Manuel de l'utilisateur - support.aastra.frsupport.aastra.fr/extra/Sales/_partnership/technology/5_SEC...ETSS EXPERT IP : Auditer les interfaces IP du réseau (page 46), ... ETSS EXPERT

Checkphone – ETSSManuel de l'utilisateur

PRESENTATION GENERALE : A lire avant la première utilisation (page 2),

INTERFACE : Présentation de l'interface graphique utilisateur (page 3),

ETSS SECURITY : Gestion du pare-feu et des profils associés (page 10),

ETSS EXPERT PBX : Créer, auditer, comparer une configuration PBX (page 36),

ETSS EXPERT IP : Auditer les interfaces IP du réseau (page 46),

PROBES : Etat et paramètrage des sondes (page 51),

USERS ADMIN.: Configurer les droits des administrateurs (page 57).

CHECKPHONE Manuel de l'utilisateur ETSS page 1 / 57Version du 10/11/2006

PRESENTATION GENERALE

Introduction

ETSS est une plate-forme logicielle destinée à sécuriser les équipements réseaux ettéléphoniques des entreprises.Cette plate forme intégre plusieurs outils présentés ci-après.

ETSS SECURITY – Cet outil analyse les communications et applique en temps réel des règlesde sécurité définies par l'entreprise afin de signaler, tracer ou couper les communicationsjugées indésirables.

ETSS EXPERT PBX – Ce module permet d'importer la configuration d'un PBX pour permettreensuite :

• L'affichage des données de configuration sous la forme d'une arborescence graphique,

• La comparaison de deux configurations pour visualiser les changements survenus,

• L'analyse des configurations pour identifier les failles de sécurité et obtenir des actionscorrectrices adaptées.

ETSS EXPERT IP – Ce module permet de scruter les paramètres réseaux des équipementspour identifier les failles et proposer des actions correctrices.

ETSS consigne dans une base de données l'ensemble des communications survenues sur lesystème. Ponctuellement, les logs peuvent être exportées dans un fichier au format ASCII pourexploitation à des fins statistiques. Depuis l'interface graphique, il est possible de visualiser leslogs à l'aide de sélections multi-critères.

ETSS consigne également les évenements systèmes ainsi que les actions des exploitants dansun journal de bord. Ce dernier mémorise :

• la vie des équipements de l'architecture ETSS (arrêt, relance, mise à jour),

• les changements de configuration effectués par les administrateurs,

• les tâches soumises (import, diff, rapport, ...).


L'INTERFACE UTILISATEUR

L'écran principal

ETSS est une solution intégrée composée d'une fenêtre unique organisée en deux parties :

• Les commandes et les fonctions sont représentées dans la partie gauche (fond bleu)sous forme d'une arborescence,

• Les données liées à la commande active sont représentées dans la partie droite. Lapremière ligne contient l'adresse de la rubrique affichée (« Domaine Checkphone » dansl'exemple ci-dessous).

• Il est possible de modifier l'espace alloué à chaque partie en déplaçant la ligne verticaleau moyen la souris.

• Dans la partie gauche, certains titres sont précédés d'un bouton « + ». Cela indiquequ'une arborescence est disponible à partir de ce titre et peut être affichée. Aprés avoircliqué sur le bouton, le « + » se transforme en « - » pour permettre de fermer et masquerl'aborescence.


• Dans l'exemple ci-dessous, le « - » précédant le titre « PARIS »indique quel'arborescence est affichée. Par contre, en dessous, le signe « + » devant Security lasous-arborescence n'est pas affichée.

Les menus

Menus Choix disponibles descriptions

Screen

Import security signature Importer une signature de sécurité

Import settings Importer les données de configuration

Export settings Exporter les données de configuration

Exit Quitter le logiciel ETSS

Edit

Edit Modifier l'élément sélectionner

Valid Enregistrer les changements apportés

New Nouvelle entrée de données

Delete Suppression de la sélection

Display

Definition of rules Accéder à la création de règle du pare-feu

Log filter Afficher la barre d'outils de filtrage des logs

Expert job Management Ouvrir le Jobs Manager

Help

User Manual Ouvrir le présent document

visitwww.checkphone.net

Se connecter au site internet de Checkphone

About Information sur le produit installé

Les listes

Pour gérer les données de configuration, ETSS propose souvent des listes. Chaque listepossède un label unique et apparaît dans une fenêtre indépendante. Par exemple, voici la listedes groupes de correspondants internes :


La première ligne de la fenêtre permet de rechercher un item. Il suffit de saisir les premierscaractères puis de cliquer sur le bouton « Search ».

Un item sélectionné par un clic gauche sur son nom apparaitra sur fond violet foncé et afficherale détail des données dans la partie droite de la fenêtre principale. Il est possible desélectionner plusieurs valeurs qui apparaitront alors en violet clair.

Les fenêtres d'outils

Pour tous les écrans interactifs dans lesquels l'utilisateur interagit avec des données, lesactions de base telle que la validation, l'insertion sont effectués par le biais de boutonsregroupés dans des fenêtres d'outils. Ces fenêtres apparaissent au premier plan et peuventêtre librement déplacée. Le fait de poser la souris sur un bouton permet d'afficher une aidecontextuelle sur l'action associée.

La liste des boutons disponibles est adaptée au contexte en-cours ; il existe deux fenêtresdifférentes. Pour la fenêtre d'outils représentée ci-dessus, les commandes sont les suivantes(de gauche à droite et de haut en bas) :

• Valider = entraîne la mise à jour de la base de données et active les changementseffectués.


• Annuler = permet d'annuler la dernière modification faîte à l'écran.

• Ajouter = permet de créer un nouvel élement dans une liste.

• Editer = permet de rafraîchir l'affichage des élément modifiés.

• Supprimer = permet d'annuler une action (exemple un import) ou de supprimer l'élémentsélectionné dans la liste.

Pour la fenêtre d'outils représentée ci-dessus, on trouve trois boutons supplémentaires qui sontspécifiques à la gestion des groupes :

• Ajouter un groupe = pour créer un nouveau groupe,

• Editer un groupe = pour renommer une entrée,

• Supprimer un groupe = pour retirer un groupe de la liste.

Les ajouts, suppressions et éditions de groupes ne sont définitives qu'après lavalidation (premier bouton de la barre d'outils).


