La sécurité des PABX Le point de vue d un constructeur Les mesures de sécurisation des équipements lors du développement et de l intégration

Documents pareils
VoIP : Introduction à la sécurité. VoIP : Introduction à la sécurité

Projet Sécurité des SI

La sécurité des PABX IP. Panorama des risques et introduction des mesures de protection

Cahier des charges "Formation à la téléphonie sur IP"

(In)sécurité de la Voix sur IP [VoIP]

La Téléphonie sur IP nouvelle génération. Aastra 5000

Confidentiel pour le. ACTIVE TELECOM SA 8, bd de Ménilmontant Paris France

Licence professionnelle Réseaux et Sécurité Projets tutorés

Appliance FAST360 Technical Overview. Sécurité de la VoIP. Copyright 2008 ARKOON Network Security

Malveillances Téléphoniques

Votre Réseau est-il prêt?

HYBIRD 120 GE POUR LES NULS

Comment protéger ses systèmes d'information légalement et à moindre coût?

VoIP/ToIP Etude de cas

Déployez votre IPBX aussi facilement que votre PABX

IPBX SATURNE. Spécifications Techniques

Sécurité de la ToIP Mercredi 16 Décembre CONIX Telecom

Etat des lieux sur la sécurité de la VoIP

SUJET DES FINALES NATIONALES Sujet jour 1 version 1

Solutions de téléphonie VoIP en petite entreprise

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Du monde TDM à la ToIP

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Étendez les capacités de vos points de vente & sécurisez vos transactions.

Club Automation : Journée Cyber Sécurité Intégration de la Cyber Sécurité : Enjeux et étapes. 03 Décembre 2013

IP-PBX innovants. sans licence jusqu à 500 utilisateurs. MyPBX. tiptel

Organisation du module

Cahier des Clauses Techniques Particulières. Convergence Voix - Données

MULTITEL, votre partenaire de recherche et d innovation

Intégration de la cybersécurité aux systèmes de conduite industriels. Méthodes et pratiques

MOBILITE. Nomadio, le dialer d entreprise. Datasheet

La transformation IP des communications d entreprise JTR Frédéric Burillard Bertrand Paupy. Octobre JTR Octobre 2010

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Ingénierie des réseaux

Communications unifiées

MARCHE PUBLIC CAHIER DES CLAUSES TECHNIQUES PARTICULIERES

le nouveau EAGLEmGuard est arrivé. Dissuasion maximum pour tous les pirates informatiques:

s Pourquoi un PBX IP?

Guide de configuration Aastra 5000 pour le raccordement d un trunk Sip OPENIP

Réaliser une démonstration ShoreTel

Ce que nous rencontrons dans les établissements privés : 1-Le réseau basique :

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

EXTRAITS Tarifs Publics ADEPT Telecom France Edition 13 Applicable 20 octobre 2008

Solutions Téléphonie sur IP as a service. Journées Techniques Réseaux 2010

Catalogue «Intégration de solutions»

CAHIER DES CLAUSES TECHNIQUES

Sommaire. Le 04/10/2013 Réf : Annexe-Presentation Solution XiVO

FILIÈRE TRAVAIL COLLABORATIF

MD Evolution Rappels de sécurité

VoIP - TPs Etude et implémentation

Présence obligatoire de l administrateur réseau et de l administrateur téléphonie pendant l installation et le paramétrage.

Fiche descriptive de module

Logiciel de connexion sécurisée. M2Me_Secure. NOTICE D'UTILISATION Document référence :

Contrôle d accès Centralisé Multi-sites

Piratage téléphonique : comment lutter contre la malveillance? Des solutions simples et efficaces existent pour toutes les entreprises.

Qui sont les pirates?

Spécifications de raccordement au service de Téléphonie sur IP (ToIP) de RENATER

INSTALLATION ET PRISE EN MAIN

IPBX 02 : TP MISE EN OEUVRE RTC ET TOIP. Ce sujet comporte 4 pages de texte suivi du corrigé

Point de situation et plan d'action du SITEL. Présentation de A. Mokeddem, devant la Commission informatique le 2 octobre 2000

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

Vos données : Un capital à valoriser. ADD S.A. Chemin des Chalets 1279 CHAVANNES-DE-BOGIS

Spécialiste Systèmes et Réseaux

Guide produit A5000 R5.4 Apports R5.4 - SOMMAIRE -

Configuration du driver SIP dans ALERT. V2

Quelles solutions télécoms pour renforcer la communication de votre entreprise? SFRBUSINESSTEAM.FR

Tendances de la sécurité informatique à l IN2P3. Actions pour renforcer la sécurité. Sécurité Cargèse 2001 Bernard Boutherin 1

Groupe Eyrolles, 2006, ISBN : X

DECOUVERTE DU PABX E.VOLUTION

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

Conférence : Intégration ToIP au sein d une Entreprise. Module N 2 : La TOIP au sein d une Entreprise

