Sécurité desSécurité des Communications...

Sécurité desSécurité des Communications unifiées

Christophe Sarrazini@ [email protected]

© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 1

Sommaire

• Introduction• La sécurité de bout en bout• La sécurité de bout en bout

• protection de l’infrastructure de communications unifiées• Protection du vlan voix• port security• port security• DHCP snooping et DAI• Choix et positionnement des FW• Authentifier les accèsAuthentifier les accès

Confidentialité des échanges• Gestion des certificats • Authentification et Encryptionu e ca o e c yp o• Les passerelles• Firewalls et Encryption• Cisco Unified Phone Proxyy• protection des applications• protections du Call Manager• protections des usages de la téléphonie


• Messagerie, Mobile communicator• Conclusion

Qu’est ce qui pourrait nous inquiéter ?q

• Les écoutes– Avec la téléphonie traditionnelle il fallait un accès au câble et éventuellement un

analyseur– Avec la Voix sur IP : l’accès physique n’est plus nécessaireAvec la Voix sur IP : l accès physique n est plus nécessaire

• Les attaques de type Déni de Service, les vers réseau et les derniers virus à la mode– Attaques ciblés ou aveugles contre les systèmes ou le réseau– Vulnérabilités TCP/IP, attaques de niveau 2 et 3

• Abus, fraude – similaire à un PABX


Self Defending Network

Disable Unused ServicesHost IDS Attack MitigationOut-of-Band Mgmt

Authentication

SIPCallManagers

Host IDS Attack MitigationHost Virus Scanning

App Hardening, e.g. Toll-FraudSSH / SSL / HTTPsStrong Passwords

Authentication, Authorization

and Accounting

AE-Mail V-MailSIP

Proxy ACSCallManagers

Private VLANsPort Security

Stateful FilteringBasic Layer 7 Filtering

ISP

Host DoS MitigationSpoof Mitigation V3PN

Cisco Auto SecureEasy VPN Remote

Spoof Mitigation

ISPTo PSTN

(WAN backup,local calls)

V

ALGs

WAN ACLs

Spoof MitigationVLANsRFC-2827 Inter-VLAN Filtering

VLANs with VACLsDynamic ARP Inspection

) ALGs


gNIDS for focused Layer 4-7 analysis

BlockGARP & 802.1q

Sommaire

• Introduction • La sécurité de bout en bout• La sécurité de bout en bout





Protéger le vlan voix

Cluster

VLAN Access Control Lists (VACLs)

• Les téléphones envoient la signalisation uniquement au serveur et des flux RTP vers les autres postes

• Aucune raison d’envoyer du TCP d l’ICMPTCP ou de l’ICMP aux autres postes

Positionner une VACL pour• Positionner une VACL pour limiter le trafic à UDP vers les autres téléphones permet de stopper les


permet de stopper les attaques ICMP et TCP

Interface Web des téléphonesp

L’interface WebIP dd / kIP address/maskDefault gatewayDHCP serverDHCP serverDNS serverTFTP serverCisco CallManager(s)Directory serverLogon serverLogon serverXML serverSi on désire en savoir plus sur l’infrastrucure voix, une simple S o dés e e sa o p us su as ucu e o , u e s p econnexion sur un téléphone permet d’en apprendre beaucoup.Mais, désactiver le serveur Web désactive les services XML, alors : utiliser des ACLs pour limiter le port 80 aux communications entre


p ple téléphone et le serveur.

Port security - IntroductionCorruption de l’étanchéité des VLANsp

00:0e:00:aa:aa:aa00:0e:00:bb:bb:bb Seulement 2Seulement 2

adresses MAC autorisées sur le port: 3 eme

bloquée132 000 bloquée132,000 Bogus MACs

MENACE:MENACE:Outils de création de trames provenant d’un grand nombre d’adresses MAC différentes.

CONTRE MESURE:Utiliser la fonction ‘port security’

li it ttLe but étant de remplir la table CAM du commutateur afin que celui ci revienne à un mode Hub.

pour limiter ces attaques.Permet de bloquer le port ainsi que d’envoyer un notification (traps SNMP)


Permet d’écouter l’ensemble du trafic réseau.

