|
REPUBLIQUE DEMOCRATIQUE DU CONGO
MINISTERE
DE L'ENSEIGNEMENT SUPERIEUR, UNIVERSITAIRE ET
RECHERCHE
SCIENTIFIQUE
INSTITUT SUPERIEUR DE TECHNIQUES APPLIQUEES
« I.S.T.A / KINSHASA »
B.P 6593 KINSHASA 31
KINSHASA
Section Electronique/Second cycle
ETUDE D'IMPLEMENTATION D'UNE SOLUTION VoIP SECURISEE DANS
UN RESEAU INFORMATIQUE D'ENTREPRISE
« CAS DE L'ISTA/KINSHASA »
?
Denis TSHIMANGA KAPAMPI
Ingénieur technicien en commutation
Directeur
Professeur Simon KIDIAMBOKO GUWA GUA BAND
Docteur dans les systèmes artificiels
intelligents
Co - directeur
Assistant Patrice BIBALA
Ingénieur en
Télécommunication
Mémoire présenté et défendu
en vue d'obtenir le grade académique d'ingénieur en génie
électrique
Année académique 2012-2013
Option: informatique appliquée
2
EPIGRAPHE
« Tout grand progrès scientifique est né
d'une
nouvelle audace de l'imagination. »
John Dewey
TSHIMANGA KAPAMPI Denis
3
DEDICACE
A mon père KAPAMPI TSHIMANGA ZACHARIE
A ma mère chérie NGALULA TSHISHIKU
MARIE
CLAIRE
A papa MOISE KALAMBAY
A CHRISTINE LUKADI, pour ses conseils, son amour et
son
attachement combien si louables. Qu'elle trouve dans ce
travail
l'expression de ma profonde gratitude.
A mes frères et soeurs : Bijoux KAPAMPI, Nadine
KAPAMPI,
Papy KAPAMPI, Anny KALAMBAY, Sarah
KALAMBAY, Toledo KALAMBAY,
Keren KALAMBAY.
A vous tous, je dédie ce travail.
4
REMERCIEMENTS
Au terme de ce travail, fruit de nos efforts qui
sanctionne la fin de notre formation académique au second cycle de
l'Institut Supérieur des Techniques Appliquées, nous exprimons
notre profonde gratitude envers tous ceux qui, de près ou de loin, ont
apporté leur pierre en l'édifice à notre formation
d'ingénieur en génie électrique, option : informatique
appliquée.
Nous témoignons notre gratitude au Professeur
Simon KIDIAMBOKO GUWA GUA BAND qui, malgré ses
innombrables occupations, a bien voulu accepter la direction de ce
mémoire.
Un mot de remerciement tout particulier à
l'assistant Patrice
BIBALA pour son apport combien louable sans lequel nous
ne serions pas arrivé au bout de ce travail.
Nous pensons également aux autorités
académiques et corps professoral pour leur apport direct et indirect
à ce travail, sans lesquels nous ne serions arrivés au terme de
notre formation. Qu'ils trouvent à travers ce travail le résultat
de leurs efforts.
A vous tous, qui nous avez soutenus de près ou de
loin, recevez notre reconnaissance la plus profonde.
TSHIMANGA KAPAMPI Denis
5
LISTE DES FIGURES
Figure I.1 : Schéma d'un réseau poste à
poste
Figure I.2 : Schéma d'un réseau client
serveur
Figure I.3 : Schéma réseau d'une topologie en
bus
Figure I.4 : Schéma réseau d'une topologie en
étoile
Figure I.5 : Schéma réseau d'une topologie en
anneau
Figure I.6 : Schéma réseau d'une topologie
maillée
Figure I.7. Schéma du fonctionnement du modèle
OSI
Figure I.8 : Les constituants du Câble STP
Figure I.9 : Les constituants du Câble UPT
Figure II.1 : Architecture d'un réseau VoIP
Figure II.2 : Passage du signal analogique au signal
numérique
Figure II.3 : Les composants de l'architecture H.323
Figure II.4 : Zone H.323
Figure II.5 : Architecture du protocole SIP
Figure II.6 : Communication entre UAC et UAS
Figure II.7 : Trapèze SIP
Figure II.8 : Syntaxe d'une adresse SIP
Figure II.9 : Initiation d'une communication directe
Figure II.10 : Enregistrement d'un terminal SIP
Figure II.11 : Initialisation d'un appel avec un proxy
Figure II.12 : Localisation avec un serveur de redirection et
initialisation d'appel direct
Figure II.13 : Requête RE-INVITE
acceptée
Figure II.14 : Requête de RE-INVITE
refusée
Figure II.15 : Terminaison d'une Communication
Figure III.1: Attaque DoS via une requête CANCEL
Figure III.2 : Attaque DoS via une requête BYE
Figure III.3 : Mécanisme de l'attaque MIM
Figure III.4 : Format d'un paquet SRTP
Figure IV.1 : Vers la Direction générale
Figure IV.2 : Vers les auditoires
Figure IV.3 : Organigramme de l'ISTA-KINSHASA
Figure IV.4 : Inauguration du centre Informatique
Figure IV.5 : Vue de face du Centre Informatique
Figure IV.6 : Réseau existant de l'ISTA Kinshasa
Figure IV.7 : Architecture du réseau de l'ISTA
Kinshasa
Figure V.1 : Console de gestion de 3CX Phone System
Figure V.2 : Console de gestion et configuration de 3CX Phone
System
Figure V.3 : Options de création d'extension
Figure V.4 : Interface de configuration de 3CXPhone
Figure V.5 : Interface de 3CXPhone
Figure V.6 : Moniteur d'état
6
LISTE DES TABLEAUX
Tableau II.1: Liste des codecs avec leur débit
correspondant
Tableau II.3 : Exemples d'adresses SIP
commentées
Tableau II.4 : Les requêtes SIP
Tableau II.5 : Les réponses SIP
Tableau II.6 : Tableau de comparaison entre SIP et H.323
Tableau IV.1 : Les équipements du réseau
informatique de l'ISTA
Tableau IV.2 : Les caractéristiques physique des
serveurs utilisés dans le réseau de l'ISTA
Tableau IV.3 : Services et applications utilisées dans
le réseau
Tableau V.1 : Plan de numérotation
7
LES ACRONYMES
ACE: Access Control Entry
ACL: Access Control List
AH: Authentification Header
ARP: Address Resolution Protocol
CAN : Convertisseur analogique numérique
CLI: Command Line Interface
DDoS: Distributed Denial of Service
DHCP: Dynamic Host Configuration Protocol
DMZ: Démilitarized Zone
DNS: Domain Name System
DoS: Deny of Service
DTMF: Dual-Tone Multi-Frequency
ESP: Encapsulated Security Payload
FTP: File Transfer Protocol
GSM: Global System for Mobile Communications
HTTP:HyperText Transfer Protocol
IAX: Inter-Asterisk eXchange
IAX: Inter-Asterisk Exchange
ICMP: Internet Control Message Protocol
IETF: Internet Engineering Task Force
IGMP: Internet Group Management Protocol
IGRP: Interior Gateway Routing Protocol
IM: Instant Message
IP: Internet Protocol
ISDN: Integrated Service Data Network
ITU: International Telecommunications Union
LAN: Local Area Network
MD5: Message Digest 5
MIKEY: Multimedia Internet KEYing
MKI: Master Key Identifier
NAT: Network Address Translation
OS: Operating System
PABX: Private Automatic Branch eXchange
PBX: Private Branch eXchange
PSTN: Public Switched Telephone Network
QoS: Quality of Service
RFC: Requests For Comment
RNIS : Réseau Numérique à
Intégration de Service
RTC : Réseau Téléphonique de
Commuté
RTCP: Real-time Transport Control Protocol
RTP: Real-Time Transport Protocol
RTSP: Real Time Streaming Protocol
8
SIP: Session Initiation Protocol
SNMP: Simple Network Management Protocol
SRTP: Secure Real-time Transport Protocol
TCP: Transport Control Protocol
TDM: Time Division Multiplexing
TFTP: Trivial File Transfert Protocol
TLS: Transport Layer Security
ToIP: Telephony over Internet Protocol
UAC: User Agent Client
UAS: User Agent Server
UDP: User Datagram Protocol
URL: Uniform Resource Locator
VoIP: Voice over Internet Protocol
VPN: Virtual Private Network
WAN: World Area Network
INTRODUCTION GENERALE
1. BREF HISTORIQUE
Lorsque, le 2 juin 1875, le Canadien Alexandre Graham
Bell tente de transformer des ondes sonores en impulsions
électromagnétiques, nul n'imaginait que ce professeur de
physiologie vocale, spécialisé dans l'enseignement du langage
pour sourds et muets,
allait inventer le
téléphone.
Accompagné de son assistant Thomas Watson,
Bell expérimente le premier modèle de téléphone
à distance limitée et à correspondance réduite :
placés dans deux pièces distinctes, les deux physiciens disposent
entre eux un fil conducteur dont une extrémité est munie d'une
lamelle reliée à un électro-aimant. L'expérience
consiste à écarter cette lamelle de l'électroaimant puis
à la relâcher. Le résultat est prodigieux : un son se
propage sur le fil conducteur jusqu'à parvenir à l'autre
extrémité du fil. II faudra moins d'un an au scientifique Bell,
tout juste âgé de 28 ans, pour perfectionner son prototype et
rendre les transmissions d'un bout à l'autre d'un fil conducteur
parfaitement intelligibles pour l'oreille humaine.
En 1964, en pleine guerre froide, le projet de Paul Baran sur
un réseau informatique totalement distribué et
dédié aux communications militaires est refusé par les
autorités. Presque en parallèle, les travaux du français
Louis Pouzin, mettant au point le tout premier réseau à
commutation de paquets, émule la communauté scientifique. Au
début des années 70, un réseau imaginé par des
laboratoires de recherche académiques voit le jour. Constitué de
quatre ordinateurs répartis dans le monde, il est réalisé
par l'ARPA (Advanced Research Projects Agency) et prend le nom
d'ARPAnet. Au même moment, en France, le projet Cyclades relie plusieurs
ordinateurs par une technologie de datagramme.
Pendant plusieurs décennies, la transmission analogique
de la voix fut la seule technologie maîtrisée et utilisée.
Mais au milieu du vingtième siècle, grâce aux techniques
d'échantillonnage, de quantification et de codage, la transmission
numérique de la voix fut rendu possible. Aussi bien la transmission de
gros volumes de données requise par l'industrie informatique que
l'écoulement d'un grand trafic vocal trouvent leur application à
travers les réseaux numériques notamment le RNIS, l'INTERNET.
Pour tirer profit du développement d'Internet pour le
grand public, des sociétés ont développé des
logiciels de téléphonie. Il est alors possible de
transporter de la voix entre deux ordinateurs et ainsi de communiquer.
10
2. PRESENTATION DU SUJET
Les réseaux de données et de voix étaient
clairement distincts, avec des câblages différents, des protocoles
différents et des fonctionnalités différentes. Aujourd'hui
la tendance a nettement changée. Les réseaux IP se sont
démocratisés : on assiste à une convergence des
données, de la voix et même de la vidéo, à tel point
que les principaux moteurs de développement des réseaux sont la
voix et la vidéo. La voix sur IP devient aujourd'hui une solution
incontournable pour les entreprises qui voudrait soit remplacer l'ancien
système PBX en faveur d'une plate-forme VoIP ou en créer un pour
la réalisation efficiente et efficace d'un système de
communication basé sur IP.
L'existence du réseau téléphonique et
Internet a amené un certain nombre de personnes à penser à
un double usage pour unifier tous ces réseaux, en opérant une
convergence voix, données et vidéo, autrement appelé
« triple play ». Les opérateurs, les entreprises ou les
organisations et les fournisseurs devaient, pour bénéficier de
l'avantage du transport unique IP, introduire de nouveaux services voix et
vidéo. Ainsi, l'une des solutions qui marquent le «boom» de la
voix sur IP au sein des entreprises est la solution PABX-IP (Private Automatic
Branch eXchange IP).
Ainsi, le travail que nous traiton s'intitule : «
ETUDE D'IMPLEMENTATION D'UNE SOLUTION VoIP SECURISEE DANS UN RESEAU
INFORMATIQUE D'ENTREPRISE. CAS DE L'ISTA/KINSHASA ».
3. PROBLEMATIQUE ET HYPOTHESES
3.1 PROBLEMATIQUE
L'ISTA, est une institution d'enseignements techniques de haut
niveau et proposant de formations de pointes dans divers domaines. Les
télécommunications en particulier occupent une bonne place, dans
la mesure où elles constituent le moteur de développement de
l'économie et de la société. Cette responsabilité
que porte l'institution en tant personne morale, devrait amener les
autorités à organiser continuellement la mise à niveau du
contenu des enseignements, mais aussi de l'outil de travail. Le réseau
informatique de l'ISTA devait servir à la fois au service de
l'administration et à l'expérimentation des étudiants,
pour une meilleure assimilation.
Dans l'examen de la réalité qui se passe, il
n'en pas le cas, cependant les nouvelles applications réseaux, telle que
la VoIP, devait s'apprendre au sein même de l'Institution.
Face à cette nécessité et par souci
d'apporter notre modeste contribution en matière de développement
des enseignements à l'ISTA et d'appropriation des nouvelles applications
réseaux, nous pensons que l'implémentation de la VoIP sur ce
dernier sera une des solutions appréciable de tous.
11
De cet ordre d'idées, il convient de se poser quelques
questions, telles que :
Est-il possible d'améliorer les moyens de communication au
sein de l'ISTA ?
Est-il possible d'implémenter la solution VoIP dans le
réseau informatique de l'Institut Supérieur des Techniques
Appliquées de Kinshasa ?
Comment sécuriser la solution VoIP qui sera
implémentée ?
Telles sont les questions auxquelles nous allons tenter de
répondre dans la suite de notre travail.
3 .2 HYPOTHESE
Une hypothèse est une proposition à partir de
laquelle on raisonne pour résoudre un problème, ou pour
démontrer un théorème. Elle aussi considérée
comme une proposition résultant d'une observation soumise à
l'expérimentation et que l'on peut vérifier par
déduction.
Les difficultés sont multiples au sein de l'ISTA en ce
qui concerne le système des communications pour son personnel.
Ainsi, nous pensons que l'implémentation d'une solution
VoIP au sein de son réseau informatique, pourra faire
bénéficier au personnel oeuvrant au sein de son administration
d'effectuer les appels téléphoniques internes, gratuitement sans
dépensé un seul centime.
4. OBJECTIF
En fonction des besoins réels de l'entreprise,
différents arguments plaident en faveur d'une solution VoIP, raison pour
laquelle l'objectif principal poursuivi dans ce travail est de montrer
l'importance de l'intégration de la VoIP dans les entreprises (qu'elles
soient multi-sites ou non) en général et à l'ISTA en
particulier d'une part, et de proposer l'implémentation de cette
technologie au sein du réseau informatique de ce dernier d'autre
part.
5. DELIMITATION DU SUJET
Tout travail qui se veut scientifique doit être
examiné dans le temps tout comme dans l'espace, il doit bien cerner le
contour du sujet et faciliter la démarche scientifique pour arriver au
résultat escompté.
Dans le cas de ce travail, nous nous limiterons
essentiellement à la définition de la théorie se
rapportant à la solution VoIP et à la description des
matériels de base permettant son déploiement.
12
Nous allons également procéder à une
expérimentation d'une communication VoIP à l'aide d'un minimum de
matériel à notre disposition.
6. CHOIX ET INTERET DU SUJET
Au moment où le monde entier connait un essor
considérable sur les nouvelles technologies de l'information et de la
communication, les entreprises sont appelées à retrouver leurs
places dans cet essor afin de jouer le rôle d'élément
moteur du progrès social, économique et politique.
Ainsi, trois raisons primordiales justifient le choix et
l'intérêt de cette monographie, à savoir :
Premièrement, nous nous acquittons de notre devoir
légitime de finaliste du second cycle, qui oblige à ce que chaque
étudiant rédige un travail de fin d'étude, ainsi que le
souci permanent d'approfondir nos connaissances dans le domaine de voix sur
IP;
Deuxièmement, cette oeuvre intellectuelle nous permet
de rapprocher les notions théoriques accumulées pendant toute
notre formation à la pratique, et constitue une source
d'approvisionnement incontestable pour les futurs chercheurs qui aborderont le
même thème de la recherche que nous ;
Troisièmement, pour l'Institut Supérieur de
Techniques Appliquées, nous voulons par le présent travail,
apporter notre modeste contribution tant soit peu aux problèmes de
communication qu'il connaît en son sein, dont les questions sont
épinglés dans la problématique.
7. METHODES ET TECHNIQUES UTILISEES
7.1 METHODES
Toute oeuvre Scientifique, digne de son nom, nécessite
dans son élaboration une méthodologie qui lui crée les
voies et moyens afin d'atteindre le but escompté d'une manière
satisfaisante.
Ainsi, afin de mieux élaborer notre travail, nous avons
fait recours aux méthodes suivantes :
? La méthode structuro-fonctionnelle ;
? La méthode analytique.
7.1.1 METHODE STRUCTURO-FONCTIONNELLE
Cette méthode est basée sur la notion de
structure et des fonctions. Son utilisation s'avérait utile juste pour
nous permettre de connaître la structure et le bon fonctionnement de
l'institution.
13
7.1.2 METHODE ANALYTIQUE
Celle-ci nous a permis de faire les analyses sur le
fonctionnement du réseau et de dégager les points forts et les
points faibles de ce dernier, en vue d'envisager des solutions adaptées
aux conditions particulières de l'Institut Supérieur de
Techniques Appliquées.
7.2 TECHNIQUES UTILISEES
Les techniques sont de moyens que nous avons
utilisés pour faciliter la récolte des informations dont nous
avions besoin afin de bien présenter le travail. Nous avons ainsi
utilisé les techniques suivantes :
V' technique de l'interview ;
V' technique de l'observation ; V'
techniques documentaires. 7.2.1 INTERVIEW
C'est la technique la plus utilisée pour étudier
le système existant. Elle nécessite une préparation et est
basée sur le choix d'interlocuteur auprès de qui on pose des
questions et ce dernier fournit des explications sur le fonctionnement de leur
système. Dans notre cas, nous avons eu à interroger les
responsables du réseau informatique de l'ISTA, et avons obtenu les
éléments nécessaires.
7.2.2 L'OBSERVATION
L'observation exige la présence de l'analyste du
système dans les différents sites couverts par le réseau.
Dans notre cas, nous avons visité la salle serveur et nous avons fait
connaissances des différents équipements et matériels se
trouvant dans le réseau de l'ISTA.
7.2.3 LA TECHNIQUE DOCUMENTAIRE
Elle nous a permis de parcourir un certain nombre d'ouvrages
scientifiques et techniques se rapportant à la solution VoIP, mais
également à l'Internet, qui à l'heure actuelle constitue
la référence incontournable de recherches.
14
8. DIFFICULTES RENCONTREES
Il est difficile de réaliser un travail scientifique sans
toutefois faire face aux difficultés de diverses natures, nous
présentons ici celles qui étaient majeures :
V' L'indisponibilité fréquente des interlocuteurs
lors des interviews suite au volume important du travail auquel ils font face
au quotidien ;
V' Les incompréhensions
manifestées par certains agents face à quelques-unes de nos
préoccupations.
9. SUBDIVISION DU TRAVAIL
Hormis l'introduction générale et la conclusion
générale, ce travail est subdivisé en cinq chapitres,
à savoir :
Chapitre I : Généralités sur les
réseaux informatiques ; Chapitre II : Considération
générale sur la VoIP ;
Chapitre III : Vulnérabilités des réseaux
VoIP et mesures de sécurités ;
Chapitre IV : Présentation du réseau informatique
de l'ISTA ;
Chapitre V : Approche d'implémentation de la VoIP.
1 Pierre KASENGEDIA MUTUMBE, cours
d'architecture des systèmes téléinformatique,
inédit, 2éme Génie Informatique, ISTA/Kin, 2011-2012,103
pages
CHAPITRE I :GENERALITES SUR LES RESEAUX
INFORMATIQUES
I.1 INTRODUCTION
Dans ce chapitre, nous allons poser le fondement en ce qui
concerne les réseaux informatiques, les différentes
classifications et les équipements qu'on retrouve dans les
réseaux informatiques.
I.2 CONSIDERATION GENERALES DES RESEAUX
INFORMATIQUES
I.2.1 DÉFINITION DU RÉSEAU INFORMATIQUE1
Le réseau informatique est un ensemble
d'équipements informatiques ou systèmes digitaux
interconnecté entre eux via un milieu de transmission de données
en vue partage de ressources informatiques et de la communication.
I.2.2 CLASSIFICATION DES RÉSEAUX INFORMATIQUES
La classification se fait par rapport à un critère
donné, ainsi nous pouvons classifier les réseaux informatiques de
la manière suivante :
Classification selon leur étendue géographique ;
Classification selon les fonctions assumées par les
ordinateurs ;
Classification selon la topologie.
I.2.1 CLASSIFICATION SELON LEUR ETENDUE GEOGRAPHIQUE
Selon la taille géographique qu'occupe un réseau,
on peut les classer en grandes catégories suivantes:
LAN (Local Area Network);
MAN (Metropolitan Area Network); WAN (Wide Area Network);
a) Le réseau LAN (local area network)
Les réseaux locaux connectent plusieurs ordinateurs
situés sur une zone géographique relativement restreinte, tels
qu'un domicile, un bureau, un bâtiment, un campus universitaire.
16
Ils permettent aussi aux entreprises de partager localement
des fichiers et des imprimantes de manière efficace et rendent possibles
les communications internes.
b) Le réseau MAN (Métropolitain area
network)
Tout réseau métropolitain est essentiellement
un LAN, du point de vue de la technologie utilisée. Il peut couvrir un
grand campus ou une ville.
c) Le réseau WAN (Wide area network)
Pour des raisons économiques et techniques, les
réseaux locaux (LAN) ne sont pas adaptés aux communications
couvrant de longues distances.
C'est pour toutes ces raisons que les technologies des
réseaux étendus (WAN) diffèrent de celles des
réseaux locaux. Un WAN est un réseau à longue distance qui
couvre une zone géographique importante (un pays, voir même un
continent).
I.2.2 CLASSIFICATION SELON LES FONCTIONS ASSUMEES PAR LES
ORDINATEURS
Du point de vue architecture réseau, nous avons deux
grandes catégories de réseaux : Réseau
POSTE-à-POSTE (Peer to Peer) ;
Réseau serveur dédicacé ou client-serveur
(server based).
Un serveur : Un ordinateur qui met ses
ressources et services à la disposition des autres. Il est, en
général, du point de vue de ses performances, plus puissant que
les autres.
Un client : Un ordinateur qui, pour
l'exécution de certaines de ses applications fait appel aux ressources
et services contenus dans le SERVEUR.
a) Réseau poste-à-poste
C'est un réseau sans serveur dédicacé,
moins coûteux car ne nécessitant pas un serveur puissant et un
mécanisme de sécurité très poussée. Chaque
ordinateur connecté au réseau peut faire office de client ou
serveur. En général, c'est un petit réseau de plus ou
moins 10 postes, sans administrateur de réseau. Ce réseau est
illustré par la Figure I.1
Figure I.1 : Schéma d'un réseau poste à
poste
17
1. Avantages
Implémentation moins coûteuse ;
Ne requiert pas un système d'exploitation de
réseau ; Ne requiert pas un administrateur de réseau
dédié.
2. Inconvénients
Moins sécurisé
Chaque utilisateur doit être formé aux tâches
d'administration
Rend donc vite l'administration très complexe.
b) Réseau à serveur
dédicacé ou client serveur
Dans une configuration client-serveur, les services de
réseau sont placés sur un ordinateur dédié,
appelé serveur, qui répond aux requêtes des clients. Un
serveur est un ordinateur central, disponible en permanence pour
répondre aux requêtes émises par les clients et relatives
à des services de fichiers, d'impression, d'applications ou autres.
La plupart des systèmes d'exploitation de réseau
adoptent des relations client-serveur. En règle générale,
les ordinateurs de bureau agissent comme des clients, alors qu'un ou plusieurs
ordinateurs équipés d'un logiciel dédié, qui sont
dotés d'une puissance de traitement et d'une mémoire plus
importantes assurent la fonction de serveurs. Les serveurs sont conçus
pour gérer simultanément les requêtes de nombreux clients.
La figure I.2 illustré ce réseau
Figure I.2 : Schéma d'un réseau client serveur
Figure I.3 : Schéma réseau d'une topologie en
bus
18
1. Avantages
Garantit une meilleure sécurité ;
Plus facile à administrer lorsque le réseau est
étendu car l'administration est centralisée ;
Possibilité de sauvegarder toutes les données dans
un emplacement central.
2. Inconvénients
Requiert l'utilisation d'un système d'exploitation de
réseau, tel que NT, novelle Netware, Windows server 2003 etc ...
Le serveur nécessite du matériel plus puissant,
mais coûteux ; Requiert un administrateur professionnel ;
Présente un point unique de défaillance s'il n'y
a qu'un seul serveur ; si le serveur est en panne, les données de
l'utilisateur risquent de ne plus être disponibles.
1.2.3 CLASSIFICATION SELON LA TOPOLOGIE RESEAU
La topologie de réseau définit la structure du
réseau. Elle représente l'interconnexion des équipements
sur le réseau. Ces équipements sont appelés des noeuds.
Les noeuds peuvent être des ordinateurs, des imprimantes, des routeurs,
des ponts ou tout autre composant connecté au réseau. Un
réseau est composé de deux topologies: physique et logique.
1.2.3.1 TOPOLOGIE PHYSIQUE
La topologie physique du réseau se rapporte à la
disposition des équipements et des supports. Ainsi, nous avons :
a) Topologie en bus
Tous les équipements d'une topologie en bus sont
connectés par un même câble, qui passe d'un ordinateur
à l'autre, comme le ferait un bus qui traverse la ville. C'est pourquoi
on parle souvent de bus linéaire. L'extrémité du segment
de câble principal doit comporter un terminateur qui absorbe le signal
lorsque ce dernier atteint la fin de la ligne ou du câble. En cas
d'absence de terminateur, le signal électrique représentant les
données est renvoyé à l'extrémité du
câble, ce qui génère une erreur sur le réseau. La
figure I.3 représente la topologie en bus.
Figure I.5 : Schéma réseau d'une topologie en
anneau
19
b) Topologie en étoile
La topologie en étoile est la plus utilisée sur
les réseaux locaux Ethernet. Cette topologie ressemble aux rayons d'une
roue de bicyclette. Elle est composée d'un point de connexion central.
Il s'agit d'un équipement, comme un hub ou un commutateur, où
tous les segments de câble se connectent. Chaque hôte du
réseau est connecté à l'équipement central par son
propre câble. La figure I.4 représente la topologie en
étoile.
Figure I.4 : Schéma réseau d'une topologie en
étoile
c) Topologie en anneau
La topologie en anneau est également très
utilisée pour la connectivité des réseaux locaux. Comme
son nom l'indique, la forme de connexion des hôtes est celle d'un cercle
ou d'un anneau. Contrairement à la topologie en bus, aucune de ses
extrémités ne nécessite de terminaison. Le mode de
transmission des données est différent de celui utilisé
dans les topologies en étoile ou en bus. Une trame, appelée
jeton, circule autour de l'anneau et s'arrête à chaque noeud. Si
un noeud souhaite transmettre des données, il ajoute les données
et les informations sur les adresses à la trame. La trame continue de
circuler autour de l'anneau jusqu'à ce qu'elle trouve le noeud de
destination. Ce dernier récupère alors les données dans la
trame. L'avantage de cette topologie est qu'il n'y a pas de risque de
collisions de paquets de données. La figure I.5 représente la
topologie en anneau.