Les réseaux de campus. F. Nolot

Fort d une expertise de plus de vingt ans sur les solutions adaptées au marché TPE, ADEPT Telecom présente O.box :

Catalogue des formations 2015

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

L i v r e b l a n c f é v r i e r

Présentation de l IPBX SATURNE

1. Fournir aux Entreprises des outils de télécommunications essentiels mais jusque alors inabordables pour les petites/moyennes structures,

Référentiel ISVD Prévisionnel

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

LIVRET DES FONCTIONNALITES DU STANDARD TELEPHONIQUE SIPLEO

Mon Sommaire. INEO.VPdfdf. Sécurisations des accès nomades

Configuration O.box Table des matières

CONFIGURATION FIREWALL

Configuration requise

Dr.Web Les Fonctionnalités

Pré-requis techniques

ALCATEL IP1020. Guide de Configuration pour l offre Centrex OpenIP

ACTION PROFESSIONNELLE N 4. Fabien SALAMONE BTS INFORMATIQUE DE GESTION. Option Administrateur de Réseaux. Session Sécurité du réseau

PRESENTATION DU POSTE 3 MISE EN SERVICE 4

Vers un nouveau modèle de sécurité

ENREGISTREUR DE COMMUNICATIONS

NOS SOLUTIONS ENTREPRISES

(In)sécurité de la Voix sur IP (VoIP)

Transcription:

La sécurité des PABX Le point de vue d un constructeur Les mesures de sécurisation des équipements lors du développement et de l intégration Pierre-Alexandre FUHRMANN Vice-President Global R&D 25 Avril 2013

Solution de téléphonie sécurisée Prise en compte des aspects sécurité dès la phase de conception des logiciels Application téléphonique Utilisation des liens opérateurs (!) Ecoute, enregistrement Gestion de la solution de téléphonie Gestion des utilisateurs et droits Gestion du système (local/distant) Intégration dans le système d information Interaction avec le SI (Annuaire, Firewall) Interaction avec le poste de travail informatique Data Center, Operating System, Virus Opérateurs Annuaire Entreprise ERP Logiciel téléphonie durci Protection de la gestion Interaction avec process metiers CTI/ Softphonie Intégration dans l infrastructure de communication IP Interaction avec le réseau IP Etanchéité /Protection des données en IP Topologie distribuée IP Solutions de mobilité Une approche globale nécessaire dès la phase d architecture des solutions Opérateurs IPBX/Gateways WiFi/DECT LAN/WAN 2

Application téléphonique Adaptation des logiciels pour augmenter la sécurité Clé logicielle nécessaire pour certaines fonctions sensibles Ecoute Discrète, DISA (Substitution externe) Classe de facilités, catégorie d appels pour limiter les risques Interception, offre, entrée en tiers, outrepassement soumis à droit Paramètrage par défaut restrictif de certaines fonctions sensibles Renvois vers l extérieur : par classe de facilité. Par défaut, pas autorisé Transfert dans la messagerie intégrée : par système, Par défaut pas autorisé vers l extérieur SVI : programmable par l exploitant uniquement (pas de SVI personnel) DISA : Numéro d appel spécifique, Droit par utilisateur Ecoute discrète : paramétrage non accessible par menu simple Ecoute Bébé : par classe de facilité et uniquement pour les appels locaux. Par défaut, pas autorisé. Transit & Conférence réseau/ réseau : Non ouvert par défaut 3

Application téléphonique Adaptation des logiciels pour augmenter la sécurité Prise en compte de la confidentialité des utilisateurs Verrouillage de l abonnement : journal d appels non visible sur l ensemble des terminaux Voix et signalisation chiffrés Message vocaux chiffrés et non écoutables par l administrateur Mot de passe non visible des administrateurs Renforcement de certains mécanismes de défense Login/ gestion du poste : Abonnement gelé après 3 tentatives DISA : N du service + password du service + n de l abonné + password de l abonné. Abonnement gelé après 3 tentatives Mot de passe par défaut configurable par l administrateur (et non pas 0000 pour tous) Fonction anti-bavard : limiter les communications longues Traçabilité des communications : tickets d appels répliquables avec stockage sécurisé 4

Gestion de la téléphonie Adaptation des logiciels pour augmenter la sécurité Gestion des droits de configuration Droits de configuration à base profil exploitant Segmentation fonctionnelle, géographique, administrative Possibilité de configurer la robustesse du mot de passe Ex : nb caractères, nb Majuscule/minuscule, nb chiffres, nb caractères spéciaux, périodicité du mot de passe Politique mot de passe constructeur modifiée récemment Modifiable par l intégrateur une fois RAZ uniquement par intervention sur site d Aastra Télégestion RNIS Accès modem RNIS distant filtrage des numéros appelants Trace des tentatives de connexion journalisées- Traces non destructibles par télémaintenance Télégestion IP Sécurisation selon les modes classiques de prise à distance IP (règles d intégration préconisées aux intégrateurs) 5

