Voix sur IP : assurer la qualité et la sécurité

24/07/2006 à 07h00

La banalisation de la VoIP pose un problème de contrôle des infrastructures. La réponse passe surtout par l'isolation des réseaux et la redondance.

Grâce à la voix sur IP, la téléphonie devient une extension du système d'information de l'entreprise. Cette convergence offre, certes, de belles perspectives en termes de réduction de coûts et d'applications nouvelles (lire La VoIP et le CTI font bon ménage). Mais elle introduit aussi de nouvelles contraintes sur le réseau.Il faut ainsi être en mesure d'assurer la sécurité de la fonction téléphonie, tant contre le déni de service que contre l'interception des communications. Et il faut garantir que le réseau pourra gérer une application temps réel, ce qui n'était pas forcément le cas avant l'avènement de la VoIP. Pour cela, les entreprises qui décident de remplacer leur vieil autocom analogique par la téléphonie sur IP commencent par un audit du réseau.

La préparation : un audit pour mieux dimensionner le réseau

' Avant de lancer notre projet de VoIP, nous avons effectué un travail de mise à niveau de la dorsale de notre réseau. Celui-ci est passé en Gigabit Ethernet avec des points de terminaison à 100 Mbit/s. Et pour relier nos sites distants, les lignes louées à France Télécom sont devenues des liens IP MPLS. Voilà finalement le fondement de notre QoS pour la téléphonie sur IP. Le reste, c'est de la configuration [définir des classes de services adéquates, NDLR]. À condition, bien sûr, que les équipements le permettent ', explique Benoît Dehais, directeur du service informatique du conseil général de Seine-Maritime.Les équipements de routage, en effet, doivent être capables de reconnaître les informations traditionnelles de gestion de priorité des flux, ce qui est le cas de la plupart d'entre eux s'ils ont moins de quatre ans. ' Il n'y a pas grand-chose d'autre à faire, l'ICP [le PBX IP, NDLR] marque les flux comme étant de la VoIP, les routeurs Cisco savent les lire et passent le trafic aux postes IP ', précise Olivier Volontaire, administrateur réseau à la mairie de Hyères.Le fait que les flux soient marqués comme VoIP permet en effet de leur garantir un traitement de faveur sur le réseau. ' Le trafic IP vers une ligne téléphonique T2 est dérisoire pour un réseau. On a longtemps diabolisé la consommation de bande passante de la VoIP, mais c'est plutôt la gestion des paquets, et notamment leur ordre d'acheminement, qui est en cause ', précise Joseph Saouma, responsable des offres ToIP de l'intégrateur Dynetcom.Toutefois, si la bande passante est rarement un problème, attention au c?"ur du réseau : il peut être nécessaire de repositionner les commutateurs afin de répondre aux exigences de la VoIP. C'est précisément ce qui s'est produit à la Cramif (Caisse régionale d'assurance maladie d'Ile-de-France) où il a été observé une occupation très élevée des ressources des commutateurs de niveau 2, lesquels devaient router le trafic VoIP au c?"ur du réseau (jusqu'à 90 % d'occupation du processeur).' Pour améliorer les performances, le c?"ur du réseau doit être au niveau 3. Cela nous a obligés à repositionner nos commutateurs. Nous avons encapsulé ceux de niveau 2 dans ceux de niveau 3. Ainsi, seuls des commutateurs de niveau 3 parlent au c?"ur du réseau ', explique François Du Lau d'Allemans, directeur informatique de la Cramif.