20
d) Topologie maillée
La topologie maillée permet de connecter tous les
équipements, ou noeuds, entre eux afin d'obtenir une redondance et,
donc, une tolérance aux pannes. Elle est utilisée sur les
réseaux étendus (WAN) pour interconnecter les réseaux
locaux, mais également pour les réseaux vitaux comme ceux
utilisés par les gouvernements. La mise en oeuvre de la topologie
maillée est difficile et onéreuse. La figure I.6
représente la topologie maillée.
Figure I.6 : Schéma réseau d'une topologie
maillée
1.2.3.2 TOPOLOGIE LOGIQUE
La topologie logique représente des voies par
lesquelles sont transmis les signaux sur le réseau (mode d'accès
des données aux supports et de transmission des paquets de
données).
I.3 MODÈLE OSI (OPEN SYSTEMS
INTERCONNECTION)
Modèle de référence pour l'interconnexion
de systèmes ouverts, ce modèle est fondé sur une
recommandation d'ISO (International Standards Organisation). Un système
ouvert est celui qui permet l''interconnexion avec d'autres système
ouverts afin de faciliter la communication et l'interopérabilité.
Cette architecture en couches permet de bien gérer la
complexité.
21
Le modèle de référence OSI est une
représentation abstraite en couches servant de guide à la
conception des protocoles réseau. Il divise le processus de
réseau en sept couches logiques, chacune comportant des
fonctionnalités uniques et se voyant attribuer des services et des
protocoles spécifiques. La figure I.7 représente le modèle
OSI
Figure I.7 : Schéma du fonctionnement du modèle
OSI
1.3.1 COUCHE PHYSIQUE
Elle s'occupe de:
La transmission de bits sur un canal de communication;
Initialisation de la connexion et relâchement à
la fin de la communication entre l'émetteur et le récepteur ;
L'interface mécanique, électrique et fonctionnelle;
Les supports physiques de transmission de données;
Résolution de possibilité de transmission
physique dans les deux sens (Half et Full duplex).
22
1.3.2 COUCHE LIAISON DES DONNEES
La tâche principale de la couche liaison de
données est de prendre un moyen de transmission brut et le transformer
en une liaison qui paraît exempter d'erreurs de transmission à la
couche réseau. Elle s'occupe aussi de:
En tant que récepteur, elle constitue des trames
à partir des séquences de bits reçus;
En tant qu'émetteur, elle constitue des trames à
partir des paquets reçus et les envoie en séquence. C'est elle
qui gère les trames d'acquittement renvoyées par le
récepteur.
La correction d'erreur et de contrôle de flux.
La couche liaison de données est souvent divisée
en deux sous-couches : une sous-couche supérieure et une sous-couche
inférieure.
La sous-couche supérieure
définit les processus logiciels qui fournissent des services
aux protocoles de couche réseau. La sous-couche LLC (Logical Link
Control) gère la communication entre les couches supérieures et
les logiciels de mise en réseau aussi entre les couches
inférieures et le matériel. La sous-couche LLC extrait les
données des protocoles réseau, en principe un paquet IPv4, et
leur ajoute des informations de contrôle pour faciliter la transmission
du paquet jusqu'au noeud de destination.
La sous-couche inférieure
définit les processus d'accès au support
exécutés par le matériel. Elle assure trois fonctions de
base : la délimitation des trames, l'adressage et la détection
d'erreurs.
Cette sous-couche ajoute un en-tête et un code de fin
à l'unité de données de protocole de la couche 3.
1.3.3 COUCHE RESEAU
La couche réseau permet de gérer le
sous-réseau, la façon dont les paquets sont acheminés de
la source à la destination. Elle s'occupe entre autre de :
L'adressage: La couche réseau doit
d'abord fournir un mécanisme pour l'adressage de ces
périphériques finaux. Si des éléments de
données individuels doivent être acheminés vers un
périphérique final, ce dernier doit posséder une adresse
unique. Dans un réseau IPv4. Actuellement il existe aussi la version 6
ou IPv6.
L'encapsulation: La couche réseau doit
également fournir une encapsulation, durant le processus
d'encapsulation, la couche 3 reçoit l'unité de données de
protocole de la couche 4 et ajoute un en-tête de la couche 3, pour
créer l'unité de données de protocole de couche 3. Dans un
contexte de couche réseau, cet unité de données de
protocole est appelée paquet.
23
V' Le routage: La couche réseau doit
ensuite fournir des services pour diriger ces paquets vers leur hôte de
destination. Les hôtes source et de destination ne sont pas toujours
connectés au même réseau. En fait, le paquet peut avoir de
nombreux réseaux à traverser. En route, chaque paquet doit
être guidé sur le réseau afin d'atteindre sa destination
finale.
V' Le décapsulage: Enfin, le paquet
arrive sur l'hôte de destination et est traité par la couche 3.
L'hôte examine l'adresse de destination pour vérifier si le paquet
était bien adressé à ce périphérique. Si
l'adresse est correcte, le paquet est décapsulé par la couche
réseau, et l'unité de données de protocole de la couche 4
contenue dans le paquet est transmise au service approprié de la couche
transport.
1.3.4 COUCHE TRANSPORT
Un des rôles les plus importants de la couche transport,
est la gestion de la communication fiable de bout en bout, entre
l'émetteur et le récepteur, qui agissent comme machines
d'extrémité, alors que les protocoles de couches basses agissent
entre machines voisines. La connexion de transport la plus courante consiste en
un canal point-à-point, exempt d'erreurs, délivrant les messages
ou les octets dans l'ordre d'émission.
Cela suppose un contrôle d'erreurs et de flux entre
hôtes, assemblage et désassemblage de données.
1.3.5 COUCHE SESSION
La couche session permet aux utilisateurs travaillant sur
différentes machines, d'établir entre eux un type de connexions
appelées « sessions ». Un utilisateur peut aussi
établir une session pour se connecter à un système temps
partagé ou transférer un fichier entre 2 machines. Un des
rôles de la couche session concerne la gestion du dialogue. Les sessions
peuvent utiliser le mode unidirectionnel ou bidirectionnel du trafic. Quand on
travaille en mode bidirectionnel alterné (half-duplex logique), la
couche session détermine qui a le contrôle. Ce type de service est
appelé gestion du jeton.
1.3.6 COUCHE PRESENTATION
A la différence des couches inférieures, qui
sont seulement concernées par la transmission fiable des bits d'un point
à un autre, la couche présentation s'intéresse à la
syntaxe et la sémantique de l'information transmise.
I.4.7 COUCHE APPLICATION
Cette couche comporte de nombreux protocoles utilisés
tels que: terminal virtuel (ex: TELNET) ; courrier électronique;
exécution de travaux à distance; consultation base de
données.
24
I.5 Modèle TCP/IP
Le premier modèle de protocole en couches pour les
communications inter réseau fut créé au début des
années 70 et est appelé modèle Internet. Il définit
quatre catégories de fonctions qui doivent s'exécuter pour que
les communications réussissent.
La plupart de modèles de protocole décrivent une
pile de protocoles spécifique au fournisseur. Cependant, puisque le
modèle TCP/IP est une norme ouverte, aucune entreprise ne contrôle
la définition du modèle. Les définitions de la norme et
des protocoles TCP/IP sont traitées dans un forum public et
définies dans un ensemble des documents disponible au public. Ces
documents sont appelés documents RFC (Request For Comments). Ils
contiennent les spécifications formelles des protocoles de
données ainsi que des ressources qui décrivent l'utilisation des
protocoles.
Les documents RFC contiennent également des documents
techniques et organisationnels concernant Internet, y compris les
spécifications techniques et les documents de stratégie fournis
par le groupe de travail IETF. Ce modèle est divisé en 4 couches,
à savoir :
I.5.1 COUCHE ACCES RESEAU
La couche interface réseau du modèle TCP/IP
correspond à la couche liaison de données et à la couche
physique du modèle OSI. Cette couche définit les fonctions TCP/IP
associées à l'étape de préparation des
données avant leur transfert sur support physique, notamment
l'adressage. La couche interface réseau détermine
également les types de support qui peuvent être utilisés
pour la transmission des données.
I.5.2 COUCHE INTERNET
La couche Internet du modèle TCP/IP définit
l'adressage et la sélection du chemin. Cette fonction est identique
à la couche réseau du modèle OSI. Les routeurs utilisent
les protocoles de la couche Internet pour identifier le chemin que les paquets
de données emprunteront lors de leur transfert d'un réseau
à l'autre. Parmi les protocoles définis dans cette couche
figurent les protocoles IP, ICMP (Internet Control Message Protocol), ARP
(Address Resolution Protocol) et RARP (Reverse Address Resolution Protocol).
I.5.3 COUCHE TRANSPORT
La couche transport segmente les données et se charge
du contrôle nécessaire au réassemblage de ces blocs de
données dans les divers flux de communication. Pour ce faire, elle doit
:
Effectuer un suivi des communications individuelles entre les
applications résidant sur les hôtes source et de destination ;
Segmenter les données et gérer chaque bloc
individuel ; Réassembler les segments en flux de données
d'application ;
25
Identifier les différentes applications ;
Contrôle de flux.
La couche transport utilise le protocole TCP (Transmission
Control Protocol) et le protocole UDP (User Datagram Protocol). Ces deux
protocoles gèrent les communications de nombreuses applications.
Le protocole UDP (User Datagram Protocol) est un protocole
simple, sans connexion, décrit par le document RFC 768. Il
présente l'avantage d'imposer peu de surcharge pour l'acheminement des
données. Les blocs de communications utilisés dans le protocole
UDP sont appelés des datagrammes. Ces datagrammes sont envoyés
« au mieux » par ce protocole de couche transport.
Le protocole UDP est notamment utilisé par des
applications de :
Système de noms de domaine (DNS) ;
Voix sur IP (VoIP) ;
SNMP (Simple Network Management Protocol) ;
DHCP (Dynamic Host Configuration Protocol) ;
RIP (Routing Information Protocol) ;
TFTP (Trivial File Transfer Protocol).
Etc....
Le protocole TCP (Transmission Control Protocol) est un
protocole avec connexion décrit dans le document RFC 793. Il impose une
surcharge pour accroître les fonctionnalités, spécifie
aussi d'autres fonctions, à savoir la livraison dans l'ordre,
l'acheminement fiable et le contrôle du flux. Chaque segment du protocole
TCP utilise 20 octets de surcharge dans l'en-tête pour encapsuler les
données de la couche application alors que chaque segment du protocole
UDP n'ajoute sur 8 octets de surcharge.
Le protocole TCP est utilisé par des applications de
:
.
Navigateurs Web (HTTP) ;
Courriel ;
Transfert de fichiers (FTF)
26
I.5.4 COUCHE APPLICATION
La couche application est la couche qui sert d'interface entre
les applications que nous utilisons pour communiquer et le réseau
sous-jacent via lequel nos messages sont transmis. Les protocoles de couche
application sont utilisés pour échanger des données entre
les programmes s'exécutant sur les hôtes source et de destination.
Il existe de nombreux protocoles de couche application.
Les protocoles de couche application sont les suivants :
a) Le protocole DNS (Domaine Name Service)
Sur les réseaux de données, les
périphériques sont étiquetés par des adresses IP
numériques, ce qui leurs permettent de participer à l'envoi et
à la réception des messages via le réseau. Cependant, la
plupart des utilisateurs mémorisent très difficilement ces
adresses numériques. C'est pour cette raison, que des noms de domaine
ont été créés pour convertir les adresses
numériques en noms simples et explicites.
Sur Internet, ces noms de domaine (par exemple,
www.ista.ac.cd) sont beaucoup plus faciles à mémoriser que leurs
équivalents numériques (par exemple, 198.133.219.25, l'adresse
numérique du serveur de l'ISTA). De plus, si l'ISTA décide de
changer d'adresse numérique, ce changement est transparent pour
l'utilisateur car le nom de domaine demeure www.ista.ac.cd.
b) Le protocole HTTP (Hypertext Transfer
Protocol)
Le protocole HTTP est l'un des protocoles de la suite TCP/IP,
qui a été développé pour publier et extraire des
pages HTML. Le protocole HTTP est utilisé à travers le Web pour
le transfert des données et constitue l'un des protocoles d'application
les plus utilisés.
c) Les protocoles POP (Post Office Protocol) et SMTP
(Simple Mail Transfer Protocol)
Lorsque l'utilisateur rédige un courriel, il fait
généralement appel à une application connue sous le nom
d'agent de messagerie, ou client de messagerie. L'agent de messagerie permet
l'envoi des messages et place les messages reçus dans la boîte aux
lettres du client, ces deux processus étant des processus distincts.
Pour recevoir le courriel d'un serveur de messagerie, le
client de messagerie peut utiliser le protocole POP. L'envoi de courriel
à partir d'un client ou d'un serveur implique l'utilisation de commandes
et de formats de messages définis par le protocole SMTP.
27
d) Le protocole FTP (File Transfer Protocol)
Le protocole FTP est un autre protocole de couche application
couramment utilisé. Il a été développé pour
permettre le transfert de fichiers entre un client et un serveur. Un client FTP
est une application s'exécutant sur un ordinateur et utilisée
pour extraire des fichiers d'un serveur exécutant le démon FTP
(FTPd).
Pour transférer les fichiers correctement, le
protocole FTP nécessite que deux connexions soient établies entre
le client et le serveur : une connexion pour les commandes et les
réponses et une autre pour le transfert même des fichiers.
Le client établit la première connexion au
serveur sur le port TCP 21, cette connexion est utilisée pour le trafic
de contrôle et se compose de commandes clientes et de réponses
serveur. Le client établit la seconde connexion au serveur via le port
TCP 20.
e) Le protocole DHCP (Dynamic Host Configuration
Protocol)
Le protocole DHCP permet aux périphériques d'un
réseau d'obtenir d'un serveur DHCP des adresses IP et autres
informations. Ce service automatise l'affectation des adresses IP, des masques
de sous-réseau, des paramètres de passerelle et autres
paramètres de réseau IP.
f) Le protocole TELNET
Telnet date du début des années 70 et compte
parmi les plus anciens protocoles et services de couche application de la suite
TCP/IP. Telnet offre une méthode standard permettant d'émuler les
périphériques terminaux texte via le réseau de
données. Le terme Telnet désigne généralement le
protocole lui-même et le logiciel client qui le met en oeuvre.
Logiquement, une connexion qui utilise Telnet est
nommée connexion ou session VTY (Virtual Terminal). Plutôt que
d'utiliser un périphérique physique pour se connecter au serveur,
Telnet utilise un logiciel pour créer un périphérique
virtuel qui offre les mêmes fonctionnalités qu'une session de
terminal avec accès à l'interface de ligne de commande (CLI,
Command Line Interface) du serveur.
28
I.6 NORMES ET TECHNOLOGIES DES RESEAUX LOCAUX 2
I.6.1 ETHERNET (IEEE 802.3)
Les bases de la technologie Ethernet sont apparues dans les
années 70, avec un programme appelé Alohanet. Il s'agissait d'un
réseau radio numérique conçu pour transmettre les
informations via une fréquence radio partagée entre les
îles hawaïennes. Avec Alohanet, toutes les stations devaient suivre
un protocole selon lequel une transmission sans reçu devait être
retransmise après un court délai. Des techniques similaires
permettant d'utiliser un support partagé ont été
appliquées plus tard à la technologie filaire, sous la forme
d'Ethernet. Ethernet a été développé dans
l'objectif d'accueillir plusieurs ordinateurs interconnectés sur une
topologie de bus partagée.
La première version d'Ethernet incorporait une
méthode de contrôle de l'accès aux supports appelée
CSMA/CD (Carrier Sense Multiple Access with Collision Detection). Cette
méthode d'accès a permis de résoudre les problèmes
liés à la communication de plusieurs périphériques
sur un support physique partagé.
I.6.2 TOKEN RING (ANNEAU A JETON)
La société IBM est à l'origine de Token
Ring, une architecture de réseau fiable basée sur la
méthode de contrôle d'accès à passage de jeton.
L'architecture Token Ring est souvent intégrée aux
systèmes d'ordinateur central IBM. Elle est utilisée à la
fois avec les ordinateurs classiques et les ordinateurs centraux. Il utilise la
norme IEEE 802.5.
La technologie Token Ring est qualifiée de topologie en
« anneau étoilé » car son apparence extérieure
est celle d'une conception en étoile. Les ordinateurs sont
connectés à un concentrateur central, appelé Unité
d'Accès Multi Station (MSAU). Au sein de ce périphérique,
cependant, le câblage forme un chemin de données circulaire,
créant un anneau logique. L'anneau logique est créé par la
circulation du jeton, qui va du port de l'unité MSAU à un
ordinateur.
Si l'ordinateur n'a aucune donnée à envoyer, le
jeton est renvoyé au port MSAU, puis en ressort par un autre port pour
accéder à l'ordinateur suivant. Ce processus se poursuit pour
tous les ordinateurs offrant une grande similarité avec un anneau
physique.
I.6.3. FDDI (Fiber Distributed Data Interface)
FDDI (Interface de Données Distribuées sur
Fibre) est un type de réseau Token Ring. L'implémentation et la
topologie FDDI est différente de celles d'une architecture de
réseau local Token Ring d'IBM. L'interface FDDI est souvent
utilisée pour connecter différents bâtiments au sein d'un
campus universitaire ou d'une structure d'entreprise complexe. Les
réseaux FDDI fonctionnent par câble en fibre optique. Ils allient
des performances haute vitesse aux avantages de la topologie en anneau avec
passage de jeton. Les réseaux FDDI offrent un débit de 100
Mbits/s sur une topologie en double anneau. L'anneau extérieur est
appelé anneau primaire et l'anneau intérieur c'est anneau
secondaire.
2www.cisco.netacad.net
29
I.7 SUPPORTS ET EQUIPEMENTS RESEAUX LOCAUX
I.7.1 SUPPORTS DE TRANSMISSION
Les supports de transmissions peuvent être
décrits comme le moyen d'envoi des signaux ou données d'un
ordinateur à l'autre. Les signaux peuvent être transmis via un
câble, mais également à l'aide des technologies sans fil.
Nous traiterons les types de support suivants:
Cuivre : coaxial et paire torsadée ;
Verre : fibre optique ; Ondes : sans fil.
a) Câble à paire torsadé
Le câble à paire torsadée est
utilisé pour les communications téléphoniques et pour la
plupart des réseaux Ethernet récents. Une paire de fils forme un
circuit qui peut transmettre des données. Les paires sont
torsadées afin d'empêcher la diaphonie, c'est-à-dire le
bruit généré par les paires adjacentes.
Il existe deux types de pair torsadée: Paire
torsadée blindée (STP) ;
Paire torsadée non blindée (UTP). 1. Paire
torsadée blindée
Le câble à paire torsadée blindée
(STP) allie les techniques de blindage, d'annulation et de torsion des fils.
Chaque paire de fils est enveloppée dans une feuille métallique
afin de protéger davantage les fils contre les bruits. Les quatre paires
sont elles-mêmes enveloppées dans une tresse ou une feuille
métallique. Le câble STP réduit le bruit électrique
à l'intérieur du câble (diaphonie), mais également
à l'extérieur du câble (interférences
électromagnétiques et interférences de
radiofréquences).La figure I.8 représente le câble
blindé.
30
Figure I.8 : Les constituants du Câble STP
2. Paire torsadée non blindée
Le câble à paire torsadée non
blindée (UTP) est utilisé sur différents réseaux.
Il comporte deux ou quatre paires de fils. Ce type de câble compte
uniquement sur l'effet d'annulation produit par les paires torsadées
pour limiter la dégradation du signal due aux interférences
électromagnétiques et aux interférences de
radiofréquences. Le câble UTP est le plus fréquemment
utilisé pour les réseaux Ethernet. La figure I.9
représente le câble UTP.
Figure I.9 : Les constituants du Câble UPT
b) Le câble coaxial
Un câble coaxial est constitué d'une partie
centrale (appelée âme), c'est-à-dire un fil de cuivre,
enveloppé dans un isolant, puis d'un blindage métallique
tressé et enfin d'une gaine extérieure.
31
c) Câble à fibre optique
Le câble à fibre optique est un de réseau
capable d'acheminer des impulsions lumineuses modulées. La modulation de
la lumière consiste à manipuler la lumière de telle sorte
qu'elle transmette des données lors de sa circulation. Les fibres
optiques comportent un coeur de brins de verre ou de plastique (et non de
cuivre), à travers lesquels les impulsions lumineuses transportent les
signaux.
Elles présentent de nombreux avantages par rapport au
cuivre au niveau de la largeur de bande passante et de
l'intégrité du signal sur la distance. Tandis que, le
câblage en fibre est plus difficile à utiliser et plus couteuse
que le câblage en cuivre.
d) Supports sans fil
La communication sans fil s'appuie sur des équipements
appelés émetteurs et récepteurs. La source interagit avec
l'émetteur qui convertit les données en ondes
électromagnétiques, puis les envoie au récepteur. Le
récepteur reconvertit ensuite ces ondes électromagnétiques
en données pour les envoyer à la destination. Dans le cadre de la
communication bidirectionnelle, chaque équipement nécessite un
émetteur et un récepteur. La plupart des fabricants
d'équipements de réseau intègrent l'émetteur et le
récepteur dans une même unité appelée
émetteur-récepteur ou carte réseau sans fil.
Tous les équipements d'un réseau local sans fil
doivent être dotés de la carte réseau sans fil
appropriée.
Quatre normes de communications de données courantes
s'appliquent aux supports sans fil à savoir:
Norme IEEE 802.11 : la technologie de
réseau local sans fil (WLAN), couramment appelée Wifi, utilise un
système de contention ou système non déterministe
basé sur un processus d'accès au support par accès
multiple avec écoute de porteuse/évitement de collision
(CSMA/CA).
Norme IEEE 802.15 : la norme de réseau
personnel sans fil (PAN), couramment appelée Bluetooth, utilise un
processus de jumelage de périphériques pour communiquer sur des
distances de 1 à 100 mètres.
Norme IEEE 802.16 : la technologie
d'accès couramment appelée Wi MAX (World wide Interoperability
for Microwave Access) utilise une topologie point-à-multipoint pour
fournir un accès à large bande sans fil.
I.7.2 EQUIPENTS RESEAUX3
Un réseau local est composé de nombreux types
d'équipement. Ces derniers sont appelés des composants
matériels du réseau local. Certains des composants
matériels les plus utilisés pour les réseaux locaux sont
les suivants : répéteurs, hubs, ponts et commutateurs.
3GUY PUJOLLE., les réseaux 6ème
édition, éditions EYROLLES, 2008, page 704
32
a) Répéteur
Un répéteur est un équipement
réseau qui a pour rôle de régénérer et de
retransmettre le signal. Le répéteur reçoit un signal, le
régénère et le retransmet. En général, les
répéteurs sont utilisés aux périphéries des
réseaux afin d'allonger le câble et de permettre ainsi l'ajout de
postes de travail supplémentaire. Un répéteur est
placé entre deux objets afin d'augmenter l'intensité du signal du
câble.
b) Concentrateur Hub
Les concentrateurs sont des périphériques qui
permettent d'étendre la portée du réseau en recevant des
données sur un port, puis en les régénérant et en
les envoyant à tous les autres ports. Ce processus signifie que
l'ensemble du trafic provenant d'un périphérique connecté
au concentrateur est transféré à tous les autres
périphériques également connectés au concentrateur,
à chaque fois que celui-ci transmet des données.
c) Commutateur
Le commutateur est donc un périphérique plus
sophistiqué que le concentrateur, le commutateur conserve une table des
adresses MAC des ordinateurs connectés à chacun de ses ports.
Lorsqu'une trame arrive sur un port, le commutateur compare les données
d'adresse de la trame à sa table d'adresses MAC. Il détermine
alors quel port utilisé pour transférer la trame.
d) Routeur
Le routeur est un équipement spécialisé
qui joue un rôle clé dans le fonctionnement d'un réseau de
données. Les routeurs sont principalement chargés de
l'interconnexion des réseaux en déterminant le meilleur chemin
pour envoyer des paquets et transférer ces derniers vers leur
destination.
Ils effectuent aussi le transfert de paquets en obtenant des
informations sur les réseaux distants et en gérant les
informations de routage. En plus de cela il est la jonction, ou intersection,
qui relie plusieurs réseaux IP.
La table de routage du routeur permet de trouver la meilleure
correspondance entre l'IP de destination d'un paquet et une adresse
réseau dans la table de routage. Au final, la table de routage
détermine l'interface de sortie pour transférer le paquet et le
routeur encapsule ce paquet dans la trame liaison de données
appropriée pour cette interface sortante.
33
I.8 CONCLUSION
La connaissance préalable d'une infrastructure
réseau et différents matériels utilisé dans le
réseau est une étape nécessaire pour acquérir la
maitrise globale d'un environnement réseau.
Ce chapitre vient de décrire les types de
réseaux, les supports de transmission ainsi que les composants
matériels qui les constituent. Le chapitre suivant va aborder les
considérations générales sur la VoIP.
CHAPITRE II : CONSIDERATIONS GENERALES SUR LA VoIP
II.1 INTRODUCTION
Dans ce chapitre, nous allons décrire le fonctionnement
de la VoIP, ses protocoles, mais aussi les matériels adaptés
à son implémentation.
Nous ferons également allusion aux avantages que cette
nouvelle technologie occasionne lors qu'elle est mise en oeuvre.
II.2 PRESENTATION DE LA STRUCTURE VOIX SUR
IP4 II.2.1 DEFINITION
La VoIP signifie Voice over Internet Protocol ou Voix sur IP
(IP = Protocole Internet). Comme son nom l'indique, la voix sur IP
(VoIP) désigne la technique d'acheminement des appels
téléphoniques sur un réseau de données IP, qu'il
s'agisse d'Internet ou du réseau IP interne propre à une
entreprise.
On parle de la téléphonie sur IP
(Telephony Over IP ou ToIP) quand, en plus de transmettre de
la voix, on associe les services de téléphonie, tels
l'utilisation de combinés téléphoniques, les fonctions de
centraux téléphoniques (transfert d'appel, messagerie,..), et
bien entendu la liaison au réseau RTC.
II.2.2 ARCHITECTURE DE LA VoIP
La VoIP étant une nouvelle technologie de
communication, elle n'a pas encore de standard unique. En effet, chaque
constructeur apporte ses normes et ses fonctionnalités à ses
solutions. Les trois principaux protocoles utilisés sont H.323, SIP et
MGCP/MEGACO. Il existe plusieurs approches pour offrir des services de
téléphonie et de visiophonie sur des réseaux IP. Certains
placent l'intelligence dans le réseau alors que d'autres
préfèrent une approche égale à égale avec
l'intelligence répartie à chaque périphérie.
Chacune ayant ses avantages et ses inconvénients.
La figure II.1 décrit, de façon
générale, la topologie d'un réseau de
téléphonie IP.