Arborescence du logiciel

Le premier niveau de l'arborescence est appelé le domaine. Il est représenté par unpictogramme contenant deux maisons.

Les niveaux suivants sont les sous-domaines. Ils sont représentés par un pictogrammecontenant une seule maison.

Voici une image du domaine et de sous-domaine :

Le domaine est le niveau racine du logiciel. Il représente l'accueil à partir duquel vousvisualisez un écran synthétique sous forme de tableau de bord. Le domaine peut contenirplusieurs sous-domaines.

Le sous-domaine représente une entité indépendante pour laquelle la politique de sécurité esthomogène. Toutes les fonctions du logiciel ETSS sont accessibles pour chaque sous-domainemais les règles, les fonctions de sécurité et les PBX sont dédiées et ne sont pas partagés entreles sous-domaines.

Voici trois exemples correspondants à trois situations types :

• Une Compagnie est géographiquement implantée sur deux sites distincts. Dans lamesure où la politique de sécurité est la même pour les deux sites, il sera créé un seulsous-domaine.

• Une compagnie souhaite appliquer différentes politiques de sécurité à ses équipements.Il sera créé deux sous-domaines.

• Deux compagnies partagent le même PBX mais ne souhaite pas homogénéiser leurspolitiques de sécurité. Il sera créé deux sous-domaines.

En dessous des sous-domaines, se trouvent les outils « Probes », « System events » et« Users Admins. ». Ce dernier est transverse aux sous-domaines.

Pour accéder aux outils « Security » et « Expert » de chaque sous-domaine, il faut déplier unsous-domaine en cliquant sur le bouton « + » situé devant son nom.


Les écrans de synthèse

Un clic sur le domaine ETSS ou sur un sous-domaine en particulier, affiche dans la partie droitede l'écran un tableau de bord synthétique de l'activité du logiciel. Cet écran permet de visualiser:

• l'évolution des communications sur les dernières 24 heures,

• La répartition des appels par type (voix, fax, ...) sur les 7 derniers jours,

• Le nombre d'administrateurs actuellement connectés au domaine (base de donnéesETSS),

• Le détail des 5 dernières communications passées, et pour chacunes d'elles, la règleappliquée ainsi que l'action réalisée.

• La répartition des failles relevées par le dernier audit de l'expert PBX,

• Le nombre de probes déconnectées (TDM et TOIP),

• Le détail des 5 cinq derniers évenements du système ETSS (arrêt ou relance de ETSS,vie des probes, actions réalisés par les administrateurs, ...).

Lancement du logiciel

Le lancement de ETSS est possible à partir du raccourci présent sur le bureau ou encoredepuis le menu « Démarrer/Tous les programmes/ETSS.

Le premier écran qui apparaît est l'écran d'authentification. Il est nécessaire de saisir unidentifiant et un mot de passe. Par défaut à l'installation, il faut saisir respectivement « admin »et « checkphone ».

Cet écran précise le DOMAIN et l'adresse IP du serveur hébergeant la base de données ETSS.


Déconnexion automatique

Par sécurité, aprés 30 minutes d'inactivité, le logiciel ETSS sera automatiquement vérouillé. Lemessage « unauthorized access time out. please log again » apparaît. Vous devrez alorscliquer sur un élément de l'arborescence puis entrer de nouveau votre identifiant et mot depasse pour reprendre le travail dans ETSS.

Fermeture du logiciel

Au choix, utiliser le bouton croix situé en haut à droite de la fenêtre ETSS ou bien choisir lacommande « exit » du menu « screen ».


ETSS SECURITY

Définitions

Un pare-feu est une solution de sécurité informatique. Son rôle est de scruter, en temps réel,toutes les données qui entrent dans le réseau ou en sortent. Un pare-feu agit dans les deuxsens. Lorsque le pare-feu détecte une donnée qui ne satisfait pas à une règle prédéfinie, ilpourra interdire l'échange survenant sur le lien sondé. Les règles sont des filtres qui sontlibrement créées par l'utilisateur. Chaque règle de filtrage détermine un contexte précis decommunication (appel entrant ou sortant, appel reçu de tel interlocuteur, appel émis vers telinterlocuteur, etc ...) ainsi qu'un comportement, c'est à dire une action qui sera effectuée par lepare-feu (autoriser ou couper la communication, envoyer un mail à l'administrateur, etc).

Dans la pratique, lorsqu'une nouvelle communication se présente, la sonde transmet lesinformations au pare-feu qui consulte alors ses règles programmées en commençant par lapremière. Si la règle est vrai, c'est à dire si les caractéristiques de la nouvelle communicationcorrespondent aux caractéristiques définies dans la règle, alors le pare-feu effectue l'actionassociée à cette règle (autoriser, interdire, prévenir l'administrateur, etc ...). Si la règle n'est pasvérifiée, le pare-feu consulte la règle suivante et ainsi de suite. Si aucune des règlesprogrammées n'est vérifiée, il est obligatoire de définir une règle par défaut qui préciseral'action à réaliser pour la communication (autoriser, interdire, ...).

Conseils

La politique de sécurité de l'entreprise peut s'appuyer sur l'un des deux principes suivants :autoriser tout ce qui n'est pas explicitement interdit ou, au contraire, interdire tout ce qui n'estpas explicitement autorisé. Le choix dépendra de facteurs multiples (sensibilité des sites,nombre d'abonnés, etc...).

Les règles peuvent être plus ou moins fines et il faut vérifier la cohérence de l'ensemble desrègles. Par exemple, si vous définissez la règle N°1 de façon trop stricte vous interdirez oulaisserez passer la plupart des appels ... alors que les règles suivantes, s'adressant aux mêmesappels, comporteront des règles plus souples. Pour ce faire, il est possible de déplacer lesrègles afin de les positionner à l'endroit souhaité.

Pour un bon comportement de la solution ETSS, c'est à dire pour obtenir une sécurité optimale,il est indispensable de vérifier la traduction et le renseignement des numéros appelants etappelés pour les appels entrants et sortants. En effet, dans certains cas, l'ISDN (la signalisationdes appels sur les liens RNIS) ne fournit pas le numéro de l'opérateur ou ne fournit que lenuméro SDA.


Enfin, il faut privilégier, dans le PBX, la prise en compte des numéros SDA des postes plutôtque le numéro de l'entreprise dans le cas des appels sortants. En effet, la plupart des règlesnécessitent de connaître le numéro appelant pour pouvoir s'appliquer.

