Déploiement d une solution de téléphonie IP dans un campus (4 200 postes)

JSSI Sécurité et dépendance - aux nouvelles technologies 22 mai 2006 Déploiement d une solution de téléphonie IP dans un campus (4 200 postes) Loïc PASQUIET

PLAN Présentation du projet : contexte, Le projet : sa mise en oeuvre Premier bilan / architecture : les composants

PLAN suite La sécurité : les éléments retenus Quelques mécanismes du fonctionnement

Présentation du projet (1) 320 100 100 Elèves et étudiants Militaires 1500 Professeurs Chercheurs / ITA 1500 340 100 Personnel administratif Ouvriers Autres (allocataires, emplois jeunes, CES ) Un réseau informatique récent interconnectant tous les postes de travail Un réseau téléphonique de 4200 postes ~ 4000 personnes

Le projet : sa mise en œuvre (1) Etude d opportunité et schéma directeur Appel d offres sur performances (PFD) Maquettage sur deux mois Mise au point du CCTP SECURITE Postes IP Vlans Niveau 3 Redondances Choix de l intégrateur-constructeur

Le projet : sa mise en œuvre (2) Présentation des scénarios étudiés Scénario 1 : tout en technologie voix sur IP (ToIP) Scénario 2 : tout en technologie numérique conventionnel (TCO) Scénario 3 : mixte (Résidents en TCO, ERA en ToIP) Le comité exécutif de l Ecole a choisi le scénario 1 : le tout IP

Elements financiers Un budget prévisionnel pour la ToIP comparable aux investissements de 1990 Couvre l architecture (voix/data), les 4200 postes, les prestations et la maintenance 300 euros par abonné dont 100 euros de poste

Le projet : sa mise en œuvre (3) 2005 : système pour 1600 postes et 600 postes en production, 2006 : les 1000 résidents actuels, 2007 : extension du système à 4200 postes et équipement de la recherche (1600 postes), 2008 : équipement enseignement et administration (1000 postes) => arrêt PABX

Premier bilan (1) Quelques éléments 2 salles télécoms redondantes Architecture du transport de la voix séparée 600 postes en production, 1600 à l été Interconnexion QSIG à renforcer Audit externe ToIP favorable Régions téléphoniques

Premier bilan : architecture ToIP (2) Configuration cible 4 200 Postes IP Call server Serveur de communication S8700 S 8700 Serveur de communication S8700 OPER. OPER.. PABX ALCATEL 4 300 L QSIG C-LAN Med-pro Passerelles de communication G650 Media Gateway G 650 Passerelles de communication G650 Réseau LAN

La sécurits curité (1) Garantir la continuité de service par la mise en place d une protection contre: Les défaillances de liens physiques ou d équipements Les attaques La dégradation de la qualité de service (QoS) Empêcher les écoutes téléphoniques

Redondance des liens physiques, des équipements et des passerelles La sécurits curité (2) Secours électrique (onduleurs dans tous les locaux techniques) 802.3af (alimentation par la prise RJ45) Redondance des call servers Redondance des passerelles par défaut des téléphones : VRRP Redondance des liens optiques : EAPS

1 2 3 4 5 6 7 8 PWRNMARED NMA 9 10 11 12 17 18 19 20 13 14 15 16 21 22 23 24 LNK COL TX RX RDX Lucent Technologi es 1 2 3 4 5 6 7 8 9 * 8 # Cajun P112T SD Modem Bank PWR OK WI C0 ACT/CH0 AC T/CH 1 WIC0 ACT/CH0 AC T/C H1 ETH ACT CO L 1 2 3 4 9 10 11 12 17 18 19 20 5 6 7 8 13 14 15 16 21 22 23 24 PWRNMARED LNK COL TX RX RDX NMA Lu cen t Technologies 1 2 3 4 5 6 7 8 9 * 8 # SD Cajun P112T Schéma du réseau r voix / données DMZ 1 DNS HTTP MX polytechnique.fr Routeur WAN Wan NRD Orsay 100 Mbits Renater 3 La sécurits curité (3) Administration DMZ 2 PROXIES WEB R S Ens Tél B Tél A VRRP MASTER EAPS VRRP BACKUP PIX 515 UR Serveur DHCP/TFTP Téléphonie ACTIF PASSIF Serveur DHCP/TFTP Téléphonie Administration du Administration Application système (Linux) réseau (windows) DEM ANCIEN SYSTÈME TELEPHONIQUE ALCATEL 4300L T2 QSIG Modular Messaging Serveur de taxation Réseaux données Réseaux téléphonie ACTIF SYNCHRONISATION PASSIF

