Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

10 DOSSIER HAKIN9 4/2009 Cet artiCle explique... Les moyens mis en œuvre par l'

10 DOSSIER HAKIN9 4/2009 Cet artiCle explique... Les moyens mis en œuvre par l'éditeur Alcatel-lucent pour sécuriser sa solution de communication sur IP. Ce qu'il faut savoir... Des connaissances de base sur les problématiques suivantes aideront à une bonne compréhension du contenu: téléphonie sur IP, technologies réseau de niveau 2 et 3 et le système S i cette approche permet de faire vivre le sujet et de mettre en évidence les faiblesses des standards, elle ne permet pas de prendre connaissance des éléments mis en œuvre dans les environnements professionnels. Il me paraît important aujourd'hui d'avoir une vision claire de ces éléments pour deux raisons : • Il s'agit de systèmes que vous pouvez utiliser tous les jours si votre entreprise a réalisée la bascule vers la ToIP, • Bien que souvent propriétaire, les mesures prises par les constructeurs apportent une sécurité intéressante et peuvent parfois faire évoluer les standards. • Je me propose donc aujourd'hui de vous décrire les possibilités présentes dans la solution de ToIP du constructeur Alcatel Lucent. Cette solution est très fortement implantée Europe et continuer à se diffuser, il est donc probable que vous soyez amenés à la croiser un jour. présentation de la solution de toip On commence par la présentation du serveur de communication. Le serveur OXE, basé sur une architecture client-serveur, s'adresse aux moyennes et grandes entreprises dotées de configurations IP ou mixtes (IP/TDM). CéDrIC BAILLet Le choix d'une solution traditionnelle, mixte ou exclusivement IP dépend des objectifs, de l'organisation, des projets convergents voix/ données ou encore du retour sur investissement attendu. Cette offre comprend notamment: des terminaux numériques et des fonctions pour opérateur, une application de messagerie vocale intégrée, de la téléphonie de groupe, des fonctions patron/secrétaire, de la téléphonie PC, etc., le tout conçu pour améliorer la productivité générale des entreprises. Les solutions de communication d'entreprise du serveur OXE sont assimilées à des blocs constituant un modèle de communications ouvert comme on peut le découvrir en Figure 1. Voici la liste des principaux éléments: • Le serveur OXE, qui comprend une plate- forme de traitement et un logiciel de serveur de communication • Un ensemble de passerelles multimédias • Un ensemble de clients IP: postes téléphoniques, équipements, logiciels de bureau, fixes et mobiles • Un ensemble de clients numériques: terminaux, appareils, logiciels de bureau, fixes ou/et mobiles Tous ces éléments peuvent fonctionner indépendamment du réseau de données sous- jacent. Degré de difficulté sécurisation d'une solution de téléphonie La sécurité des solutions de téléphonie sur IP est souvent abordée au travers des solutions libres, notamment Asterisk et ses dérivés, ou encore en évoquant les scripts permettant de jouer avec les protocoles de signalisation ou média. 11 Téléphonie sur ip HAKIN9 4/2009 Le serveur OXE peut s'exécuter sur différentes plates-formes matérielles : • IP Rack Server (IP RS) : serveur de communication : • Installé au sein d'un châssis de module dédié Alcatel-Lucent rack 1 et connecté au réseau de données ou à des passerelles multimédias via une liaison Ethernet. Idéal pour les configurations IP comptant un maximum de 1000 utilisateurs. • Hébergé sur une plate-forme de Media Gateway à module Alcatel- Lucent rack 3cavec d'autres cartes de ressource et d'interface pour les configurations de type tout en un. Idéal pour les configurations comptant un maximum de 350 utilisateurs (IP et TDM). • IP Crystal Server (IP CS): cartes CPU7-2 installées dans une alvéole Crystal. Idéal pour les configurations traditionnelles avec un nombre d'utilisateurs allant généralement de 250 à 5000. • IP Appliance Server (IP AS): fonctionne sur une plate-forme matérielle standard et est connecté au système via une liaison Ethernet. Ce serveur est utilisé pour les installations IP évoluées, et configuré et livré par Alcatel-Lucent. C'est la solution idéale pour les configurations les plus importantes. L'ensemble de cet article fera désormais référence à la plateforme matériel IP Appliance Server. la média gateway Les IP Media Gateways gèrent les accès et les interfaces d'une solution client. Elles sont contrôlées par le serveur OXE via une connexion IP. La media gateway fournit les éléments suivants : • Connexion à un réseau externe (public ou privé) : RNIS T0, RNIS E1-CCS (T2), E1-CAS, T1 CCS (PRI), T1 CAS, réseaux analogiques DDI / DID ou NDDI / Non-DID. • Connexion à des téléphones numériques TDM, postes d'opérateurs (interfaces UA) • Connexion à des équipements analogiques: télécopieurs, etc. (interfaces z-analogiques) • Connexion de stations de base DECT • Connectivité IP • Canaux de compression vocale : G.711, G.723, G.729A • Connexion des ressources DSP pour services multimédias : guides vocaux, conférence, etc. Une media gateway est connectée au serveur de communication par le biais d'une liaison Ethernet. Le serveur Oxe peut être mis en œuvre de trois façon différente exposé dans la Figure 3. Les limites de la solution : • le nombre d'utilisateurs par OXE est de 15 000 avec un maximum de 15 000 postes IP, Figure 1. Un modèle de communication ouvert Tableau 1. Comptes implémentés dans l'OXE Compte Fonction Connexion FTp Root Compte administrateur Oui Non Swinst Installation du logiciel Oui Oui Mtcl Maintenance client hors site Oui Oui Client Maintenance réservée à l'utilisateur Oui Bin Propriétaire de plusieurs binaires Non Non Daemon Propriétaire de /var/spool/at Non Non Ftp Accès ftp anonyme Non Oui Httpd Propriétaire Http Non Non Nobody Propriétaire de TFTP daemon Non Non PPP Configuration de liaison IP sur V24 Non Oui Adfexc Téléchargement des enregistrements des données des appels de 4670 Non Oui 12 DOSSIER HAKIN9 4/2009 • le nombre de Media Gateways est de 240 par serveur de communication, • le nombre de serveurs de communication passifs est de 240 par serveur de communication, • le nombre d'utilisateurs et de surveillance CSTA est de 20 000 par serveur de communication, • le nombre d'entités est de 4 000 par nœud ou sous-réseau ABC, • le nombre de lignes réseau est de 5 000 par serveur de communication, • le nombre de faisceaux est de 500 par serveur de communication, • le nombre de lignes réseau T0 est de 1 000 par serveur de communication, • le nombre d'intervalles de traducteurs SDA est de 2 000, • le nombre de tables de commande de numérotation est de 1 000, • le nombre de mini-messages est de 32 000, • le nombre de descripteurs de plan de numérotation est de 100, • le nombre d'apparences multilignes est de 2 000. la redondance spatiale Le serveur OXE offre un mécanisme de redondance pour les applications critiques qui exigent une fiabilité importante. La fonction de redondance du serveur permet de passer d'un serveur de à son serveur miroir via une liaison IP. Dans ce type de configuration, deux serveurs coexistent dans le même système. L'un est actif, c'est le serveur principal. L'autre est constamment de surveillance en mode veille. En cas de défaillance du serveur principal, le second serveur prend automatiquement le relais. Le serveur de de secours (en veille) est Tableau 2. Politique de sécurité pour les mots de passe nombre de tentatives de connexion Défini dans la configuration système Durée de vie minimale 10 jours Durée de vie maximale De 11 à 365 jours Message d'avertissement 5 jours avant (pour chaque connexion) Nombre minimum de caractères Le nouveau mot de passe doit contenir au moins huit caractères. Les lettres majuscules/minuscules, les chiffres et les symboles de ponctuation sont admis. Comparaison entre l'ancien et le nouveau mot de passe Le nouveau mot de passe doit otre différent des trois précédents mots de passe établis pour le compte. Figure 2. Les plateformes possibles pour l'OXE continuellement mis à jour; il peut faire office de serveur principal à tout moment. Avec le mécanisme de redondance du serveur OXE, toutes les données, bases de données, applications et logiciels de communication sont exécutés en parallèle sur les deux serveurs de communication. Le passage de l'un à l'autre est par conséquent fiable. le serveur pCs (passive Communication server) Le serveur de communication passive (PCS) fournit des services de traitement d'appel à une Media Gateway ou un groupe de Media Gateways en cas d'indisponibilité du serveur OXE. Si les liaisons IP avec le site qui héberge les serveurs de communication sont rompues ou si les serveurs de com- munication sont hors service, le traitement des appels se poursuit en local. Utilisations de serveurs PCS : Création d'un troisième serveur de communication de secours pour une meilleure disponibilité du système. En conditions normales : • les serveurs de communication contrôlent les appels au sein du réseau, • les téléphones IP et / ou Media Gateways d'une région sont définis pour les serveurs, • la synchronisation automatique ou manuelle de la région est effectuée sur les PCS de manière globale ou individuelle. En cas de perte de liaison avec le serveur de communication : • les services de téléphonie sont redémarrés localement, • les services centralisés tels que la messagerie vocale ne sont plus disponibles, • toutes les fonctions autonomes définies dans le traitement actif des appels sont maintenues par le serveur PCS, notamment les centres de contacts uploads/Management/ hakin9-4-2009-article-3.pdf