Fonctionnement

Pour accéder au paramètrage du module Security d'un sous-domaine, il faut déplier le sous-domaine concerné en cliquant sur le bouton « + » puis cliquer sur le choix « security policy ».

Exemple de vue d'ensemble pour le sous-domaine « Paris » :

La partie haute contient les règles déclarées :


La partie basse précise l'action par défaut qui sera appliquée aux communications sortantes etentrantes si aucune des règles précédentes n'a été appliquée :

La règle sélectionnée apparaît en couleur violette et ses paramètres sont affichés dans lafenêtre au premier plan :

Les paramètres des règles

Nom duchamp

description

Enable Boîte à cocher indiquant si la règle est active ou non. Les règles inactivées apparaissent surfond gris.Attention : seules les règles actives sont utilisées par le sys tème.

N° rule Numéro de la règle. Les règles sont traitées dans l'ordre croissant de leur numéro.

Description Nom de la règle. Champ libre et unique destiné à décrire la règle (100 caractères maximum).

Int Corresp. Liste déroulante contenant les correspondants internes existantsLa valeur « ALL » permet de les choisir tous.Se reporter à la gestion des correspondants.

Way Indique le sens de la communication à traiter (in, out).

Ext Corresp. Liste déroulante contenant les correspondants internes et externes existantsLa valeur « ALL » permet de les choisir tous.Se reporter à la gestion des correspondants.


Nom duchamp

description

Type Les neuf icônes représentent successivement les communications de type :

Pour TDM = VOIX, FAX, MODEMPour TOIP = VOIX, APPLICATION, DATA, VIDEO, CONTROL, IMAGE.

Il est possible de sélectionner plusieurs icônes.

Si aucune sélection n'est faite, le critère « type » n'est pas pris en compte par la règle.

Pour TDM, le type est détecté par ETSS aprés le début de la communication. Donc si un typeest défini, la règle ne sera appliquée que aprés 8 à 10 secondes de communication.

Schedule Liste déroulante contenant les différents découpages horaires existants (exemple : heuresouvrables, week-end, nuit, ...).

Se reporter à la gestion des Schedules.

Duration Durée de la communication définie en secondes.La règle est applicable dés que la durée définie est dépassée.

La valeur 0 est non significativeIl suffit de cliquer sur la valeur pour la modifier.

Action Liste déroulante contenant les différentes actions possibles.Se reporter à la gestion des actions.

Rappel : l'action ne sera réalisée que si tous les élements sont réunis.

Send Mail Permet d'avertir par e-mail si la règle est appliquée.

Pour vous familiariser, vous pouvez consulter quelques exemples de règles ci-après.

Créer une nouvelle règle

• Saisir les différents champs de la règle,

• Cliquer sur le bouton « Ajouter » de la barre d'outils,

• Cliquer sur le bouton « Editer » de la barre d'outils pour mettre à jour la liste des règle(affichage),

• Cliquer sur le bouton « Valider » de la barre d'outils pour enregistrer et prendre encompte la règle.

La validation entraîne une prise en compte immédiat e par le superviseur de ETSS quimettra à jour les régles modifiées sur l'ensemble d es sondes concernées.


Activer / désactiver une règle

Pour modifier l'activité d'une règle :

• Cliquer la ligne de la règle à modifier,

• Cocher ou décocher la case « Enable » dans la fenêtre volante « Definition of rules »,

• Cliquer sur le bouton « Editer » de la barre d'outils pour mettre à jour la liste des règles(affichage),


Seules les règles actives seront opérationnelles. Une règle peut être momentanémentdésactivée et conservée pour un besoin ultérieur sans avoir à la reconstruire.

Déplacer une règle

• Cliquer la ligne de la règle à déplacer pour la sélectionner,

• Choisir sa nouvelle position à l'aide de la zone « N° Rule » dans la fenêtre volante« Definition of rules »,


• Cliquer sur le bouton « Valider » de la bare d'outils pour enregistrer et prendre encompte la règle.

Si vous déplacez une règle, son numéro sera modifié aprés un clic sur les boutons« Editer » et « Valider ».

Modifier une règle

• Cliquer sur la ligne de la règle à modifier pour la sélectionner,

• Modifier les paramètres désirés dans la fenêtre volante « Definition of rules »,




Supprimer une règle

• Cliquer sur la ligne de la règle correspondante pour la sélectionner,

• Cliquer sur le bouton « supprimer » de la barre d'outils,

• Confirmer la suppression,

• Cliquer sur le bouton « Valider » de la barre d'outils pour prendre en compte le jeu derègles tel qu'affiché à l'écran.

Les numéros des règles situées aprés celle(s) suppr imée(s) seront modifiées.

Exemples de règles

Pour vous familiariser, voici quatre exemples de règles.

Règle 1 = Interdire les appels entrants dont la durée de communication est supérieure à uneheure :

Règle 2 = Interdire l'utilisation des fax entrants la nuit :


Le paramètrage du SCHEDULE est le suivant :

Règle 3 = Analyser le spam des fax. Le paramètrage de l'action associée est le suivant :

L'action « ANALYSE » permet de marquer les communications concernées. Dans un deuxièmetemps, l'outils SUSPICIOUS PARTY (expliqué plus loin dans le manuel) permettra derechercher les appels de type spams (nombre d'appels sur une période déterminée parexemple) pour les placer en liste noir si nécessaire.


Règle 4 = Interdire 2 appels simultanés pour un même poste.

L'action associée est la suivante :


SECURITY SETTINGS

Pour accéder au paramètrage d'un sous-domaine, il faut déplier le sous-domaine concerné encliquant sur le bouton « + » puis cliquer sur le choix « settings ». Les différents paramètresdisponibles sont détaillés ci-dessous.

Voici une vue de l'arborescence « Settings » :

Correspondants internes

Il s'agit des correspondants internes à l'entreprise qui seront amenés à émettre ou recevoir desappels et pour lequels des règles seront ensuite construites. Les listes vont permettre aulogiciel d'identifier un ou plusieurs correspondants. Un correspondant peut être un poste uniqueou un ensemble de postes définissable par des plages de numéros contigus ou non.