1 2 3 4 5 6 7 8 PWR NMA RED NMA 9 10 11 12 17 18 19 20 13 14 15 16 21 22 23 24 LNK COL TX RX RDX Lucent Technologies 1 2 3 4 5 6 7 8 9 * 8 # Cajun P112T SD Redondance du routeur par défaut d VRRP (RFC 2338) La sécurits curité (4)

S Y S M O N CONSOLE PORT 50 PORT 49 MGMT 49 50 AMBER GREEN DIAG STATUS A B PSU CONSOLE MODEM MGMT STATUS 1 2 3 4 STATUS - ACTIVITY - LINK OK AMBER - ACTIVITY GREEN - LINK OK FLASHING ORANGE - DISABLED 1 LINK\ ACTIVE 2 PCMCIA 3 4 TM 1000 BASE-X 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 SMM i 45014 GM-4X i 45112 FM-24F i 45211 100 BASE-FX 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 45015 Extreme Networks Summit48si S Y S M O N S Y S M O N CONSOLE AMBER GREEN PORT 50 PORT 49 MGMT 49 50 DIAG STATUS A B PSU CONSOLE MODEM MGMT STATUS 1 2 3 4 STATUS - ACTIVITY - LINK OK AMBER - ACTIVITY GREEN - LINK OK FLASHING ORANGE - DISABLED 1 LINK\ ACTIVE 2 PCMCIA 3 4 TM 1000 BASE-X 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 SMM i 45014 GM-4X i 45112 FM-24F i 45211 100 BASE-FX 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 45015 Extreme Networks Summit48si S Y S M O N Boucles EAPS (RFC 3619) : convergence <50ms La sécurits curité (5) AVAYA P580 R AVAYA P580 ENS AVAYA P580 S AT-104-XL AT-104-XL AT-104-XL lien résilient ENS lien résilient S lien résilient R lien résilient KEPHREN Pile de 2 P334T-ML (KEPHREN) AT-104-XL AT-104-XL AT-102-XL AVAYA AT-104-XL AVAYA TM 3804 TM 3804 1 2 3 4 1:2 Primary Up 1:2 Primary Up 2 VLAN protégés Mode MASTER 1303 : interco-pix Mode TRANSIT 1127 : dhcptoip 2:17 Secondary Blocked 2:17 Secondary Up 1 2 3 4 Packet Alarm Packet Alarm

Protection contre les attaques La sécurits curité (6) Code téléphonique renforcé Séparation des VLAN voix/données Quadruplet de protection (@MAC-PORT- VLAN-IP), 802.1x (été 2006) Sonde Intrusive Packet Alarm, filtrage L4 Call Servers avec unix épuré Bus TDM entre G650 et CallServer (pas de trafic IP possible) Régions téléphoniques «étanches»

Distribution Linux RedHat (certifiée e par le DoD) La sécurits curité (7) Invalid shadow passwords No Direct ROOT access Partition/NOEXEC Hard Drives Software upgrades are digitally signed Backup files encryptet CAST5/AES Intrusion Detection Checking via Tripwire Separate Physical Interfaces for VoIP, Admin, and Control. Inherent IP Chains Firewall HTTPS SSH SNMPv3 TCP Wrappers Logging all connection attempts Statefull Failover NTP Authentication Network Interface Defense Native Red Hat OS Kernel Security Enhancements

Code des téléphones t renforcé La sécurits curité (8) Restricted Access to Local Administration Procedures (can be PIN protected) Restricted end user s ability to view Network settings Pasword protection of personal Information SNMP queries to (read-only) MIB only from configured management stations Harden Real Time OS VX works DOS Protection

Protection contre les écoutes téléphoniquest La sécurits curité (9) Chiffrement du payload des packets RTP (contenant de la voix numérisée) AEA (Advanced Encryption Algorithm) RC4-104 bits AES réduit de 25% le nombre de communications simultanées assuré par un même codec mais plus le cas bientôt.