Elle comprend toujours des terminaux, un serveur de
communication et une passerelle vers les autres réseaux. Chaque norme a
ensuite ses propres caractéristiques pour garantir une plus ou moins
grande qualité de service. L'intelligence du réseau est aussi
déportée soit sur les terminaux, soit sur les passerelles/
contrôleur de commutation, appelées Gatekeeper.
Dans une architecture VoIP, on trouve les éléments
communs suivants :
4
http://
www.frameip.com/voip/, Voix sur IP - VoIP, Consulté le 12
Novembre 2012 à 2OH37
35
? Le routeur : permet d'aiguiller les données et le
routage des paquets entre deux réseaux. Certains routeurs permettent de
simuler un Gatekeeper grâce à l'ajout de cartes
spécialisées supportant les protocoles VoIP.
? La passerelle : permet d'interfacer le réseau
commuté et le réseau IP.
? Le PABX : est le commutateur du réseau
téléphonique classique. Il permet d'établir le lien entre
la passerelle ou le routeur, et le réseau téléphonique
commuté (RTC). Toutefois, si tout le réseau devient IP, ce
matériel devient obsolète.
? Les Terminaux : sont généralement de type
logiciel (software phone) ou matériel (hardphone). Le softphone est
installé dans le PC de l'utilisateur, l'interface audio peut être
un microphone et des haut-parleurs branchés sur la carte son, même
si un casque est recommandé. Pour une meilleure clarté, un
téléphone USB ou Bluetooth peut aussi être
utilisé.
Le hardphone est un téléphone IP qui utilise la
technologie Voix sur IP pour permettre des appels téléphoniques
sur un réseau IP, tel que l'Internet au lieu de l'ordinaire
système PSTN. Les appels peuvent parcourir par le réseau internet
comme par un réseau privé. Un terminal utilise des protocoles
comme le SIP (Session Initiation Protocol) ou l'un des protocoles
propriétaires tel que celui utilisé par Skype. Cette Figure II.1
représente l'architecture d'un réseau VoIP.
Figure II.1 : Architecture d'un réseau VoIP
5 DA CUNHA José, VoIP et
Asterisk/Trixbox, metrise en systèmes distribués et
réseaux, Université de Franche Comté, 2007-2008.
36
II.2.3 PRINCIPE DE FONCTIONNEMENT5
Le principe de la voix sur IP est basé sur la
numérisation de la voix, c'est-à-dire le passage d'un signal
analogique à un signal numérique. Celui-ci est compressé
en fonction des codecs choisis, cette compression a comme but de réduire
la quantité d'information qui est transmise sur le réseau (comme
par exemple la suppression des silences). Le signal obtenu est
découpé en paquets, à chaque paquet on ajoute les
entêtes propres au réseau (IP, UDP, RTP....) et pour finir, il est
envoyé sur le réseau. Ce principe est illustré dans la
figure II.2.
Figure II.2 : Passage du signal analogique au signal
numérique
A l'arrivée, les paquets transmis sont
réassemblés en supprimant d'abord les entêtes. Le signal de
données ainsi obtenu est décompressé puis converti en
signal analogique afin que l'utilisateur puisse écouter le message
d'origine.
II.2.4 LES CONTRAINTES DE LA VOIX SUR IP
La qualité du transport de la voix est affectée par
les paramètres suivants :
V' La qualité du codage ;
V' Le délai d'acheminement (delay) ; V' La gigue (jitter)
;
V' La perte de paquets (packetloss) ; V' L'écho.
Toutes ces contraintes déterminent la QoS (Quality of
Service ou Qualité de service en français). Le transport de la
voix sur IP implique l'utilisation de nombreux protocoles, tels : RTP, RTCP,
H245, H225,...
Des normes ont vu le jour afin que les équipements de
différentes entreprises puissent Communiquer entre eux, la
première fut H.323, puis arriva la norme SIP en second lieu.
37
II.2.4.1 QUALITE DU CODAGE
Généralement, plus le taux de compression est
élevé par rapport à la référence de 64Kb/s
(G711), moins la qualité de la voix est bonne. Toutefois, les
algorithmes de compression récents permettent d'obtenir des taux de
compression élevés, tout en maintenant une qualité de la
voix acceptable. L'acceptabilité par l'oreille humaine des
différents algorithmes est définie selon le critère MOS
(Mean Operationnal Score), défini par l'organisme de normalisation
internationale ITU (International Telecommunication Union / Union
internationale des Télécommunications). Dans la pratique, les
deux algorithmes les plus utilisés sont le G.729 et le G.723.1.Le
tableau II.1 ci-après montre une liste de codecs avec leur débit
correspondant :
Tableau II.1: Liste des codecs avec leur
débit correspondant
|
Nom du codec
|
Débit
|
|
G.711
|
64 kbps
|
|
G.726 b
|
32 kbps
|
|
G.726 a
|
24 kbps
|
|
G.728
|
16 kbps
|
|
G.729
|
8 kbps
|
|
G.723.1
|
MPMLQ 6.3 kbps
|
|
G.723.1
|
ACELP 5.3 kbps
|
II.2.4.2 DELAI D'ACHEMINEMENT : LATENCE (Delay)
Selon la norme ITU G114, le délai d'acheminement permet :
V' Entre 0 et 150 ms, une conversation normale
;
V' Entre 150 et 300 ms, une conversation de
qualité acceptable ;
V' Entre 300 et 700 ms, uniquement une
diffusion de voix en half duplex (mode talkie-walkie) Au-delà, la
communication n'est plus possible.
Précisons que le budget temps (latence) est une
combinaison du délai dû au réseau et du délai
lié au traitement de la voix par le codec (algorithmes de
compression/décompression de la voix). Dans la pratique, si l'on
enlève le temps dû aux algorithmes de compression, il est
impératif que le réseau achemine la voix dans un délai de
100 à 200 ms. Or, la durée de traversée d'un réseau
IP est dépendante du nombre de routeurs traversés ; le temps de
traversée d'un routeur étant lui-même fonction de la charge
de ce dernier qui fonctionne par file d'attente.
38
II.2.4.3 GIGUE (JITTER)
La gigue (variation des délais d'acheminement des
paquets voix) est générée par la variation de charge du
réseau (variation de l'encombrement des lignes ou des équipements
réseau) et donc à la variation de routes dans le réseau.
Chaque paquet est en effet susceptible de transiter par des combinaisons
différentes de routeurs entre la source et la destination. Pour
compenser la gigue, on peut utiliser des buffers (mémoire tampon)
côté récepteur, afin de reconstituer un train continu et
régulier de paquets voix. Toutefois, cette technique a
l'inconvénient de rallonger le délai d'acheminement des paquets.
Il est donc préférable de disposer d'un réseau à
gigue limitée.
II.2.4.4 PERTE DES PAQUETS
Lorsque les routeurs IP sont congestionnés, ils
libèrent automatiquement de la bande passante en se débarrassant
d'une certaine proportion des paquets entrants en fonction de seuils
prédéfinis.
La perte de paquets est préjudiciable, car il est
impossible de réémettre un paquet voix perdu, compte tenu du
temps dont on dispose. Le moyen le plus efficace de lutter contre la perte
d'informations consiste à transmettre des informations redondantes (code
correcteur d'erreurs), qui vont permettre de reconstituer l'information perdue.
Des codes correcteurs d'erreurs, comme le Reed Solomon, permettent de
fonctionner sur des lignes présentant un taux d'erreur de l'ordre de 15
ou 20 %. Une fois de plus, ces codes correcteurs d'erreurs présentent
l'inconvénient d'introduire une latence supplémentaire. Certains,
très sophistiqués, ont une latence très faible.
II.2.4.5 ECHO
L'écho est un phénomène lié
principalement à des ruptures d'impédance lors du passage de 2
fils à 4 fils. Le phénomène d'écho est
particulièrement sensible à un délai d'acheminement
supérieur à 50 ms. Il est donc nécessaire d'incorporer un
équipement ou un logiciel qui permet d'annuler l'écho.
II.3 LES PROTOCOLES DE SIGNALISATION
Un protocole est un ensemble de spécifications
décrivant les conventions et les règles à suivre dans un
échange de données. Jusqu'à présent, il existe
trois standard ou protocoles qui permettent la mise en place d'un service VoIP.
Le plus connu est le standard H.323, ensuite, plus ancien le MGCP (Media
Gateway Control Protocol) et le plus récent SIP. Notre étude sera
basée sur les protocoles les plus utilisés : H323 et SIP que nous
allons développer dans cette section.
39
II.3.1 LE PROTOCOLE H.3236
II.3.1.1 DESCRIPTION GENERALE DU PROTOCOLE H.323
Le standard H.323 fournit, depuis son approbation en 1996, un
cadre pour les communications audio, vidéo et de données sur les
réseaux IP. Il a été développé par l'ITU
(International Télécommunications Union) pour les réseaux
qui ne garantissent pas une qualité de service (QoS), tels qu'IPX sur
Ethernet, Fast Ethernet et Token Ring. Il est présent dans plus de 30
produits et il concerne le contrôle des appels, la gestion
multimédia, la gestion de la bande passante pour les conférences
point-à-point et multipoints. H.323 traite également de
l'interfaçage entre le LAN et les autres réseaux.
Le protocole H.323 fait partie de la série H.32x qui
traite de la vidéoconférence au travers différents
réseaux. Il inclu H.320 et H.324 liés aux réseaux ISDN
(Integrated Service Data Network) et PSTN (Public Switched Telephone
Network).
Plus qu'un protocole, H.323 crée une association de
plusieurs protocoles différents et qui peuvent être
regroupés en trois catégories : la signalisation, la
négociation de codec et le transport de l'information.
? Les messages de signalisation sont ceux envoyés pour
demander la mise en relation de deux clients, qui indique que la ligne est
occupée ou que le téléphone sonne, etc.
En H.323, la signalisation s'appuie sur le protocole RAS pour
l'enregistrement et l'authentification, le protocole Q.931 pour
l'initialisation et le contrôle d'appel.
? La négociation est utilisée pour se mettre
d'accord sur la façon de coder les informations à
échanger. Il est important que les téléphones (ou
systèmes) utilisent un langage commun s'ils veulent se comprendre. Il
s'agit du codec le moins gourmand en bande passante ou de celui qui offre la
meilleure qualité. Il serait aussi préférable d'avoir
plusieurs alternatives de langages. Le protocole utilisé pour la
négociation de codec est le H.245.
? Le transport de l'information s'appuie sur le protocole RTP
qui transporte la voix, la vidéo ou les données
numérisées par les codecs. Les messages RTCP peuvent être
utilisés pour le contrôle de la qualité, ou la
renégociation des codecs si, par exemple, la bande passante diminue.
Une communication H.323 se déroule en cinq phases :
l'établissement d'appel, l'échange de capacité et
réservation éventuelle de la bande passante à travers le
protocole RSVP (Ressource reservation Protocol), l'établissement de la
communication audio-visuelle, l'invocation éventuelle de services en
phase d'appel (par exemple, transfert d'appel, changement de bande passante,
etc.) et enfin la libération de l'appel.
6Laurent OUAKIL, GUY PUJOLLE,
Téléphonie sur IP, Eyrolles, Paris, 2008
40
II.3.1.2 ROLE DE COMPOSANTS
L'infrastructure H.323 repose sur quatre composants principaux
: les terminaux, les Gateways, les Gatekeepers, et les MCU (Multipoint Control
Unit). La figure II.3 représente les composants de l'architecture
H.323.
Figure II.3 : Les composants de l'architecture H.323
A. LES TERMINAUX H.323
Le terminal peut être un ordinateur, un combiné
téléphonique, un terminal spécialisé pour la
vidéoconférence ou encore un télécopieur sur
Internet. Le minimum imposé par H.323 est qu'il mette en oeuvre la norme
de compression de la parole G.711, qu'il utilise le protocole H.245 pour la
négociation de l'ouverture d'un canal et l'établissement des
paramètres de la communication, ainsi que le protocole de signalisation
Q.931 pour l'établissement et l'arrêt des communications.
Le terminal possède également des fonctions
optionnelles, notamment, pour le travail en groupe et le partage des documents.
Il existe deux types de terminaux H.323, l'un de haute qualité (pour une
utilisation sur LAN), l'autre optimisé pour de petites largeurs de
bandes (28,8/33,6 kbit/s - G.723.1 et H.263).
B. GATEWAY OU PASSERELLE
Les passerelles H.323 assurent l'interconnexion avec les
autres réseaux, ex:(H.320/RNIS), les modems H.324, les
téléphones classiques, etc. Elles assurent la correspondance de
signalisation de Q.931, la correspondance des signaux de contrôle et la
cohésion entre les médias (multiplexage, correspondance des
débits, transcodage audio).
41
C. GATEKEEPER OU PORTIERS
Dans la norme H323, Le Gatekeeper est le point d'entrée au
réseau pour un client H.323.
Il définit une zone sur le réseau,
appelée zone H.323 (voir figure II.4 ci-dessous), regroupant plusieurs
terminaux, Gateways et MCU dont il gère le trafic, le routage LAN, et
l'allocation de la bande passante. Les clients ou les Gateway s'enregistrent
auprès du Gatekeeper dès l'activation de celui-ci, ce qui leur
permet de retrouver n'importe quel autre utilisateur à travers son
identifiant fixe obtenu auprès de son Gatekeeper de rattachement.
Le Gatekeeper a pour fonctions :
? la translation des alias H.323 vers des adresses IP, selon
les spécifications RAS (Registration/Admission/Status) ;
? le contrôle d'accès, en interdisant les
utilisateurs et les sessions non Autorisés ;
? et la gestion de la bande passante, permettant à
l'administrateur du réseau de limiter le nombre de
visioconférences simultanées.
Concrètement, une fraction de la bande passante est
allouée à la visioconférence pour ne pas gêner les
applications critiques sur le LAN et le support des conférences
multipoint ad hoc.
Les composants du protocole H.323 sont
représentés dans la figure II.4, qui constitue une zone H.323
:
Figure II.4 : Zone H.323
42
D. LES MCU
Les contrôleurs multipoint appelés MCU
(Multipoint Control Unit) offrent aux utilisateurs la possibilité de
faire des visioconférences à trois terminaux et plus en «
présence continue » ou en « activation à la voix
». Un MCU consiste en un Contrôleur Multipoint (MC), auquel est
rajouté un ou plusieurs Processeurs Multipoints (MP). Le MC prend en
charge les négociations H.245 entre tous les terminaux pour harmoniser
les paramètres audio et vidéo de chacun. Il contrôle
également les ressources utilisées. Mais le MC ne traite pas
directement avec les flux audio, vidéo ou données, c'est le MP
qui se charge de récupérer les flux et de leurs faire subir les
traitements nécessaires. Un MC peut contrôler plusieurs MP
distribués sur le réseau et faisant partie d'autres MCU.
II.3.1.3 LES AVANTAGES ET INCOVENIENTS DU PROTOCOLE
H.3237 A. AVANTAGES
Les réseaux IP sont à commutation de paquets,
les flux de données transitent en commun sur une même liaison. Les
débits des réseaux IP doivent donc être adaptés en
fonction du trafic afin d'éviter tout risque de coupure du son (et de la
vidéo).
Tous les sites n'ont pas le même débit. Plus le
débit sera élevé et plus le risque de coupure sera faible.
Par ailleurs, tant que la qualité de service n'existera pas dans les
réseaux IP, la fiabilité des visioconférences sur les
lignes à faible débit sera basse.
Voici les principaux bénéfices qu'apporte la norme
H.323 :
? Codecs standards : H.323 établit des
standards pour la compression et la décompression des flux audio et
vidéo. Ceci assure que des équipements provenant de fabricants
différents ont une base commune de dialogue.
? Interopérabilité : Les
utilisateurs peuvent dialoguer sans avoir à se soucier de la
compatibilité du terminal destinataire. En plus d'assurer que le
destinataire est en mesure de décompresser l'information, H.323
établit des méthodes communes d'établissement et de
contrôle d'appel.
? Indépendance vis à vis du
réseau : H.323 est conçu pour fonctionner sur tout type
d'architecture réseau. Comme les technologies évoluent et les
techniques de gestion de la bande passante s'améliorent, les solutions
basées sur H.323 seront capables de bénéficier de ces
améliorations futures.
? Indépendance vis à vis des
plates-formes et des applications : H.323 n'est lié à
aucun équipement ou système d'exploitation.
? Support multipoint : H.323 supporte des
conférences entre trois terminaux ou plus sans nécessiter la
présence d'une unité de contrôle
spécialisée.
7
http://hi-tech-depanne.com/voip/
Consulté le 12 Février 2013 a 13H15
43
? Gestion de la bande passante : Le trafic
audio et vidéo est un grand consommateur de ressources réseau.
Afin d'éviter que ces flux ne congestionnent le réseau, H.323
permet une gestion de la bande passante à disposition. En particulier,
le gestionnaire du réseau peut limiter le nombre simultané de
connexions H.323 sur son réseau ou limiter la largeur de bande à
disposition de chaque connexion. De telles limites permettent de garantir que
le trafic important ne soit pas interrompu.
? Support multicast : H.323 supporte le
multicast dans les conférences multipoint. Multicast, c'est le fait
d'envoyer un paquet vers un sous ensemble de destinataires sans
réplication, permet une utilisation optimale du réseau.
Indispensable pour permettre un minimum
d'interopérabilité entre équipements de fournisseurs
différents, ce standard présente toutefois les
inconvénients suivants.
B. INCOVENIENTS
H.323 est un protocole complexe, créé
initialement pour les conférences multimédia et qui incorpore des
mécanismes superflus dans un contexte purement
téléphonique. Ceci a notamment des incidences au niveau des
terminaux H.323 (téléphones IP, par exemple) qui
nécessitent de ce fait une capacité mémoire et de
traitement non sans incidence au niveau de leur coût.
Il comprend de nombreuses options susceptibles d'être
implémentées de façon différentes par les
constructeurs et donc de poser des problèmes
d'interopérabilité ou de plus petit dénominateur commun
(dans le choix du codec, par exemple) ; D'autre part, comme le seul codec
obligatoire est le codec G.711 (64 Kbps) et que le support des autres codecs
plus efficaces est optionnel, l'interopérabilité entre produits
provenant de constructeurs différents ne signifie pas qu'ils feront un
usage optimal de la bande passante. En effet, dans le cas où les codecs
à bas débits sont différents, le transport de la voix se
fera à 64 Kbps, ce qui, en termes de bande passante, ne présente
guère d'avantages par rapport à un système
téléphonique classique.
Le protocole H.323 est une des normes envisageables pour la
voix sur IP à cause de son développement inspiré de la
téléphonie. Cependant, il est pour l'instant employé par
des programmes propriétaires (Microsoft, etc.). La documentation est
difficile d'accès car l'ITU fait payer les droits d'accès aux
derniers développements de cette technologie, en dehors des efforts
faits par le projet Open H.323 pour rendre cette technologie accessible
à tous. Ainsi son adaptation au réseau IP est assez lourde. C'est
pourquoi au fil des recherches est né le protocole SIP.
44
II.3.2 LE PROTOCOLE SIP
II.3.2.2 HISTORIQUE
SIP (Session Initiation Protocol) a été
normalisé par le groupe de travail WG MMUSIC (Work Group Multiparty
Multimedia Session Control) de l'IETF. La version 1 est sortie en 1997, et une
seconde version majeure a été proposée en mars 1999 (RFC
2543). Cette dernière a elle-même été largement
revue, complétée et corrigée en juin 2002 (RFC 3261). Des
compléments au protocole ont été définis dans les
RFC 3262 à 3265.
SIP est au sens propre un protocole de signalisation hors
bande pour l'établissement, le maintien, la modification, la gestion et
la fermeture de sessions interactives entre utilisateurs pour la
téléphonie et la vidéoconférence, et plus
généralement pour toutes les communications
multimédias.
Le protocole n'assure pas le transport des données
utiles, mais a pour fonction d'établir la liaison entre les
interlocuteurs. Autrement dit, il ne véhicule pas la voix, ni la
vidéo, mais assure simplement la signalisation. Il se situe au niveau de
la couche applicative du modèle de référence OSI et
fonctionne selon une architecture client-serveur, le client émettant des
requêtes et le serveur exécutant en réponse les actions
sollicitées par le client.
SIP fournit des fonctions annexes évoluées,
comme la redirection d'appel, la modification des paramètres
associés à la session en cours ou l'invocation de services. En
fait, SIP ne fournit pas l'implémentation des services, mais propose des
primitives génériques permettant de les utiliser. De cette
manière, l'implémentation des services est laissée libre,
et seul le moyen d'accéder aux services est fourni.
II.4.1.1 ARCHITECTURE DE SIP8
Contrairement à H.323, largement fondé sur une
architecture physique, le protocole SIP s'appuie sur une architecture purement
logicielle.
L'architecture de SIP s'articule principalement autour des cinq
entités suivantes :
V' terminal utilisateur ; V' serveur d'enregistrement ; V'
serveur de localisation ; V' serveur de redirection ; V' serveur proxy.
8Laurent OUAKIL, GUY PUJOLLE,
Téléphonie sur IP, Eyrolles, Paris, 2008
45
La figure II.5 illustre de façon
générique les communications entre ces éléments. Un
seul terminal étant présent sur cette figure, aucune
communication n'est possible. Nous nous intéressons en fait ici aux
seuls échanges entre le terminal et les services que ce dernier est
susceptible d'utiliser lors de ses communications.
Figure II.5 : Architecture du protocole SIP
On peut schématiquement observer qu'il existe deux
catégories de services:
L'un fourni au niveau de l'utilisateur (par le terminal),
l'autre fourni au niveau des serveurs du réseau. Ces derniers sont
répartis en deux classes : les serveurs de redirection et proxy, qui
facilitent le routage des messages de signalisation et jouent le rôle
d'intermédiaires, et les serveurs de localisation et d'enregistrement,
qui ont pour fonction d'enregistrer ou de déterminer la localisation des
abonnés du réseau.
a) Terminal
Le terminal est l'élément dont dispose
l'utilisateur pour appeler et être appelé. Il doit donc permettre
de composer des numéros de téléphone. Il peut se
présenter sous la forme d'un composant matériel (un
téléphone) ou d'un composant logiciel (un programme lancé
à partir d'un ordinateur).
46
Le terminal est appelé UA (User Agent), est
constitué de deux sous-entités, comme illustré à la
figure II.6 :
Figure II.6 : Communication entre UAC et UAS
V' la partie cliente, appelée UAC (User Agent Client),
chargée d'émettre les requêtes, initie un appel ;
V' la partie serveur, appelée UAS (User Agent Server),
est en écoute, reçoit et traite les requêtes, répond
à un appel.
L'association des requêtes et des réponses entre
deux entités de type UA constitue un dialogue.
Par analogie, on peut remarquer que la même chose se
produit avec le protocole HTTP dans une application Web : un utilisateur
exploite son navigateur comme client pour envoyer des requêtes et
contacter une machine serveur, laquelle répond aux requêtes du
client. La différence essentielle par rapport aux applications standards
utilisant HTTP est qu'en téléphonie un terminal doit être
à la fois utilisé pour joindre un interlocuteur et pour appeler.
Chaque terminal possède donc la double fonctionnalité de client
et de serveur.
Lors de l'initialisation d'un appel, l'appelant exploite la
fonctionnalité client de son terminal (UAC), tandis que celui qui
reçoit la communication exploite sa fonctionnalité de serveur
(UAS).
La communication peut être clôturée
indifféremment par l'User Agent Client ou l'User Agent Server.
De nombreuses implémentations de clients SIP sont
disponibles sur les plates-formes les plus courantes, Windows, Linux ou Mac.
Elles sont le plus souvent gratuites, sous licence GPL.
Parmi les clients SIP les plus réputés, citons
notamment les suivants :
V' X-Lite Free;
V' 3CX Phone Free;
V' Phone Gaim; V' Wengo.
47
Ces clients SIP disposent de diverses fonctionnalités
améliorées. En choisir un est souvent affaire de goût,
selon l'ergonomie du logiciel et les caractéristiques souhaitées
(support d'un codec particulier, support de la messagerie instantanée,
etc.).
b) Serveur d'enregistrement
Deux terminaux peuvent communiquer entre eux sans passer par
un serveur d'enregistrement, à condition que l'appelant connaisse
l'adresse IP de l'appelé. Cette contrainte est fastidieuse, car un
utilisateur peut être mobile et donc ne pas avoir d'adresse IP fixe, par
exemple s'il se déplace avec son terminal ou s'il se connecte avec la
même identité à son lieu de travail et à son
domicile. En outre, l'adresse IP peut être fournie de manière
dynamique par un serveur DHCP.
Le serveur d'enregistrement (Register Server) offre un moyen
de localiser un correspondant avec souplesse, tout en gérant la
mobilité de l'utilisateur. Il peut en outre supporter l'authentification
des abonnés.
Dans la pratique, lors de l'activation d'un terminal dans un
réseau, la première action initiée par celui-ci consiste
à transmettre une requête d'enregistrement auprès du
serveur d'enregistrement afin de lui indiquer sa présence et sa position
de localisation courante dans le réseau. C'est la requête
REGISTER, que nous détaillons plus loin, que l'utilisateur envoie
à destination du serveur d'enregistrement. Celui-ci sauvegarde cette
position en l'enregistrant auprès du serveur de localisation.
L'enregistrement d'un utilisateur est constitué par
l'association de son identifiant et de son adresse IP. Un utilisateur peut
s'enregistrer sur plusieurs serveurs d'enregistrement en même temps. Dans
ce cas, il est joignable simultanément sur l'ensemble des positions
qu'il a renseignées.
c) Serveur de localisation
Le serveur de localisation (Location Server) joue un
rôle complémentaire par rapport au serveur d'enregistrement en
permettant la localisation de l'abonné.
Ce serveur contient la base de données de l'ensemble
des abonnés qu'il gère. Cette base est renseignée par le
serveur d'enregistrement. Chaque fois qu'un utilisateur s'enregistre
auprès du serveur d'enregistrement, ce dernier en informe le serveur de
localisation.
Presque toujours, le serveur de localisation et le serveur
d'enregistrement sont implémentés au sein d'une même
entité. On parle alors souvent non pas de serveur de localisation, mais
de service de localisation d'un serveur d'enregistrement, tant que ces
fonctionnalités sont proches et dépendantes.
Les serveurs de localisation peuvent être collaboratifs.
Le fonctionnement d'un serveur d'enregistrement est analogue à celui
d'un serveur DNS dans le monde Internet : pour joindre un site Internet dont on
ne connaît que le nom, il faut utiliser un serveur DNS, qui effectue la
conversion (on parle de résolution) du nom en adresse IP. Ce serveur a
connaissance d'une multitude d'adresses, qu'il peut résoudre parce
qu'elles appartiennent à son domaine ou qu'il a la capacité
d'apprendre dynamiquement en fonction des
48
échanges qu'il voit passer. Dès qu'un nom lui
est inconnu, il fait appel à un autre DNS, plus important ou dont le
domaine est plus adéquat. De la même manière, les serveurs
de localisation prennent en charge un ou plusieurs domaines et se
complètent les uns les autres.
d) Serveur de redirection
Le serveur de redirection (Redirect Server) agit comme un
intermédiaire entre le terminal client et le serveur de localisation. Il
est sollicité par le terminal client pour contacter le serveur de
localisation afin de déterminer la position courante d'un
utilisateur.
L'appelant envoie une requête de localisation d'un
correspondant (il s'agit en réalité d'un message d'invitation,
qui est interprété comme une requête de localisation) au
serveur de redirection. Celui-ci joint le serveur de localisation afin
d'effectuer la requête de localisation du correspondant à joindre.