(traps SNMP)

DHCP Snooping Protection contre les serveurs DHCP Pirates

La fonction DHCP Snooping permet la création de 2 type de ports: ‘TRUSTED’ et ‘UNTRUSTED’TRUSTED et UNTRUSTED

Untrusted Untrusted

Serveur DHCP

Client DHCP

Ne peut pas envoyer un ‘DHCP Offer’

TrustedUntrusted

Serveur Client DHCP DHCPDHCP


Peut envoyer un ‘DHCP Offer’

DHCP snooping Apprentissage dynamiquepp g y q

DHCP Snooping permet la création d’une table de correspondance: Adresse IP address (reçue par DHCP) vers adresse MAC Adresse IP address (reçue par DHCP) vers adresse MAC

DHCP Snooping Database EntryMAC Address IP Address Lease Time Binding Type VLAN Number

DHCP SnoopingBinding Database

Serveur DHCP

Client DHCP

Cette database sera utilisée

DHCP

Client


par d’autres fonctions, ex: Dynamic ARP Inspection (DAI)…

DHCP

Attaque ARP en Action

Attaquant empoisonne q ples tables ARP.

10.1.1.1MAC A

10.1.1.2 est à 10.1.1.2 est à présent MAC XXprésent MAC XX

GARP 10.1.1.1 GARP 10.1.1.1 annoncant annoncant

10.1.1.2/MAC XX10.1.1.2/MAC XXGARP 10.1.1.2 GARP 10.1.1.2

annoncantannoncant10.1.1.1/MAC XX10.1.1.1/MAC XX10.1.1.1/MAC XX10.1.1.1/MAC XX

10.1.1.2MAC B

10.1.1.3MAC XX

10.1.1.1 est à 10.1.1.1 est à présent MAC XXprésent MAC XX


pp

Attaque ARP en Action

Le trafic dans les 2 sens est

q

redirigé vers l’attaquant qui le reroute

10.1.1.2 est à 10.1.1.2 est à présent MAC xxprésent MAC xx10.1.1.1

MAC A

Envoie/ReçoitEnvoie/ReçoitTrafic versTrafic vers

10.1.1.1 MAC xx10.1.1.1 MAC xx

Envoie/ReçoitEnvoie/ReçoitTrafic versTrafic vers

10.1.1.2 MAC xx10.1.1.2 MAC xx10.1.1.1 MAC xx10.1.1.1 MAC xx

10.1.1.2MAC B

10.1.1.3MAC xx

10.1.1.1 est à 10.1.1.1 est à présent MAC xxprésent MAC xx


Ecoute de la conversation téléphonique

Dynamic ARP InspectionPrévention du ARP spoofing

J i Commutateur avec DAI bloque le

message ARP

Je suis 10.1.1.1 Je suis

10.1.1.2

CONTRE MESURE:Le commutateur fait l’apprentissageMENACE Le commutateur fait l apprentissage par ‘DHCP snooping’ des correspondances MAC/IP sur chaque port.

MENACE:Outils permettant de générer des messages ARP pour usurper une identité:

Le commutateur analyse les réponses ARP et GARP et bloque tout paquet anormal.

usurper une identité:Réponses ARPGratuitous ARP (GARP)


Entrées ARP: configuration statique des MAC/IP

Sécurité intégré au téléphonesg p

Firmwares signésFichiers config signésDisable

PC tPC portSettings buttonSpeakerphonep pWeb access

Désactiver l’écoute desG


Messages GARP sur le téléphone

Positionner les Firewalls

Pourquoi un Firewall ?

Inspection Statefull des protocoles qui utilisent

Pourquoi un Firewall ?

Inspection Statefull des protocoles qui utilisent un range de ports éphémères

Sinon obligation d’ouvrir via une ACL statique un range complet de ports UDP

Gestion des protocoles de communication sur IP à travers une fonction NATIP à travers une fonction NAT

LLQ et Rate Limiting sont disponibles sur les gammes PIX® & ASAg

Attention à bien dimensionner les Firewall : pas plus de 60% de CPU, nbr de connexions

d


par secondes.