Gestion de la téléphonie Adaptation des logiciels pour augmenter la sécurité Insertion d un message d information préventif lors de l installation du système téléphonique Sensibiliser l intégrateur aux bonnes pratiques de sécurité Protection juridique vis-à-vis du client final 6

Intégration de la téléphonie dans le système d information Politique d Operating System PABX TDM : ex PABX sous OS irmx OS temps réel très spécialisé Peu d attaques potentielles, aucun virus connu Système autonome, avec peu d interaction avec le SI PABX IP, Call Manager, terminaux IP, Serveurs : Linux ou Windows Distribution beaucoup plus large, risque de faille plus grand Nécessité de mise à jour fréquentes Intégration plus forte avec la politique informatique Packaging customisé des OS Suppression d éléments inutilisés (ex : 120 Mo au lieu de 2 Go) Désactivation de certains services non critiques (interface graphique, partage de fichiers ) Nombre minimum de ports ouverts Politique de suivi des évolutions des distributions Linux pour résoudre de manière continue les failles de sécurité Tests des patchs de sécurité publiés et impactant la solution de téléphonie Mise à jour de manière régulière (tous les 2 mois) Recommandation : mettre à jour ses solutions de téléphonie sur IP pour réduire les failles de sécurité 7

Intégration de la téléphonie dans le système d information Interactions avec le SI Anti-virus Tests réguliers avec les anti-virus du marché Recommandations publiées sur les politiques d activation (en heure creuses, quels fichiers scanner ) Pas de scan des OS terminaux mais contrôle d intégrité des données à chaque mise à jour des firmware Base annuaires Interfaçage annuaire avec contrôle d accès ACL/LDAP v3 Mise en place de mécanisme d audit et de contrôle lors des mises à jours automatiques Poste de travail informatique/ terminaux Mécanisme d authentification (MD5) du client informatique pour éviter le déni de service Sécurisation des flux (TLS) utilisés par le dialogue avec l application de téléphonie Messages vocaux envoyés en email Flux XML pour dialogue interactif 8

Intégration de la téléphonie dans le réseau de communication IP Authentification - Accès du terminal au réseau IP Règles d ingénieries préconisées : Isolation VLAN, paramétrage DHCP Mécanismes standards : 802.1X, MD5 implémentés au niveau des terminaux Cas du PC connecté derrière poste : envoi d un ordre de logoff en cas de déconnexion Authentification - accès de l utilisateur au terminal Lecteur biométrique sur terminal Login abonné mot de passe SSO pour les applications de communications unifiées 9

Intégration de la téléphonie dans le réseau de communication IP Protection des communications IP (locales) Déploiement de méthode de chiffrement Signalisation (TLS) Media voix/video en SRTP Certificats générés automatiquement ou externes Chiffrement pendant toutes les phases d appels, ce qui complexifie le traitement d appel (ex : conférence à 3, comm. TDM/IP ) Gestion des terminaux chiffrés/ non-chiffrés Opérateurs Communication externes Accès TDM non chiffrés (chiffrement sur le LAN seulement) Peu d opérateurs SIP trunk permettent le chiffrement des communications externes 10

Intégration de la téléphonie dans le réseau de communication IP Accès trunk IP sécurisé Session Border Controller intégré/intégrable dans le logiciel de téléphonie et interaction avec le NAT Tests de performance /résilience (ex: duplication spatiale) réalisés pour chaque version en raison des modifications d échange de messages SIP DMZ Accès distant sécurisé du terminal sur Internet Télé-travail : Protection par VPN pour certains types de terminaux (postes, softphones) Gestion par Session Border Controller avec définition des flux autorisés Convergence fixe-mobile : gestion firewall intégrée avec Session Border Controller Proxy NAT/SBC Call Manager Opérateurs PUBLIC 11

Intégration de la téléphonie dans le réseau de communication IP Isolation des flux d administration et voix Possibilité de ports IP spécifiques sur Call Serveur ou PABX-IP 1 port pour les flux d administration/signalisation 1 port pour la voix Possibilité de double rattachement sur des switch différents Centralisation des flux voix Architecture spécifique Possibilité de centraliser les flux voix afin de contrôler les communications Procédures de tests de performance spécifiques à ce type d architecture Mécanismes de défense IP contre le déni de service Catégories d adresses IP autorisées/non autorisées Blacklist auto sur tentative de flooding (envoi massif de trames) Désactivation après 3 tentatives MD5 infructueuses Tests génériques de simulations d attaque/défenses réalises pour chaque version logicielle 12

Solution de téléphonie sécurisée En résumé Prendre en compte dès la phase de conception des architectures Prendre en compte tous les éléments qui interagissent avec la téléphonie Prévoir des tests spécifiques pour garantir les performances Les solutions de téléphonie IP peuvent être davantage sécurisées que les solutions TDM traditionnelles Les pré-requis de déploiement et les recommandations d exploitation doivent alors être respectés pour atteindre un niveau total de sécurité Impératif : mettre à jour REGULIEREMENT ses solutions de téléphonie sur IP pour réduire les NOUVELLES failles de sécurité 13

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back