1

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

INTRODUCTION GENERALE

Pendant plusieurs décennies, la transmission analogique de la voix fut la seule technologie maîtrisée et utilisée. Mais au milieu du vingtième siècle, grâce aux techniques d'échantillonnage, de quantification et de codage, la transmission numérique de la voix fut rendu possible. Aussi bien la transmission de gros volumes de données requise par l'industrie informatique que l'écoulement d'un grand trafic vocal trouvent leur application à travers les réseaux numériques notamment le RNIS, l'INTERNET.

La voix sur IP devient aujourd'hui une solution incontournable pour les entreprises qui voudrait soit remplacer l'ancien système PBX en faveur d'une plate-forme VoIP ou en créer un pour la réalisation efficiente et efficace d'un système de communication basé sur IP.

L'existence du réseau téléphonique et Internet a amené un certain nombre de personnes à penser à un double usage pour unifier tous ces réseaux, en opérant une convergence voix, données et vidéo. Les opérateurs, les entreprises ou les organisations et les fournisseurs devaient, pour bénéficier de l'avantage du transport unique IP, introduire de nouveaux services voix et vidéo. Ainsi, l'une des solutions qui marquent le «boom» de la voix sur IP au sein des entreprises est la solution PABX-IP (Private Automatic Branch eXchange IP).

Ainsi, le travail que nous traiton s'intitule : « implantation d'un système VoIP sécurisé par une technologie VPN dans une entreprise à multiple centre d'exploitation. « Cas de Ministère du Budget »».

Les télécommunications en particulier occupent une bonne place, dans la mesure où elles constituent le moteur de développement de l'économie et de la société.

Dans l'examen de la réalité qui se passe, il n'en pas le cas, cependant les nouvelles applications réseaux, telle que la VoIP, devait s'apprendre au sein même de l'entreprise.

Face à cette nécessité et par souci d'apporter notre modeste contribution en matière de développement de la communication au sein de Ministère du Budget et d'appropriation des nouvelles applications réseaux, nous pensons que l'implémentation de la VoIP sur ce dernier sera une des solutions appréciable de tous.

De cet ordre d'idées, il convient de se poser quelques questions, telles que :

? Est-il possible d'améliorer les moyens de communication au sein de Ministère du Budget?

? Est-il possible d'implémenter la solution VoIP dans le réseau informatique? ? Comment sécuriser la solution VoIP qui sera implémentée ?

2

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

Telles sont les questions auxquelles nous allons tenter de répondre dans la suite de notre travail.

Les difficultés sont multiples au sein de Ministère du Budget en ce qui concerne le système des communications pour ses personnels.

Ainsi, nous pensons que l'implémentation d'une solution VoIP au sein de son réseau informatique, pourra faire bénéficier au personnel oeuvrant au sein de son administration d'effectuer les appels téléphoniques internes, gratuitement sans dépensé un seul centime.

En fonction des besoins réels de l'entreprise, différents arguments plaident en faveur d'une solution VoIP, raison pour laquelle l'objectif principal poursuivi dans ce travail est de montrer l'importance de l'intégration de la VoIP dans les entreprises (qu'elles soient multi-sites ou non) en général et au Ministère du Budget en particulier d'une part, et de proposer l'implémentation de cette technologie au sein du réseau informatique de ce dernier d'autre part.

Tout travail qui se veut scientifique doit être examiné dans le temps tout comme dans l'espace, il doit bien cerner le contour du sujet et faciliter la démarche scientifique pour arriver au résultat escompté.

Dans le cas de ce travail, nous nous limiterons essentiellement à la définition de la théorie se rapportant à la solution VoIP et à la description des matériels de base permettant son déploiement. Nous allons également procéder à une expérimentation d'une communication VoIP à l'aide d'un minimum de matériel à notre disposition.

Au moment où le monde entier connait un essor considérable sur les nouvelles technologies de l'information et de la communication, les entreprises sont appelées à retrouver leurs places dans cet essor afin de jouer le rôle d'élément moteur du progrès social, économique et politique.

Ainsi, trois raisons primordiales justifient le choix et l'intérêt de cette monographie, à savoir :

? Premièrement, nous nous acquittons de notre devoir légitime de finaliste du second cycle, qui oblige à ce que chaque étudiant rédige un travail de fin d'étude, ainsi que le souci permanent d'approfondir nos connaissances dans le domaine de voix sur IP;

? Deuxièmement, cette oeuvre intellectuelle nous permet de rapprocher les notions théoriques accumulées pendant toute notre formation à la pratique, et constitue une source d'approvisionnement incontestable pour les futurs chercheurs qui aborderont le même thème de la recherche que nous ;

3

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

? Troisièmement, pour le Ministère du Budget, nous voulons par le présent travail, apporter notre modeste contribution tant soit peu aux problèmes de communication

qu'il connaît en son sein, dont les questions sont épinglés dans la problématique.

Les techniques sont de moyens que nous avons utilisés pour faciliter la récolte des informations dont nous avions besoin afin de bien présenter le travail. Nous avons ainsi utilisé les techniques suivantes :

V' Interview : C'est la technique la plus utilisée pour étudier le système existant. Elle nécessite une préparation et est basée sur le choix d'interlocuteur auprès de qui on pose des questions et ce dernier fournit des explications sur le fonctionnement de leur système. Dans notre cas, nous avons eu à interroger les responsables de la division informatique du Ministère du Budget, et avons obtenu les éléments nécessaires.