Exemple de liste et de règle de sécurité associée : on définit la liste « fax » dans laquelle onsaisit tous les fax de l'entreprise puis on créé une règle qui interdira les appels de nuit des faxvers l'international.


Voici un exemple de liste de groupe de correspondants internes et de la fenêtre d'outilsassociée :

Il suffit de cliquer sur un groupe pour afficher ses paramètres. Il est possible de sélectionner etd'afficher plusieurs groupes. L'image écran ci-dessous et un exemple d'affichage desparamètres des 3 premiers groupes :


Depuis la fenêtre contenant la liste des groupes, il suffit de cliquer sur un groupe déjà affiché(en violet clair) pour masquer ses paramètres. Le groupe actif apparaît toujours en violet foncé.

La zone « Find » permet de retrouver rapidement une liste à partir du début de son nom.

Le paramètre « Antifuzz profile » situé en haut à droite est expliqué plus loin.

Paramètres d'un correspondant interne

paramètre Détail

Label Désignation libre du correspondant (100 caractères maximum).

Type Liste offrant le choix du type de correspondant parmi :

- TDM pour un téléphone classique

- VOIP pour un téléphone IP

- IP pour une adresse IP

Prefix Il s'agit de décrire le préfixe du numéro dans le cas où il serait masqué par lasignalisation RNIS.

Voici un exemple de tête de ligne à définir dans le champ « prefix » : *14138

« * » placé en début remplace 1 ou plusieurs caractères (préfixe de l'opérateur).

From Permet de saisir un numéro de poste unique ou le premier numéro d'une tranche denumérotation pour désigner plusieurs postes (dans ce dernier cas, renseigner aussi leparamètre « To »).

En ISDN (signalisation RNIS), les numéros des appels entrants ne comportent que le N°SDA du numéro demandé. Par contre les appels sortants sont entiers.Si un préfixe a étésaisi (tête de ligne), ce champ « from » doit contenir le numéro SDA du correspondantinterne.

En mode SIP, l'identification d'un correspondant pourra être une adresse IP ou une URI.

To Ce paramètre est vide si le correspondant est unique.

Contient le dernier numéro d'une tranche de correspondants dans le cas d'une plage deplusieurs correspondants.

Antifuzz profile Pour le type VOIP seulement.Se reporter plus loin à la section Antifuzz profiler.

Le joker « * » remplace 0, 1 ou plusieurs caractères (les 4 derniers chiffres par exemple).

Le joker «? » permet d'ignorer un seul caractère dans le numéro (le préfixe de l'opérateur parexemple).


Exemples de saisies :

Pour une prise en compte correcte par le système ETSS du numéro 0141388225 :

• on indiquera « *14138 » dans le champ « prefix »,

• on indiquera « 8225 » dans le « from »,

• le champ « to » reste vide puisqu'on saisie un numéro unique.

*2???????? = tous les appels vers le 02

00* = tous les appels vers l'international.

Ajouter un groupe

• Cliquer sur l'outils « add group » de la fenêtre d'outils,

• saisir un libellé pour le nouveau groupe,

• Cliquer sur le bouton « OK ».

Ajouter un correspondant à un groupe

• Cliquer sur le groupe concerné dans la liste,

• Cliquer sur le bouton « ajout » de la barre d'outils. Une ligne vide apparaît dans legroupe sélectionné,

• Saisir le nouveau correspondant,

• Cliquer sur l'outils « valider » de la fenêtre d'outils.

Supprimer un correspondant


• Pour le ou les correspondants à supprimer, cocher la première case située à gauche,

• Cliquer sur l'outils « Remove » de la fenêtre d'outils,

• Cliquer sur l'outils « Valider » de la fenêtre d'outils,


Renommer un groupe


• Cliquer sur l'outils « éditer groupe » de la barre d'outils,

• Renommer le groupe,

• Cliquer sur l'outils « Valider » de la fenêtre d'outils.

Supprimer un groupe


• Cliquer sur l'outils « Remove » de la fenêtre d'outils,


Les ajouts, suppressions et éditions de groupes ne sont définitives qu'après lavalidation (premier bouton de la barre d'outils).

Correspondants externes

Les correspondants externes à l'entreprise sont gérés sur le même principe que lescorrepondants internes. On peut définir des listes contenants des entités simples ou multiples àpartir de plages d'adresses ou des jokers ? et *.

Voici un exemple d'image écran du groupe « N° d'urg ence » :


Pour les paramètres disponibles et les actions associées aux correspondants externes, sereporter aux explications fournies précédemment pour les correspondants internes.

Automatics

Ces listes de correspondants externes à l'entreprise sont fournies par le logiciel. Ces listes nesont pas modifiables. Elles contiennent le groupe « ISP » (N° de téléphone permettant de seconnecter à Internet par un modem), le groupe « Special numbers » (minitel,renseignements...), les IAC des différentes régions du monde.

Holidays

Cet écran permet de définir la liste des jours ou des périodes fériés de l'année. Les schedulespourront prendre en compte ou pas ces jours. A noter que l'année n'est pas prise en compte.Voir la partie schedule ci-dessous.


Pour ajouter un jour férié à la liste :

• cliquer sur le bouton « + » de la fenêtre d'outils,

• Saisir et valider son nom ; il apparaît dans la liste,

• Choisir le jour dans la liste,

• Saisir le jour en s'aidant du calendrier si désiré (le champ « Ending date » permet dedéfinir une période supérieure à un jour),


Pour supprimer un jour férié de la liste :

• Choisir le jour dans la liste,

• Cliquer sur la boîte à cocher située à gauche du jour ; plusieurs jours peuvent êtrecochés pour être supprimés simultanément,

• Cliquer sur le bouton « Remove » de la fenêtre d'outils,

• Cliquer sur le bouton « valider » de la fenêtre d'outils,

• Confirmer le message de suppression.


Schedules

A partir de cet écran, vous pouvez définir, quart d'heure par quart d'heure, des plages horairesqui seront appliqués à vos règles.

La capture d'écran ci-dessous présente le paramètrage d'une plage horaire nommée« ouvrable » :

Les plages horaires appliquées apparaissent en violet. Ci-dessous, les plages seront : leslundis entre 9h et 10h et les dimanches entre 7h30 et 12h. Le paramètre « Only on holidays »précise que les plages ne s'appliqueront aux règles que pour les jours déclarés dans la listeholidays.