Le serveur de localisation répond au serveur de redirection, lequel
informe l'appelant en lui fournissant la localisation trouvée. Ainsi,
l'utilisateur n'a pas besoin de connaître l'adresse du serveur de
localisation.
e) Serveur proxy
Le serveur proxy (parfois appelé serveur mandataire)
permet d'initier une communication à la place de l'appelant. Il joue le
rôle d'intermédiaire entre les terminaux des interlocuteurs et
agit pour le compte de ces derniers.
Le serveur proxy remplit les différentes fonctions
suivantes :
V' localiser un correspondant ;
V' réaliser éventuellement certains traitements sur
les requêtes ;
V' initier, maintenir et terminer une session vers un
correspondant.
Lorsqu'un utilisateur demande à un serveur proxy de
localiser un correspondant, ce dernier effectue la recherche, mais au lieu de
retourner le résultat au demandeur (comme le ferait un serveur de
redirection), il utilise cette réponse pour effectuer lui-même
l'initialisation de la communication en invitant le correspondant à
ouvrir une session.
Bien que fournissant le même type de service de
localisation qu'un serveur de redirection, un serveur proxy va donc plus loin
que la simple localisation, en initiant la mise en relation des correspondants
de façon transparente pour le client. Il peut acheminer tous les
messages de signalisation des terminaux, de l'initialisation de la
communication à sa terminaison, en passant par sa modification. En
contrepartie, le serveur proxy est une entité beaucoup plus
sollicitée que le serveur de redirection, et donc plus lourde.
Chaque terminal peut et devrait en principe disposer d'un tel
serveur sur lequel se reposer pour interpréter, adapter et relayer les
requêtes. En effet, le serveur proxy peut reformuler une requête du
terminal UAC afin de la rendre compréhensible par le serveur auquel
s'adresse l'UAC. Cela accroît la souplesse d'utilisation du terminal et
simplifie son usage.
49
Les serveurs proxy jouent aussi un rôle collaboratif,
puisque les requêtes qu'ils véhiculent peuvent transiter d'un
serveur proxy à un autre, jusqu'à atteindre le destinataire.
Notons que le serveur proxy ne fait jamais transiter de données
multimédias et qu'il ne traite que les messages SIP.
Le proxy est une entité très souvent
utilisée dans la pratique. Par analogie avec l'architecture
illustrée à la figure II.7, symbolisant l'organisation des
communications, on parle souvent du trapèze SIP pour désigner
l'ensemble formé par ces quatre entités.
Figure II.7 : Trapèze SIP
On distingue deux types de serveurs proxy, à savoir :
V' Proxy statefull, qui maintient pendant toute la
durée des sessions l'état des connexions.
V' Proxy stateless, qui achemine les messages
indépendamment les uns des autres, sans sauvegarder l'état des
connexions.
Les proxys stateless sont plus rapides et plus légers
que les proxys statefull, mais ils ne disposent pas des mêmes
capacités de traitement sur les sessions.
II.4.1.2 L'ADRESSAGE SIP
L'objectif de l'adressage est de localiser les utilisateurs
dans un réseau. C'est une des étapes indispensables pour
permettre à un utilisateur d'en joindre un autre.
Pour localiser les utilisateurs, il faut pouvoir les
identifier de manière univoque. SIP propose des moyens très
performants pour nommer les utilisateurs, grâce au concept d'URI,
classique sur Internet, que nous allons détailler avant de voir son
utilisation par SIP.
50
Un URI est formé d'une chaîne de
caractères. Sa syntaxe a été définie au CERN
(Centre Européen pour la Recherche Nucléaire) de Genève,
par Tim Berners-Lee dès 1989, dans le cadre du système
d'hyperliens (liens hypertextes) qu'il proposait la même année.
Cette syntaxe a été normalisée par l'IETF en août
1998 dans la RFC 2396 puis révisée de nombreuses fois, notamment
dans la RFC 2396bis, et reprise en janvier 2005 dans la RFC 3986.
À la différence d'un URI, une URL se contente
d'apporter une localisation et non une définition de la ressource.
Ainsi, un même document peut se trouver à deux emplacements
différents, donc à deux URL différentes dans le
réseau Internet, alors qu'il fait référence à une
même ressource.
II.4.1.3 FORMAT DES ADRESSES SIP
Tout utilisateur SIP dispose d'un identifiant unique. Cet
identifiant constitue l'adresse de l'utilisateur permettant de le localiser.
Le format d'une adresse SIP (ou URL SIP) respecte la RFC 3986
(nommée Uniform Resource Identifier: Generic Syntax) et se
présente sous la forme illustrée à la figure II.8
sip :identifiant[:mot_de_passe]@serveur[?paramètres]
Figure II.8 : Syntaxe d'une adresse SIP
On distingue dans cette adresse plusieurs parties, telle que :
V' le mot-clé sip qui spécifie
le protocole à utiliser pour la communication. Par analogie avec le Web
(où une page est référencée par une adresse de type
http://monsite), le
mot-clé sip précise que ce qui va suivre est l'adresse
d'un utilisateur ;
V' la partie identifiant qui
définit le nom ou le numéro de l'utilisateur. Cet identifiant est
nécessairement unique pour désigner l'utilisateur de
manière non ambiguë ;
V' La partie mot_ de_passe qui est
facultative. Le mot de passe peut être utile pour s'authentifier
auprès du serveur, notamment à des fins de facturation. C'est
aussi un moyen pour joindre un utilisateur qui a souhaité s'enregistrer
sur l'équivalent d'une liste rouge : sans la connaissance de ce mot de
passe, le correspondant n'est pas joignable.
De manière générale, cette
possibilité offre le moyen de restreindre l'utilisation de certains
services.
V' la partie serveur qui
spécifie le serveur chargé du compte SIP dont l'identifiant
précède l'arobase. Le serveur est indiqué par son adresse
IP ou par un nom qui sera résolu par DNS. Des paramètres URI
peuvent être associés à ce nom. C'est ce
51
serveur qui sera contacté pour joindre l'abonné
correspondant. Un port peut être spécifié à la suite
du serveur ;
V' la partie paramètres est
facultative. Les paramètres permettent soit de modifier le comportement
par défaut (par exemple, en modifiant les protocoles de transport ou les
ports, ou encore le TTL par défaut), soit de spécifier des
informations complémentaires (par exemple, l'objet d'un appel qui sera
envoyé à l'appelé en même temps que l'indication
d'appel, à la manière d'un e-mail précisant l'objet du
message).
Tableau II.3 : Exemples d'adresses SIP
commentées.
|
Adresse SIP
|
Commentaire
|
|
<sip:guy.laurent@123.123.123.123>
|
C'est le format le plus commun. L'identifiant de l'utilisateur
est spécifié par un nom ou un pseudonyme, guy.laurent.
Après l'arobase est spécifiée l'adresse IP du serveur en
charge de la gestion du compte de guy. laurent. Cette adresse IP
étant fixe, il n'est pas nécessaire de la résoudre par un
DNS, et il est possible de contacter directement ce serveur. L'IP fixe n'est
généralement pas pratique, car une adresse fixe oblige le
fournisseur d'accès à conserver ses mécanismes d'adressage
ou à avertir ses utilisateurs de toute modification.
|
|
<sip:+33145555555:mon_pass123
|
Le premier nombre (+33145555555) est le numéro
|
|
@ma_passerelle_rtc>
|
de téléphone du correspondant. On peut supposer
qu'il s'agit d'un numéro géographique et que le correspondant est
actif dans le réseau RTC. Pour joindre ce réseau, il faut passer
par une passerelle, donnée juste après l'arobase, dont le nom est
ma_passerelle_rtc. L'utilisation d'un mot de passe
|
|
(mon_pass123) permet à l'appelant de
s'authentifier auprès du serveur ma_passerelle_rtcpour avoir le
droit d'émettre l'appel (notamment pour la facturation).
|
On retiendra deux avantages de l'adressage SIP :
V' l'adressage est indépendant de la
localisation géographique des abonnés. SIP est conçu pour
assurer la mobilité de ses utilisateurs, et donc permettre de joindre
quelqu'un avec une adresse SIP unique, quels que soient sa localisation et son
terminal. Le réseau peut toutefois adopter un plan de
numérotation selon n'importe quel critère, comme la localisation
géographique, sans que cela soit gênant ;
52
? Un utilisateur peut avoir plusieurs adresses
SIP aboutissant toutes au même terminal.
Par exemple, si quelqu'un souhaite différencier son
adresse SIP professionnelle de son adresse SIP personnelle, il peut utiliser un
même terminal référencé sur deux adresses
distinctes. Il lui est alors possible d'activer la messagerie de son compte
personnel pendant son travail et, le week-end, de rediriger les appels sur son
adresse professionnelle vers un centre de permanence. Le tout en utilisant un
terminal unique.
Ce mécanisme d'adressage particulièrement souple
permet de supporter la mobilité des utilisateurs et le monde
Internet.
II.4.1.4 LES MESSAGES SIP
Les messages SIP sont décrits dans la RFC 822, qui
définit la syntaxe à la fois des requêtes et des
réponses. On y trouve une très forte influence des autres
protocoles de l'IETF, principalement HTTP et SMTP. Le format des requêtes
et réponses est en effet similaire à celui utilisé dans le
protocole HTTP, et les en-têtes s'apparentent à celles
utilisées dans le protocole SMTP. On y retrouve par ailleurs le concept
d'URL.
II.4.1.5 LES REQUETTES SIP
La version actuelle de SIP prévoit 6 requêtes
distinctes, permettant l'établissement d'un appel, la négociation
des capacités (types de média, paramètres de la session,
éléments de sécurité) ou la fermeture d'une
session. Ces requêtes sont détaillées dans le tableau
II.4.
53
Tableau II.4 : Les requêtes SIP
|
Requête
|
Définition
|
|
INVITE
|
Requête d'établissement d'une session, invitant un
usager (humain ou non) à participer à une communication
téléphonique ou multimédia ; l'émetteur de cette
requête y indique les types de média qu'il souhaite et peut
recevoir, en général au travers d'une description de session SDP
(Session Description Protocol).
|
|
ACK
|
Requête d'acquittement, émise pour confirmer que le
client émetteur d'un INVITE précédent a reçu une
réponse finale ; cette requête peut véhiculer une
description de session qui clôt la négociation.
|
|
BYE
|
Requête de clôture d'un appel.
|
|
CANCEL
|
Requête d'annulation, signifiant au serveur de
détruire le contexte d'un appel en cours d'établissement (cette
requête n'a pas d'effet sur un appel en cours).
|
|
OPTIONS
|
Cette requête permet à un client d'obtenir de
l'information sur les capacités d'un usager, sans pour autant provoquer
l'établissement d'une session.
|
|
REGISTER
|
Requête à destination d'un serveur SIP et
permettant de lui faire parvenir de l'information de localisation (machine sur
laquelle se trouve l'utilisateur).
|
II.4.1.6 LES REPONSES SIP
Après réception et traitement d'une requête,
un agent ou un serveur SIP génère un message de réponse
(succès ou échec du traitement). Ces réponses sont
codées par une séquence de trois chiffres, où le premier
est un code de classe. Le tableau II.5 donne quelques réponses SIP
possibles.
54
Tableau II.5 : Les réponses SIP
|
Code
|
Définition de la famille de
réponse
|
Principales réponses
|
|
1XX
|
Réponse intermédiaire d'information (traitement en
cours)
|
100 Trying 180 Ringing
|
|
2XX
|
Succès
|
200 OK
|
|
3XX
|
Redirection
|
301 Moved permanently
302 Moved temporarily
|
|
4XX
|
Erreur client
|
400 Bad Request
401 Unauthorized
|
|
5XX
|
Erreur serveur
|
500 Server Internal Error
501 Not Implemented
|
|
6XX
|
Echec global du traitement
|
600 Buzy Everywhere 603 Decline
|
II.4.1.7 SCENERIOS DE COMMUNICATION
Nous allons illustrer la succession chronologique des messages de
requêtes et de réponses dans les six scénarios classiques
suivants :
1. Initialisation d'une communication directe ;
2. Enregistrement d'un terminal ;
3. Initialisation d'une communication avec un serveur proxy ;
4. Localisation par un serveur de redirection et initialisation
d'appel directe ;
5. Modification dynamique d'une communication SIP ;
6. Terminaison d'une communication.
1. Initialisation d'une communication directe
Une communication peut s'effectuer directement entre deux
correspondants, sans faire intervenir d'autres entités.
55
Dans ce cas, l'appelant doit connaître la localisation
(sous forme d'adresse IP) de la personne qu'il souhaite contacter. La figure
II.9 illustre ce scénario.
Terminal SIP
Appelant
(UAC)
Terminal SIP
Appelé
(UAS)
Invite
180
RINGING
200 OK
ACK
Flux multimédia(audio, vidéo,
texte..)
Initiation d'une communication directe
Figure II.9
: Initiation d'une communication directe
Cette communication reflète la simplicité
d'utilisation du protocole SIP. Quatre étapes seulement suffisent pour
mettre en relation les deux utilisateurs :
1
1. l'appelant (UAC) envoie un message (requête INVITE)
proposant à son correspondant (UAS) d'initier une communication. Ce
message contient les paramètres désirés pour
établir la communication ;
2. dès que l'UAS reçoit le message, il en
informe l'utilisateur appelant (le téléphone sonne, avec
indication de l'appelant et du motif de son appel s'il a renseigné ce
champ, ainsi que des services disponibles). Dans le même temps, il
indique à l'appelant (par une réponse provisoire 180
RINGING) que l'appelé est en train d'être averti de l'appel ;
3. dès que l'appelé accepte l'appel (en
décrochant), l'UAS informe l'appelant (par une réponse
définitive 200 OK) que l'appel peut débuter. Ce message
contient les paramètres que l'UAS supporte pour la session ;
4. l'UAC retourne à l'UAS un message d'acquittement
(requête ACK) lui indiquant qu'il a pris note que l'appel peut
débuter. Ce message comporte les paramètres fixés pour la
session, qui tiennent compte de ces possibilités et de celles de l'UAS.
Les intervenants sont ensuite mis en relation et peuvent communiquer.
56
2. Enregistrement d'un terminal
Lorsqu'un terminal est activé dans un réseau,
sa première action consiste à se déclarer auprès
d'un serveur d'enregistrement, de manière à être disponible
si un appelant souhaite le joindre. Ce scénario est illustré
à la figure II.10.
Figure II.10 : Enregistrement d'un terminal SIP
Le serveur de localisation maintient dans sa base de
données une entrée associant l'identifiant d'un utilisateur avec
sa position dans le réseau (adresse IP du terminal de l'utilisateur,
port utilisé par l'application SIP et identifiant de l'utilisateur sur
ce poste).
3. Initialisation d'une communication SIP avec un
serveur proxy
Les étapes et messages envoyés pour initier une
session entre deux correspondants dans le cas où un proxy est
utilisé sont illustrés à la figure II.11. Dans cet
exemple, Anne souhaite ouvrir une session avec Brigitte. Comme elle ne
connaît pas la localisation de cette dernière, elle sollicite son
proxy afin de la déterminer.
Figure II.11 : Initialisation d'un appel avec un proxy
57
Les étapes suivantes sont nécessaires :
1. Anne compose sur son terminal l'adresse SIP de Brigitte.
Cette dernière n'est pas nécessairement une adresse IP, mais peut
être un identifiant qu'il faut résoudre. Un message d'invitation
(requête INVITE) est envoyé de l'UAC d'Anne vers son serveur proxy
SIP. L'adresse du proxy d'Anne peut être configurée sur son
terminal ou être automatiquement distribuée, par DHCP par exemple.
À la réception de ce message, le serveur proxy d'Anne utilise la
partie domaine de l'adresse SIP de Brigitte pour déterminer le serveur
en charge de la gestion du compte de Brigitte (c'est-à-dire en charge du
domaine de Brigitte). À cette fin, un serveur DNS peut être
sollicité pour localiser le serveur proxy de Brigitte. En
parallèle, le serveur proxy informe Anne qu'il prend en charge la
requête et tente de la mettre en relation. La réponse temporaire
100 TRYING indique à cette dernière que le message a
été reçu et qu'il est en cours de traitement ;
2. Routage du message d'invitation. Le serveur proxy d'Anne
transmet l'invitation au serveur proxy de Brigitte après l'avoir
localisé. C'est le message d'invitation original qui est
intégralement relayé du proxy d'Anne vers celui de Brigitte. La
seule modification apportée au message par le premier serveur proxy
concerne le champ VIA, qui liste l'ensemble des machines parcourues lors de
l'acheminement du paquet, et auquel il ajoute sa propre adresse réseau
(en plus de celle d'Anne, qui y figure initialement) ;
Le serveur proxy de Brigitte informe le serveur proxy d'Anne
(par un message de réponse temporaire 100 TRYING) de la
réception de la requête et de la tentative d'initialisation.
Parallèlement, il recherche la localisation du terminal de Brigitte en
utilisant le service de localisation. Une fois la position du terminal dans le
réseau trouvée, il lui transmet l'invitation d'Anne. À
nouveau, ce message est conforme à l'original, et seul le champ VIA a
été enrichi de l'adresse du serveur proxy de Brigitte ;
3. Le terminal de Brigitte sonne,(éventuellement un
softphone) et reçoit l'invitation et la fait connaître à
l'utilisateur Brigitte, le plus souvent par une sonnerie. En parallèle,
il indique à son proxy (par un message 180 RINGING) que l'appel
est en train d'être notifié à Brigitte et que la
communication est en attente de son acceptation. Ce message informatif est
relayé jusqu'à l'émettrice Anne, qui reçoit
généralement un retour audio ou visuel (une tonalité de
sonnerie particulière le plus souvent). L'utilisation du champ
d'en-tête VIA permet de remonter de proche en proche jusqu'à Anne
selon le même chemin ;
4. Brigitte répond au téléphone. On
suppose le cas où Brigitte a choisi de répondre à l'appel.
À l'instant où elle décroche, l'UAS retourne à
l'UAC un message 200 OK pour l'informer que l'appel est
accepté. Ce message est relayé par les différents proxys.
À ce stade, la communication n'a pas encore débuté, et
aucun son n'est transmis ;
58
5. Le terminal d'Anne confirme les paramètres d'appel.
En tenant compte des capacités prises en charge par les correspondants,
le terminal d'Anne envoie un message d'acquittement ACK qui spécifie les
paramètres définitifs à utiliser lors de cette session.
Notons que le message d'acquittement peut passer directement d'un interlocuteur
à l'autre, sans transiter par les serveurs proxy. À ce stade,
chacun des utilisateurs a pu apprendre la localisation exacte de son
interlocuteur, et il n'est donc plus nécessaire de recourir aux serveurs
proxy. Toutes les transactions qui suivent sont effectuées directement,
de poste utilisateur à poste utilisateur.
Ainsi, les serveurs proxy sont sollicités au minimum.
De la même manière, pour ne pas saturer les serveurs proxy
inutilement, les flux de données multimédias ne transitent jamais
par eux.
À la réception de ce message, la communication
entre les interlocuteurs peut débuter. Tous ces échanges n'ont
réclamés que quelques millisecondes, imperceptibles pour les
intervenants.
Globalement, on retrouve dans cet appel, les trois phases
fondamentales de l'appel direct entre les correspondants :
1. Requête INVITE : invitation de l'appelant ;
2. Réponse 200 OK : acceptation par
l'appelé ;
3. Acquittement ACK : confirmation par l'appelant.
Il s'agit des trois messages nécessaires à la
modification dynamique d'une communication SIP. Les autres messages concernent
essentiellement la localisation ou sont à titre informatif.
59
4. Localisation par un serveur de redirection et
initialisation d'appel direct
La figure II.12 illustre le scénario où un
serveur de redirection est utilisé par le terminal appelant afin de
localiser son correspondant et pour l'échange qui s'ensuit. L'objectif
est toujours de mettre en relation le terminal d'Anne avec celui de Brigitte,
mais par un autre moyen.
Figure II.12 : Localisation avec un serveur de redirection et
initialisation d'appel direct
Dans la première étape, le terminal d'Anne
sollicite le serveur de redirection pour déterminer sa localisation. Une
fois cette recherche effectuée, la réponse est envoyée
directement au terminal d'Anne, lequel initie l'appel lui-même, en
contactant le serveur proxy de Brigitte.
Les étapes qui suivent sont identiques à celles
du scénario précédent avec l'initialisation d'appel par un
serveur proxy, si ce n'est que ce dernier n'intervient pas dans les
échanges intermédiaires.
5. Modification d'une communication SIP
Lorsqu'un utilisateur est en communication, il peut arriver
qu'il souhaite modifier les paramètres de cette communication tout en la
conservant active. Par exemple, s'il commence un téléchargement
et que son débit risque de diminuer en conséquence, il peut
souhaiter utiliser un codec moins gourmand. Dans un autre cas, l'utilisateur
peut vouloir enrichir la communication audio avec une diffusion vidéo.
Ou encore, il peut souhaiter inviter à une conférence un nouveau
correspondant, qui ne supporte pas le codec utilisé par les autres
conférenciers.
Ces cas sont parfaitement envisageables avec le protocole SIP,
qui offre, rappelons-le, une très grande souplesse. À tout
moment, l'appelant ou l'appelé peut envoyer un nouveau message
d'invitation, avec la requête INVITE, afin de renégocier les
paramètres de la communication. Bien sûr, dans ce contexte, le
message n'a pas pour objectif d'inviter à une nouvelle session, mais
d'utiliser de nouveaux paramètres.
60
C'est pour cette raison qu'on nomme RE-INVITE
ce type de requête d'invitation. Du reste, la communication en cours
n'est pas interrompue par la réception de cette requête. S'il
accepte les modifications sollicitées dans la requête
d'invitation, le récepteur confirme son accord par l'envoi d'une
réponse 200 OK, qui sera ensuite acquittée par le
demandeur, comme pour l'initiation d'une communication (voir figure II.13).
Dans ce contexte, cette requête ne fait pas sonner le poste de
l'interlocuteur puisque la communication est déjà en cours.
Terminal SIP
Terminal SIP
Invite
200 OK
ACK
Figure II.13 : Requête RE-INVITE acceptée
Le demandeur qui en prend connaissance ne peut effectuer la
modification désirée et doit soit se contenter des
paramètres de la session actuelle, soit faire une nouvelle offre, en
suggérant l'utilisation d'autres paramètres.
61
Dans le cas contraire, où le récepteur ne
supporte pas ou ne souhaite pas accepter la modification de la session en
cours, il reste libre de le faire, sans pour autant mettre fin à la
communication, en envoyant un message de réponse 488 NOT ACCEPTABLE
HERE, comme l'illustre la figure II.14.
Terminal SIP
Terminal SIP
Invite
488 not Accepte Hare
Figure II.14 : Requête de RE-INVITE refusée
6. Terminaison d'une communication SIP
La figure II.15 illustre la terminaison d'une session à
l'initiative de n'importe quelle entité souhaitant mettre fin à
l'appel.
Terminal SIP Terminal SIP
Flux multimédia(audio, vidéo,
texte..)
Bye
200OK
Figure II.15 : Terminaison d'une Communication
1
9 J. Luc Koch, B.Dalibard. 2004, «
téléphonie sur IP »,
www.rtcip.fr/IMG/pdf/livre_blanc_learning
consulté le 20 Décembre 2012 a 15h45
62
Cette opération ne comporte que les deux étapes
très simples suivantes :
1. Un message (requête BYE) est envoyé pour
indiquer au correspondant que la session va être clôturée
;
2. Le correspondant répond à cette
requête en validant la prise en compte de cette demande par une
réponse 200 OK. La communication entre les intervenants est
alors rompue.
II.5 AVANTAGES ET INCONVENIENTS DU PROTOCOLE
SIP9 II.5.1 AVANTAGES
L'implémentation de la VoIP avec le protocole de
signalisation SIP (Session Initiation Protocol) fournit un service efficace,
rapide et simple d'utilisation. SIP est un protocole rapide et léger. La
séparation entre ses champs d'en-tête et son corps du message
facilite le traitement des messages et diminue leur temps de transition dans le
réseau.
Les utilisateurs s'adressent à ces serveurs Proxy pour
s'enregistrer ou demander l'établissement de communications. Toute la
puissance et la simplicité du système viennent de là. On
peut s'enregistrer sur le Proxy de son choix indépendamment de sa
situation géographique. L'utilisateur n'est plus "attaché"
à son autocommutateur.
Une entreprise avec plusieurs centaines d'implantations
physique différente n'a besoin que d'un serveur Proxy quelque part sur
l'Internet pour établir "son" réseau de
téléphonique "gratuit" sur l'Internet un peu à la
manière de l'émail. Les dizaines de milliers d'autocommutateurs
peuvent être remplacés par quelques serveurs proxy.
On imagine bien la révolution. Mais comme d'habitude
rien n'empêchera de remplacer un autocommutateur par un serveur Proxy
réduisant ainsi l'intérêt du système. SIP est un
protocole indépendant de la couche transport. Il peut aussi bien
s'utiliser avec TCP que le protocole UDP.
II.5.2 INCONVENIENTS
L'une des conséquences de cette convergence est que le
trafic de voix et ses systèmes associés sont devenus aussi
vulnérables aux menaces de sécurité que n'importe quelle
autre donnée véhiculée par le réseau.
En effet, SIP est un protocole d'échange de messages
basé sur HTTP. C'est pourquoi, il est très vulnérable face
à des attaques de types DoS (Dénis de Service),
détournement d'appel, trafic de taxation, etc. De plus, le protocole de
transport audio associé RTP (Real Time Protocol) est lui aussi
très peu sécurisé face à l'écoute
indiscrète ou des DoS.
Le SIP est une norme pour la communication multimédia,
il devient de plus en plus utilisé pour la mise en place de la
téléphonie sur IP, la compréhension de ce protocole aidera
le professionnel à l'épreuve de la sécurité sur le
réseau .Ce protocole est un concurrent direct à H.323.
63
II.6 COMPARAISON ENTRE LE PROTOCOLE SIP ET H.323
Les deux protocoles SIP et H323 représentent les
standards définis jusqu'à présent pour la signalisation
à propos de la téléphonie sur Internet .Ils
présentent tous les deux des approches différentes pour
résoudre un même problème. H323 est basé sur une
approche traditionnelle du réseau à commutation de circuits.
Quant à SIP, il est plus léger car basé sur une approche
similaire au protocole http.
Tous les deux utilisent le protocole RTP comme protocole de
transfert des données multimédia.
Au départ, H323 fut conçu pour la
téléphonie sur les réseaux sans QoS, mais on l'adopta pour
qu'il prenne en considération l'évolution complexe de la
téléphonie sur internet.
Pour donner une idée de la complexité du
protocole H323 par rapport à SIP, H323 est défini en un peu plus
de 700 pages et SIP quand à lui en moins de 200 pages. La
complexité de H323 provient encore du fait de la nécessité
de faire appel à plusieurs protocoles simultanément pour
établir un service, par contre SIP n'a pas ce problème.
SIP ne requiert pas de comptabilité descendante, c'est
un protocole horizontal qui est le contraire de H323 : Les nouvelles versions
de H323 doivent tenir compte des anciennes versions pour continuer à
fonctionner. Ceci entraîne pour H323 de traîner un peu plus de
codes pour chaque version.