Caractéristiques des flux VoIP

La VoIP utilise un ensemble de protocoles dynamiquesdynamiques

- SIP, MGCP, H.323, SCCP (Skinny) signaling- SDP H 225 H 245 capabilities exchangeSDP, H.225, H.245 capabilities exchange- RTP / RTCP audio / media

RTP / RTCP utilisent des ports dynamiques– Ports UDP 16384 à 32767


Exemple Call Flow 323

GatekeeperGatekeeper

PSTN PSTN

H.323 VoIP NetworkH.323 VoIP Network

Calling Party Called Party

Setup

Call Proceeding

AlertingH.225 (TCP Port 1720) Connect(TCP Port 1720)

Capabilities Exchange

Open Logical Channel

SignalingSignaling

H.245 (Dynamic TCP Ports)

p g

Open Logical Channel Acknowledge

MediaMedia


RTP / RTCP StreamRTP / RTCP StreamRTP / RTCP StreamRTP / RTCP StreamMedia (UDP) MediaMedia

Format d’un message H.323

value RasMessage = registrationRequest {requestSeqNum 3923protocolIdentifier { 0 0 8 2250 0 2 }discoveryComplete FALSEcallSignalAddress g{}rasAddress {

141.245.43.3:54338Adresse IP : Port transporté dans{

ipAddress {ip '8DF52B03'Hport 54338

la signalisation H.323

port 54338}

} Attention en cas de NAT le FWd it t l t ôlterminalType

{mc FALSEundefinedNode FALSE

doit supporter le protocôledans sa fonction NAT


}gatekeeperIdentifier {"Bxl-GK"}endpointVendor

Cheminement des flux

Cluster de Call ManagerCall Manager


Etablissement d’un appel

Cluster de Call Manager

pp

Call Manager

RTP

Etablissement de l’appel (SIP/SCCP/H323)

Communication (RTP)

SIP SCCP H323 RTP

TCP 5060 TCP 2000 TCP 1720 UDP 16384 -32767


32767

Call Setup à travers un Firewallp

SignalisationFlux RTP

Flux RTP

UDP 17000UDP 17001


Attention aux architectures asymétriquesy q

SignalisationFl RTP

Cluster de

VLAN 1 Flux RTP

UDP 17002UDP 17003Call Manager

UDP 17003

VLAN 10

RTP

UDP 17001UDP 17004

VLAN 2

Pas de signalisation entre


Pas de signalisation entreLes vlans utilisateurs


SignalisationFl RTP

Cluster de

VLAN 1 Flux RTP


Bloquage d t UDP

UDP 17003

VLAN 10

des ports UDP

UDP 17001UDP 17004

VLAN 2

Approche traditionnelle


Approche traditionnelle


SignalisationFl RTP

Cluster de

VLAN 1 Flux RTP


Bloquage d t UDP

UDP 17003

Outside : sécurité 0

VLAN 10

des ports UDPDans un sens

Inside séc rité 100

UDP 17001UDP 17004

Inside : sécurité 100

VLAN 2

Gestion des niveaux


Gestion des niveaux de sécurité dans le Firewall


SignalisationFl RTP

Cluster de

VLAN 1 Flux RTP


Ouverture desP t UDP l

UDP 17002

Outside : sécurité 0

VLAN 10

Ports UDP pour leFlux retour

Inside séc rité 100

UDP 17001UDP 17001

Inside : sécurité 100

VLAN 2


Solution Cisco : utilisation de portssymétriques dans les communications RTP

Positionnement d’un Firewall

Cluster de

VLAN 1

Call ManagerVLAN 3

VLAN 10

VLAN 2

VLAN 4

Firewall entre le réseau Data


Firewall entre le réseau Dataet le réseau voix

Positionnement de plusieurs FWp

Cluster de

VLAN 1

Call ManagerVLAN 2

VLAN 10

VLAN 3

VLAN 4


Plusieurs Firewall entreLes réseaux data et les réseaux voix

Exemple avec un site distantp

SignalisationFl RTP

Cluster de Site central

Flux RTPSite distant

Call ManagerVLAN 1

WANRTP

VLAN 2

WANRTP


Solution Cisco : utilisation de portssymétriques dans les communications RTP

Authentification 802.1x

PC VLAN = 10(PVID)

Phone VLAN = 110(VVID) (PVID)(VVID)

Desktop PCTrunk 802 1QTrunk 802 1Q VLAN natifVLAN natif

Téléphone

Trunk 802.1QCDP

Trunk 802.1QCDP

VLAN natif802.1x

VLAN natif802.1x

802.1x peut être configuré sur le port du commutateur

Le PC est authentifié avant l’accès au VLAN data

Le téléphone IP est authorisé par CDP sur le VLAN voix

Ceci permet la mutualisation des 2 vlans voix/données et l’ th tifi ti 802 1 d l’ tili t PC ê


l’authentification 802.1x de l’utilisateur PC sur un même port physique

802.1x et Téléphonie sur IPProblématique: déconnexion du poste

1 Port authentifié


802.1x et Téléphonie sur IPProblématique: déconnexion du posteq p

2 PC deconnecté

√?X √?3 Port toujours autorisé

Si le PC est deconnecté, le commutateur ,ne détecte pas la disparition

Le port est à présent accessible sans authentification!


