Etude et mise en place de service VOIP sécurisé dans une entreprise.

II.4.3 Principales applications du protocole H.323

? Certaines offres de téléphonie sur IP grand public s'appuient sur H.323

Les clients (NetMeeting, Orange, Ekiga (ex GnomeMeeting), Openphone, iChat ...).

? Les gatekeepers, ou portiers, servant à l'administration des communications et à la translation d'identifiants de connexion (ID H323).

? Les MCU, des ponts multipoints.

? Les gateways, des passerelles

H.320?H.323, H.324M ?H.323.

accord.

28

II.4.4 Fonctionnement simplifié

Il existe plusieurs manières de mettre en oeuvre une architecture H.323.De nombreux messages sont optionnels et dans la pratique on peut choisir de ne pas les utiliser tous. Par exemple, si l'authentification n'est pas une préoccupation, on peut se passer des messages RAS (en).

Il est également possible d'enchaîner les messages de plusieurs manières différentes. On peut par exemple ouvrir les canaux RTP sans attendre le message « connect » qui indique que la personne appelée a bien décroché (earlyH.245).

On peut décider que les messages H.225, H.245 et RTP passent par des chemins différents : Par exemple la signalisation traversera plusieurs gatekeeper qui participent au contrôle et au routage de l'appel alors que le flux RTP passe directement d'un poste à l'autre.

? Cas 1 : communication « point à point » de deux clients simples.

Figure 8. H.323

4 L'appelant saisit l'adresse IP du destinataire dans le champ du logiciel réservé à cet effet.

4 Les protocoles de signalisation proposent au logiciel du destinataire d'établir la communication et transmet son ID H323.

4 Le logiciel du destinataire répond soit « occupé » soit « libre ».

Si « libre », l'appelant énumère ses possibilités de codecs audio et vidéo (si disponibles).

4 Le destinataire énumère les codecs compatibles à l'appelant pour

29

4 Si accord, d'autres ports TCP et UDP sont négociés pour l'audio (UDP), la vidéo (UDP) et les données (TCP).

Figure 9. H.323

4 Chaque flux est ensuite transmis indépendamment des autres.

4 À la fermeture d'une session, les ports sont libérés et les transmissions de contrôle stoppées.

? Cas 2 : communication « point à point » entre deux clients enregistrés auprès d'un gatekeeper.

Le gatekeeper intervient sur la signalisation.

Figure 10. H.323Gatekeeper

30

4 À l'ouverture du logiciel, les clients A et B s'enregistrent auprès du gatekeeper en lui transmettant leur ID H323 et leur adresse IP respective.

4 Le client A entre l'ID de connexion du client B dans le champ du logiciel réservé à cet effet.

4 Le logiciel du client a demandé l'autorisation au gatekeeper pour se connecter au client B.

4 Si le gatekeeper accepte, celui-ci demande au client B son état (déjà en conversation ou non).

4 Si état compatible, le gatekeeper transmet l'adresse IP du client B au client A.

4 Le gatekeeper informe le client B qu'une communication va avoir lieu avec le client A.

4 Le client A entre directement en négociation avec le client B avec les protocoles de contrôle de communication.

4 Le client A énumère ses possibilités de codecs audio et vidéo (si disponibles).

4 L'appelé énumère les codecs compatibles à l'appelant pour accord. 4 Si accord, d'autres ports TCP et UDP sont négociés pour l'audio (UDP), la vidéo (UDP) et les données (TCP).

4 Tous les flux sont ensuite transmis indépendamment les uns des autres sans passer par le gatekeeper mais directement entre les clients.

4 À la fermeture d'une session, le gatekeeper est informé de la fin de connexion, les ports sont libérés et les transmissions de contrôle stoppées.

· Cas 3 : communication « Multipoints » entre plusieurs clients (MCU nécessaire).

31

Les MCU ont des capacités de traitements du signal (diffusion,

enregistrement, mixage, ...) ils sont utilisés pour :

4 Permettre la conférence en mixant les flux audios ;

4 Diffuser des messages réseau comme la tonalité, le bip de mise en

attente ;

4 Voire réaliser des fonctions élémentaires de messagerie vocale ;

Le MCU s'annonce auprès du gatekeeper et lui énonce ses possibilités :

Figure 11.H.323mcu

y' Nombre de clients possibles.

y' Débits (en octets/secondes) possible par client ou débit total maximal.

y' ID H323 de connexion.

Les communications seront ensuite traitées comme au cas 2, le MCU devenant alors un « simple client » au vu des appelants ; la différence se trouvant simplement dans le nombre de communications acceptées avant transmission du message « occupé ».

Les principaux ports utilisés par le protocole H.323 sont 1720 TCP et suivants, les autres sont négociés dynamiquement.

32

Notes : Le protocole H.323 ne suit pas les recommandations ISO sur les séparations de couches du modèle réseau. On trouve des données sur les couches IP dans la couche « Application » du modèle. D'autre part, le protocole a tendance à ouvrir des « ports » à la volée pour la communication, ce qui fait que le passage d'un pare-feu (firewall) ou d'un routeur avec NAT est souvent problématique.

Néanmoins il existe aujourd'hui des solutions applicatives (NAT ALG) qui permettent de contrecarrer la présence de données IP (souvent privées) dans la partie application du modèle.

On trouve pourtant de plus en plus d'équipements réseau sachant gérer les protocoles associés à H.323, notamment à cause de la téléphonie sur IP (VoIP).

? Cas 4 : 3 gatekeeper

Dans cet exemple chaque terminal est rattaché à un gatekeeper de proximité. Tous les gatekeeper de proximité sont rattachés à un gatekeeper qui a une connaissance générale du réseau et qui réalise le routage.

Figure 12. H.323

On a choisi de faire passer le flux H.245 par les gatekeeper de proximité et le flux RTP par l'un des gatekeeper de proximité.

? Cas 5 : autres

5 https://fr.m.wikipedia.org/wiki/H.323 jeudi, Je 08/02/2018, 15:29

33

Dans un cas réel, il est probable que l'architecture comprenne les éléments suivants :

? Une ou plusieurs passerelles vers le RTC ou vers d'autres réseaux de ToIP ;

? Des serveurs de messageries vocales (MCU avec capacité d'enregistrement) ;

? Des serveurs (MCU) capable de diffuser des messages réseau (signaux d'occupation, de mise en attente, ...).

Note générale

Pour les pare-feu, H.323 pose de véritables problèmes car c'est un protocole qui demande l'ouverture d'un panel de ports TCP et UDP de manière dynamique et quelque peu "aléatoire", incompatible avec la logique des règles "strictes" imposées par la sécurité d'un site ou d'un intranet exposé à Internet. Les pare-feu modernes le font très bien, mais au prix d'une complexification qui aurait été évitée si le protocole avait été mieux pensé dès son origine.

Pour la translation d'adresses NAT (Network Adresse Translation), le protocole H.323 pose des problèmes dans le sens où celui-ci ne respecte pas comme il faut le modèle en couches des réseaux informatiques (voir le modèle OSI) en incorporant des données de la couche Application dans la couche Transport. Cela oblige les passerelles à aller changer des données à l'intérieur même des paquets TCP/IP.⁵