La mise en ?"uvre : séparation des flux et redondance

À ce stade, le c?"ur de réseau est en Gigabit Ethernet au niveau 3 et l'architecture de routage est capable de reconnaître le marquage spécifique de la QoS traditionnelle. Il n'y a donc plus grand-chose à faire du côté de la qualité de service. Reste la sécurité, qui constitue finalement le principal problème à résoudre pour la mise en ?"uvre proprement dite. Elle sera pensée selon deux axes fondamentaux : la séparation des réseaux et la redondance.' Nous avons entièrement revu la distribution de notre réseau. Nous sommes passés de VLAN applicatifs à des VLAN géographiques sur chacun de nos sites, sauf pour la voix, dont le VLAN unique couvre les deux sites ', explique François Du Lau d'Allemans, de la Cramif.C'est le même choix qu'a effectué la mairie de Hyères pour architecturer son réseau : mise en ?"uvre d'un VLAN dédié à la VoIP et de VLAN privés pour chacun des services de la municipalité. Optant pour une approche différente, le conseil général de Seine-Maritime a préféré une séparation par composants.' Nous avons créé un VLAN par grande catégorie : serveurs, téléphones IP, consoles d'administration, terminaux applicatifs... Cette approche facilite non seulement l'organisation de la priorité des flux, mais elle nous permet aussi de mieux contrôler ce qui se passe sur le réseau afin de nous assurer qu'il s'agit bien d'un trafic légitime ', justifie Benoît Dehais.Quel que soit le plan de séparation choisi, le point commun de ces mises en ?"uvre demeure la nécessité d'isoler la VoIP (son trafic et ses outils) de la partie données du réseau. Il s'agit aujourd'hui de la mesure de sécurité la plus répandue en matière de téléphonie sur IP.La séparation des flux devra être couplée à la redondance des équipements spécifiques de la VoIP pour garantir la continuité du service en cas de panne. La méthode utilisée, pour ce faire, est bien connue dans le monde de la gestion des données. ' Les serveurs de gestion des appels sont mis en grappes et placés dans deux salles différentes. Celles-ci sont desservies par des liens télécoms redondants dans chaque salle ', détaille François Du Lau d'Allemans.Enfin, au-delà de la mise en grappes, un peu de décentralisation du réseau peut se révéler nécessaire. ' Nous avons mis en place des passerelles entre les sites distants afin qu'ils puissent continuer à communiquer, même si le c?"ur du réseau tombe. Bien sûr, ce sera en mode dégradé [moins de lignes et un débit réduit, NDLR], mais c'est néanmoins très important tant pour la qualité de service que pour la sécurité ', souligne Benoît Dehais.

Les outils : softphones ou postes matériels ?

Ce n'est qu'une fois l'architecture prête pour la VoIP que des outils spécifiques pourront être utiles pour surveiller la QoS et assurer la sécurité du réseau. À commencer par le plus commun d'entre eux : le poste téléphonique.' Nous avions initialement prévu d'utiliser des softphones [logiciels téléphoniques installés sur le poste de travail, NDLR], mais leur trafic est beaucoup plus lourd sur le réseau et, surtout, lors de notre appel d'offres, aucun soumissionnaire ne pouvait nous garantir la QoS avec un softphone. Nous avons donc fait le choix de postes téléphoniques matériels ', précise François Du Lau d'Allemans.Ce choix permet en outre d'assurer une redondance d'un genre nouveau en cas de panne du réseau IP. ' Nous avons souhaité garantir un accès téléphonique à certaines personnes, dont le maire, même en cas de panne majeure du système. Nous avons donc conservé des lignes traditionnelles et choisi des combinés Mitel compatibles à la fois avec la VoIP et les lignes France Télécom ', explique Bernard Barale, directeur du service informatique de la mairie de Hyères.Pour mesurer la qualité de service sur le réseau de ToIP, la Cramif a fait le choix d'un outil dédié, édité par le français ServicePilot. ' Nous avons installé le logiciel sur un serveur connecté à une patte commune à tous les VLAN. Il voit donc passer l'ensemble du trafic. Il nous permet de surveiller tous les éléments de la chaîne, du gestionnaire d'appels aux postes téléphoniques en passant par le routage ', détaille François Du Lau d'Allemans. Le logiciel permet de connaître en temps réel des valeurs essentielles pour la mesure de la qualité (latence, jigue) et d'en faire des rapports afin de déceler des tendances.' Un tel outil aide à anticiper les problèmes. Si un routeur est en surcharge sur un site éloigné, on le voit tout de suite et nous pouvons intervenir, puis le relancer. Finalement, on détecte les anomalies avant que les utilisateurs nous appellent ', se félicite le directeur informatique. À tel point que l'outil, initialement déployé pour la VoIP, est désormais utilisé pour surveiller l'ensemble du réseau.Si la mesure de la qualité de service est relativement répandue, les solutions de sécurité proprement dites ne sont, quant à elles, guère populaires dans les entreprises utilisatrices de VoIP actuellement. Cela est encore plus vrai quand la téléphonie sur IP demeure confinée au réseau interne.' La VoIP n'est en IP que chez nous. À l'extérieur, nous sommes sur le réseau traditionnel de France Télécom. Ce sont des cartes spécifiques au sein de notre commutateur C6000 qui font le pont entre notre réseau IP et les lignes T2 de France Télécom. Nous nous poserons la question du filtrage lorsque nous aurons une liaison IP directe avec un opérateur alternatif ', explique François Du Lau d'Allemans.Le conseil général de Seine-Maritime, lui, a fait le choix d'une solution de détection des attaques. ' Nous avons voulu appliquer une logique IPS pour la protection de l'infrastructure, ce qui nous permet d'anticiper les attaques ', explique Benoît Dehais. Le conseil général a choisi pour cela la solution ETSS de l'éditeur CheckPhone, qu'il a installée à la frontière avec le réseau de son opérateur téléphonique.Enfin, les postes téléphoniques doivent être limités au seul VLAN de la VoIP et authentifiés, même faiblement. ' Tous les postes sont déclarés à l'avance grâce à notre console d'administration et identifiés par leur adresse MAC. Ils sont également limités par défaut à des appels internes ', précise Benoît Dehais.