H323 ne reconnaît que les Codecs standardisés
pour la transmission des données multimédias proprement dit alors
que SIP, au contraire, peu très bien en reconnaître d'autres.
Ainsi, on peut dire que SIP est plus évolutif que H323. Le tableau II.6
nous donne l'approche comparative du protocole SIP et du protocole H.323.
64
Tableau II.6 : Tableau de comparaison entre le
protocole SIP et H.323
|
SIP
|
H.323
|
|
Nombre d'échanges pour établir la connexion
|
1,5 aller-retour
|
6 à 7 allers retours
|
|
Maintenance du code Protocolaire
|
Simple par sa nature textuelle à l'exemple de http
|
Complexe et nécessitant un compilateur
|
|
Evolution du protocole
|
Protocole ouvert à de nouvelles fonctions
|
Ajout d'extensions propriétaires
sans concertation entre vendeurs
|
|
Fonction de conférence
|
Distribuée
|
Centralisée par l'unité MCU
|
|
Fonction de télé services
|
Oui, par défaut
|
H.323 v2 + H.450
|
|
Détection d'un appel en Boucle
|
Oui
|
Inexistante sur la version 1, un appel routé sur
l'appelant provoque une infinité de requêtes
|
|
Signalisation multicast
|
Oui, par défaut
|
Non
|
En résumé, La simplicité, la
rapidité et la légèreté d'utilisation, tout en
étant très complet, du protocole SIP sont autant d'arguments qui
pourraient lui permettre de convaincre les investisseurs. De plus, ses
avancées en matière de sécurisation des messages sont un
atout important par rapport à ses concurrents.
II. 7 PROTOCOLES DE TRANSPORT10
Nous décrivons deux autres protocoles de transport
utilisés pour la voix sur IP, à savoir : le RTP et le RTCP.
II.7.1 LE PROTOCOLE RTP
II.7.1.1 DESCRIPTION GENERALE DU PROTOCOLE RTP
RTP (Real time Transport Protocol), standardisé en
1996, est un protocole qui a été développé par
l'IETF afin de faciliter le transport temps réel de bout en bout des
flots des données audio et vidéo sur les réseaux IP, c'est
à dire sur les réseaux de paquets. RTP est un protocole qui se
situe au niveau de l'application et qui utilise les protocoles sous-jacents de
transport TCP ou UDP. Mais l'utilisation de RTP se fait
généralement au-dessus d'UDP ce qui permet d'atteindre plus
facilement le temps réel. Les applications temps réels comme la
parole numérique ou la visioconférence constitue un
véritable problème pour Internet. Qui dit application temps
réel, dit présence d'une certaine qualité de service (QoS)
que RTP ne garantit pas, du fait qu'il fonctionne au niveau Applicatif.
10Guy PUJOLLE, Les
Réseaux, Eyrolles, Paris, 2003.
Par contre, il ne permet pas de réserver des ressources
dans le réseau ou d'apporter une fiabilité dans le réseau.
Ainsi il ne garantit pas le délai de livraison.
65
De plus RTP est un protocole qui se trouve dans un
environnement multipoint, donc on peut dire qu'il possède à sa
charge, la gestion du temps réel, mais aussi l'administration de la
session multipoint.
II.7.1.2 LES FONCTIONS DU PROTOCOLE RTP
Le protocole RTP a pour but d'organiser les paquets à
l'entrée du réseau et de les contrôler à la
sortie.
Ceci, de façon à reformer les flux avec ses
caractéristiques de départ. C'est un protocole de bout en bout,
volontairement incomplet et malléable pour s'adapter aux besoins des
applications. Il sera intégré dans le noyau de l'application. Il
laisse la responsabilité du contrôle aux équipements
d'extrémité. C'est aussi un protocole adapté aux
applications présentant des propriétés temps
réel.
Il permet ainsi de :
? Mettre en place un séquencement des paquets par une
numérotation afin de permettre ainsi la détection des paquets
perdus. Ceci est un point primordial dans la reconstitution des données.
Mais il faut savoir quand même que la perte d'un paquet n'est pas un gros
problème si les paquets ne sont pas perdus en trop grands nombres.
Cependant il est très important de savoir quel est le
paquet qui a été perdu afin de pouvoir pallier à cette
perte ;
? Identifier le contenu des données pour leurs associer
un transport sécurisé et reconstituer la base de temps des flux
(horodatage des paquets : possibilité de resynchronisation des flux par
le récepteur) ;
? L'identification de la source, c'est à dire
l'identification de l'expéditeur du paquet. Dans un multicast
l'identité de la source doit être connue et
déterminée ;
? Transporter les applications audio et vidéo dans des
trames (avec des dimensions qui sont dépendantes des codecs qui
effectuent la numérisation). Ces trames sont incluses dans des paquets
afin d'être transportées et doivent, de ce fait, être
récupérées facilement au moment de la phase de
segmentation des paquets afin que l'application soit décodée
correctement.
II.7.1.3 AVANTAGES ET INCONVENIENTS DU PROTOCOLE
RTP
Le protocole RTP permet de reconstituer la base de temps des
différents flux multimédia (audio, vidéo, etc.); de
détecter les pertes de paquets et d'identifier le contenu des paquets
pour leur transmission sécurisée.
66
II.7.2 LE PROTOCOLE RTCP
II.7.2.1 DESCRIPTION GENERALE DU PROTOCOLE RTCP
Le protocole RTCP est fondé sur la transmission
périodique de paquets de contrôle à tous les participants
d'une session. C'est le protocole UDP (par exemple) qui permet le multiplexage
des paquets de données RTP et des paquets de contrôle RTCP.
Le protocole RTP utilise le protocole RTCP, Real-time
Transport Control Protocol, qui transporte les informations
supplémentaires pour la gestion de la session.
Les récepteurs utilisent RTCP pour renvoyer vers les
émetteurs un rapport sur la QoS.
Ces rapports comprennent le nombre de paquets perdus, le
paramètre indiquant la variance d'une distribution (plus
communément appelé la gigue : c'est à dire les paquets qui
arrivent régulièrement ou irrégulièrement) et le
délai aller-retour. Ces informations permettent à la source de
s'adapter, par exemple, de modifier le niveau de compression pour maintenir une
QoS.
Parmi les principales fonctions qu'offre le protocole RTCP nous
avons :
? la synchronisation supplémentaire entre les
médias : Les applications multimédias sont souvent
transportées par des flots distincts. Par exemple, la voix, l'image ou
même des applications numérisées sur plusieurs niveaux
hiérarchiques peuvent voir les flots gérées et suivre des
chemins différents ;
? l'identification des participants à une session : en
effet, les paquets RTCP contiennent des informations d'adresses, comme
l'adresse d'un message électronique, un numéro de
téléphone ou le nom d'un participant à une
conférence téléphonique ;
? le contrôle de la session : en effet le protocole RTCP
permet aux participants d'indiquer leur départ d'une conférence
téléphonique (paquet Bye de RTCP) ou simplement de fournir une
indication sur leur comportement.
Le protocole RTCP demande aux participants de la session
d'envoyer périodiquement les informations citées ci-dessus. La
périodicité est calculée en fonction du nombre de
participants de l'application. On peut dire que les paquets RTP ne transportent
que les données des utilisateurs, tandis que les paquets RTCP ne
transportent en temps réel, que les signaux de supervision.
11 DA CUNHA José, VoIP et Asterisk/Trixbox,
metrise en systèmes distribués et réseaux,
Université de Franche Comté, 2007-2008.
67
On peut détailler les paquets de supervision en 5
types:
? SR (Sender Report) : Ce rapport regroupe
des statistiques concernant la transmission (pourcentage de perte, nombre
cumulé de paquets perdus, variation
de délai (gigue), etc. Ces rapports sont issus
d'émetteurs actifs d'une session ;
? RR (Receiver Report) : Ensemble de
statistiques portant sur la communication
entre les participants. Ces rapports sont issus des
récepteurs d'une session ;
? SDES (Source Description) : Carte de visite
de la source (nom, e-mail, localisation) ;
? BYE : Message de fin de participation à
une session ;
? APP : Fonctions spécifiques à
une application.
II.7.2.2 POINTS FORTS ET LIMITES DU PROTOCOLE RTCP
Le protocole RTCP est adapté pour la transmission de
données temps réel. Il permet d'effectuer un contrôle
permanent sur une session et ces participants. Par contre, il fonctionne en
stratégie bout en bout, et il ne peut pas contrôler
l'élément principal de la communication dans le réseau.
II.8 AVANTAGES ET INCONVENIENTS DE LA TELEPHONIE SUR
IP11
II.8.1 AVANTAGES
II.8.1.1 REDUCTION DES COUTS
Il y a une convergence vers un réseau unique : des flux
de voix, de vidéo, de textes et d'applicatifs transitent sur le
même réseau. Par exemple les utilisateurs peuvent travailler sur
des applications client-serveur, naviguer sur internet et
téléphoner tout en même temps et ceci en utilisant le
même réseau.
La téléphonie IP permet de relier et/ou de
configuration des téléphones au analogiques au IPBX sans passer
par un PABX traditionnel et ainsi conserver les anciens
téléphones (analogiques) ou le câblage.
De plus, cette technologie permet à un utilisateur
nomade d'utiliser les services téléphoniques partout où il
se connecte, ainsi cela permet de réduire les éventuels
coûts liés à une sédentarité
(téléphonie mobile, carte téléphonique,
téléphone d'hôtel...).
68
Les coûts de communication sont réduits
grâce aux fournisseurs émergeants qui proposent, à prix
réduit, les appels nationaux et internationaux, cela permet aussi de
communiquer entre les filiales à moindre coût.
II.8.1.2 OPTIMIATION DES RESSOUECES
Il y a aussi une optimisation des ressources, car dans une
communication traditionnelle, commutation de circuit (RTC), les ressources sont
dédiées pour toute la durée de la conversation
téléphonique. Ainsi, il y a deux canaux de communication
téléphonique, un en émission et l'autre en
réception (full-duplex) puisque deux personnes peuvent parler en
même temps. Dans la pratique, il est rare que ce dernier cas se produise,
car en réalité chaque personne se parle mutuellement, voire il y
a présence de « blancs » pendant les conversations. C'est
pourquoi, la réservation de ressource effectuée dans un
réseau RTC est nettement supérieure à celle d'un
réseau IP.
II.8.1.3 SIMPLIFICATION DE LA GESTION, D'ADMINISTRATION
ET DE MIGRATION
Du fait d'une convergence vers un réseau unique, les
procédures d'assistance, de configuration et d'intégration sont
simplifiées (simplification de l'exploitation, unification des
applications, etc....).
Les solutions de la téléphonie sur IP sont
conçues pour dégager une stratégie de migration à
faible risque à partir de l'infrastructure existante, car elles peuvent
être installées en parallèle au réseau existant.
II.8.1.4 AUGMENTATION DES SERVICES
Il y a une augmentation des services propres aux
réseaux IP, comme notamment la détection de présence,
c'est à dire savoir si l'utilisateur est en ligne ou non. Mais aussi les
applications de l'entreprise peuvent intégrer les services
téléphoniques, par exemple il y a une possibilité de
téléphoner à un utilisateur en se servant des contacts du
logiciel de messagerie.
II.8.2 INCONVENIENTS
II.8.2.1 PROBLEMES DE SECURITE
Déni de service : c'est l'une des
attaques les plus répandues, le but étant de rendre le
réseau téléphonique inopérant en surchargeant le
PABX.
Fraude téléphonique : cela
consiste par exemple à créer une cabine
téléphonique sauvage, depuis laquelle on pourra passer des appels
aux frais de l'entreprise.
L'écoute : permet d'écouter tout
le trafic véhiculé, dans cette attaque le trafic n'est pas
modifié.
69
Accès au système d'information
: utiliser des failles d'un logiciel de communication (exemple Skype)
pour accéder aux données de l'utilisateur.
Vishing : il s'agit de la contraction de VoIP
et de phishing, c'est une attaque qui consiste à mettre en place un
système de serveur composant de façon aléatoire des
numéros. Lorsqu'une personne décroche, un serveur vocal par
exemple se fait passer pour une banque des données et essaie de lui
soutirer des informations.
II.8.2.2 PROBLEME D'ENGORGEMENT DU RESEAU
Une dégradation d'une conversation
téléphonique peut être due à une surcharge du
réseau. La téléphonie nécessite peu de bande
passante, mais requiert quand même un débit constant, ce besoin
entre en contradiction avec la politique du protocole IP : "Best Effort".
II.9 CONCLUSION
Dans ce chapitre, nous avons décrit la VoIP en tant que
solution la plus rentable pour effectuer des communications
téléphoniques en entreprise, mais aussi une bonne solution en
matière d'intégration de services données et voix, fiable
et à moindre coût.
Malgré que la normalisation n'ait pas atteint la
maturité suffisante pour sa généralisation au niveau des
réseaux IP, il n'est pas dangereux de miser sur ces standards, vu qu'ils
ont été acceptés par l'ensemble de la communauté de
la téléphonie.
Dans le chapitre qui suit, nous allons aborder les aspects
liés aux vulnérabilités de cette nouvelle technologie de
communication, ainsi que les mesures de sécurisation de services.
12Peter Thermos and Ari Takanen ,Securing VoIP
networks threats, vulnerabilities, and counter measures, (Addison-Wesley
(c) 2007)
CHAPITRE III : VULNERABILITES DES RESEAUX VoIP ET
MESURES DE SECURITE
III.1 INTRODUCTION
L'opportunité de migrer de la téléphonie
classique vers la téléphonie IP, a offert plusieurs avantages
pour les entreprises, et les a permis de bénéficier de nouveaux
services, tels que la vidéoconférence et la transmission des
données. L'intégration de ces services dans une seule plateforme
nécessite plus de sécurité.
Dans ce chapitre, nous allons décrire les attaques qui
menacent la VoIP, et nous détaillerons quelques-unes. Nous finirons par
une description des bonnes pratiques pour sécuriser les communications
de type voix sur IP.
III.2 APERCUES SUR LES ATTAQUES DANS LES RESEAUX
VoIP
Les attaques sur les réseaux VoIP peuvent être
classées en deux types : les attaques internes et les attaques externes.
Les attaques externes sont lancées par des personnes autres que celles
qui participent aux appels, et ils se produisent généralement
quand les paquets VoIP traversent un réseau peu fiable et/ou l'appel
passe par un réseau tiers durant le transfert des paquets. Les attaques
internes s'effectuent directement au réseau local dans lequel se trouve
l'attaquant. Il existe deux principales classes des
vulnérabilités sur un environnement VoIP. La première
dépend des protocoles utilisés (SIP, H.323...) et la
deuxième est liée aux systèmes sur lesquels les
éléments VoIP sont implémentés. Chaque protocole ou
service a ses propres attaques.
Dans le paragraphe qui suit, nous allons essayer de
disséquer ces différentes attaques et certaines solutions
disponibles.
III.2.1 ATTAQUES SUR LES PROTOCOLES12
Un appel téléphonique VoIP est constitué
de deux parties : la signalisation, qui instaure l'appel, et les flux de media,
qui transporte la voix.
La signalisation, en particulier SIP, transmet les
entêtes et la charge utile (Payload) du paquet en texte clair, ce qui
permet à un attaquant de lire et falsifier facilement les paquets. Elle
est donc vulnérable aux attaques qui essaient de voler ou perturber le
service téléphonique, et à l'écoute clandestine qui
recherche des informations sur un compte utilisateur valide, pour passer des
appels gratuits par exemple.
La signalisation utilise, en général, le port
par défaut UDP/TCP 5060. Le firewall doit être capable d'inspecter
les paquets de signalisation et d'ouvrir ce port afin de leurs autoriser
l'accès au réseau. Un firewall qui n'est pas compatible aux
protocoles de la VoIP doit être
71
configuré manuellement pour laisser le port 5060
ouvert, créant un trou pour des attaques contre les
éléments qui écoutent l'activité sur ce port.
Le protocole RTP utilisé pour le transport des flux
multimédia, présente également plusieurs
vulnérabilités dues à l'absence d'authentification et de
chiffrement. Chaque entête d'un paquet RTP contient un numéro de
séquence qui permet au destinataire de reconstituer les paquets de la
voix dans l'ordre approprié. Cependant, un attaquant peut facilement
injecter des paquets artificiels avec un numéro de séquence plus
élevé. En conséquence, ces paquets seront diffusés
à la place des vrais paquets.
Généralement, les flux multimédias
contournent les serveurs proxy et circulent directement entre les points
finaux. Les menaces habituelles conte le flux de la voix sont l'interruption de
transport et l'écoute clandestine.
Les protocoles de la VoIP utilisent TCP et UDP comme moyen de
transport et par conséquent sont aussi vulnérables à
toutes les attaques contre ces protocoles, telles le détournement de
session (TCP) (session Hijacking) et la mystification (UDP) (Spoofing), etc.
Les types d'attaques les plus fréquentes contre un
système VoIP sont :
III.2.1.1 SNIFFING
Un reniflage (Sniffing) peut avoir comme conséquence un
vol d'identité et la révélation d'informations
confidentielles. Il permet également aux utilisateurs malveillants
perfectionnés de rassembler des informations sur les systèmes
VoIP. Ces informations peuvent par exemple être employées pour
mettre en place une attaque contre d'autres systèmes ou
données.
Plusieurs outils requis pour le sniffing, y compris pour le
protocole H.323 et des plugins SIP, sont disponibles en open source.
III.2.1.2 SUIVI DES APPELS
Appelé aussi Call tracking, cette attaque se fait au
niveau du réseau LAN/VPN et cible les terminaux (soft/hard phone). Elle
a pour but de connaître qui est en train de communiquer et quelle est la
période de la communication. L'attaquant doit récupérer
les messages INVITE et BYE en écoutant le réseau et peut ainsi
savoir qui communique, à quelle heure, et pendant combien de temps.
Pour réaliser cette attaque, L'attaquant doit
être capable d'écouter le réseau et récupérer
les messages INVITE et BYE.
72
III.2.1.3 INJECTION DES PAQUETS RTP 13
Cette attaque se fait au niveau du réseau LAN/VPN. Elle
cible le serveur register, et a pour but de perturber une communication en
cours.
L'attaquant devra tout d'abord écouter un flux RTP de
l'appelant vers l'appelé, analyser son contenu et générer
un paquet RTP contenant un en-tête similaire mais avec un plus grand
numéro de séquence et timestamp, afin que ce paquet soit
reproduit avant les autres paquets (s'ils sont vraiment reproduits). Ainsi, la
communication sera perturbée et l'appel ne pourra pas se dérouler
correctement.
Pour réaliser cette attaque, l'attaquant doit
être capable d'écouter le réseau afin de repérer une
communication ainsi que les timestamps des paquets RTP. Il doit aussi
être capable d'insérer des messages RTP qu'il a
généré ayant un timestamp modifié.
III.2.1.4 LES SPAMS
Trois formes principales de Spams sont jusqu'à maintenant
identifiés dans SIP:
? Call Spam : Ce type de spam est
défini comme une masse de tentatives d'initiation de session (des
requêtes INVITE) non sollicitées. Généralement,
c'est un UAC (User Agent Client) qui lance, en parallèle, un grand
nombre d'appels. Si l'appel est établi, l'application
génère un ACK, rejoue une annonce préenregistrée,
et ensuite termine l'appel.
? IM (Instant Message) Spam
: Ce type de spam est semblable à celui de l'e-mail. Il est
défini comme une masse de messages instantanés non
sollicitées. Les IM spams sont pour la plupart envoyés sous forme
de requête SIP. Ce pourraient être des requêtes INVITE avec
un entête « Subject » très grand, ou des requêtes
INVITE avec un corps en format texte ou HTML.
Bien-sûr, l'IM spam est beaucoup plus intrusif que le
spam e-mail, car dans les systèmes actuels, les IMs apparaissent
automatiquement sous forme de pop-up à l'utilisateur.
? Presence Spam : Ce type de spam est
semblable à l'IM spam. Il est défini comme une masse de
requêtes de présence (des requêtes SUBSCRIBE) non
sollicitées. L'attaquant fait ceci dans le but d'appartenir à la
" white list " d'un utilisateur afin de lui envoyer des messages
instantanés ou d'initier avec lui d'autres formes de communications.
L'IM Spam est différent du Presence Spam du fait que ce dernier ne
transmet pas réellement de contenus dans les messages.
13David Endler et Mark Collier, Hacking Exposed VoIP:
Voice Over IP Security Secrets & Solutions, (McGraw-Hill/Osborne (c)
2007)
73
III.2.1.5 LE DENI DE SERVICE (DOS : Denial Of
Service)
C'est d'une manière générale, l'attaque
qui vise à rendre une application informatique ou un équipement
informatique incapable de répondre aux requêtes de ses
utilisateurs et donc le mettre hors d'usage.
Une machine serveur offrant des services à ses clients
(par exemple un serveur web) doit traiter des requêtes provenant de
plusieurs clients. Lorsque ces derniers ne peuvent en bénéficier,
pour des raisons délibérément provoquées par un
tiers, il y a déni de service. Dans une attaque de type DoS flood
attack, les ressources d'un serveur ou d'un réseau sont
épuisées par un flot de paquets. Un seul attaquant visant
à envoyer un flot de paquets peut être identifié et
isolé assez facilement. Cependant, l'approche de choix pour les
attaquants a évolué vers un déni de service
distribué (DDoS). Une attaque DDoS repose sur une distribution
d'attaques DoS, simultanément menées par plusieurs
systèmes contre un seul. Cela réduit le temps nécessaire
à l'attaque et amplifie ses effets. Dans ce type d'attaque, les pirates
se dissimulent parfois grâce à des machines-rebonds (ou machines
zombies), utilisées à l'insu de leurs propriétaires. Un
ensemble de machines-rebonds, est contrôlable par un pirate après
infection de chacune d'elles par un programme de type porte
dérobée (backdoor).
Une attaque de type DoS peut s'effectuer à plusieurs
niveaux, soit : A la couche réseau :
? IP Flooding : Le but de l'IP Flooding est d'envoyer une
multitude de paquets IP vers une même destination, de telle sorte que le
traitement de ces paquets empêche une entité du réseau (un
routeur ou la station destinatrice) de traiter les paquets IP légitimes.
Si l'IP Flooding est combiné à l'IP Spoofing, il est impossible
pour le destinataire de connaître l'adresse source exacte des paquets IP.
De ce fait, à moins que le destinataire ne limite ses échanges
avec certaines stations, il lui est impossible de contrer ce type
d'attaques.
? Fragmentation des paquets IP : Par la fragmentation des
paquets, il est possible de rendre hors service de nombreux systèmes
d'exploitation et dispositif VoIP par le biais de la consommation des
ressources. Il existe de nombreuses variantes d'attaques par fragmentation,
parmi les plus populaires, on a : tear drop, open tear, nestea, jolt, boink, et
Ping of death.
A la couche transport :
? L'UDP Flooding Attacks : Le principe de cette attaque est
qu'un attaquant envoie un grand nombre de requêtes UDP vers une machine.
Le trafic UDP étant prioritaire sur le trafic TCP, ce type d'attaque
peut vite troubler et saturer le trafic transitant sur le réseau et donc
de perturber le plus la bande passante. Presque tous les dispositifs utilisant
le protocole SIP fonctionnent au-dessus du protocole UDP, ce qui en fait
d'elles des cibles. De nombreux dispositifs de VoIP et de systèmes
d'exploitation peuvent être paralysés grâce à des
paquets UDP Flooding visant l'écoute du port SIP (5060) ou d'autres
ports.
74
? TCP SYN floods est une attaque visant le protocole TCP et
plus exactement la phase d'établissement de connexion. Celle-ci se fait
en trois sous étapes :
1' Le client envoie un paquet SYN au serveur ;
1' Le serveur répond avec un paquet SYN-ACK ; 1' Le client
envoie un paquet ACK au serveur.
L'attaque consiste en l'envoie d'un grand nombre de paquets
SYN. La victime va alors répondre par un message SYN-ACK d'acquittement.
Pour terminer la connexion TCP, la victime ensuite va attendre pendant une
période de temps la réponse par le biais d'un paquet ACK. C'est
là le coeur de l'attaque parce que les ACK final ne sont jamais
envoyés, et par la suite, la mémoire système se remplit
rapidement et consomme toutes les ressources disponibles à ces demandes
non valides. Le résultat final est que le serveur, le
téléphone, ou le routeur ne sera pas en mesure de faire la
distinction entre les faux SYN et les SYN légitimes d'une réelle
connexion VoIP.
A la couche applications :
? SIP Flooding : Dans le cas de SIP, une attaque DoS peut
être directement dirigée contre les utilisateurs finaux ou les
dispositifs tels que les téléphones IP, les routeurs et les
proxys SIP, ou contre les serveurs concernés par le processus, en
utilisant le mécanisme du protocole SIP ou d'autres techniques
traditionnelles de DoS.
75
Les différentes formes d'attaque DoS sont :
a) ATTAQUE PAR LA METHODE DU CANCEL
C'est un type de déni de service lancé contre
l'utilisateur, l'attaquant surveille l'activité du proxy SIP et attend
qu'un appel arrive pour un utilisateur spécifique. Une fois que le
dispositif de l'utilisateur reçoit la requête INVITE, l'attaquant
envoie immédiatement une requête CANCEL. Cette requête
produit une erreur sur le dispositif de l'appelé et annule l'appel. Ce
type d'attaque est employé pour interrompre la communication. La figure
III.1 représente une attaque DoS via une requête CANCEL.
Figure III.1: Attaque DoS via une requête CANCEL
La figure suivante montre un scénario d'attaque DoS
CANCEL, l'utilisateur toto initie l'appel, envoie une invitation (1) au proxy
auquel il est rattaché. Le proxy du domaine A achemine la requête
(2) au proxy qui est responsable de l'utilisateur titi. Ensuite c'est le proxy
du domaine B qui prend le relais et achemine la requête INVITE (3) qui
arrive enfin à destination. Le dispositif de titi, quand il
reçoit l'invitation, sonne (4). Cette information est
réacheminée jusqu'au dispositif de toto. L'attaquant qui
surveille l'activité du proxy SIP du domaine B envoie une requête
CANCEL (7) avant que titi n'ait pu envoyer la réponse OK, qui accepte
l'appel.
Cette requête annulera la requête en attente
(l'INVITE), l'appel n'a pas lieu.
76
b) ATTAQUE PAR LA METHODE DU BYE
L'attaque par la méthode du BYE est dirigée
contre les usagers. L'attaquant génère un BYE et interrompt une
conversation. Pour réaliser cette attaque, le pirate écoute le
trafic et prend les informations nécessaires (comme par exemple le
Call-Id, le From ou encore le To) pour générer un BYE frauduleux
correspondant à la session qui est injecté sur le réseau.
Le BYE n'étant pas authentifié, celui qui reçoit
l'information l'exécute. La figure III.2 représente une attaque
DoS via une requête BYE.
Figure III.2 : Attaque DoS via une requête BYE
c) REGISTER
Le serveur d'enregistrement lui-même est une source
potentielle de déni de service pour les utilisateurs. En effet, ce
serveur peut accepter des enregistrements de tous les dispositifs. Un nouvel
enregistrement avec une «*» dans l'entête remplacera tous les
précédents enregistrements pour ce dispositif. Les attaquants, de
cette façon, peuvent supprimer l'enregistrement de quelques-uns des
utilisateurs, ou tous, dans un domaine, empêchant ainsi ces utilisateurs
d'être invités à de nouvelles sessions.