Pour créer une nouvelle plage horaire :

• cliquer à l'intersection du jour et de l'heure désirés puis sélectionner un créneau de début(l'unité est le ¼ d'heure),

• cliquer à l'intersection du même jour et de l'heure choisie puis sélectionner le créneau defin (l'unité est le ¼ d'heure).

Remarque : le créneau de fin « 59 » permet de créer des créneaux spéciaux. Par exemple23h59m.


L'image ci-desous présente la sélection à « 3h15 » le mercredi comme début de plage horaire :

L'image ci-desous présente la sélection à « 20h00 » le même jour comme fin de plage horaire :

Enfin, la liste « Activation state » située en bas à gauche précise si la plage horaire s'appliqueou non durant les jours fériés, les jours travaillés ou les deux :

Pour ajouter un nouveau modèle de plage horaire :

• Cliquer sur le bouton « + » de la fenêtre d'outils puis nommer le nouveau modèle,

• Cliquer sur le nom du modèle dans la liste pour l'éditer,

• Cliquer sur le bouton « valider » de la fenêtre d'outils.


Pour supprimer un modèle de plage horaire de la lis te :

• Cliquer sur son nom dans la liste,

• Cliquer en haut à gauche de l'horaire sur la case à cocher dont l'icône représente unepoubelle,

• Cliquer sur le bouton « Remove » de la fenêtre d'outils,

• Cliquer sur le bouton « Valider » de la fenêtre d'outils.

Action

En fonction de l'ensemble des éléments définis dans une règle et si ils sont tous réunis, uneaction sera réalisée.

Les actions standards sont : PASS, DROP, ANALYSE, BAN et TAG.

Voici la liste des actions disponibles et des paramètres associés :

Nom del'action

TDM VOIP résultat paramètres

PASS x x Aucune action : la communication estautorisée.

néant

DROP x x Coupure de la communication qui estinterdite.

Si la sonde est en mode coupure, lacommunication sera interdite. Enrevanche, en mode monitoring lacommuniction ne sera pas coupée et seulsles logs de cet appels seront notifiéscomme « DROP ».

néant

ANALYZE x x Aucune action : la communication estautorisée.

Les communications seront marquées« ANALYZE » dans le journal des logs.Une analyse pourra être réaliséeultérieurement par le biais de la fonctionSUSPICIOUS PARTY.

néant


Nom del'action

TDM VOIP résultat paramètres

TAG x x Aucune action : la communication estautorisée.

Les communications seront marquées« TAG » dans le journal des logs.L'administrateur pourra effectuer untraitement extérieur.

néant

BAN x Permet de bannir un utilisateur sur unepériode définie.

Choix de lapériode.

Wardialing x Prévention des attaques en massedestinées à identifier le plus souvent lesmodems.

Gestion sur occurrence selon unepériodicité.

Type d'appeloccurrence et action sur période 1occurrence et action sur période 2

Attack x Prévention des attaques en masse.

Gestion sur occurrence selon unepériodicité.

Identique à Wardialing avec uneaction supplémentaire « BAN »destinée à bannir les utilisateurs surune période définie.

Source x x Prévention d'utilisation abusive vis à visd'un poste source interne ou externe(renvoi vers GSM, conférence à plusieurs,utilisation frauduleuse tel que le squatt deslignes).

nombre d'appels simultanés et actionsur période 1nombre d'appels simultanés et actionsur période 2.

Destination x x Prévention d'utilisation abusive vis à visd'un poste destination interne ou externe(renvoi vers GSM, conférence à plusieurs,utilisation frauduleuse tel que le squatt deslignes).

nombre d'appels simultanés et actionsur période 1nombre d'appels simultanés et actionsur période 2.

Exemple de prévention de deny of service :

On indique que si 5 appels téléphoniques sont effectués vers ou depuis un même poste ensimultané (source ou destination), l'action ANALYSE sera appliquée. Et si 10 appels sont émis,toujours en simultané, l'action BAN sera appliquée pendant 5 jours. C'est le paramètre« direction » qui précisera si l'attaque concerne des postes internes ou externes.


Exemple d'action de type wardialing :

On peut configurer une première occurrence qui indique que si pendant 30 secondes, 5 appelssont réalisés en provenance d'un même correspondant extérieur, l'action associée sera unTAG. Ensuite, si au moins 16 appels sont réalisés pendant 30 secondes, alors l'action réaliséesera un DROP.

Exemple d'action de type attack :

On peut configurer une première occurrence qui indique que si pendant 10 secondes, 5 appelssont réalisés en provenance d'un même correspondant extérieur, l'action associée sera unANALYSE. Ensuite, si au moins 10 appels sont réalisés pendant 10 secondes, alors l'actionréalisée sera un BAN pendant 5 jours (c'est à dire que le correspondant à l'origine de l'attaquese verra refuser ses communications durant 5 jours).

D'une façon générale, le nombre d'appels configurés dans les step 1 et step 2 peut êtresupérieur à la durée configurée.

Suspicious party

Cette fonction permet d'analyser les numéros qui sont passé par une action ANALYSE. Lesnuméros analysés pourront ensuite intégrer un groupe de correspondant internes ou externescomme si ils avaient été saisis manuellement.

Une fois qu'un numéro a été attribué a un groupe de correspondants, il disparaît des résultatsd'analyse. Tant qu'un numéro n'est pas attribué une fois a une groupe, il réapparaitra dans lesfutures analyses.

L'opération se fait en deux étapes.

Première étape : consiste à rechercher les numéros qui dépassent certains seuils tel que lenombre de communications par période de temps. Sur l'écran ci-dessous, on détermine :

• le seuil d'appels par période et par type de média (voix, fax, modem),

• Le nombre de jours de l'historique à analyser.


Cliquer ensuite sure le bouton « filter » de la fenêtre d'outils pour lancer la recherche et trouverles numéros correspondants à vos critères. La fenêtre suivante apparaît pour indiquer que larecherche est en-cours :


Une fois l'analyse terminée, les numéros trouvés sont affichés dans la partie basse de l'écran :

Deuxième étape : déplacer les numéros dans les liste de correspondants.Pour attribuer unnuméro a un groupe de correspondants existant, cliquer sur la liste déroulante « Group » etchoisir un groupe. Lors de ce choix, une boîte de dialogue intitulé « Complement ofinformations » apparaît afin de compléter la nouvelle entrée du nouveau correspondant (visiblesur l'image écran ci-dessus). Se reporter à la partie traitant de la gestion des correspondantspour connaître les conventions de saisies.