Les écueils : la supervision des composants

Au-delà des écueils traditionnels que doit surmonter tout projet de voix sur IP, la sécurisation et le contrôle de la qualité d'une telle architecture présentent des difficultés nouvelles : la traque aux téléphones sauvages.' Nous avons migré sans difficulté 90 % de notre parc téléphonique, mais un certain nombre de postes restaient introuvables, car ils étaient connectés par une filerie parallèle ! Cela nous a contraints à conserver l'ancien autocom plus longtemps que prévu afin de faire migrer ces postes au fur et à mesure de leur découverte ', se souvient François Du Lau d'Allemans.La gestion des alertes, enfin, pose le plus gros problème, car les outils et les journaux ne sont pas centralisés entre VoIP et réseau de données. ' Nous avons pour l'instant plusieurs journaux suivis par plusieurs personnes [journaux du PBX, de l'outil IPS CheckPhone et du réseau de données, NDLR]. Ils corrèlent les événements d'une manière artisanale. Nous espérons pouvoir intégrer cela dans les mois à venir, notamment à l'aide d'outils tel e-Security... si c'est intégrable. '

1 - Une téléphonie isolée
Les postes téléphoniques IP sont isolés sur un LAN privé. Non seulement cette ségrégation les met à l'abri des attaques courantes sur les autres réseaux (déni de service, codes malicieux reproducteurs...), mais elle permet aussi de contrôler plus facilement le type et l'origine des postes. Ainsi, les adresses MAC des combinés autorisés sont prédéclarées sur le commutateur, et aucun autre ne pourra être actif sur ce segment du réseau.

2 - Un contrôle universel
En connectant les outils de sécurité spécifiques de la VoIP sur une patte universelle du commutateur, qui voit passer l'ensemble du réseau, il est possible de surveiller l'ensemble de l'architecture, et non pas uniquement les composants spécifiques de la VoIP. Dans le cas de la QoS, l'outil permettra de contrôler l'ensemble de la chaîne de routage et sera alors profitable à tout le réseau, y compris pour des opérations hors VoIP.

3 - Un passage plus difficile au CTI
Une stricte isolation du réseau de téléphonie sur IP du reste du système d'information peut rendre plus difficile l'évolution vers un couplage téléphonie-informatique. Le point essentiel de la convergence voix-données étant les applications, il faut être en mesure de jeter des ponts entre les postes téléphoniques, les serveurs d'appels et les serveurs d'applications de l'entreprise. Ce qui, en retour, expose à des vulnérabilités potentielles.

4 - Des commutateurs à adapter
Si la majorité des commutateurs de moins de quatre ans sont capables de gérer le trafic de VoIP et la qualité de service, il sera parfois nécessaire de procéder à des ajustements de leur configuration. Le routage au c?"ur du réseau, par exemple, gagnera à fonctionner au niveau 3 et non au nivea 2 comme c'est souvent le cas. Lorsqu'il y a plusieurs commutateurs répartis à différents points du réseau (c?"ur et périphérie), l'opération peut devenir plus complexe puisqu'il faudra ' encapsuler ' des équipements de niveau 2 dans d'autres de niveau 3.

retour d'expérience : Bernard Barale (Mairie de Hyères) : ' Les utilisateurs ont demandé à verrouiller les postes '

Pour le DSI de la municipalité varoise, le vérouillage permet une plus grande liberté de paramétrage aux utilisateurs.