802.1x et Téléphonie sur IPSolution

2 PC deconnecté

X XX3 Message EAPOL-Logoff

X

Si le PC est deconnecté, le téléphone IP le détecte Il transmet un message pour terminer la session 802 1x auIl transmet un message pour terminer la session 802.1x au commutateur en se faisant passer pour le PC

SA = adresse MAC du PCDA = 01 80 C2 00 00 03 (802 1x PAE group address)DA = 01-80-C2-00-00-03 (802.1x PAE group address)

Deux fonctions sont implémentées dans les téléphones IP CiscoApprentissage de l’adresse MAC du/des clients 802.1x


Emission du message de logoff

802.1x et Téléphonie sur IPClient 802.1x

√√Authenfication 802.1x

Vérifier le comportement du supplicant 802.1x utiliséPar défaut certains supplicants (ex: Microsoft) ne déclenchent pas l’authentification 802 1x (EAPOL-start)pas l authentification 802.1x (EAPOL-start)Dans ce cas, il faut changer la configuration du supplicant (par la clé de registre “SupplicantMode” chez Microsoft)


802.1x et téléphonieMDA (MultiDomain Authentication)( )

Téléphone

Desktop PCAuthentification 802.1x

Authentification 802.1x

Authentification802.1x

Authentification802.1x

Téléphone

Support d’une authentification « voice domain» et « data domain» sur le même port

802.1x802.1x 802.1x802.1x

même port

La partie « data domain » reste identique

La partie « voice domain »: Switch(config)# interface gigabitethernet3/0/1pPas d’assignement dynamique de VLANSupport de 802.1x ou Mac Authentication BypassUne seule MAC est autorisée

( g) g gSwitch(config-if)# dot1x port-control autoSwitch(config-if)# dot1x host-mode multi-domainSwitch(config-if)# switchport voice vlan 101


Une seule MAC est autoriséeSwitch(config-if)# end

802.1x et MDAVérification – AAA, téléphonep


802.1x et MDAVérification - Switch

Dot1x Authenticator Client ListDot1x Authenticator Client List-------------------------------Domain = DATASupplicant = 000d.6038.dbe3pp

Auth SM State = AUTHENTICATEDAuth BEND SM State = IDLE

Port Status = AUTHORIZEDAuthentication Method = Dot1xAuthentication Method = Dot1xAuthorized By = Authentication ServerVlan Policy = 50

Domain = VOICESupplicant = 0017.593f.533e

Auth SM State = AUTHENTICATEDA th BEND SM State IDLEAuth BEND SM State = IDLE

Port Status = AUTHORIZEDAuthentication Method = Dot1xAuthorized By = Authentication Server


y

Futur :Intéraction Téléphones / ACS / CCM

Cisco ACS

1. Le téléphone envoie un requete CDP / ACS LLDP, elle est ignorée par le switch

2. Le téléphone envoie ses credentials TLS et l’ACS valide le certificat

CS CC3. L’ACS interroge le CCM pour authorisation.

4. L’ACS renvoie l’authorisation avec éventuellement un nouveau VLAN ID802 1X

Binding

E0/1 AA V20

Voice VLAN

éventuellement un nouveau VLAN ID.5. Le switch authentifie le poste et

enregistre l’addresse dans sa table.6. L’ACS et le téléphone negotient les

802.1X

VLANUnAuthAuth

6. L ACS et le téléphone negotient les credentials FAST (PAC)a

• FAST n’est pas transmise au CCM• Si les crédentials FAST expirent on

tili d TLSutilise de nouveau TLS7. Le téléphone relance CDP / LLDP

et envoie une requete DHCPMAC - AA


IP – 20.2

Sommaire






Sécurité des communications : Architecture X509v3

Chaque élément du système possède son

V3Versionsystème possède son propre certificatLes CallManager sont proxy de ces certificats

CN = VeriSign Class 1 CA Individual Subscriber-Persona Not Validated

OU = www.verisign.com/repository/RPA Incorp. By Ref.,LIAB.LTD(c)98Issuer

md5RSASignature Algorithm

5B74 F440 66CC 70CD B972 4C5B 7E20 68D1Serial Number

certificatsLes certificats sont signés avec une clé racine fournie par Cisco (USB etoken)

Thursday, June 22, 2000 8:00:00 PMValid From

OU = VeriSign Trust Network

O = VeriSign, Inc.