Notez que cette fonction de suppression d'enregistrement d'un
dispositif, au profit d'un autre, est un comportement voulu en SIP afin de
permettre le transfert d'appel. Le dispositif de l'utilisateur doit pouvoir
devenir le dispositif principal quand il vient en ligne. C'est un
mécanisme très pratique pour les utilisateurs mais
également pour les pirates.
Figure III.3 : Mécanisme de l'attaque MIM
77
III.2.1.6 DETOURNEMENT D'APPEL (CALL HIJACKING)
Le Call Hijacking consiste à détourner un appel.
Plusieurs fournisseurs de service VoIP utilisent le web comme interface
permettant à l'utilisateur d'accéder à son système
téléphonique.
Un utilisateur authentifié peut changer les
paramètres de ses transferts d'appel à travers cette interface
web. C'est peut être pratique, mais un utilisateur malveillant peut
utiliser le même moyen pour mener une attaque.
Exemple: quand un agent SIP envoie un message INVITE pour
initier un appel, l'attaquant envoie un message de redirection 3xx indiquant
que l'appelé s'est déplacé et par la même occasion,
il donne sa propre adresse comme adresse de renvoi. A partir de ce moment, tous
les appels destinés à l'utilisateur sont transférés
et c'est l'attaquant qui les reçoit.
Un appel détourné en lui-même est un
problème, mais c'est encore plus grave quand il est porteur
d'informations sensibles et confidentielles.
III.2.1.7 ATTAQUE PAR ECOUTE CLENDESTINE
Cette attaque consiste à écouter l'appel entre
l'appelant et l'appelé, au moyen d'un empoisonnement ARP, dans le but de
convaincre à la fois le serveur mandataire et les
téléphones VoIP des deux utilisateurs, de communiquer avec
l'attaquant et non entre eux. La figure III.3 suivante illustre l'aspiration
d'une transmission VoIP.
78
Tout d'abord, l'appel est paramétré. L'appelant
A envoie la requête pour appeler B au serveur mandataire SIP. Ce message
est intercepté puis transmis à la personne malveillante. Le
serveur mandataire SIP tente désormais de joindre Bob pour lui indiquer
que A souhaite l'appeler. Ce message est également intercepté
puis transmis à la personne malveillante. Après une
initialisation de l'appel réussie, l'appel actuel (qui a recours au
protocole RTP) entre A et B commence. Cette communication RTP est
également interceptée puis transmise par la personne
malveillante. L'utilisation d'un outil comme Ethereal pour aspirer une
communication, permet de recevoir également les données utiles
RTP en continu.
III.2.2 LES VULNERABILITES DE L'INFRASTRUCTURE (HARD ET
SOFT)
Une infrastructure VoIP est composée de
téléphones IP, Gateway, serveurs (proxy, register, etc.). Chaque
élément, que ce soit un système embarqué ou un
serveur standard tournant sur un système d'exploitation, est accessible
via le réseau comme n'importe quel ordinateur.
Chacun comporte un processeur qui exécute des logiciels
qui peuvent être attaqués ou employés en tant que points de
lancement d'une attaque plus profonde.
III.2.2.1 INFRASTRUCTURE HARDWARE 1) LE TELEPHONE
IP
Un pirate peut compromettre un dispositif de
téléphonie sur IP, par exemple un téléphone IP, un
Soft phone, ou d'autres programmes ou matériels client.
Généralement il obtient les privilèges qui
lui permettent de commander complètement la fonctionnalité du
dispositif.
Compromettre un point final (téléphone IP) peut
être fait à distance ou par un accès physique au
dispositif.
Le pirate pourrait modifier les aspects opérationnels d'un
tel dispositif :
V' La pile du système d'exploitation peut être
changée pour masquer la présence de l'attaquant ;
V' Un Firmeware modifié de manière malveillante
peut avoir été téléchargé et
installé. Les modifications faites à la configuration des
logiciels de téléphonie IP peuvent permettre :
+ Aux appels entrants d'être réorientés
vers un autre point final sans que l'utilisateur soit au courant ;
+ Aux appels d'être surveillés ;
+ A l'information de la signalisation et/ou les paquets
contenant de la voix d'être routés vers un autre dispositif et
également d'être enregistrés et/ou modifiés.
+ De compromettre la disponibilité du point final.
79
Les softphones ne réagissent pas de la même
façon aux attaques comparés à leur homologues
téléphone IP. Ils sont plus susceptibles aux attaques dues au
nombre de vecteur inclus dans le système, à savoir les
vulnérabilités du système d'exploitation, les
vulnérabilités de l'application, les vulnérabilités
du service, des vers, des virus, etc... En plus, le softphone demeure sur le
segment de données, il est ainsi sensible aux attaques lancées
contre ce segment et pas simplement contre l'hôte qui l'héberge.
Les téléphones IP exécutent quant à eux leurs
systèmes d'exploitation avec un nombre limité de services
supportés, ils présentent donc moins de
vulnérabilité.
2) LE SERVEUR VoIP
Un autre élément du réseau vulnérable
est le serveur fournisseur du réseau de téléphonie sur IP,
qui est peut être la cible d'attaques pour mettre en péril tout le
réseau.
Si un serveur de signalisation est compromis un attaquant peut
contrôler totalement l'information de signalisation pour
différents appels ce qui permettra à un attaquant de changer
n'importe quel paramètre relatif à l'appel. Pour finir, il faut
préciser qu'un serveur de téléphonie IP est
installé sur un système d'exploitation, il peut donc être
une cible pour les virus, les vers, ou n'importe quel code malveillant.
III.2.2.2 INFRASTRUCTURE SOFTWARE
Une des principales vulnérabilités du
système d'exploitation est le buffer overflow qui permet à un
attaquant de prendre le contrôle partiel ou complet de la machine.
Elle n'est pas la seule vulnérabilité et elle
varie selon le fabricant et la version de l'OS. Ces attaques visant l'OS, sont
pour la plupart relative au manque de sécurité de la phase
initiale de développement du système d'exploitation et ne sont
découvertes qu'après le lancement du produit. Les dispositifs de
la VoIP tels que les téléphonies IP, Call Managers, Gateway et
les serveurs proxy,... héritent les mêmes
vulnérabilités du système d'exploitation ou du firmware
sur lequel ils tournent.
On déduira qu'une application de la VoIP est
vulnérable dès que le système d'exploitation sur lequel
elle tourne est compromis.
III.3 MESURES DE SECURISATION
On a déjà vu que les
vulnérabilités existent au niveau protocolaire, application et
systèmes d'exploitation. Pour cela, on a découpé la
sécurisation en trois niveaux : Sécurisation protocolaire,
sécurisation de l'application et sécurisation du système
de l'exploitation.
14www.securityfocus.com/infocus/1862
two attacks against VoIP par Peter Thermos. Consulter le 12 Février
2013
80
III.3.1 SECURISATION AU NIVEAU DES PROTOCOLES 14
La prévalence et la facilité de sniffer des
paquets et d'autres techniques pour la capture des paquets IP sur un
réseau pour la voix sur IP fait que, le cryptage soit une
nécessité pour la protection des personnes qui sont
interconnectées.
IPsec peut être utilisé pour réaliser deux
objectifs : Garantir l'identité des deux points terminaux et
protéger la voix une fois que les paquets quittent l'Intranet de
l'entreprise. VoIPsec (VoIP utilisant IPsec) contribue à réduire
les menaces, les sniffeurs de paquets, et de nombreux types de trafic «
vocal analyze ». Combiné avec un pare-feu, IPsec fait que la VoIP
soit plus sûr qu'une ligne téléphonique classique. Il est
important de noter, toutefois, qu'IPsec n'est pas toujours un bon moyen pour
certaines applications, et que certains protocoles doivent continuer à
compter sur leurs propres dispositifs de sécurité. Dans la
section qui suit, nous allons détaillés certaines bonnes
pratiques de sécurité de VoIP au niveau des protocoles.
III.3.1.1 VoIP VPN
Un VPN VoIP combine la voix sur IP et la technologie des
réseaux virtuels privés pour offrir une méthode assurant
la préservation de la prestation vocale. Puisque la VoIP transmet la
voix numérisée en un flux de données, la solution VPN VoIP
semble celle la plus approprié vu qu'elle offre le cryptage des
données grâces a des mécanismes de cryptages, puisqu'elle
permet d'offrir l'intégrité des paquets VoIP.
Vu que notre objectif est d'assurer la confidentialité
et l'intégrité des clients, le mode choisi est donc le mode
tunnel. Puisqu'il sécurise le paquet comme un tout (contrairement en
mode transport qui ne sécurise que le payload IP). Le mode tunnel se
base sur l'encapsulation de tout le paquet IP et ajoute un nouvel entête
pour l'acheminement de ce dernier. Ce mode est généralement
utilisé pour les routeur-to-routeur. En plus du mode tunnel, on choisit
le protocole ESP qui lui a son tour va assurer le cryptage des données
et donc la confidentialité, contrairement au protocole AH qui lui ne
permet que l'authentification des paquets et non le cryptage.
Dans ce cas, la solution qu'on propose est ESP mode tunnel qui
sera appliqué uniquement sur les points de terminaison à la voix
IP, c'est-à-dire le routeur. Ceci nous permettra donc de minimiser le
nombre de machines qui seront impliquées dans le traitement
engendré par la sécurité. De plus, le nombre des
clés nécessaires sera réduit.
III.3.1.2 SECURE RTP ou SRTP
SRTP est conçu pour sécuriser la multiplication
à venir des échanges multimédias sur les réseaux.
Il couvre les lacunes de protocoles de sécurité existants comme
IPsec (IP Security), dont le mécanisme d'échanges de clés
est trop lourd. Il aussi est bâti sur le protocole temps réel RTP
(Real Time Transport Protocol). Il associe aussi une demi-douzaine de
protocoles complémentaires. Il est donc compatible à la fois avec
des protocoles d'initiation de session de voix sur IP tel que SIP (Session
Initiation Protocol),
81
ainsi que le protocole de diffusion de contenu
multimédia en temps réel RTSP (Real Time Streaming Protocol).
Mais, surtout, il s'adjoint aux services du protocole de gestion de clé
MIKEY (Multimedia Internet KEYing).
A. Services de sécurités offerts par SRTP
Les principaux services offerts par SRTP sont :
V' Rendre confidentielles les données RTP, que ce soit
l'en-tête et la charge utile ou seulement la charge utile ;
V' Authentifier et vérifier l'intégrité
des paquets RTP. L'émetteur calcule une empreinte du message à
envoyer, puis l'envoie avec le message même ;
V' La protection contre le rejet des paquets. Chaque
récepteur tient à jour la liste de tous les indices des paquets
reçus et bien authentifiés.
B. Principe de fonctionnement de SRTP
Avec une gestion de clé appropriée, SRTP est
sécurisé pour les applications unicast et multicast de RTP. En
théorie, SRTP est une extension du protocole RTP dans lequel a
été rajoutée des options de sécurité. En
effet, il a pour but d'offrir plusieurs implémentations de cryptographie
tout en limitant l'overhead lié à l'utilisation de chiffrement.
Il propose des algorithmes qui monopoliseront au minimum les ressources et
l'utilisation de la mémoire.
Surtout, il permet de rendre RTP indépendant des autres
couches en ce qui concerne l'application de mécanismes de
sécurité.
Pour implémenter les différents services de
sécurité précités, SRTP utilise les composants
principaux suivants :
V' Une clé maîtresse
utilisée pour générer des clés de session;
Ces dernières seront utilisées pour chiffrer ou pour authentifier
les paquets ;
V' Une fonction utilisée pour calculer
les clés de session à partir de la clé maîtresse
;
V' Des clés aléatoires
utilisées pour introduire une composante aléatoire afin
de contrer les éventuels rejets ou effets de mémoire.
SRTP utilise deux types de clés : clef de session et
clef maîtresse. Par « clef de session » nous entendons une clef
utilisée directement dans les transformations cryptographiques; et par
« clef maîtresse », nous entendons une chaîne de bits
aléatoires à partir desquelles les clefs de sessions sont
dérivées par une voie sécurisés avec des
mécanismes cryptographiques.
82
C. Format du paquet SRTP
Un paquet SRTP est généré par
transformation d'un paquet RTP grâce à des mécanismes de
sécurité. Donc le protocole SRTP effectue une certaine mise en
forme des paquets RTP avant qu'ils ne soient sur le réseau. La figure
III.4 présente le format d'un paquet SRTP.
Figure III.4 : Format d'un paquet SRTP
On remarque que le paquet SRTP est réalisé en
rajoutant deux champs au paquet RTP :
V' SRTP MKI (SRTP Master Key Identifier) :
sert à ré-identifier une clef maîtresse particulière
dans le contexte cryptographique. Le MKI peut être utilisé par le
récepteur pour retrouver la clef primaire correcte quand le besoin d'un
renouvellement de clefs survient ;
V' Authentification tag : est un champ
inséré lorsque le message a été authentifié.
Il est recommandé d'en faire usage. Il fournit l'authentification des
en-têtes et données RTP, et indirectement fournit une protection
contre le rejet de paquets en authentifiant le numéro de
séquence.
III.3.1.3 LE PROTOCOLE TLS
C'est un protocole de sécurisation des échanges
au niveau de la couche transport (TLS : Transport Layer Security). TLS,
anciennement appelé Secure Sockets Layer (SSL), est un protocole de
sécurisation des échanges sur Internet. C'est un protocole
modulaire dont le but est de sécuriser les échanges Internet
entre le client et le serveur indépendamment de tout type d'application.
TLS agit comme une couche supplémentaire au-dessus de TCP.
Son utilisation est principalement associée à
l'utilisation des certificats X.509 pour l'authentification des serveurs et le
chiffrement des échanges (la signalisation).
83
III.3.2 SECURISATION AU NIVEAU APPLICATION
Plusieurs méthodes peuvent être appliquées
pour sécuriser l'application, ces méthodes varient selon le type
d'application (serveur ou client). Pour sécuriser le serveur, il faut
:
V' L'utilisation d'une version stable, Il est bien connu que
toute application non stable contient surement des erreurs et des
vulnérabilités. Pour minimiser les risques, il est
impératif d'utiliser une version stable ;
V' Tester les mises à jour des softwares dans un
laboratoire de test. Il est très important de tester toute mise à
jour de l'application dans un laboratoire de test, avant de les appliquer sur
le système en production ;
V' Ne pas tester les correctifs sur le serveur lui-même
;
V' Ne pas utiliser la configuration par défaut qui sert
juste à établir des appels. Elle ne contient aucune protection
contre les attaques ;
V' Ne pas installer une application cliente dans le serveur.
Certains paramètres doivent être appliqués
de manière sélective. Ces paramètres renforcent la
sécurité de l'application, on peut les activer ou les interdire
sur la configuration générale de l'application, comme on peut
juste utiliser les paramètres nécessaires pour des clients bien
déterminés et selon le besoin bien sûr. Ces
paramètres protègent généralement contre le
déni de service et ces différentes variantes. Il est conseiller
d'utiliser les paramètres qui utilisent le hachage des mots de passe,
cela assure la confidentialité de messages.
III.3.3 SECURISATION DU SYSTEME D'EXPLOITATION
Il est très important de sécuriser le
système sur lequel est implémenté le serveur de VoIP.
En effet, si le système est compromis,
l'attaque peut se propager sur l'application serveur. Celle-ci risque
d'affecter les fichiers de configuration contenant des informations sur les
clients enregistrés.
Il y a plusieurs mesures de sécurités à
prendre pour protéger le système d'exploitation :
V' utiliser un système d'exploitation stable.
Les nouvelles versions toujours contiennent des bugs et des
failles qui doivent être corrigés et maîtrisés avant
;
V' Mettre à jour le système d'exploitation en
installant les correctifs de sécurité recommandé pour la
sécurité ;
V' Ne pas mettre des mots de passe simple et robuste. Ils sont
fondamentaux contre les intrusions. Et ils ne doivent pas
être des dates de naissances, des noms, ou des numéros de
téléphones. Un mot de passe doit être assez long et former
d'une combinaison de lettre, de chiffres et ponctuations ;
84
V' Ne pas exécuter le serveur VoIP avec un utilisateur
privilège. Si un utilisateur malveillant arrive à accéder
au système via une exploitation de vulnérabilité sur le
serveur VoIP, il héritera tous les privilèges de cet utilisateur
;
V' Installer seulement les composants nécessaires :
pour limiter les menaces sur le système d'exploitation. Il vaut mieux
installer sur la machine le système d'exploitation et le serveur ;
V' Supprimer tous programmes, logiciels ou des choses qui
n'ont pas d'importance et qui peuvent être une cible d'attaque pour
accéder au système ;
V' Renforcer la sécurité du système
d'exploitation en installant des patches qui permettent de renforcer la
sécurité générale du noyau.
On peut aussi utiliser les pare feu ou/et les ACL pour limiter
l'accès à des personnes bien déterminé et fermer
les ports inutiles et ne laisser que les ports utilisés (5060, 5061,
4569,...). Le pare feu (firewall) est un software ou hardware qui a pour
fonction de sécuriser un réseau ou un ordinateur contre les
intrusions venant d'autres machines. Le pare feu utilise le système de
filtrage de paquet après analyse de l'entête des paquets IP qui
s'échange entre les machines.
Le firewall peut être implémenté avec un
ACL qui est une liste d'Access Control Entry (ACE) ou entrée de
contrôle d'accès donnant ou supprimant des droits d'accès
à une personne ou un groupe. On aura besoin d'ACL pour donner des droits
à des personnes bien déterminés selon leurs besoins et
leurs autorités.
Pour un serveur VoIP, il est important d'implémenter
les ACL pour sécuriser le serveur en limitant l'accès à
des personnes indésirables. Par exemple, seuls les agents
enregistrés peuvent envoyer des requêtes au serveur. Il existe
trois catégories d'ACL :
La liste de contrôle d'accès peut être
installée en réseau sur les pare feu ou les routeurs, mais aussi
ils existent dans les systèmes d'exploitation.
85
III.4 CONCLUSION
Dans ce chapitre, il a été question de
présenter les différentes vulnérabilités devant
lesquelles le déploiement de la voix sur IP fait face, de ce fait,
certaines mesures de sécurisation de l'environnement IP doivent
être prises en compte afin de garantir la qualité des services.
En effet, il existe plusieurs attaques qui menacent
l'utilisation de la voix sur le réseau IP, et nous avons fait allusion
à quelques-unes jugées gênant et courant.
Dans le chapitre qui suit, nous ferons la présentation
du réseau informatique de l'ISTA, cadre de notre travail.
86
CHAPITRE IV : PRESENTATION DU RESEAU INFORMATIQUE DE
L'ISTA
IV.1 INTRODUCTION
Dans ce chapitre nous allons procéder à la
présentation du réseau informatique de l'ISTA, et
procéderons à l'analyse des conditions permettant
l'implémentation de la VoIP en son sein.
IV.2 CONSIDERATION GENERALE DE L'ISTA IV.2.1
SITUATION GEOGRAPHIQUE
L'Institut Supérieur de Techniques Appliquées
(ISTA) se situe sur l'avenue Aérodrome N° 3930 dans la commune de
Barumbu à Kinshasa, l'ISTA est en face du quartier Bon marché et
à côté de la Régie des Voies Aériennes en
sigle RVA presque en parallèle de l'aérodrome de NDOLO.
IV.2.2 HISTORIQUE
L'Institut Supérieur de Techniques Appliquées
(ISTA) est la fusion de trois instituts créés après
l'accession du pays (République Démocratique du Congo, en sigle
RDC) à l'indépendance. Il s'agit :
Du Centre de Formation Météorologique (CFM),
ouvert à Binza dans la commune de Ngaliema en 1961.
De l'Institut d'Aviation Civile (IAC) créé en 1964
dans la commune de Barumbu.
De l'Ecole Nationale de Poste et
Télécommunication (ENPT) fondée en 1966 dans la commune de
la Gombe.
Lors du changement de l'appellation de l'Université
Nationale du Zaïre en 1971, le groupement de ces trois instituts a
donné naissance à l'Institut de Météorologie,
d'Aviation Civile et de Télécommunication (ITMAT) selon l'article
51 de l'ordonnance présidentielle n°71/75 du 06 août 1971.
87
Sur proposition des autorités académiques du
Conseil Révolutionnaire de l'Université Nationale du Zaïre,
en CRU, l'ITMAT est devenu l'Institut Supérieur de Techniques
Appliquées en sigle ISTA depuis 1973. L'ISTA a acquis son autonomie et
sa personnalité juridique par l'ordonnance présidentielle
n°81 - 150 du 03 octobre 1981.
Figure IV.1 : Vers la Direction générale Figure
IV.2 : Vers les auditoires
IV.2.3 OBJECTIFS ET MISSIONS DE L'ETABLISSEMENT
L'Institut Supérieur de Techniques Appliquées a comme
mission et objectif:
De former des cadres spécialisés dans les
domaines des sciences et techniques appliquées ;
D'organiser la recherche sur l'adaptation technique et
technologique nouvelle aux conditions de la RDC ;
De donner de l'enseignement de qualité pour l'enseignement
technique. IV.2.4 SECTIONS ORGANISEES A L'ISTA-KINSHASA
L'ISTA est un établissement public d'enseignement
supérieur technique qui forme des cadres techniques. A ce jour, il
comprend deux cycles :
V' Le premier cycle, qui dure quatre ans en raison d'une
année de préparatoire et trois années de graduat ;
V' Le second cycle, crée en 1997, dure deux ans.
IV.2.4.1 LE PREMIEUR CYCLE
Le premier cycle est constitué actuellement de sept
sections qui sont :
1. La section préparatoire ;
2. La section aviation civile : avec comme option exploitation
aéronautique Radionavigation ;
3. La section mécanique : avec comme
électromécanique et mécanique d'aviation;
4. La section électricité avec comme option
électricité industrielle ;
88
5. La section électronique : avec comme option
commutation, électronique industrielle, radio transmission et
radiotélévision;
6. La section météorologique : avec comme option
prévision aéronautique, hydro météorologique et
agro météorologique ;
7. La section maintenance des équipements
médicaux avec comme option : maintenance des équipements
et matériels médicaux.
Il est à noter aussi que l'ISTA disposait de la
deuxième vacation pour les sections électronique,
électricité et mécanique au premier cycle qui depuis un
certain temps n'est plus d'actualité.
A la fin du premier cycle, l'autorité académique
octroi le diplôme de graduat en Techniques appliquées ou
d'Ingénieur Technicien. Quant au second cycle, l'ISTA décerne le
diplôme d'Ingénieur selon la spécialité.
IV.2.4.2 DEUXIEME CYCLE
Le deuxième cycle est organisé dans les sections
ci-après :
1. Génie aviation : exploitation aéronautique
(Transport aérien) ;
2. Génie mécanique : énergétique,
production, mécanique appliquée ;
3. Génie électrique : électrotechnique,
électronique, informatique appliquée et
télécommunication ;
4. Génie spatiale : agro météorologie,
environnement, hydrologie et prévision aéronautique.
NB. : L'ISTA/Kinshasa organise aussi un enseignement
secondaire au sein d'une école secondaire d'application
dénommée I.T.M.A.T. (Institut Technique de
Météorologie, Aviation Civile et Télécommunication)
agréée par l'arrêté Ministériel n°
MINEPSP/CABMIN/001/0530/91 du 13 mars 1991.
IV.2.5 STRUCTURE ORGANISATIONNELLE ET FONCTIONNEMENT
IV.2.5.1 STRUCTURE GENERALE
a) Organisation administrative
L'organisation administrative de l'ISTA est structurée de
la manière suivante :
Le conseil de l'Institut ; Le comité de gestion ; Le
Conseil de section.
b) Unités didactiques d'appui à
l'enseignement
Les laboratoires ; Les Ateliers ;
Réaliser une liaison sans fil entre ISTA et CEDESURK
pour bénéficier des ressource du CEDESURK ;
89
Le Garage ;
Centre Informatique.
IV.2.5.2 FONCTIONNEMENT
a) Organisation administrative
L'organisation administrative de l'ISTA est structurée de
la manière suivante :
Le conseil de l'Institut : le conseil de l'institut est
l'organe suprême. Ses décisions sont imposables à tout le
monde ;
Le comité de gestion : Il est composé de 4 membres
:
V' Le Directeur Général ;
V' Le Secrétaire Général Académique
; V' Le Secrétaire Général Administratif ; V'
L'Administrateur du Budget.
Le Conseil de section : (pour chaque section) composé de
5 membres dont :
V' Un chef de section ;
V' Deux chefs de section adjoints, dont un chargé de
recherche et l'autre charger de l'enseignement ;
V' Deux secrétaires académiques.
b) Unités didactiques d'appui à
l'enseignement
Les Ateliers : les Ateliers permettent aux étudiants de
faire les montages. L'ISTA Kinshasa dispose de 4 ateliers ;
Les laboratoires : L'ISTA dispose de 11 laboratoires
conçus pour permettre aux étudiants de mettre en pratique les
théories acquises ;
Le Garage : Le garage est conçu pour permettre la
réparation des automobiles ;
Centre Informatique : le centre informatique de l'Institut
Supérieur de techniques Appliquées à pris naissance
grâce au projet UniversiTIC appuyé par la coopération
belge.
En dehors de la mission cruciale d'informatiser l'ISTA dans
tous les domaines, le centre informatique avec le concours de la
coopération belge dans le cadre du projet UniversiTIC il leur avait
été assigné les missions suivantes :
90
V' Créer un centre de maintenance dans le cadre du projet
UniversiTIC; V' Réaliser une plateforme pour le support de cours
informatique ; V' Former les professeurs et les chercheurs à la
recherche documentaire ; V' Écrire un logiciel pour le système de
gestion d'études ;
V' Conception d'un site web ;
V' Réalisation des applications pour le réseau
intranet de l'ISTA ;
V' Amener les utilisateurs à bien utiliser l'outil
informatique pour s'approprier du projet.
N.B :c'est dans le centre informatique de
l'ISTA ou sont logés les différents serveurs pour
l'administration du réseau de l'ISTA.
91
Source : Direction du personnelle
Figure IV : Organigramme de l'ISTA
IV.2.5.3 ORGANIGRAMME DE L'ISTA / KINSHASA
La figure IV.3 illustre l'organigramme de l'ISTA
Cabinet du D.G
Conseil de l'institut
Comité de Gestion
Direction Générale
DCS Rel, Pub, Presse, Information,
DCS Audit Interne & Police Univ
Secretariat Générale Académique
DCS Académiques
DCS Section
Les Sections
La Bibliothèque
DCS para acd. Un. Recherche et Publ
DCS I.T.M.A.T
Secretariat general Administratif
DCS Resources humaines
DCS DCS Aff. Socio méd
DCS O.E Sp. & L.
DCS Entretien et Maintenance
DCS Domaine de Binza
Administrateur du Budget
DCS des Finances
DCS Budget control
DCS Unités de Production
DCS Patrimoine
92
IV.3 ETUDE DU RESEAU EXISTANT DE L'ISTA KINSHASA
IV.3.1 APERCU HISTORIQUE DU CENTRE INFORMATIQUE DE
L'ISTA
Nous donnons ici une brève historique sur le Projet
UniversiTIC appuyé par la coopération Belge et le Centre
Informatique de l'ISTA où sont logés les différents
serveurs du réseau.
