite ou d’un enregistrement. La principale contrainte pour l’attaquant est que celui-ci doit être connecté sur le même sous réseau IP que les participants légitimes à la communication.

Du « phishing » au « vishing »

Après la messagerie électronique, la voix sur IP est elle aussi mise à contribution par les pirates dans le cadre de tentatives de récupération d’informations diverses, notamment bancaires, auprès de victimes trop crédules. Le « vishing » (voice over IP phi-shing) est l’une des conséquences du développement de la télé-phonie sur Internet et de la baisse des coûts qui en résulte. Mais ce risque d’usurpation d’identité concerne aussi la téléphonie d’entreprise. Dans ce contexte, la fonction de présentation du nom de l’appelant peut faciliter la récupération d’informations confidentielles, comme par exemple un mot de passe. En effet, la victime sera par nature moins méfiante vis-à-vis de son interlocu-teur si elle voit s’afficher « support informatique » sur l’écran de son téléphone. D’autant plus qu’en ToIP, il est relativement facile pour un attaquant d’envoyer de faux paquets de signalisation, afin de faire afficher un nom erroné.

La téléphonie menacée par le spam

Le spam téléphonique, ou SPIT (Spam over IP Telephony), reste aujourd’hui marginal, mais risque de se développer rapidement et de devenir un problème majeur pour les entreprises. Du point de vue de l’utilisateur, les principales conséquences sont d’une part la perte de temps et d’autre part la saturation des boîtes vocales, pouvant rendre le service complètement indisponible. Sachant qu’aujourd’hui, il n’existe pas encore de solution efficace pour fil-trer ces messages indésirables, qui peuvent être jusqu’à dix fois plus volumineux que les spams traditionnels.

WAN

Augmentation des débits Amélioration de la disponibilité Mise en œuvre de classes de service

Energie

Alimentation secourue des éléments actifs Télé-alimentation des téléphones

LAN

Architecture redondante Adressage IP et DHCP

Câblage

Mise en conformité du câblage existant

Ajout éventuel de nouveaux points

Sécurité

Cloisonnement réseau (VLAN) Durcissement des serveurs et terminaux ToIP

Authentification des terminaux Chiffrement optionnel

Afin d’assurer la disponibilité et la confidentialité du service de téléphonie sur IP, des adaptations sont nécessaires dans plusieurs domaines

Le cloisonnement du réseau : un pré requis indispensable

Dans le cadre du déploiement d’une infrastructure de téléphonie sur IP, l’une des principales mesures de sécurité à mettre en place est le cloisonnement du réseau voix par rapport au réseau don-nées. Il est généralement réalisé en définissant sur chaque site un VLAN dédié aux équipements de téléphonie sur IP. Du point de vue de la sécurité, ce cloisonnement local devrait idéalement être prolongé sur le réseau étendu jusqu’au datacenter, à travers un VPN MPLS par exemple. Mais force est de constater que peu d’entreprises se sont aujourd’hui lancées dans cette voie, pour des raisons principalement économiques. Avec une infrastruc-ture WAN totalement mutualisée, l’accès au VLAN téléphonie doit donc être contrôlé au niveau de chaque site, au minimum par un équipement de filtrage IP – routeur avec ACL ou pare-feu – et si possible par un dispositif de type IPS (Intrusion Prevention System). Les règles de filtrage sont assez simples, puisqu’elles consistent à n’autoriser que les flux avec les VLAN ToIP des autres sites et les serveurs en datacenter. En général, on définit des règles de filtrage sur les adresses IP seules, car les protoco-les de transport de la voix type RTP (Real-time Transport Proto-col) utilisent l’allocation dynamique des ports lors de l’établissement de la communication, ce qui n’est pas sans poser problème à la traversée d’un pare-feu. Il faut dans ce cas soit autoriser tous les numéros de port au-dessus de 1024, soit met-tre en place des mécanismes pour ouvrir dynamiquement des ports sur le pare-feu. A noter également qu’il est nécessaire de prévoir un plan d’adressage IP spécifique pour la ToIP, afin d’évi-ter la multiplication du nombre de règles de filtrage sur les équi-pements de sécurité. Enfin, au niveau du point de raccordement WAN, il est recommandé de mettre en place une classe de ser-vice temps réel pour les flux voix, afin de garantir la qualité audio et de limiter le risque d’indisponibilité résultant d’une saturation sur la partie « données ».