Cisco (USB etoken)Ou les certificats peuvent être signé par une autorité de certification tierce

E = [email protected]

CN = Joshua McCloud

OU = Digital ID Class 1 - Microsoft Full Service

OU = Persona Not Validated

Subject

Saturday, June 23, 2001 7:59:59 PMValid To

certification tierce (support des serveurs de certificats Microsoft ou Keon)

OU Persona Not Validated

OU = www.verisign.com/repository/RPA Incorp. by Ref.,LIAB.LTD(c)98

OU = VeriSign Trust Network

O = VeriSign, Inc.

Digital)Aucune clé privée n’est transportée sur le réseau (le couple clé privée / clée

bli t dé i é

7A52 28D0 1A0C FFD6 859A…Thumbprint

3481 8B02 9181 01AC AF8B…Public Key

DigitalID


publique est dérivé dans le téléphone

Chaque élément dispose d’une paire de clés RSA et de certificats X509

Certificats:• Call Manager : self-signed• Téléphones : MIC ou LSC

Manufacturing Installed Certificate “MIC”Installé dans la mémoire permanente des téléphonesSigné par le CA Cisco

L ll Si ifi t C tifi t (LSC)Locally Significant Certificate (LSC)Installé par l’autorité de certification localePrioritaire par rapport au “MIC”Peut-être effacé par un “factory reset”


p y

Trusted CertificatesCertificate Trust List : CTL

Liste des équipements (certificats) qui sontListe des équipements (certificats) qui sont fiables sur le réseau.

Remplace la traditionnelle CRLLi t bl h à l l d’ li t iListe blanche à la place d’une liste noire.Objectif : gagner en performances et évolutivité

certificatsLes téléphones doivent avoir confiance aux CCM, serveurs TFTP, passerelles ….

Créé par le client CTL sur la station pd’administrationSigné par USB crypto Token ou CA de l’Entreprise

CTL

Chargé dans le téléphone au premier boot.Rechargé en cas de mise à jour à chaque boot.


Protection de la signalisation TLS: Transport Layer Security

Supporte une multitude d’applications • Besoin d’une méthode sécurisée

p y y

TLSHTTP SCCP SIP LDAP

Supporte une multitude d applications Besoin d une méthode sécurisée pour échanger un secret partagé• Bi-directional PKI pour

l’authentification mutuelle

IPTCPTLS l authentification mutuelle

• Echange secret partagé RSA

• Computes Hashed Message A th ti ti C d (HMAC)Authentication Code (HMAC)

• Hash MD5 ou SHA1

Crypto conventionnelle en• Bi-directional PKI pour l’Authentification• Crypto conventionnelle en utilisant un secret partagé• DES, 3DES, AES

RC2 RC4

p

• Intégrité HMAC

• Encryption pour Confidentialité• RC2, RC4• IDEA


SRTP: Secure RTP

• RFC 3711 pour le transport sécurisé• Utilise AES-128 pour l’authentification et l’encryption• Performant, faible overhead

timestampPV X CC M PT sequence number

synchronization source (SSRC) identifiercontributing sources (CCRC) identifiers

…RTP extension (optional)

RTP payloadSRTP MKI -- 0 bytes for voice

Partie Authentifiée

Authentication tag -- 4 bytes for voice

P ti E té


Partie AuthentifiéePartie Encryptée

CCM 5.x et l’encryptionyp

IPSec et SRTP vers les passerelles MGCP et

TLS et SRTPPour les Applicationspasserelles MGCP et

H323

TLS sur les trunks SIP

pp• Unity® 4.0(5)+• IPCC 7.0• CTI

SCCP TLS et SRTP Supportés sur7911/7940/7960/7941/7961/7970/7971

TLS sur les trunks SIP CTI

TLSIPSecSRTP

SIP TLS et SRTP Supportés pour7911/7941/7961/7970/7971


SRTPInteropérabilité complète entre Secure SCCP et Secure SIP

Appels sécurisés IPSec et SRTP via une passerelle IP-to-IP

Cisco CallManagerCisco CallManager

p

Cisco CallManagerCisco CallManagerTunnel IPSecTunnel IPSec

Passerelle IP-to-IP

SBC

Appel encrypté SRTP

Signalisation via IPSec / appels via SRTP

F ti l ll IP IPFonctionne avec ou sans la passerelle IP-IP– Echange transparent des clés à travers la passerelle IP-to-IP – Fonctionne dans les modes flow-through et flow-around