C'est pour la première fois, au printemps 2006, que la
CUD et le VLIR-UOS ont décidé d'un commun accord
de mener une politique spécifique concertée pour la RDC
à travers une coopération scientifique. A cet effet, un
nombre limité d'universités congolaises ont été
sélectionnées comme partenaires pour une collaboration
structurelle : l'Université de Kinshasa, l'Université de
Kisangani, l'Université de Lubumbashi, l'Université Catholique du
Congo, l'Université Catholique de Bukavu, l'Institut Supérieur de
Techniques Appliquées et l'Université Pédagogique
Nationale de Kinshasa, ainsi que le CEDESURK.
La CUD et le VLIR-UOS
collaborent pour conceptualiser et mettre en oeuvre un programme NTIC
transversal, appelé « UniversiTIC », à l'intention des
7 universités partenaires congolaises précitées.
L'objectif de ce programme est d'ouvrir au monde extérieur les 7
universités par le biais des NTIC, tant sur le plan scientifique que
dans d'autres domaines. Le développement des
capacités en matière de TIC est fait suivant une stratégie
commune favorisant l'émergence d'un sentiment d'appartenance à un
réseau tout en respectant les identités propres.
UniversiTIC a été lancé en mars 2007 avec
un atelier de formation à Lubumbashi en présence des 7 Recteurs
des universités partenaires. Depuis lors, les projets individuels
formulés par les universités sont en révision et le
programme commun transversal a démarré le 1er octobre 2007 par
une formation d'administrateurs réseau, organisée sous forme
modulaire avec des sessions à Kinshasa et Lubumbashi. Des
missions d'expertises en NTIC ont eu lieu et les projets individuels
étaient finalisés au cours d'une mission de formulation en
janvier 2009 à Kinshasa.
Le réseau informatique de l'ISTA a
été inauguré officiellement samedi, le 31/janvier/2009
à 13hoo après une conférence des Recteurs organisée
aux CNFK en présence des groupes de pilotage du projet ; la
cérémonie avait eu lieu devant le centre informatique de l'ISTA
comme illustre les figures IV.4 et IV.5.
93
Figure IV.4 : Inauguration du centre Informatique
Figure IV.5 : Vue de face du Centre Informatique
IV.7.2 ANALYSE DU RESEAU INFORMATIQUE DE L'ISTA
IV.7.2.1 DEPLOIEMENT DU RESEAU
Le déploiement de réseau informatique de l'ISTA
part du local serveur en fibre optique pour chuter vers le noeud qui est au
bureau de la section mécanique. Là nous avons un Switch Catalyst
Cisco 2960 avec trois convertisseurs fibre optique. Ces équipements sont
protégés par un petit onduleur de 300 W, 500 VA.
94
Parmi les trois convertisseurs qui sont au bureau de la
section mécanique, le premier reçoit le signal venant du local
serveur, le deuxième envoi le signal au bâtiment administratif et
le troisième envoi le signal au labo électronique. Outre les
trois convertisseurs et le Switch, il y a aussi un point d'accès sans
fil qui rayonne le signal dans les périmètres du bâtiment
des sections.
Au niveau du laboratoire électronique, il y a aussi un
convertisseur fibre optique, deux coffrets qui ont chacun un Switch. Le
deuxième coffret était prévu d'être installé
dans le laboratoire de télécommunication où on doit
aménager un labo commun entre la faculté polytechnique de
Kinshasa et l'ISTA, mais cela n'a pas été fait car on à
implanter le centre Cisco. C'est à partir de ces deux coffrets que tous
les autres laboratoires qui sont au premier niveau, sont alimentés en
signal y compris la section météo. A ce niveau, nous avons un
autre point d'accès qui se trouve dans le laboratoire de physique et un
coffret qui a un Switch simple de 24 ports. Le laboratoire
électrométrie n'a pas de Switch ni un point d'accès mais
il est alimenter à partir du laboratoire électronique.
Au niveau du bâtiment administratif, il y a aussi deux
convertisseurs fibre optique ; un qui reçoit le signal venant de la
section mécanique et l'autre envoi le signal vers le bâtiment
ITMAT, au premier niveau précisément au local finance.
Le coffret qui est au bâtiment administratif a un Switch
de 24 ports pour alimenter toutes les prises murales, mais il y a que 8 bureaux
qui ne sont pas alimentés par manque des connecteurs muraux RJ-45. Il
faudrait aussi placer un point d'accès sans fil pour permettre aux
utilisateurs du bâtiment d'accéder au réseau sans
câble.
Au bâtiment ITMAT, il y a un coffret, un Switch Cisco de
24 ports et un gros onduleur 1400W 2000VA qui protège les
équipements dans tout le bâtiment. Là aussi, il faudrait
placer un point d'accès pour permettre l'accès sans fil.
Du local finance, il y a un câble UTP qui descend vers
les locaux de services académiques (39, 40,41) où il y a aussi un
coffret avec un Switch simple de 24 ports, qui alimente tout le bâtiment,
malheureusement, l'onduleur qui protégeait les équipements
était tombé en panne lors de travaux d'aménagement de ces
locaux.
Enfin, l'ISTA est interconnecté par VPN avec le
CEDESURK, UCC, ISP/Gombe et ISC/Gombe avec la boucle radio local de
Microcom.
Voilà en bref le circuit de déploiement du
réseau ISTA. Comme nous venons de le constater, tout ISTA n'est pas
encore connecté au backbone nous voyons que la bibliothèque vient
à peine d'être connectée, elle comporte 15 pc sharing et un
Switch simple de 24 ports. Le home et la cellule de finance ne sont pas encore
connectés voir même certains bureaux de sections. Donc il y a
encore du travail à faire.
95
IV.7.2.2 EQUIPEMENTS ET SERVEURS UTILISES
Actuellement, le réseau informatique de l'institut
Supérieur de techniques Appliquées de Kinshasa comporte au total
11 Switch (dont 5 sont Administrable et 6 non Administrable), 5 points
d'accès WIFI (dont 4 sont des points d'accès WIFI simple et un
point d'accès routeur), un téléphone analogique et un
routeur VPN.
Il comporte encore 5 antennes Wimax complète (INDOOR ET
OUTDOOR UNIT), une antenne Vsat complète et un modem Idirect 500. Le
tableau IV.1 représente les équipements du réseau
informatique de l'ISTA.
Tableau IV.1 : Les équipements du
réseau informatique de l'ISTA
|
Nombres
|
Marques
|
Séries
|
Ports
|
Observations
|
|
5 Switch
|
Cisco
|
Catalist 2960
|
26
|
24 ports en Fast Ethernet et 2 ports en Gigabit Ethernet
|
|
4 Switch
|
D-LINK
|
DS-1024D
|
24
|
Tous les ports sont en Fast Ethernet
|
|
1 Switch
|
3-COM
|
|
24
|
Tous les ports sont en Fast Ethernet.
|
|
3 points
d'accès
|
|
|
1
|
Sont des bornes WIFI simple en Fast Ethernet.
|
|
1 point
d'accès
|
Linksys cisco
|
|
5
|
C'est une borne WIFI routeur.
|
|
5
|
Alvarion
|
|
|
C'est sont les antennes Wimax complète.
|
|
1 antenne Vsat
|
|
|
|
C'est l'antenne Vsat. LNB élément de
réception du signal, un BUC block up converter ou élément
de réception.
|
|
1
|
Idirect
|
5000
|
6
|
Modem satellite
|
|
1 Routeur
|
Planet Broadband
|
|
4
|
Routeur VPN avec 4 ports LAN, 1 port WAN et 1 port DMZ
|
|
1 Téléphone
|
Panasonic
|
|
2
|
Téléphone analogique +
adaptateur analogique fournit par Microcom
|
96
N.B :
V' Actuellement l'ISTA est sur la boucle radio locale
avec CIELUX comme F.A.I utilisant une bande passante de 512 Kbits/s dont 128
Kbits/s en up et 384 en down ;
V' L'ISTA dispose d'une permanence électrique
situé à la salle serveur équipée de 4 batteries de
12VA et un inverseur avec une autonomie de 8 heures.
Pour ce qui est des serveurs, le Data Center de l'ISTA
Kinshasa comporte 8 serveurs (dont 4 dédicacés et 4 non
dédicacés) :
V' Premier serveur : il comporte le service DHCP,
Pare-feu et fait aussi le routage ;
V' Deuxième serveur : celui-ci fait le proxy
cache et l'authentification ;
V' Troisième serveur : celui-ci joue le
rôle du DNS ; V' Quatrième serveur : Il joue le
rôle de service Web ;
V' Cinquième serveur : C'est un serveur qui
fait le Miroir, grâce a ce dernier nous arrivons à faire la mise
à jour de système d'exploitation linux (Ubuntu et Debian) ;
V' Sixième serveur : ce serveur nous permet de
faire le backup de la base de données qui gère les
étudiants, les cours, les frais, les enseignants, la
délibération et les inscriptions, ainsi que toutes les
configurations des différents serveurs ;
V' Septième serveur : c'est un serveur
physique qui héberge deux serveurs virtuels, dont un serveur virtuel
contient une base de données GP7 pour la gestion des étudiants,
cours, enseignants etc.... et un deuxième contient l'active directory
(pour la gestion des utilisateurs et ordinateurs sensé utilisé la
base de données GP7) ;
V' Huitième serveur : Enfin, celui-ci est
destiné à la bibliothèque.
97
Les caractéristiques physiques de chaque serveur sont
illustrées dans le tableau IV.2 ci-dessous.
Tableau IV.2 : Les caractéristiques
physique des serveurs utilisés dans le réseau de l'ISTA
|
Marque s
|
Nombr es
|
CP U
|
RA M
|
HD D
|
Observatio n
|
|
HP ProLiant DL160 G6
|
3
|
2.7 GHz X 2
|
16
Go
|
500 Go et
250 Go
|
Ces trois serveurs sont dédicacés, dont 2 sont en
200 Go de HDD et un à 500 Go de
HDD.
|
|
OPA C
|
3
|
1.6 GHz X 2
|
2 Go
|
160 Go
|
Ces trois serveurs
sont non dédicacés (web, proxy, Dns).
|
|
SIEME NS
|
1
|
Pentium III
630 MHz
|
512
Mo
|
20 Go
|
Ce serveur fait le routage, DHCP et le pare-feu.
|
|
Fujitsu
|
1
|
4.5 GHz x 2
|
4 G0
|
600 Go
|
Serveur dédicacé (destiné pour la
bibliothèque)Il donne la possibilité d'ajouter 7 disques durs et
3 processeurs.
|
N.B : Tous ces serveurs de l'ISTA ont comme OS Linux
(distribution Debian squeeze) sauf deux qui utilisent le Windows server 2008 R2
Datacenter (64bits) comme OS.
98
IV.7.2.3 SUPPORTS DE TRANSMISSION UTILISES DANS LE
RESEAU INFORMATIQUE DE l'ISTA
L'ISTA utilise les supports de transmission suivants :
? La fibre optique : la fibre optique est
utilisée au sein du réseau intranet de l'ISTA, pour
interconnecter les différents bâtiments, en quittant la salle
serveur situé au centre informatique jusqu'au bâtiment I.T.M.A.T.
ce qui fait au plus 300 mètres.
? Les câbles torsadés : l'ISTA
utilise le torsadé blindé et non blindé à
l'intérieur des bâtiments ; dont les blindés dans de faux
plafond et le non blindé catégorie 5e pour connecter les
ordinateurs et autres équipements réseaux.
? Les supports sans fils : la norme
utilisée est IEEE 802.11g
99
IV.7.2.4 SERVICES ET APPLICATIONS RESEAUX
UTILISEES
Dans le tableau IV.3 ci-dessous nous présentons les
différents services et applications qui tournent dans le réseau
intranet de l'ISTA :
Tableau IV.3 : Services et applications
utilisées dans le réseau
|
N°
|
Services et Applications
|
Paquets installés
|
Fonction ou Rôle
|
|
1
|
Pare-feu
|
Netfilter + iptables
|
un Firewall qui filtre tout, et qui fait aussi office de routeur
entre le réseau intranet et l'Internet.
|
|
2
|
Proxy
|
Squid3 + Squidguard
|
Permet de faire le cache en économisant la bande passante,
permet aussi de gérer l'accès des utilisateurs aux ressources
réseau.
|
|
3
|
DHCP
|
Dhcp3-server
|
pour octroyer automatiquement des adresses IP aux postes
clients.
|
|
4
|
DNS
|
Bind9
|
Pour la résolution de noms
|
|
5
|
Web
|
Apache2, php5, MySQL 5.0
|
Pour la publication des Applications web (Ex. site web de
l'ista, glpi, wiki, etc...
|
|
6
|
Messagerie
|
Postfix, mysql 5.0,roundcube, amavis, spam assassin, postgres
|
Permet l'échange des mails en interne, entre
différents utilisateurs et de stocker les messages.
|
|
7
|
GP7
|
SQL server 2008
|
Pour la gestion académique des étudiants.
|
|
8
|
MONITORING
|
Mrtg, munin, smokeping, nagios
|
Pour la surveillance du réseau.
|
|
9
|
MIROIR
|
debmirror+rsync
|
Un miroir interne facilite la mise à jour à nos
clients et serveurs linux (Ubuntu et debian), nous permettant ainsi d'optimiser
la Bande passante.
|
|
10
|
WIKI
|
mediawiki
|
Pour éditer les différentes configurations locale
et échange entre techniciens ou utilisateurs.
|
|
11
|
GLPI
|
GLPI
|
Pour la gestion du parc informatique.
|
100
IV.7.3 ARCHITECTURE DU RESEAU EXISTANT
La figure IV.6 présente l'architecture du réseau
existant de l'ISTA Kinshasa.
Source : UNIVERSITC
Figure IV.6 Architecture du réseau existant de
l'ISTA/Kinshasa.
101
IV.8 CRITIQUE DU RESEAU INFORMATIQUE DE L'ISTA
IV.8.1 CRITIQUES
En analysant le réseau existant et en se
référant aux objectifs qui ont été assigné
à l'ISTA, lors du déploiement de cette infrastructure, nous avons
pu épingler certaines défaillances dans ce réseau,
à savoir :
A l'heure de mutualisation, le réseau l'ISTA n'a pas
encore expérimenté les services offerts par cette convergence
entre autres : la téléphonie, la
vidéoconférence,
etc
Nous savons tous qu'à l'heure des nouvelles
technologies de l'information et des communications, une entreprise qui se veut
compétitive ne peut pas s'en passer du secteur de communication, et pour
l'ISTA qui se veut être une grande école d'ingénieurs au
Congo et ensuite en Afrique, il est encore enclavé dans ce secteur, qui
est du reste un secteur poumon du développement intégral d'une
société moderne.
La communication entre différents services et divisions
au sein de l'ISTA Kinshasa se fait encore sous forme manuelle, le PABX
analogique qui a été installé par les autorités de
l'époque se trouve dans un état vétuste et n'est pas
opérationnel, or à l'heure actuelle où on parle de la
convergence de services voix et données sur le même réseau,
il serait étonnant que cette institution dispose d'un réseau
informatique qui ne sert jusqu'à présent qu'a la transmission des
données, et pourtant cette même infrastructure pouvait aussi
faciliter l'ajout d'autres services tels que : les communications vocales.
Désenclaver ce service, sous-entend mettre un paquet
consistant pour la réhabilitation de son réseau
téléphonique et ensuite engager un personnel bien formé
pour assurer la maintenance de ce réseau. Hors, réhabiliter ce
réseau et engager un personnel qualifié relève d'un
investissement non négligeable et cela représente un cout
important pour l'entreprise, surtout lorsque nous sommes tous sans ignorer que
le budget de fonctionnement de l'ISTA est financé en grande partie par
le minerval et ventes des documents académiques.
102
IV.8.2 PROPOSITION DES SOLUTIONS
Pour répondre aux besoins que nous avons
évoqués ci-haut, nous avons proposé
l'implémentation d'une solution VoIP, qui est une solution d'entreprise
offrant aux agents de l'ISTA, la possibilité d'effectuer les
communications vocales sur le réseau unique voix et données, et
voire même à l'extérieure en utilisant l'Internet comme
moyen de transport.
Cette convergence des services voix et données sur un
réseau unique s'accompagne des avantages liés à la
réduction des couts d'investissement, à la réduction des
procédés d'assistance, à l'amélioration de la
mobilité des travailleurs et permet aussi de travailler à
distance à moindre cout.
L'utilisation de la VoIP conduit à la réduction
des coûts d'appels et cela est possible en utilisant un fournisseur de
service VoIP pour les appels longues distances et internationaux. Il est
très facile d'interconnecter les systèmes
téléphoniques entre bureaux et succursales via l'Internet ou le
WAN et de téléphoner gratuitement.
Avec cette technologie, nous n'avons pas besoin d'un
câblage indépendant, c.-à-d un réseau informatique
à part et un réseau téléphonique aussi à
part. Donc, nous avons une seule infrastructure où on peut connecter des
téléphones directement à une prise (RJ45) du réseau
informatique, laquelle prise peut être partagée avec un ordinateur
adjacent. Les téléphones logiciels peuvent être aussi
installés directement sur le PC.
103
IV.8.3 ARCHITECTURE DU NOUVEAU RESEAU DE L'ISTA
KINSHASA
L'architecture de la solution que nous avons proposée est
représentée par la figure IV.6.
Figure IV.6 : Architecture du réseau de l'ISTA-Kinshasa
104
NB : Pour une bonne présentation de notre environnement
de travail, nous avons utilisé le logiciel Microsoft Visio.
V.9 CONCLUSION
Dans ce chapitre, nous avons fait la présentation de
l'Institut Supérieur des Techniques Appliquées, avec un accent
particulier sur son réseau informatique, cadre choisi pour
l'implémentation de la solution VoIP.
Dans le chapitre qui suit, nous allons proposer l'approche de
cette implémentation.
CHAPITRE V : APPROCHE D'IMPLEMENTATION DE LA VoIP
V.1 INTRODUCTION
Dans ce chapitre, nous allons proposer le modèle
d'implémentation de la solution VoIP, au sein du réseau
informatique de l'ISTA.
Ce modèle reposera sur les principes de base se rapportant
à sa mise en oeuvre effective, étant donné que, dans le
cadre de ce travail nous resterons essentiellement très
théoriques. Toutefois, nous allons faire un petit montage
expérimental avec du matériel essentiel.
V.2 THEORIE D'IMPLEMENTATION DE LA VoIP. V.2.1
CHOIX DU MATERIEL
Pour implémenter notre solution, tout en tenant compte
des facteurs tels que : capacité de traitement des requêtes, temps
de réponse aux requêtes des clients, ainsi de suite, nous avons
porté notre choix sur un Serveur ProLiant DL 140 G3 du réseau
existant.
Le serveur HP ProLiant DL 140 G3 est économique au
format 2U, doté de capacité biprocesseur et équipé
des fonctionnalités essentielles hautes performances, qui offrent aux
clients une plate-forme leur permettant de concevoir une solution
entièrement optimisée. Il est parfaitement adapté pour
l'informatique courante et haute performance, idéal pour les petites et
moyennes entreprises.
Ce serveur est doté de:
V' 1 processeur multicoeur : Intel Xeon processor X5365,
3.0 GHz, 120W ;
V' 2 Go de Mémoire vive DIMM DDR2 P-5300
extensible à 32 Go ;
V' Chipset Intel 5000X ;
V' 2 disques durs SATA de 250 Go ;
V' Carte Réseau RJ-45 (Ethernet) ; 2 ports
réseau 10/100/1000 intégrés prenant en charge
l'équilibrage de la charge de travail et la fonction de basculement,
plus 1 port dédié pour la gestion à distance HP ProLiant
Lights Out 100i ;
V' Port Série : 1 ;
V' Périphérique de pointage (souris) : 1
;
V' Clavier : 1 ;
V' 4 ports USB ;
V' Une alimentation de 650 W, avec fonction de
correction du facteur de puissance.
106
V.2.2 CHOIX DES LOGICIELS
Il existe plusieurs logiciels qui permettent
d'implémenter une solution VoIP dans une entreprise, que ça soit
dans le monde libre, par exemple Elastix, AsteriskNow, Trixbox,etc ou dans le
monde des logiciels propriétaires où l'on peut citer par exemple
3CX Phone System.
Pour implémenter notre solution, le choix a
été porté sur la plateforme 3CX Phone System, que
ça soit pour le softphone ou pour l'IPBX.
En ce qui concerne le système d'exploitation sur lequel
notre solution doit tourner, nous ne nous sommes pas trop atteler
là-dessus. Parce que notre solution est compatible aux différents
systèmes d'exploitation énumérés au point
V.2.2.1.
Dans la section qui suit, nous allons présenter la
plateforme 3CX Phone System.
V.2.2.1 PRESENTATION DE 3CX PHONE SYSTEM15
Le 3CX Phone System est un PBX-IP logiciel compatible sur la
plateforme MS Windows®, pouvant remplacer un PABX traditionnel, et offrir
aux utilisateurs la possibilité de téléphoner, recevoir et
transférer des appels. Ce PBX-IP supporte toutes les
fonctionnalités d'un PBX traditionnel et il est aussi appelé
Système Téléphonique VoIP, PABX-IP ou Serveur SIP. Les
appels sont transmis sous forme des paquets de données sur le
réseau informatique en lieu et place du réseau
téléphonique traditionnel.
Les téléphones partagent le réseau avec
les ordinateurs, ainsi le câblage téléphonique peut
être supprimé. Avec l'utilisation d'une passerelle VoIP, il est
possible de connecter les lignes téléphoniques existantes au
PBX-IP et continuer d'émettre et de recevoir des appels
téléphoniques via les lignes du réseau
téléphonique commuté. Le PBX-IP 3CX utilise les
téléphones logiciels ou matériels au standard SIP, et
fournit la commutation d'appels internes, aussi bien que les appels en
provenance et vers le réseau traditionnel ou via un service de voix sur
IP (VoIP).
V.2.2.2 LES COMPOSANTS DE 3CX PHONE SYSTEM Le
3CX Phone System est constitué des composants suivants :
V' Le service SIP server : ce service Windows configure les
appels utilisant le protocole SIP. Il exécute les fonctions de PBX,
telles que l'acheminement d'appels, le transfert d'appels etc. ;
V' Le service Media server : ce service Windows exécute le
streaming de l'appel, c'est-à-dire la conversation audio ;
15
WWW.3CX.COM Consulté le 9
Juillet 2013 à 13h00
107
V' La Console de Gestion : offre une interface de
configuration Web de 3CX Phone System. Le 3CX Phone System intègre un
serveur Web Apache, qui est plus rapide, évolutif et sûr ;
V' Le service Database server (Postgre sql) : Il s'agit d'une
version allégée du serveur de base de données SQL qui
stocke tous les paramètres de configuration du système
téléphonique ;
V' Le service Digital Receptionist : ce service peut
répondre aux appels et offrir différentes options aux
interlocuteurs ;
V' Le service Voice mail manager : ce service gère les
boîtes de messagerie vocale ;
V' L'Assistant d'Appel 3CX : Il s'agit d'un client
léger pour Windows, lequel permet aux utilisateurs de gérer leurs
extensions et appels depuis leur Bureau Windows.
V.2.2.3 LES VERSIONS DE 3CX PHONE SYSTEM
Le logiciel 3CX Phone System est disponible dans 4 versions
différentes, entre autres : l'Edition gratuite, PME, Pro et Entreprise.
Un comparatif détaillé des différentes versions est
disponible à l'adresse:
http://www.3cx.com/phone-system/enterprise-features.html.
Pour implémenter notre plateforme de test, nous avons
choisi la version gratuite 3CX Phone System version 3, car elle support moins
d'utilisateurs, mais pour l'entreprise qui voudra exploiter ce logiciel, elle
pourra acheter la version Edition entreprise, dans la mesure où cette
est adaptée pour l'environnement regroupant plusieurs utilisateurs.
V.2.2.4 INSTALLATION DE 3CX PHONE SYSTEM
V.2.2.4.1 PRE-REQUIS
L'installation du système 3CX version 3 pour Windows,
nécessite les éléments suivants:
V' Le système d'exploitation sur lequel peut tourner le
serveur VoIP, exemple : Windows XP, Vista, 2000 (serveur et professionnel) ou
2003 Serveur.
V' Les ports compatibles, tels que : 5060 (SIP), 5481
(Apache), 5480 (Postgres), 5482 (Media server) ;
V' Les téléphones au standard SIP, matériels
ou logiciels ;
V' Les passerelles VoIP, si on doit connecter des lignes RTC /
RNIS ;
V' Un compte chez un fournisseur de service VoIP, si on
souhaite téléphoner via le réseau Internet.
108
V.2.2.4.2 INSTALLATION PROPREMENT DITE
Pour installer le logiciel 3CX Phone System, nous avons les
étapes ci-après :
1. Téléchargez la dernière version de
3CX Phone System depuis le site
http://www.3cx.com/ip-pbx/downloadlinks.html.
Démarrez l'installation en double cliquant sur le fichier
3CXPHONESYSTEM3.EXE. Cliquez "Next" pour démarrer
l'installation.
2. Il vous sera demandé de relire et d'accepter le
contrat de licence, ainsi que de choisir le chemin de l'installation.
Le 3CX Phone System nécessitera approximativement 50 Mo
d'espace libre sur le disque dur. Vous devrez avoir plus de place pour stocker
les messages vocaux et les directives vocales.
3. Vous devez saisir le nombre de chiffres que vous voulez
pour les lignes d'extensions. Un nom d'utilisateur et un mot de passe vous
seront demandés, lequel vous servirez pour vous connecter à la
console de gestion et gérer le système
téléphonique. Enfin, il vous sera demandé le nom de votre
serveur de courrier et une adresse de réponse. Ces paramètres
seront utilisés pour envoyer, par courrier électronique, les
notifications de messages vocaux aux utilisateurs.
4. Cliquez sur "Install" pour commencer l'installation de 3CX
Phone System. Le Setup va copier tous les fichiers et
installer les services Windows nécessaires. Cliquez sur "Finish" une
fois l'installation est finie.
109
Après que l'installation soit terminée, vous
pouvez vous connecter à la console de gestion de 3CX Phone System, en
cliquant sur le raccourci "management console" dans le groupe de programme 3CX
Phone System. Voire la capture de l'écran de la figure V.1.
Figure V.1 : Console de gestion de 3CX Phone System
V.2.3 CONFIGURATION DE 3CX PHONE SYSTEM
V.2.3.1 PLAN DE NUMEROTATION
Pour assurer une bonne administration de notre solution
implémentée, nous avons mis en place un plan de
numérotation à 4 chiffres afin d'avoir une marge de manoeuvre
assez large pouvant permettre l'incrémentation de plusieurs
extensions.
En se référant au découpage du
réseau informatique de l'ISTA, nous avons reparti les numéros des
extensions, comme indiqué dans le tableau V.1.
V' A droite, la liste des options de gestion / configuration pour
l'option de configuration choisie.