1 2 3 4 5 6 7 8 PWR NMA RED NMA 9 10 11 12 17 18 19 20 13 14 15 16 21 22 23 24 LNK COL TX RX RDX Lucent Technolo gies 1 2 3 4 5 6 7 8 9 * 8 # Cajun P112T SD 1 2 3 4 5 6 7 8 PWR NMA RED NMA 9 10 11 12 17 18 19 20 13 14 15 16 21 22 23 24 LNK COL TX RX RDX Lucent Technolo gies 1 2 3 4 5 6 7 8 9 * 8 # Cajun P112T SD Les mécanismes m : démarrage d (1) REGION R 1 et 2 3 R S Ens REGION KEPHREN Tél A Tél B VRRP Serveur DHCP/TFTP Téléphonie 1 : Echange DHCP pour l'obtention d'une adresse IP + Option 176 (vlan,gatekeeper,tftp...) 2 : Mise à jour éventuelle du firmware via le serveur TFTP 3 : Enregistrement du poste sur une C-LAN et initialisation des appels (H225.0) - RAS (UDP:1719) - Signalisation Q931 (TCP:1720) qui permet : l'établissement de l'appel la libération de la ligne Réseaux données Réseaux téléphonie la signalisation : occupation, non réponse, etc

1 2 3 4 5 6 7 8 PWR NMA RED NM A 9 10 11 12 17 18 19 20 13 14 15 16 21 22 23 24 LNK COL TX RX RDX Lucent Technologies 1 2 3 4 5 6 7 8 9 * 8 # Cajun P112T SD 1 2 3 4 5 6 7 8 PWR NMA RED NM A 9 10 11 12 13 14 15 16 LNK CO L TX RX RDX 17 18 19 20 21 22 23 24 Lucent Technologies 1 2 3 4 5 6 7 8 9 * 8 # Cajun P112T SD Les mécanismes m : communication Inter-Régions (2)

1 2 3 4 5 6 7 8 PW R NMA RED NMA 9 10 11 12 13 14 15 16 LNK CO L TX RX RDX 17 18 19 20 21 22 23 24 Lucent Techno log ies 1 2 3 4 5 6 7 8 9 Cajun P112T SD 1 2 3 4 5 6 7 8 PW R NMA RED NMA 9 10 11 12 13 14 15 16 LNK CO L TX RX RDX 17 18 19 20 21 22 23 24 Lucent Techno log ies 1 2 3 4 5 6 7 8 9 * 8 # Cajun P112T SD Les mécanismes m : communication Intra-Régions (IP-IP) IP) (3) REGION R 3 Tél B 2 REGION R R 3 1 Tél A * 8 # VRRP 1 : Demande d'établissement d'une communication (Signalisation H.225) 2 : Le système fait sonner le poste désiré 3 : Etablissement de la communication RTP en mode shuffling (voix) La signalisation H.323 est maintenue par le S8700 via les C-LAN Réseaux données Réseaux téléphonie

Bibliographie Security Alliance de la voix sur IP. http://www.voipsa.org, crée fin 2004. National Institute of Standards and Technology, Special publication 800-58, Security Considerations for Voice over IP Systems, January, 2005 http://csrc.nist.gov/publications/drafts/. http://www.avaya.com/gcm/master-usa/enus/resource/assets/applicationnotes/av-iptel-imp-gdcm21-0804.pdf http://www.afutt.org

DES QUESTIONS?