RTP/SRTP Mode mixte

Transfert d’un appelCisco CallManager

Secure IP Phone

Secure GatewayEncrypted Media

Call TransferCall Transfer

Non-Secure IP Phone

Musique d’attente:

Secure

MOH

No Encryption

Musique d attente:


Secure Gateway

Unencrypted MediaCapability

Encryption des communications et FWyp

??Flux Rtp

Signalisation Trafic inconnu

Contrainte–Impossible d’inspecter la signalisation et donc d’ouvrir dynamiquement le port RTP

Symétrie des ports pour RTP

inconnu= Drop!

y p p–Pour PIX et ASA lorsqu’un paquet UDP arrive sur l’interface la plus sécurisé le flux retour est autorisé. –Symétrie des ports UDP S/D

code PIX/ASA 8.0


–Fonction TLS proxy

Travaux en cours–STUN, ICE, midcom

ASA TLS Proxy CM

ASA8 0y

CM 5.1(1)

8.0

Secure RTPMedia

DecryptedEncrypted Encrypted

L’ ASA dispose d’un certificat X.509, est dans la CTL, et dispose d’une copie

Signalisation

DecryptedEncrypted Encrypted

L ASA dispose d un certificat X.509, est dans la CTL, et dispose d une copie de la CTL.La signalisation est établie à travers deux sessions TLS (CM-proxy, proxy-téléphone)L’ASA t i i bl d’i t l i li ti ’il dé téL’ASA est ainsi capable d’inspecter la signalisation qu’il a décryptéeLe FW doit être en coupure de la signalisationFonctionne avec SCCP et SIP


Supporte l’authentification et l’encryption

Client CTLAjout d’une entrée pour

ASAASA

Nouvelle option

CTL sur la flash deflash de

ASA


Architecture future : dialogue CCM-FW g

le CCM et le FW s’accordent sur les ports et les adresses IP à utiliser :ports et les adresses IP à utiliser :

La signalisation n’a plus besoin de passer par le FW.Fonctionne avec les flux encryptés ouFonctionne avec les flux encryptés ou pas.

Signalisation


gFlux RTP ou SRTP

Media ResourceControl

Cisco Unified Phone Proxyy

Trusted / Inside / Un secured Un trusted / Outside / SecuredTrusted / Inside / Un-securedSouth

Un-trusted / Outside / SecuredNorth

7941 ou 7961 ou 7970 ou 7971

Home

Internet

Router w NAT

Supervision PC


Management Console : configuration des utilisateursg

Specifies the TFTP

Les utilisateurs sont gérés indépendamment du Callmanager Les utilisateurs sont associés au SID d’un téléphone.Les noms d’utilisateurs doivent être uniques, idem pour les SIDsLes noms d utilisateurs doivent être uniques, idem pour les SIDsSous le nom du CCM le serveur TFTP du cluster est configuréPossibilité d’importer la base des utilisateurs (CSV, XML)


Portail utilisateurs

Les utilisateurs doivent s’authentifier sur le fproxy pour activer leur profile.

L’adresse source du PC est automatiquement utilisée.Considère le téléphone et le PC derrière un

t NAT ( è @ l d )routeur NAT (mème @ pour les deux)This assumes that a NAT router fronts the user and the address of the P.C. & phone are the same.M b ll iddMay be manually overridden.Administrator also has ability to enable/disable a user.Behind NAT, only a single phone can be

t dsupported


Media Flows

North/SecuredSouth/Unsecured

SRTP

SRTPRTP


Redundant Topology Phones CM p gy

Inside /South Outside /North

preference is based on static load balancing

Inside /South Outside /North

PrimaryCM 1CM 1

Cluster

If the phone is registered to its primary PP, the PP registers to the primary

Primaryregisters to the primary

CM.