Sécuriser les serveurs et les terminaux Comme pour n’importe quelle autre application informatique, il est par ailleurs nécessaire de « durcir » la configuration sécurité

50 IT-expert n°70 - novembre/décembre 2007

des composants ToIP. Au niveau des serveurs tout d’abord, cela passe notamment par l’arrêt de tous les services réseau inutiles, la désactivation des comptes inutilisés ou sans mot de passe, le changement des mots de passe par défaut, la mise en place de droits d’accès limités sur les fichiers sensibles, l’activation des fonctions de journalisation, la synchronisation horaire, ainsi qu’éventuellement, la mise en place d’un antivirus. Sur les ser-veurs de messagerie vocale, il est également possible de définir des quotas par boîte vocale afin d’éviter la saturation. Sur les passerelles de communication, il faut veiller à la désactivation des fonctions de routage et s’assurer qu’il n’y a pas de terminai-son possible de tunnel IP/PPP et de conversion du canal RNIS en paquets IP. Par rapport aux terminaux téléphoniques, le point important concerne le contrôle de la signature du firmware lors des opérations de mise à jour à distance. Cette possibilité doit absolument être activée afin d’éviter le déploiement involontaire ou malveillant de firmwares non conformes. Enfin, ce qui concerne l’administration, il faut privilégier l’utilisation de protoco-les sécurisés comme HTTP-S ou SSH.

Chiffrer les flux ?

Actuellement, rares sont les entreprises qui ont opté pour le chif-frement des flux inter-sites – réalisé par des boîtiers réseau au niveau du point d’interconnexion WAN – et encore plus rares sont celles qui ont activé le chiffrement de bout en bout entre ter-minaux téléphoniques. En effet, le chiffrement ne peut aujourd’hui être envisagé que dans le cadre de communications internes et non pas pour les appels externes. D’autre part, les implémenta-tions permettant le chiffrement de bout en bout reposent souvent sur l’utilisation de protocoles et d’outils propriétaires ce qui limite l’interopérabilité, bien que des passerelles de conversion soient envisageables. Enfin, le cloisonnement réseau de l’environne-ment ToIP constitue déjà un premier rempart contre les tentatives d’écoute illicite en interne. Ce qui fait qu’aujourd’hui, le chiffre-ment doit plutôt être considéré comme un service de sécurité optionnel, activable entre certaines populations internes d’utilisa-teurs « sensibles ».

Prendre en compte les enjeux métiers La migration vers la téléphonie sur IP est en marche et aujourd’hui, mieux vaut pour un responsable sécurité anticiper le mouvement, en définissant les règles de sécurité à prendre en compte dans les futurs projets. Au final, la décision de mise en œuvre des différentes mesures doit se faire au regard d’une analyse de risques prenant en compte les enjeux métiers et iden-tifiant les risques résiduels, pré requis nécessaire à tout déploie-ment ToIP.

Michel BERNARD consultant senior

A propos de Solucom

Solucom : Cabinet de conseil en gouvernance des SI et technologies, le groupe Solu-com rassemble plus de 500 consultants. Dans le domaine de la sécurité, SoluSolu-com accompagne les grandes entreprises dans la mise en place de leur politique de maî-trise des risques SI et dans le design de leurs architectures de sécurité. Le pôle sécurité du Groupe Solucom est fort de plus de 120 consultants intervenant sur les aspects suivants :

• cartographie des risques et conduite d’audits,

• formalisation des politiques et des organisations de management de la sécurité,

• élaboration de plans de continuité d’activité,

• conception des processus et des solutions de gestion des identités et des habilitations.

1.

Les solutions Microsoft Forefront™ facilitent la protection de vos systèmes informatiques en sécurisant les postes de travail client, les applications serveur et la périphérie du réseau, pour les accès locaux comme distants. Ils vous aident à prévenir plus facilement que jamais toutes les menaces de sécurité. Pour découvrir des cas concrets, des démonstrations et des versions d’essai gratuites, rendez-vous sur www.microsoft.com/france/forefront

5.

Les zombies mangent les cerveaux. C’est répugnant, mais c’est comme ça. Dites-leur que le distributeur au huitième vient juste d’être rechargé en bons cerveaux tout frais, et donnez-leur de la monnaie.

Le temps qu’ils se rendent compte que le distributeur est hors service, vous serez loin.

2.

Rabattez contre les portes les photocopieuses, les caissons tiroirs, les bureaux et les fauteuils. Postez une sentinelle, allumez des torches et retournez à votre véritable occupation : faire marcher une entreprise.

3.

Les zombies profitent généralement de la nuit pour attaquer. Ils n’aiment pas la lumière du jour.

Croyez-nous, vous n’avez pas intérêt à ce qu’ils vous trouvent au bureau après la tombée de la nuit. Si vous n’avez pas le choix, gardez au moins une torche à portée de main (ou à défaut une lampe de bureau).

1.

Les zombies traînent plus des pieds qu’ils ne marchent.

Quasiment n’importe qui peut les distancer. Même si vous vous contentez de hâter le pas, ça devrait suffire. Ils seront essoufflés au bout de trois mètres. Bien sûr, ce n’est pas une solution à long terme, mais ça rendra au moins leur première attaque plus facile à gérer.

4.

Personne n’aime recevoir des coups.

Les zombies non plus. En leur lançant une lampe, une agrafeuse ou même une cafetière, vous devriez pouvoir les tenir à distance de manière effi cace.

Bon, ça ne va pas les tuer (ils sont déjà morts), mais ça les sonnera suffisamment peut-être, le temps pour vous de vous mettre en sécurité.

Maîtriser une attaque de