Après avoir attribué un numéro à un groupe de corre spondants, appuyer sur le boutons« valider » pour prendre en compte les changements.


Antifuzz profiler

Cette partie technique s'applique à un contexte VOIP et aux communications SIP. Il s'agit del'implémentation des paquets UDP/IP par les équipements réseaux (sondes, call manager SIP,postes SIP, ...). L'objectif de l'antifuzz profile est de préciser les normes en vigueur en vue derenforcer la sécurité globale du réseau. Pour ce faire, ETSS pourra filtrer tout ce qui estdifférent de l'implémentation SIP. Ainsi, on pourra empêcher certains types d'attaques visant àdétourner ou perturber une utilisation normale des ressources réseaux.

Un profil antifuzz est associé à un groupe de correspondants. Deux profils antifuzz sontdisponibles par défaut.

Le profil « high » est le plus restrictif car il vérifie toutes les implémentations SIP tandis que leprofil « low » est plus tolérant. En fonction des implémentations SIP des équipements présents,il sera peut-être nécessaire de créer un nouveau profil qui établira un compromis de façon à nepas bloquer le trafic. Le principe d'association d'un profil Antifuzz à chaque groupe decorrespondants permet de s'adapter aussi aux différentes portions du réseaux où à destéléphones ou constructeurs particuliers.

Voici la description des paramètres disponibles :

paramètre description

Mandatory Headers vérification de la présence des champs obligatoires du protocole SIP (toujours actif).

UTF8 Encoding vérifier que les caractères utilisés sont bien issus de la page de code UTF8, et non binairepar exemple.

ANSI Escapesequence

vérifier la présence de caractères d'échappement qui sont succeptibles de causer unedéfaillance liée à une faiblesse d'implémentation d'un logiciel.

BINARY obfuscated vérifier la présence d'élements binaires dans la signalisation VOIP.

Fmtstring_overflow vérifier la présence de chaînes de caractères contenant des valeurs destinées à bloquerun logiciel.

DENY Unknownheaders

vérifier la présence de champs inconnus. Dans ce cas, le paquet sera rejeté par la sonde.

DENY Unknownmessages

vérifier la présence de messages inconnus. Dans ce cas, le paquet sera rejeté par lasonde.


HISTORY CALLS

Cette partie permet de consulter l'historique des communications passées. Cet historique estorienté ticket et non appel. Ainsi, chaque communication complète se compose de 2, 3 ou 4tickets : ticket de prise d'appel (sonnerie), ticket de début de communication, ticket de détection(voix, fax ...), ticket de fin de communication.

Voici un exemple d'affichage détaillé (la deuxième image est la suite de la première) :


Le champ « CALL ID » est un champ librement renseigné par le poste.

Choix des informations

La fenêtre « Communication filter toolbar » propose plusieurs onglets qui permettent de choisirle comportement de l'affichage. Plusieurs onglets sont disponibles :

onglet rôle

display Afficher ou masquer les différents champs d'informations composants les tickets decommunications.

Number of line Définir le nombre de lignes à charger et à afficher.

Action Filtrer les tickets par type d'action.Si aucun choix n'est coché, il n'y à pas de filtre par action.

Type Filtrer les tickets par type de média.Si aucun choix n'est coché, il n'y à pas de filtre par média.

From...to Choix de la période d'analyse. Par défaut, il s'agit de la date du jour. Le fait de cliquer sur la listedéroulante permet d'afficher le calendrier pour choisir rapidement des nouvelles dates.

Way Choix des directions pour les communications (IN, OUT, no filtering).

Peers Choix des correspondants concernés.Le joker * remplace plusieurs caractères ; le joker ? Remplace un seul caractère.

Pour activer un nouveau choix et rafraîchir la list e, il est nécessaire de cliquer sur lebouton « Filter » de la fenêtre des outils.


Real time calls

Ce choix permet d'afficher les communications en temps réel. Il propose le même type defiltrage que le choix « history calls ».

Le rafraîchissement des communications est automatique.

Un bouton est disponible pour permettre de couper une communication en cours (sauf enTDM).

Statistics

ETSS fournit en standard un écran de statistiques sur les jours, mois et années passées. Soncontenu est le suivant :

• Type d'appels : répartion en % du nombre d'appel par types de média,

• Durée moyenne des communications en minutes,

• Répartition des communications sur la journée en cours,

• Nombre de communications sur les 7 derniers jours, 7 dernières semaines, 7 derniersmois et 7 dernières années.


EXPERT PBX

Cette partie présente les fonctions suivantes :

• Importation des configurations des PBXs,

• Visualisation des configurations PBX importées,

• Différences entre les configurations PBX importées,

• Rapports sur les configurations (système expert).

Chacune des commandes peut s'éxécuter sur un ou plusieurs PBX. Dans ce cas, les différentsPBX doivent impérativement être de Marque et Version identiques.

Créer un PBX

La première étape consiste à choisir la commande « manage connectors » pour définir lecontexte du PBX :

Cliquer sur l'icone « + » de la fenêtre d'outils pour créer un nouveau contexte PBX. L'écransuivant apparaît :


Le contexte du nouveau PBX est défini par les éléments suivants :

• Label = nom libre du PBX,

• PBX adress = adresse IP du PBX ou de sa console d'administration,

• PBX port = port IP d'administration du PBX ou de sa console d'administration,

• Constructor = choisir dans la liste parmi les modèles supportés (AASTRA, ALCATEL,CISCO, SIEMENS, etc ...).

• Model = choisir dans la liste la version du PBX ou de sa console d'administration,

• Login = nom d'utilisateur, si nécessaire, pour accéder au PBX ou à sa consoled'administration,

• Password = mot de passe, si nécessaire, de l'utilisateur associé,

• Directory = chemin par défaut si nécessaire pour accéder à la configuration du PBX(exemple : /data/import/).

Cliquer ensuite sur le bouton « VALIDER » de la fenêtre d'outils pour sauvegarder lesparamètres saisis et afficher le nouveau PBX dans la liste. Le PBX apparaît dansl'arborescence à gauche sous la forme « PBX xxxxx » et les sous-choix « PBX config »,« configurations differences », « Reports », « Auto mation ».


