Voix sur IP : assurer la qualité et la sécurité

Grâce à la voix sur IP, la téléphonie devient une extension du système d'information de l'entreprise. Cette convergence offre, certes, de belles perspectives en termes de réduction de coûts et d'applications nouvelles (lire La VoIP et le CTI font bon ménage). Mais elle introduit aussi de nouvelles contraintes sur le réseau.Il faut ainsi être en mesure d'assurer la sécurité de la fonction téléphonie, tant contre le déni de service que contre l'interception des communications. Et il faut garantir que le réseau pourra gérer une application temps réel, ce qui n'était pas forcément le cas avant l'avènement de la VoIP. Pour cela, les entreprises qui décident de remplacer leur vieil autocom analogique par la téléphonie sur IP commencent par un audit du réseau.

La préparation : un audit pour mieux dimensionner le réseau

' Avant de lancer notre projet de VoIP, nous avons effectué un travail de mise à niveau de la dorsale de notre réseau. Celui-ci est passé en Gigabit Ethernet avec des points de terminaison à 100 Mbit/s. Et pour relier nos sites distants, les lignes louées à France Télécom sont devenues des liens IP MPLS. Voilà finalement le fondement de notre QoS pour la téléphonie sur IP. Le reste, c'est de la configuration [définir des classes de services adéquates, NDLR]. À condition, bien sûr, que les équipements le permettent ', explique Benoît Dehais, directeur du service informatique du conseil général de Seine-Maritime.Les équipements de routage, en effet, doivent être capables de reconnaître les informations traditionnelles de gestion de priorité des flux, ce qui est le cas de la plupart d'entre eux s'ils ont moins de quatre ans. ' Il n'y a pas grand-chose d'autre à faire, l'ICP [le PBX IP, NDLR] marque les flux comme étant de la VoIP, les routeurs Cisco savent les lire et passent le trafic aux postes IP ', précise Olivier Volontaire, administrateur réseau à la mairie de Hyères.Le fait que les flux soient marqués comme VoIP permet en effet de leur garantir un traitement de faveur sur le réseau. ' Le trafic IP vers une ligne téléphonique T2 est dérisoire pour un réseau. On a longtemps diabolisé la consommation de bande passante de la VoIP, mais c'est plutôt la gestion des paquets, et notamment leur ordre d'acheminement, qui est en cause ', précise Joseph Saouma, responsable des offres ToIP de l'intégrateur Dynetcom.Toutefois, si la bande passante est rarement un problème, attention au c?"ur du réseau : il peut être nécessaire de repositionner les commutateurs afin de répondre aux exigences de la VoIP. C'est précisément ce qui s'est produit à la Cramif (Caisse régionale d'assurance maladie d'Ile-de-France) où il a été observé une occupation très élevée des ressources des commutateurs de niveau 2, lesquels devaient router le trafic VoIP au c?"ur du réseau (jusqu'à 90 % d'occupation du processeur).' Pour améliorer les performances, le c?"ur du réseau doit être au niveau 3. Cela nous a obligés à repositionner nos commutateurs. Nous avons encapsulé ceux de niveau 2 dans ceux de niveau 3. Ainsi, seuls des commutateurs de niveau 3 parlent au c?"ur du réseau ', explique François Du Lau d'Allemans, directeur informatique de la Cramif.

La mise en ?"uvre : séparation des flux et redondance

À ce stade, le c?"ur de réseau est en Gigabit Ethernet au niveau 3 et l'architecture de routage est capable de reconnaître le marquage spécifique de la QoS traditionnelle. Il n'y a donc plus grand-chose à faire du côté de la qualité de service. Reste la sécurité, qui constitue finalement le principal problème à résoudre pour la mise en ?"uvre proprement dite. Elle sera pensée selon deux axes fondamentaux : la séparation des réseaux et la redondance.' Nous avons entièrement revu la distribution de notre réseau. Nous sommes passés de VLAN applicatifs à des VLAN géographiques sur chacun de nos sites, sauf pour la voix, dont le VLAN unique couvre les deux sites ', explique François Du Lau d'Allemans, de la Cramif.C'est le même choix qu'a effectué la mairie de Hyères pour architecturer son réseau : mise en ?"uvre d'un VLAN dédié à la VoIP et de VLAN privés pour chacun des services de la municipalité. Optant pour une approche différente, le conseil général de Seine-Maritime a préféré une séparation par composants.' Nous avons créé un VLAN par grande catégorie : serveurs, téléphones IP, consoles d'administration, terminaux applicatifs... Cette approche facilite non seulement l'organisation de la priorité des flux, mais elle nous permet aussi de mieux contrôler ce qui se passe sur le réseau afin de nous assurer qu'il s'agit bien d'un trafic légitime ', justifie Benoît Dehais.Quel que soit le plan de séparation choisi, le point commun de ces mises en ?"uvre demeure la nécessité d'isoler la VoIP (son trafic et ses outils) de la partie données du réseau. Il s'agit aujourd'hui de la mesure de sécurité la plus répandue en matière de téléphonie sur IP.La séparation des flux devra être couplée à la redondance des équipements spécifiques de la VoIP pour garantir la continuité du service en cas de panne. La méthode utilisée, pour ce faire, est bien connue dans le monde de la gestion des données. ' Les serveurs de gestion des appels sont mis en grappes et placés dans deux salles différentes. Celles-ci sont desservies par des liens télécoms redondants dans chaque salle ', détaille François Du Lau d'Allemans.Enfin, au-delà de la mise en grappes, un peu de décentralisation du réseau peut se révéler nécessaire. ' Nous avons mis en place des passerelles entre les sites distants afin qu'ils puissent continuer à communiquer, même si le c?"ur du réseau tombe. Bien sûr, ce sera en mode dégradé [moins de lignes et un débit réduit, NDLR], mais c'est néanmoins très important tant pour la qualité de service que pour la sécurité ', souligne Benoît Dehais.