Sommaire






CallManager 5.0 Appliance Model Security

• Le modèle Appliance interdit tout accès à l’OS et aux applications

I t ll ti d i i é Ci i t• Installation des images signées pas Cisco uniquement

SSH / SFTP / SNMPv3 / Security Passphrase / Password Recovery


Login des évènements de sécurité

Secure Remote Access CallManager 5.xg

Bouton Log Off sur la page webBouton Log Off sur la page web

Déconnexion au bout de 30 minute d’inactivitéd inactivité

HTTPS pour l’accès aux pages webweb

Accès à l’annuaire possible via secure LDAPsecure LDAP

Profiles de sécurité pour les paramètres communs à pousserparamètres communs à pousser dans les postes.

Plusieurs niveaux de Passwords


Plusieurs niveaux de Passwords

Host-Based Intrusion PreventionCisco Security Agenty g

Disponible pour toutes les applications de téléphonieapplications de téléphonie

- En bundle pré-configuré- Administration centralisée en option

Policy-Based, pas de signaturesPolicy Based, pas de signaturesZero UpdatesProtection “Day Zero”

Efficace contre les précédentes attaquesA bloqué Slammer nimda & codeA bloqué Slammer, nimda & code red avec ses rêgles par defaut

Protection des serveurs via CSA :• Host-based Intrusion Protection• Buffer Overflow Protection• Network Worm Protection• Operating System Hardening


• Operating System Hardening• Web Server Protection• Security for other applications

Cisco Security Agenty g

Cisco Security Agent est intégré au Callmanager 5.x

Pas de configuration nécessaire

Start et Stop du centre de contrôl ou de l’interface CLI


Securisation de TFTP

Cisco CallManager

Image firmware signée Introduit dans le CCM 3.3(3)( )

Fichiers config signés

Introduit dans le CCM 4.0

Encr pted config Files

XX

Encrypted config Files

Introduduit dans le CCM 5.0XX


Protection des usages de la téléphonieg p

Protection contre les renvois d’appels et les transferts trunk-to-trunk

Limitations Partitions et Calling Search Spaces g p

Filtrage des numéros accèssibles par les utilisateurs (ex. 00, 0800 ..)

Dial plan filters control access to exploitive phone numbers, such as 00

Utilisation de codes d’authentification pour l’utilisation des numéros bloqués avec mécanisme de tracking et billing


Protection de la messagerieg

Encryption des messagesEncryption des messages vocauxEn cas de forward à l’extérieur d l’ t i d ide l’entreprise du message via outlook, un message indiquant que le contenu est inaccessible est envoyéinaccessible est envoyé.Lotus Notes interdit le Forward des messages à l’extérieurLes messages cryptés sont uniquement accessible via un téléphone Cisco connecté àtéléphone Cisco connecté à unity.


Cisco unifiedMobile Communicator

ENTERPRISEDMZ

rew

all

rew

all

CUMC EnterpriseServer

OLWP/SSLMobile

Net ork E h

WebDAV

U i

Out

er F

i

Inne

r Fir

JTAPI(Call Logs only)

OLWP/SSL

CUMCProxy Server

Network Exchange

LDAP

Unity

AD

Data channelGPRS or faster

LDAP

Cisco UnifiedCallManager

CUMC Clients


La Sécurité est une question d’évaluation entre le risque et coutq

Cost—Complexity—Manpower—Overhead

BronzeD f lt E N B i

SilverM d t R bl

GoldN H d N t I t t dDefault, Easy, No-Brainer Moderate, Reasonable New, Hard, Not Integrated

Basic Layer 3 ACLs Simple Firewalls Complex Firewalls

Standard OS Hardening Rate Limiting NAC / 802.1Xg g

Unmanaged CSA Catalyst® Integrated Security Network Anomaly Detection

Antivirus VPN—SOHO/Mobile Security Info Management

HTTPS Optional OS Hardening

SLDAP Managed CSA/VMS

Signed Firmware and Configs Directory Integration

Phone Security Settings TLS / SRTP to Phones

IPS / SRTP G


IPSec / SRTP to Gateways

Retrouvez chaque mois l’actualité Cisco sur CiscoMag, la newsletter de Cisco FranceAbonnement : www.cisco.fr/go/ciscomag

Séminaire solutions :Séminaire solutions :Le réseau de CampusJeudi 24 mai 2007 en matinée à l’Institut Océanographique Parisl Institut Océanographique - Paris


Sécurité desSécurité des Communications...

Documents

Transcript of Sécurité desSécurité des Communications...