110
Tableau V.1 : Plan de numérotation
|
N°
|
DESIGNATION
|
PLAGE DE NUMEROS
|
EMPLACEMENT
|
OBSERVATION
|
|
1
|
DIREGENE
|
1100 à 1199
|
Direction générale
|
Dédier aux utilisateurs de la direction
générale
|
|
2
|
SECTION
|
1200 à 1299
|
Section et laboratoires
|
Dédier aux utilisateurs des sections et laboratoires
|
|
3
|
BUDGET
|
1300 à 1399
|
Bâtiment ITMAT
|
Dédier aux utilisateurs des services de finance
|
|
4
|
SERACAB
|
1400 à 1499
|
Bâtiment ITMAT
|
Dédier aux utilisateurs des services académiques
|
|
5
|
BIBLIO
|
1500 à 1599
|
Bibliothèque
|
Dédier aux agents de la bibliothèque
|
|
6
|
ADMIN
|
1600 à 1699
|
Bureau des administrateurs réseau
|
Dédier aux administrateurs réseau
|
|
7
|
CENTRE INFO
|
1700 à 1799
|
Centre informatique
|
Dédier aux agents du centre informatique
|
V.2.3.2 CREATION DES EXTENSIONS
Après avoir installé le 3CX Phone System, on
procède à la création des extensions, la configuration des
téléphones SIP (logiciels ou matériels) et la
configuration des lignes téléphoniques.
Pour commencer, démarrez le raccourci "3CX Management
console" depuis le groupe de programmes 3CX, ou pointez sur votre navigateur
web se trouvant sur la console de gestion, en saisissant le nom de la machine
sur laquelle est installée le 3CX Phone System, suivi de numéro
du port 5481. (Par exemple:
http://phone-system:5481).
L'écran de la console de gestion de 3CX Phone System sera
divisé en 2 sections principales:
V' A gauche, le menu qui inclus les options de configuration les
plus importantes, à savoir : les Extensions, Lignes, Règles
d'appels, Configuration avancée et générale.
111
Ces différents menus sont représentés par la
capture de l'écran de la figure V.2.
Figure V.2 : Console de gestion et configuration de 3CX Phone
System
V.2.3.3 AJOUT DES EXTENSIONS
Pour ajouter une extension, on clique sur "Add" dans l'option
Extensions. Ceci affichera la page "add extension".
Ensuite, on peut remplir les informations suivantes:
1. Informations Utilisateur.
V' Numéro d'extension : spécifiez un numéro
d'extension ;
V' Prénom : saisissez le prénom de l'utilisateur
;
V' Nom : saisissez le nom de l'utilisateur ;
V' Adresse e-mail (Optionnel) : celle-ci sera utilisée
pour la notification de messages vocaux et comme l'identifiant SIP par
défaut. Vous pouvez laisser ce champ vide si vous le souhaitez.
2. Informations d'identification.
Ici on doit spécifier l'identifiant et le mot de passe.
V' ID : le "nom d'utilisateur" SIP. Par exemple : 1102 ;
V' Mot de passe : le mot de passe SIP (le mot de passe peut
être caché de l'utilisateur).
112
3. Information concernant la messagerie
vocale.
A cette étape, on doit activer certaines options qui
sont prise en charge par la messagerie vocale entre autre :
V' Activer la messagerie vocale : permet d'activer la
messagerie vocale pour l'extension / l'utilisateur ;
V' Afficher l'ID de l'appelant : le système de
messagerie vocale énoncera le numéro de l'appelant qui a
laissé le message ;
V' Lire la date / l'heure du message : le système de
messagerie vocale énoncera la date et l'heure du message ;
V' Code (interrogation) : ce code est utilisé pour
protéger la boîte vocale et est utilisé par l'utilisateur
pour accéder à sa boîte vocale. Le code est aussi
utilisé comme mot de passe pour accéder à l'Assistant
d'Appel 3CX ;
V' Options email : vous permet de choisir l'une de
méthode pour recevoir par courrier électronique les messages
vocaux suivant les options ci-après :
+ Pas de notification par e-mail : le système
n'enverra pas de courrier électronique ;
+ Envoyer une notification e-mail seulement : cette option
notifiera l'utilisateur qu'il a un nouveau message vocal. Cependant le courrier
électronique ne contiendra pas le message vocal. Le message devra
être écouté par téléphone depuis la
messagerie vocale ;
+ Envoyer v-mail en pièce jointe : cette option
enverra un courrier électronique avec le message vocal en pièce
jointe au format WAV. Le message restera dans la boîte vocale au cas
où vous souhaiteriez l'écouter ultérieurement (en
composant le 999).
+ Envoyer en pièce jointe et supprimer de la
boîte vocale : enverra un courrier électronique avec le message
vocal en pièce jointe et supprimera le message vocale de la boîte
de messagerie sur le Serveur 3CX. Ceci évite à l'utilisateur
d'effacer le message vocal depuis deux emplacements différents, par
exemple depuis la boîte de réception de courrier
électronique et la boîte vocale sur le serveur 3CX.
4. Informations concernant la destination ou le
transfert lorsque le correspondant est occupé.
Vous pouvez configurer pour chacune des extensions, ce que
doit faire le système téléphonique si l'extension ne
répond pas à l'appel, ou est occupée ou non
enregistrée. Dans le cas de non réponse, vous devez
spécifier le temps (en secondes) durant lequel
113
vous souhaitez que le système attende. Dans le cas
d'occupation, vous devez spécifier comment vous souhaitez que le
téléphone ou le PBX-IP signale l'occupation.
La figure V.3, illustre la fenêtre portant les options
nécessaires à la création d'une extension.
Figure V.3 : Options de création d'extension
114
Après la création des différentes
extensions, on peut visualiser les identifiants et les numéros de toutes
les extensions, tel que nous le montre la figure V.4.
Figure V.4 : Liste des identifiants des extensions
créées
V.2.3.4 CONFIGURATION DE SOFTPHONE
Le softphone appelé aussi client SIP est un logiciel qui
permet de jouer le rôle d'un téléphone IP. Pour son
fonctionnement, il requiert un système de son (carte son, baffles,
micro,...).
Dans le cadre de notre expérimentation, nous avons
utilisé le 3CX Phone, et sa configuration requiert des
éléments ci-après :
? Numéro d'extension = Numéro
d'appel ;
? ID d'authentification = Identifiant du compte
SIP ;
? Mot de passe d'authentification = Mot de passe
du compte SIP ; ? L'adresse IP du serveur VoIP.
115
Exemple de configuration d'un client ayant les paramètres
suivants :
1' Numéro d'extension : 1102 ;
1' ID d'authentification : 1102 ;
1' Mot de passe d'authentification : 1102 ;
1' Coller ID : SIMON KIDIAMBOKO ;
1' L'adresse IP du serveur VoIP : 192.168.1.4
La figure V.4 et V.5, présente l'interface de
configuration de 3CX Phone et celle d'émission d'appel.
Figure V.4 : Interface de configuration de 3CXPhone Figure V.5 :
Interface de 3CXPhone
116
V.2.3.5 TEST DE FONCTIONNEMENT DE LA SOLUTION
IMPLEMENTEE
Après avoir créé les extensions et
configuré les téléphones SIP (logiciels) pour fonctionner
avec ces extensions, la figure V.6 illustre la façon dont on
procède pour tester si l'installation fonctionne correctement. Pour ce
faire, on procède comme suit :
Figure V.6 : Moniteur d'état
Démarrez la console de gestion de 3CX Phone System, et
cliquez sur Système téléphonique > Etat des lignes (Il
s'agit de la page par défaut). Vérifiez que toutes les extensions
sont listées et dans l'état `Raccroché.
Le moniteur d'état affiche l'état des extensions
(lignes internes) et de toutes vos lignes externes. Il s'agit de l'écran
par défaut lors du démarrage de la console de gestion
après que vous ayez configuré les extensions. Les états
suivants sont affichés :
V' Non enregistrée : l'extension a
été créée, cependant le téléphone SIP
n'est pas enregistré dans le serveur 3CX. Ceci peut être
lié au fait que le téléphone n'est pas branché, ou
que les paramètres de l'utilisateur sont erronés. Une autre cause
possible peut être que le pare-feu est activé sur la machine qui
exécute 3CX Phone System et qu'il bloque les communications entre le
serveur et le téléphone.
V' Enregistré (inactif) :l'extension
est enregistrée et prête pour les appels
téléphoniques ;
V' Appel : l'extension compose un numéro
;
V' Sonne : l'extension sonne ;
V' Connectée : l'extension est
actuellement en ligne ;
V' Attente : l'extension a mis un appel en
attente.
117
V.3 MESURES DE SECURISATION DE LA SOLUTION
DEPLOYEE
Etant donné que la solution VoIP
implémentée est une application de plus dans le réseau
existant et qu'elle est exposée aux attaques diverses, telles que nous
énumérer au chapitre III, il était important d'envisager
des mesures de sécurisation du serveur qui hébergera cette
application.
Pour ce faire, dans la section qui suit nous allons
présenter certaines recommandations techniques proposant des mesures de
sécurisation de la solution, une fois mise en place.
Les recommandations techniques à mettre en place sont les
suivantes :
1) la protection physique du serveur
Le serveur doit être installé dans la salle
informatique et bénéficier du même niveau de
sécurité (alarme, anti-incendie, surveillance, etc.) que d'autres
serveurs.
2) La redondance des composants critiques
Cette solution est coûteuse, mais nécessaire
lorsque la criticité de l'infrastructure VoIP exige une forte
disponibilité et/ou un rétablissement rapide en cas de panne. Les
équipements critiques seront donc dupliqués et des
mécanismes de partage de charge seront mis en place. Des tests
réguliers doivent en outre être réalisés, afin de
contrôler les procédures de basculement et le bon fonctionnement
des appareils redondants.
3) Consolider et sécuriser le système
d'exploitation du serveur
La sécurité du réseau voix implique
à la fois celle des systèmes d'exploitation et des applications
qui le composent. Consolider les systèmes d'exploitation est
indispensable, nécessaire et obligatoire. Les ports et les services
inutiles seront désactivés. Les systèmes seront mis
à jour régulièrement pour corriger les
vulnérabilités, et les permissions sur les registres
appliquées, etc.
4) Segmentation du réseau en VLAN
Les trafics voix et données transiteront sur des
réseaux distincts, des Virtual Local Area Network seront mis en place
sur les commutateurs. Les différents flux de voix seront ainsi
sécurisés, ce qui empêchera une personne connectée
sur le réseau de données d'écouter le trafic voix. Les
Switchs assureront en outre, la gestion des ACL (Access Control Lists = Listes
de Contrôle d'Accès) et interdiront le port monitoring et les
ports non-actifs seront désactivés.
118
5) Placer les équipements derrière le
pare-feu
Les firewalls seront configurés en amont des serveurs,
pour éviter le déni de service, et sur les segments critiques.
Ils ne contrôleront que les flux des VLANs qui sont bien restreints aux
protocoles de la VoIP. Les pare-feu supporteront à la fois les
protocoles SIP (Session Initiation Protocol) et les protocoles H.323.
6) Crypter les communications de bout en
bout
Le cryptage concerner les flux de signalisation
(chargés de mettre en relation l'appelant et l'appelé) et
média (transport de l'information). Ainsi le chiffrement de la voix peut
s'appuyer soit sur le protocole TLS (Transport Layer Security), DTLS (Datagram
TLS) ou SRTP (Secure RTP). Une entreprise peut également décider
de recourir à IPSec. Les communications externes peuvent aussi
être acheminées via des tunnels VPN.
7) Monitoring du trafic voix
La surveillance du réseau avec des Sniffers et des IDS
permettra de détecter le trafic anormal et les tentatives d'intrusion.
L'analyse des logs pourra en outre révéler des attaques en brute
force, des appels frauduleux (de nuit, vers des numéros surtaxés,
etc.). Tandis que des pics du trafic voix traduiront des spams vocaux (voice
spam).
Toutefois, le risque zéro n'existe pas et les solutions
de sécurité applicables à la VoIP peuvent s'avérer
à la fois complexes et coûteuses à mettre en oeuvre.
L'entreprise devra donc arbitrer entre criticité, coût et niveau
de risque jugé acceptable.
V.7 CONCLUSION
Dans ce chapitre, nous avons définit l'approche
d'implémentation de la solution VoIP dans le cadre d'un réseau
informatique existant.
Etant donnée la vulnérabilité de cette
solution, des mesures de sécurisation ont été
proposées, et dans le cas d'une implémentation réelle,
elles doivent être impérativement envisagées.
119
CONCLUSION GENERALE
Le présent travail, proposant l'implémentation
de la solution VoIP dans le réseau informatique de l'ISTA, a
été divisé en cinq chapitres.
Au premier chapitre, nous avons parlé des
généralités sur les réseaux informatiques, leurs
catégorisations en termes de taille et en termes de technologie. Nous
avons également parlé des différents équipements en
exploitation.
Au deuxième chapitre, nous avons parlé des
considérations générales sur la VoIP et des
différents protocoles utilisés, permettant de gérer les
communications entre utilisateurs.
Au troisième chapitre, nous avons décrit les
différentes attaques et vulnérabilités observées
dans l'exploitation de la voix sur IP. Nous avons également
énumérer quelques mesures de sécurisation de
l'infrastructure offrant le service de la voix sur IP.
Au quatrième chapitre, nous avons
présenté le réseau informatique de l'ISTA, cadre choisi de
notre étude. Nous avons épinglé quelques
défaillances du réseau, qui se résume en termes
d'insuffisance de matériels et de l'expansion véritable du
service.
Au cinquième chapitre, nous avons décrit la
procédure de l'implémentation de la solution VoIP. Cette
procédure reprend la configuration du serveur, qui prend en charge les
extensions, et la détermination toutes les mesures de
sécurisation de services.
En effet, ce travail nous a donné l'occasion de nous
familiariser avec les théories sur la VoIP, sa conception ainsi que son
implémentation. Nous pensons que cette découverte constitue un
acquit important, en tant que futur Ingénieur informaticien.
Nous n'avons pas la prétention d'avoir tout dit ou tout
fait dans ce travail, néanmoins, nous pensons avoir posé des
bases sur une éventuelle implémentation dans le cas du
réelle. Nous prions, pour cela, à tout lecteur d'apporter les
critiques et suggestions constructives, afin de nous aider à
réorienter cette étude pour un développement
ultérieur.
120
REFERENCES BIBLIOGRAPHIQUES
I. LES OUVRAGES ET NOTES COURS
1. Claude Servin, Réseaux &
Télécoms, 1ere édition, Dunod, Paris, 2003
2. Jean-François Susbielle, Internet multimédia
et temps réel, paris 2000
3. Laurent OUAKIL, GUY PUJOLLE, Téléphonie sur
IP, Eyrolles, Paris, 2008
4. Guy PUJOLLE, Les Réseaux, Eyrolles, Paris,
2003.
5. Peter Thermos and Ari Takanen, Securing VoIP networks
threats, vulnerabilities, and counter measures, (Addison-Wesley (c)
2007)
6. David Endler et Mark Collier, Hacking Exposed VoIP: Voice
Over IP Security Secrets & Solutions, (McGraw-Hill/Osborne (c) 2007)
7. DA CUNHA José, VoIP et Asterisk/Trixbox,
métrise en systèmes distribués et réseaux,
Université de Franche Comté, 2007-2008.
8. Jim VAN MEGGELEN, Jared SMITH & Leif MADSEN, Asterisk La
téléphonie Open Source, O'Reilly, Paris, 2006.
9. Pierre KASENGEDIA MUTUMBE, cours d'architecture des
systèmes téléinformatique, inédit, 2éme
Génie Informatique, ISTA/Kin, 2011-2012,103 pages
II. WEBOGRAPHIE
1.
www.frameip.com/voip/, Voix
sur IP - VoIP, Consulté le 12 Novembre 2012 a 2OH37
2.
www.wapiti.telecom-lille.eu
consulté le 2 avril 2013 à 9h
3.
hi-tech-depanne.com/voip/
Consulté le 12 Février 2013 a 13H15
4.
www.protocols.com/pbook/h323.htm
Consulté le 5 Avril 2012 à 15h00
5.
www.rtcip.fr/IMG/pdf/livre_blanc_learning
consulté le 20 Décembre 2012 a 15h45
6.
www.frameip.com/voip/, Voix
sur IP - VoIP, par SebF Consulté le 12 Février 2013
7.
www.securityfocus.com/infocus/1862
two attacks against VoIP par Peter Thermos. Consulter le 12 Février
2013
121
8.
www.guill.net Consulté 2 avril
2013 a 21h20
9.
www.vnunet.fr/doss/ent/ipv6.htm
Consulté le 2 avril 2013 a 21h25
10.
www.commentcamarche.net/lan/firewall.php3
Consulté le 2 avril 2013 a 21h45
11.
www.voip-info.org/wiki-Asterisk
consulté le 7 Mai 2012 a 20h30
12.
www.cisco.netacad.net
13.
www.3CX.com Consulté le 9
Juillet 2013 a 13h00
122
TABLE DES MATIERES
INTRODUCTION GENERALE 9
1. BREF HISTORIQUE 9
2. PRESENTATION DU SUJET 10
3. PROBLEMATIQUE ET HYPOTHESES 10
4. OBJECTIF 11
5. DELIMITATION DU SUJET 11
6. CHOIX ET INTERET DU SUJET 12
7. METHODES ET TECHNIQUES UTILISEES 12
8. DIFFICULTES RENCONTREES 14
9. SUBDIVISION DU TRAVAIL 14
CHAPITRE I : GENERALITES SUR LE RESEAU INFORMATIQUE 15
I.1 INTRODUCTION 15
I.2 CONSIDERATION GENERALES DES RESEAUX INFORMATIQUES
15
I.2.1 DÉFINITION DU RÉSEAU INFORMATIQUE
15
I.2.2 CLASSIFICATION DES RÉSEAUX INFORMATIQUES
15
I.2.1. CLASSIFICATION SELON LEUR ETENDUE GEOGRAPHIQUE
15
I.2.2. CLASSIFICATION SELON LES FONCTIONS ASSUMEES PAR LES
16
ORDINATEURS 16
1.2.3 CLASSIFICATION SELON LA TOPOLOGIE RESEAU
18
1.2.3.1 TOPOLOGIE PHYSIQUE 18
1.2.3.2 TOPOLOGIE LOGIQUE 20
I.3. MODÈLE OSI (OPEN SYSTEMS INTERCONNECTION 20
1.3.1 COUCHE PHYSIQUE 21
1.3.2. COUCHE LIAISON DES DONNEES 22
1.3.3 COUCHE RESEAU 22
1.3.4 COUCHE TRANSPORT 23
1.3.5 COUCHE SESSION 23
1.3.6 COUCHE PRESENTATION 23
I.4.7. COUCHE APPLICATION 23
I.5 Modèle TCP/IP 24
I.5.1. COUCHE ACCES RESEAU 24
I.5.2. COUCHE INTERNET 24
I.5.3. COUCHE TRANSPORT 24
I.5.4. COUCHE APPLICATION 26
I.6. NORMES ET TECHNOLOGIES DES RESEAUX LOCAUX
28
I.6.1. ETHERNET (IEEE 802.3) 28
123
I.6.2. TOKEN RING (ANNEAU A JETON) 28
I.6.3. FDDI (Fiber Distributed Data Interface) 28
I.7 SUPPORTS ET EQUIPEMENTS RESEAUX LOCAUX
29
I.7.1 SUPPORTS DE TRANSMISSION 29
I.7.2 EQUIPENTS RESEAUX 31
I.8 CONCLUSION 33
CHAPITRE II : CONSIDERATIONS GENERALES SUR LA VoIP 34
II.1 INTRODUCTION 34
II.2 PRESENTATION DE LA STRUCTURE VOIX SUR IP 34
II.2.1 DEFINITION 34
II.2.2 ARCHITECTURE DE LA VoIP 34
II.2.3 PRINCIPE DE FONCTIONNEMENT 36
II.2.4 LES CONTRAINTES DE LA VOIX SUR IP
36
II.2.4.1 QUALITE DU CODAGE 37
II.2.4.2 DELAI D'ACHEMINEMENT : LATENCE (Delay) 37
II.2.4.3 GIGUE (JITTER) 38
II.2.4.4 PERTE DES PAQUETS 38
II.2.4.5 ECHO 38
II.3 LES PROTOCOLES DE SIGNALISATION 38
II.3.1 LE PROTOCOLE H.323 39
II.3.1.1 DESCRIPTION GENERALE DU PROTOCOLE H.323
39
II.3.1.2 ROLE DE COMPOSANTS 40
II.3.1.3 LES AVANTAGES ET INCOVENIENTS DU PROTOCOLE H323
42
II.3.2 LE PROTOCOLE SIP 44
II.3.2.2 HISTORIQUE 44
II.4.1.1 ARCHITECTURE DE SIP 44
II.4.1.2 L'ADRESSAGE SIP 49
II.4.1.3 FORMAT DES ADRESSES SIP 50
II.4.1.4 LES MESSAGES SIP 52
II.4.1.5 LES REQUETTES SIP 52
II.4.1.6 LES REPONSES SIP 53
II.4.1.7 SCENERIOS DE COMMUNICATION 54
II.5 AVANTAGES ET INCONVENIENTS DU PROTOCOLE SIP 62
II.5.1 AVANTAGES 62
II.5.2 INCONVENIENTS 62
II.6 COMPARAISON ENTRE LE PROTOCOLE SIP ET H.323
63
II. 7 PROTOCOLES DE TRANSPORT 64
II.7.1 LE PROTOCOLE RTP 64
124
II.7.1.1 DESCRIPTION GENERALE DU PROTOCOLE RTP 64
II.7.1.2 LES FONCTIONS DU PROTOCOLE RTP 65
II.7.1.3 AVANTAGES ET INCONVENIENTS DU PROTOCOLE RTP 65
II.7.2 LE PROTOCOLE RTCP 66
II.7.2.1 DESCRIPTION GENERALE DU PROTOCOLE RTCP 66
II.7.2.2 POINTS FORTS ET LIMITES DU PROTOCOLE RTCP 67
II.8 AVANTAGES ET INCONVENIENTS DE LA TELEPHONIE SUR IP 67
II.8.1 AVANTAGES 67
II.8.1.1 REDUCTION DES COUTS 67
II.8.1.2 OPTIMIATION DES RESSOUECES 68
II.8.1.3 SIMPLIFICATION DE LA GESTION, D'ADMINISTRATION ET DE
68
MIGRATION 68
II.8.1.4 AUGMENTATION DES SERVICES 68
II.8.2 INCONVENIENTS 68
II.8.2.1 PROBLEMES DE SECURITE 68
II.8.2.2 PROBLEME D'ENGORGEMENT DU RESEAU 69
II.9 CONCLUSION 69
CHAPITRE III. VULNERABILITES DES RESEAUX VoIP ET 70
MESURES DE SECURITE 70
III.1 INTRODUCTION 70
III.2 APERCUES SUR LES ATTAQUES DANS LES RESEAUX VoIP 70
III.2.1 ATTAQUES SUR LES PROTOCOLES 70
III.2.1.1 SNIFFING 71
III.2.1.2 SUIVI DES APPELS 71
III.2.1.3 INJECTION DES PAQUETS RTP 72
III.2.1.4 LES SPAMS 72
III.2.1.5 LE DENI DE SERVICE (DOS : Denial Of Service) 73
III.2.1.6 DETOURNEMENT D'APPEL (CALL HIJACKING) 77
III.2.1.7 ATTAQUE PAR ECOUTE CLENDESTINE 77
III.2.2 LES VULNERABILITES DE L'INFRASTRUCTURE (HARD ET SOFT)
78
III.2.2.1 INFRASTRUCTURE HARDWARE 78
III.2.2.2 INFRASTRUCTURE SOFTWARE 79
III.3 MESURES DE SECURISATION 79
III.3.1 SECURISATION AU NIVEAU DES PROTOCOLES 80
III.3.1.1 VoIP VPN 80
III.3.1.2 SECURE RTP ou SRTP 80
III.3.1.3 LE PROTOCOLE TLS 82
III.3.2 SECURISATION AU NIVEAU APPLICATION
83
125
III.3.3 SECURISATION DU SYSTEME D'EXPLOITATION 83
III.4 CONCLUSION 85
CHAPITRE IV : PRESENTATION DU RESEAU INFORMATIQUE DE 86
L'ISTA 86
IV.1 INTRODUCTION 86
IV.2 CONSIDERATION GENERALE DE L'ISTA 86
IV.2.1 SITUATION GEOGRAPHIQUE 86
IV.2.2 HISTORIQUE 86
IV.2.3 OBJECTIFS ET MISSIONS DE L'ETABLISSEMENT 87
IV.2.4 SECTIONS ORGANISEES A L'ISTA-KINSHASA 87
IV.2.4.1 LE PREMIEUR CYCLE 87
IV.2.4.2 DEUXIEME CYCLE 88
IV.2.5 STRUCTURE ORGANISATIONNELLE ET FONCTIONNEMENT 88
IV.2.5.1 STRUCTURE GENERALE 88
IV.2.5.2 FONCTIONNEMENT 89
IV.2.5.3 ORGANIGRAMME DE L'ISTA / KINSHASA 91
IV.3 ETUDE DU RESEAU EXISTANT DE L'ISTA KINSHASA 92
IV.3.1 APERCU HISTORIQUE DU CENTRE INFORMATIQUE DE L'ISTA
92
IV.7.2 ANALYSE DU RESEAU INFORMATIQUE DE L'ISTA 93
IV.7.2.1 DEPLOIEMENT DU RESEAU 93
IV.7.2.2 EQUIPEMENTS ET SERVEURS UTILISES 95
IV.7.2.3 SUPPORTS DE TRANSMISSION UTILISES DANS LE RESEAU
98
INFORMATIQUE DE l'ISTA 98
IV.7.2.4 SERVICES ET APPLICATIONS RESEAUX UTILISEES 99
IV.7.3 ARCHITECTURE DU RESEAU EXISTANT 100
IV.8 CRITIQUE DU RESEAU INFORMATIQUE DE L'ISTA 101
IV.8.1 CRITIQUES 101
IV.8.2 PROPOSITION DES SOLUTIONS 102
IV.8.3 ARCHITECTURE DU NOUVEAU RESEAU DE L'ISTA KINSHASA
103
V.9 CONCLUSION 104
CHAPITRE V : APPROCHE D'IMPLEMENTATION DE LA VoIP 105
V.1 INTRODUCTION 105
V.2 THEORIE D'IMPLEMENTATION DE LA VoIP. 105
V.2.1 CHOIX DU MATERIEL 105
V.2.2.1 PRESENTATION DE 3CX PHONE SYSTEM 106
V.2.2.2 LES COMPOSANTS DE 3CX PHONE SYSTEM 106
V.2.2.3 LES VERSIONS DE 3CX PHONE SYSTEM 107
V.2.2.4 INSTALLATION DE 3CX PHONE SYSTEM 107
126
V.2.2.4.1 PRE-REQUIS 107
V.2.2.4.2 INSTALLATION PROPREMENT DITE 108
V.2.3 CONFIGURATION DE 3CX PHONE SYSTEM 109
V.2.3.1 PLAN DE NUMEROTATION 109
V.2.3.2 CREATION DES EXTENSIONS 110
V.2.3.3 AJOUT DES EXTENSIONS 111
V.2.3.4 CONFIGURATION DE SOFTPHONE 114
V.2.3.5 TEST DE FONCTIONNEMENT DE LA SOLUTION IMPLEMENTEE
116
V.3 MESURES DE SECURISATION DE LA SOLUTION DEPLOYEE 117
V.7 CONCLUSION 118
CONCLUSION GENERALE 119
REFERENCES BIBLIOGRAPHIQUES 120
TABLE DES MATIERES 122
| 