Les outils : softphones ou postes matériels ?

Ce n'est qu'une fois l'architecture prête pour la VoIP que des outils spécifiques pourront être utiles pour surveiller la QoS et assurer la sécurité du réseau. À commencer par le plus commun d'entre eux : le poste téléphonique.' Nous avions initialement prévu d'utiliser des softphones [logiciels téléphoniques installés sur le poste de travail, NDLR], mais leur trafic est beaucoup plus lourd sur le réseau et, surtout, lors de notre appel d'offres, aucun soumissionnaire ne pouvait nous garantir la QoS avec un softphone. Nous avons donc fait le choix de postes téléphoniques matériels ', précise François Du Lau d'Allemans.Ce choix permet en outre d'assurer une redondance d'un genre nouveau en cas de panne du réseau IP. ' Nous avons souhaité garantir un accès téléphonique à certaines personnes, dont le maire, même en cas de panne majeure du système. Nous avons donc conservé des lignes traditionnelles et choisi des combinés Mitel compatibles à la fois avec la VoIP et les lignes France Télécom ', explique Bernard Barale, directeur du service informatique de la mairie de Hyères.Pour mesurer la qualité de service sur le réseau de ToIP, la Cramif a fait le choix d'un outil dédié, édité par le français ServicePilot. ' Nous avons installé le logiciel sur un serveur connecté à une patte commune à tous les VLAN. Il voit donc passer l'ensemble du trafic. Il nous permet de surveiller tous les éléments de la chaîne, du gestionnaire d'appels aux postes téléphoniques en passant par le routage ', détaille François Du Lau d'Allemans. Le logiciel permet de connaître en temps réel des valeurs essentielles pour la mesure de la qualité (latence, jigue) et d'en faire des rapports afin de déceler des tendances.' Un tel outil aide à anticiper les problèmes. Si un routeur est en surcharge sur un site éloigné, on le voit tout de suite et nous pouvons intervenir, puis le relancer. Finalement, on détecte les anomalies avant que les utilisateurs nous appellent ', se félicite le directeur informatique. À tel point que l'outil, initialement déployé pour la VoIP, est désormais utilisé pour surveiller l'ensemble du réseau.Si la mesure de la qualité de service est relativement répandue, les solutions de sécurité proprement dites ne sont, quant à elles, guère populaires dans les entreprises utilisatrices de VoIP actuellement. Cela est encore plus vrai quand la téléphonie sur IP demeure confinée au réseau interne.' La VoIP n'est en IP que chez nous. À l'extérieur, nous sommes sur le réseau traditionnel de France Télécom. Ce sont des cartes spécifiques au sein de notre commutateur C6000 qui font le pont entre notre réseau IP et les lignes T2 de France Télécom. Nous nous poserons la question du filtrage lorsque nous aurons une liaison IP directe avec un opérateur alternatif ', explique François Du Lau d'Allemans.Le conseil général de Seine-Maritime, lui, a fait le choix d'une solution de détection des attaques. ' Nous avons voulu appliquer une logique IPS pour la protection de l'infrastructure, ce qui nous permet d'anticiper les attaques ', explique Benoît Dehais. Le conseil général a choisi pour cela la solution ETSS de l'éditeur CheckPhone, qu'il a installée à la frontière avec le réseau de son opérateur téléphonique.Enfin, les postes téléphoniques doivent être limités au seul VLAN de la VoIP et authentifiés, même faiblement. ' Tous les postes sont déclarés à l'avance grâce à notre console d'administration et identifiés par leur adresse MAC. Ils sont également limités par défaut à des appels internes ', précise Benoît Dehais.

Les écueils : la supervision des composants

Au-delà des écueils traditionnels que doit surmonter tout projet de voix sur IP, la sécurisation et le contrôle de la qualité d'une telle architecture présentent des difficultés nouvelles : la traque aux téléphones sauvages.' Nous avons migré sans difficulté 90 % de notre parc téléphonique, mais un certain nombre de postes restaient introuvables, car ils étaient connectés par une filerie parallèle ! Cela nous a contraints à conserver l'ancien autocom plus longtemps que prévu afin de faire migrer ces postes au fur et à mesure de leur découverte ', se souvient François Du Lau d'Allemans.La gestion des alertes, enfin, pose le plus gros problème, car les outils et les journaux ne sont pas centralisés entre VoIP et réseau de données. ' Nous avons pour l'instant plusieurs journaux suivis par plusieurs personnes [journaux du PBX, de l'outil IPS CheckPhone et du réseau de données, NDLR]. Ils corrèlent les événements d'une manière artisanale. Nous espérons pouvoir intégrer cela dans les mois à venir, notamment à l'aide d'outils tel e-Security... si c'est intégrable. '