Importer une configuration PBX

• Dans l'arborescence, sélectionner la branche « PBX config » du PBX concerné,

• Cliquer sur le bouton « + » de la fenêtre d'outils et nommer l'import,

• Cliquer OK,

• Cliquer OK sur la fenêtre indiquant « Job added to job list »

Expert job management

Toutes les demandes de travaux (importation, différentiel, automatisation, etc ...) sont gérés parle Job Manager. Ce dernier exécute les travaux dans l'ordre d'arrivée (mode FIFO) sauf pourles suppressions de jobs.

Pour afficher les travaux en attente, ouvrir le menu « Display/Expert job manager ». Le bouton« Stop the job » permet d'annuler le travail sélectionné. Voici l 'aspect du Job Manager :


Visualiser une configuration PBX importée

Dans l'arborescence du PBX concerné, cliquer sur le choix « PBX configurations » pour afficherla liste des configurations importées.

Cliquer sur le nom d'une configuration afin d'afficher sous forme graphique son contenudétaillé.

Voici un exemple de configuration (extrait) :

L'arborescence s'affiche de gauche à droite. Pour chaque noeud ou entité, il est possibled'afficher ou de masquer les données en cliquant sur le « + » et le « - » situé à droite dechaque objet. Par défaut, seuls certains noeuds sont dépliés.


En passant la souris sur le titre d'un noeud, la visualisation disponible s'affiche. Par exemple :

Différences entre deux configurations importées

Cette fonction est disponible à partir du moment où au moins deux configurations différentesont déjà été importées.

• Cliquer sur « Configurations differences » dans l'arborescence du PBX concerné,

• Depuis la liste intitulée « List of configurations », cliquer sur les deux configurations àcomparer (la première sera légèrement surlignée tandis que la seconde le sera plusfortement),

• Cliquer sur le bouton « + » de la fenêtre d'outils,

• Nommer le différenciel,

• Le processus de comparaison démarre ....

• Lorsque le processus est terminé, l'intitulé du différentiel apparait dans la fenêtre « Listof configuration differences ».


Rapports

Cette fonction met en oeuvre un système expert capable d'analyser la configuration d'un PBX.Les failles de sécurité rencontrées sont relevées, expliquées puis pondérées en fonction durisque d'apparition et de gravité. Le système expert propose, pour chaque faille relevée, descontres-mesures correctrices.

Pour créer un nouveau rapport :

• Cliquer sur « Reports » dans l'arborescence du PBX concerné,

• Choisir le PBX et la version de la configuration à expertiser,


• Nommer le rapport,

Pour visualiser un rapport existant :

• Sélectionner le rapport nommé dans la liste des rapports existants,


Voici un extrait de rapport type :

Pour chaque faille rencontrée le choix « display list of subscribers », à droite, permet d'afficherle nom et le numéro des postes concernés.


Automatiser

Cette fonction permet de renseigner les paramètres destinés à effectuer une importation, unedifférence et une expertise de façon entièrement automatique.

• Cliquer sur « automation » dans l'arborescence du PBX concerné,


• Cocher le choix « Enable » à droite du label de l'automatisme.

La première partie de l'écran se nomme « Time parameters ». Elle précise la fréquence delancement du rapport. Dans l'exemple, les tâches seront lancées tous les mois, tous les jours, à8h.


La deuxième partie de l'écran contient les champs suivants :

• Configuration = indiquer le label de la nouvelle configuration à importer,

• Indiquer si cette configuration doit être comparée ou non à une configuration deréférence. Si oui, cocher la case « Analyse difference with a reference configuration» etchoisir dans la liste déroulante le nom de la configuration. Indiquer ensuite le nom donnéau rapport des différences,

• Indiquer si une expertise doit être créée pour cette nouvelle configuration. Si oui, cocherla case « Build an expert report from the new configuration » et donner un label aurapport.

• Indiquer si un administrateur doit être prévenu quand les travaux seront réalisés. Si oui,cocher la case « Alert by Email when finish » puis renseigner les champs suivants :

• Group email = liste ds groupes d'administrateurs disponibles

• SMTP Adress = adresse du serveur SMTP qui enverra l'Email,

• SMTP port = port du serveur SMTP qui enverra l'Email,

• Mail sender = adresse Email de l'expéditeur,

• Mail subject = texte à placer en objet du Email.

• Cliquer sur le bouton « VALIDER » de la fenêtre d'outils pour sauvegarder lesparamètres,

Pensez à cliquer le bouton « enable » pour que les actions soient programméesaux dates demandées.


Dans un contexte multi-PBX, vous devrez cocher les PBX concernés puis renseigner leschamps pour chaque PBX. Voici un exemple d'écran multi-PBX :


EXPERT IP

Cette partie présente le scanner de faille IP qui permet de détecter les failles de sécurité desmachines du réseau.

Settings

Cet écran permet de stocker, sous forme de listes, les paramètres du scanner IP ainsi que laliste des adresses des interfaces IP à scanner.

Dans l'exemple ci-dessous :

• la liste a pour label « Scanneur de FX target=4760 »,

• Les champs « Host » et « Port » renseignent l'adresse IP et le port du scanner IP(identique au serveur ETSS),

• Les champs « user » et « password » précisent les données d'identification etd'authentification nécessaires à la connexion au scanner IP,

• Le champ « IPTargets » dresse la liste des interfaces à scanner. Plusieures adressespeuvent être saisies si elles sont séparées par des espaces.


Reports

Cette partie permet de demander au scanner IP l'exécution d'un nouveau rapport IP.

Il suffit de nommer le rapport dans le champ « Label of report IP » puis de sélectionner uneconfiguration de scanner IP existante dans la liste déroulante.

La validation du rapport entraîne la création d'une tâche dans le « Expert jobs manager ». Lestâches sont traitées dans l'ordre d'arrivée (mode FIFO).

Lorsque le traitement est terminé, un message avertit l'administrateur, le rapport apparaît dansla liste et peut être consulté.

Le rapport présente sous forme texte et graphique, le détail des failles de sécurité rencontréessur les machines scannées (ports TCP ouverts, niveau du protocole SSH, ....). Le rapportpropose des solutions pour chaque menace rencontrée.

Ci dessous, un exemple (extrait) de rapport IP.