' L'une des principales demandes des utilisateurs a été le verrouillage des postes afin qu'ils puissent se protéger de toute utilisation abusive. Mitel, notre fournisseur, nous a proposé une solution qui consiste à stocker le profil de chaque utilisateur sur le serveur de téléphonie (ICP) et non sur le poste lui-même. Ainsi, désormais, chaque poste a, par défaut, une configuration minimale qui lui permet de passer uniquement des appels internes et de composer les numéros des services de secours.
Lorsqu'un collaborateur souhaite s'en servir, il le débloque à l'aide de son code PIN, et il retrouve immédiatement ses privilèges, la programmation de ses touches, ses renvois éventuels... Lorsqu'il quitte son bureau, il peut remettre le téléphone dans son mode par défaut en entrant à nouveau son code PIN. Une telle solution dépasse même le cadre de la sécurité, puisqu'elle permet à n'importe qui d'utiliser n'importe quel téléphone comme s'il s'agissait du sien et, par exemple, de récupérer ses appels dans une salle de réunion tout en bénéficiant de son "hot desk" [filtrage secrétariat, NDLR]. '

Mairie de Hyères

expertise : Sylvain Bonenfant (conseil général de Seine-Maritime) : Plus aucune connexion n'échappe au contrôle '

Le RSSI de la collectivité territoriale normande juge le filtrage ?" téléphonie et réseau ?" efficace.

Le conseil général de Seine-Maritime a profité de la migration vers la téléphonie sur IP pour renforcer la sécurité de toute sa téléphonie. Les postes IP sont désormais contrôlés aussi bien en interne sur le réseau IP que vers l'externe sur le réseau téléphonique traditionnel.

' Nous avons déployé des sondes [de l'IDS téléphonique ETSS de CheckPhone, NDLR] sur chacun des liens opérateurs T0 ou T2 qui relient nos dix sites centraux au réseau téléphonique de l'opérateur. Il s'agit de sondes purement téléphoniques, connectées en mode haute impédance sur les liens TDM de l'opérateur. Car nous sommes ici dans un univers télécoms et non informatique. Les sondes peuvent détecter, par exemple, qu'un modem RTC utilise une ligne normalement dédiée à un fax, identifier des abus tels que le spam par fax et les dénis de service téléphoniques.
En interne, tous les appels intersites passent en revanche par un réseau privé IP MPLS. Là, outre l'isolation des VLAN, c'est notre coupe-feu traditionnel qui filtre le trafic vers Internet. Aucune connexion VoIP, avec les protocoles SIP ou H.323, par exemple, n'est autorisée vers l'extérieur. Mais lorsque notre opérateur sera en mesure de nous fournir un accès téléphonique purement IP vers l'extérieur, nous déploierons alors des sondes ETSS spécifiques du trafi IP. '

Conseil général de Seine-Maritime

avis d'intégrateur : Joseph Saouma (Dynetcom) : ' Il faut d'abord s'occuper du réseau '

Le responsable des offres ToIP de l'intégrateur affirme que 90 % d'une solution de VoIP, c'est du réseau !

' 90 % des problèmes de sécurité de la voix sur IP sont réglés par les mécanismes intrinsèques du réseau et de ses équipements, tout simplement parce que 90 % d'une solution de VoIP, c'est du réseau ! On remplace les cartes d'un autocommutateur analogique par des ports commutés. Il faut donc sécuriser le réseau de manière traditionnelle, par des VLAN, des listes de contrôle d'accès sur les routeurs, de la redondance et du fail-over. Bien entendu, il faudra également renforcer les systèmes d'exploitation.
En outre, les équipements de voix sur IP embarquent aussi des composants de sécurité : le serveur de communications interdit toute connexion depuis le LAN de données, ou en dehors d'un LAN de contrôle dédié. Et il y a une frontière naturelle entre une passerelle vers le réseau téléphonique et le serveur de communications : il est impossible de traverser en IP. Toutes ces protections sont liées à la conception même du réseau et des solutions ad hoc qui y sont déployées. Si elles sont correctement mises en ?"uvre, elles couvrent la quasi-totalité des problèmes de sécurité. '

Dynetcom

Jérôme Saiz