Automation

Cette partie permet de définir des lancements automatiques du scanner IP. La gestion par listepermet de définir des automatismes distincts. Le nom de la programmation apparaît sur lapremière ligne.


Un automatisme peut être provisoirement inactivé via le bouton situé sur la première ligne del'écran.

La partie haute de l'écran précise les paramètres de périodicité du lancement. Il suffit de cocherles valeurs voulues pour le mois, les jours, les heures et les minutes.

La partie basse de l'écran permet de choisir une configuration parmi celles existantes. Aprés cechoix de configuration de scanner IP, les paramètres asociés sont affichés en grisés.

Le label « AUTO_IPScan1 » corrrespond au nom du rapport qui sera généré.

Si on souhaite prévenir par email de la fin d'éxecution du rapport, il suffit de cocher la case« Alert by email » puis de renseigner les paramètres suivants :

• Groupe Emails = liste d'administrateurs qui recevront un Email.

• SMTP Adress = adresse du serveur SMTP qui enverra l'Email,

• SMTP port = port du serveur SMTP qui enverra l'Email,

• Mail sender = adresse Email de l'expéditeur,

• Mail subject = texte à placer en objet du Email.


PROBES

Cette partie traite de l'administation des sondes TDM et SIP. Les fonctions sont disponibles àpartir du choix « Probes » de l'arborescence du logiciel.

Administration

Cet écran accessible via le choix « Probes/Administration » permet de gérer les paramètrestechniques de chacune des sondes présentes sur le réseau.

Les sondes sont regroupées dans une liste. En cliquant sur un nom de sonde dans la liste, onaccède à ses paramètres.

Voici un exemple :


Les paramètres disponibles sont les suivants :

Paramètres Rôles

Activated cocher cette case pour indiquer que la sonde est autorisée sur le réseau.

Friendly name nom usuel de la sonde

Hostname nom réseau + adresse IP

SID référence technique de la sonde

Certificate name nom du certificat SSL implémenté pour le cryptage des échanges entre la sonde etson superviseur

Attached to nom réseau du superviseur de rattachement

Linked with nom du sous-domaine auquel la sonde est rattachée + nom de la configuration de lasonde

Si la sonde n'est pas à jour(suite à une déconnexion ou un problème lors de la récupération de la configuration),

l'écran indiquera un message d'avertissement de ce type :


Paramètres spécifiques SIP (bouton « SIP options ») :

• Context active : activer le contrôle de l'enchaînement des messages. Cette optionpermet de sécuriser les échanges (exemple : interdire les insertions de messagesétrangers destinés à détourner la communication).

• Context Delay TTL : temps, exprimé en secondes, au bout duquel le contrôle desmessages est entiérement mis en oeuvre. Ce délais permet de traiter lescommunications en-cours sans risquer de les couper (car la sonde insérée n'a pasconnaissance du contexte précédent son insertion). Durant le delais, la sonde apprendles nouvelles communications.

• IP flood protection : activer le contrôle du nombre de paquets IP émis par adresse IP etpar période (en secondes).

• INVITE Flood protection : activer le nombre d'invite (1er message SIP) émis par période(en secondes).

• Register active : Cette option active le contrôle des inscriptions des téléphones SIPauprés du call manager. Par ce biais, ETSS vérifie qu'un téléphone qui appelle est bienréférencé auprés du call manager de façon à bloquer les intrusions de postes sauvages.

• Register delay TTL : temps, exprimé en secondes, au bout duquel le contrôle desinscriptions des postes SIP est entiérement mis en oeuvre.

• Register single : contrôle qu'un utilisateur est unique sur le réseau.

• Register trusted : activation ou non de la liste des registers de confiance présents sur leréseau. Si l'option est active, il faut renseigner les adresses des différents serveursregister présents sur le réseau.


Monitoring

Cet écran, accessible via le choix « Probes/monitoring », propose une vue graphique de l'étatdes sondes regroupées par sous-domaines. Cet état graphique est construit dynamiquement àpartir des paramètres renseignés.

Chaque superviseur est relié à un domaine et chaque sonde est reliée à un sous-domaine.

Le domaine racine est toujours unique, il représente la base de données. Par contre, il peutexister plusieurs superviseurs rattachés au domaine racine. Ce découpage permet d'alléger lacharge de chaque superviseur. La raison peut être le besoin de performance mais peut aussiêtre liée à la topologie du réseau.

Voici un exemple d'état :

De gauche à droite, on retrouve :

• Le domaine racine ETSS,

• Le superviseur ETSS,

• Les sous-domaines (SITELESS, Paris, Lyon dans l'exemple),

• Les liens IP entre le sous-domaine et les sondes :

• la couleur noir indique un lien actif,

• la couleur rouge un lien inactif (causes possibles : la sonde est off où il s'agit d'unproblème de communication entre la sonde et le système ETSS).


• Pour chaque sous-domaine, les sondes configurées sont représentées par une étoile. Lefait de passer la souris sur les sondes permet d'en visualiser les paramètres. Les sondesgrisées sont inactives,

• Pour chaque sonde, les carrés à droite représentent l'état du média (réseau voix pour lavoix sur IP, T0 ou T2 pour les liens TDM).

ETSS peut s'interfacer avec un firewall de façon à filtrer certains types de flux (par exemple, lesflux audios ne sont pas gérés par les sondes). Un firewall présent apparaîtra de la façonsuivante sur le schéma :

Systems events

Cet écran accessible via le choix « Systems Events » donne accès à l'historique desévenements du logiciel ETSS. Il s'agit des évenements internes ainsi que les actions desadministrateurs.



USERS ADMIN.

La gestion des administrateurs est accessible via le choix « Users Admin ».

Une liste est affichée pour permettre de gérer la liste des administrateurs.

Liste individuelle

La première partie de l'écran précise le nom, mot de passe, Email et téléphone del'administrateur.

Le paramètre « Hide phone » permet de masquer les derniers numéros dans les logs.

La suite de l'écran permet de définir les droits attribués à l'administrateur sous-domaine parsous-domaine. Globalement, il s'agit de droit d'accès en lecture seule (visualisation) ou lectureécriture (modification, création, suppression).


Documents

Manuel de l'utilisateur - support.aastra.frsupport.aastra.fr/extra/Sales/_partnership/technology/5_SEC...ETSS EXPERT IP : Auditer les interfaces IP du réseau (page 46), ... ETSS EXPERT