V' L'observation : L'observation exige la présence de l'analyste du système dans les différents sites couverts par le réseau. Dans notre cas, nous avons visité la salle serveur et nous avons fait connaissances des différents équipements et matériels se trouvant dans la division informatique du Ministère du Budget.

V' La technique documentaire : Elle nous a permis de parcourir un certain nombre d'ouvrages scientifiques et techniques se rapportant à la solution VoIP, mais également à l'Internet, qui à l'heure actuelle constitue la référence incontournable de recherches.

Hormis l'introduction générale et la conclusion générale, ce travail est subdivisé en cinq chapitres, à savoir :

Chapitre 1. Généralités sur les réseaux informatiques Chapitre 2. La voix sur un réseau des données IP (VoIP) Chapitre 3. Le réseau privé virtuel :VPN

Chapitre 4. Etude d'opportunité (Ministère du Budget) Chapitre 5. Approche d'implémentation de la VoIP

4

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

CHAPITRE I : GENERALITES SUR LES RESEAUX INFORMATIQUES

[2][5][7] [10] [12] [9]

I.1 INTRODUCTION

Dans ce chapitre, nous avons posé le fondement en ce qui concerne les réseaux informatiques, les différentes classifications et les équipements qu'on retrouve dans les réseaux informatiques.

I.2 CONSIDERATION GENERALES DES RESEAUX INFORMATIQUES

I.2.1 Définition du réseau informatique

Le réseau informatique est un ensemble d'équipements informatiques ou systèmes digitaux interconnectés entre eux via un milieu de transmission de données en vue partage de ressources informatiques et de la communication. Ci-dessous la figure 1 décrit un réseau informatique

^Routeur

^Routeur

^{Réseau Local 1}

^{Réseau Local 2}

Fig.1: un réseau informatique

I.2.2. Classification des réseaux informatiques

La classification se fait par rapport au certains critères donnés, ainsi nous pouvons classifier les réseaux informatiques de la manière suivante :

V' Classification selon leur étendue;

V' Classification selon l'architecture;

V' Selon le monde de commutation.

5

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

I.2.2.1. Classification selon leur étendue

Selon la taille géographique qu'occupe un réseau, on peut les classer en grandes catégories suivantes:

? LAN (Local Area Network);

? MAN (Metropolitan Area Network); ? WAN (Wide Area Network);

I.2.2.1.1. Local area network : LAN

Les réseaux locaux connectent plusieurs ordinateurs situés sur une zone géographique relativement restreinte, tels qu'un domicile, un bureau, un bâtiment, un campus universitaire.

Un LAN est un réseau privé dont la taille ne dépasse pas des centaines de mètres. Il est utilisé pour relier les ordinateurs personnels et les stations de travail. 4 caractéristiques les distinguent des autres :

1. La taille : petite, plus au moins 0-1 km

2. La technique de transmission : diffusion

3. La vitesse : 10-100 Mbps (traditionnelle)

4. Délai de transmission : = 10 ms ; peu d'erreur de transmission.

Ils permettent aussi aux entreprises de partager localement des fichiers et des imprimantes de manière efficace et rendent possibles les communications internes. La figure 2 ci-dessous présente le réseau LAN

Fig. 2 : Le réseau LAN

I.2.2.1.2. Métropolitain area network: MAN

Tout réseau métropolitain est essentiellement un LAN, du point de vue de la technologie utilisée. Il peut couvrir un grand campus ou une ville et peut être public ou privé. Il transmet la voix et/ ou données et peut même être relié à un réseau câblé de télévision. Il ne comporte que 1 et 2 câbles de transmission, et donc pas d'éléments de commutation à travers lesquels les paquets seraient aiguillés dans une certaine direction ; cela simplifie leur

6

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

conception. La norme la plus connue de réseaux MAN est DQDB (Distributed Queue Dual Bus), appelée 802.6 par IEEE. La figure 3 ci-dessous présente le réseau MAN.

Fig. 4 : Le réseau WAN

Fig. 3: Le réseau MAN

I.2.2.1.3. Wide area Network : WAN

Pour des raisons économiques et techniques, les réseaux locaux (LAN) ne sont pas adaptés aux communications couvrant de longues distances.

^Routeur

^LAN 1

^Routeur

^{LAN 2}

C'est pour toutes ces raisons que les technologies des réseaux étendus (WAN) diffèrentes de celles des réseaux locaux. Un WAN est un réseau à longue distance qui couvre une zone géographique importante (un pays, voir même un continent). La figure 4 ci-dessous présente le réseau WAN

7

Dans une configuration client-serveur, les services de réseau sont placés sur un ordinateur dédié, appelé serveur, qui répond aux requêtes des clients. Un serveur est un

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

I.2.2.2 classification selon l'architecture

Du point de vue architecture réseau, nous avons deux grandes catégories de réseaux : Réseau POSTE-à-POSTE (Peer to Peer) et Réseau serveur dédicacé ou client-serveur (server based).

I.2.2.3. Le Réseau poste-à-poste

C'est un réseau sans serveur dédicacé, moins coûteux car ne nécessitant pas un serveur puissant et un mécanisme de sécurité très poussée. Chaque ordinateur connecté au réseau peut faire office de client ou de serveur. En général, c'est un petit réseau de plus ou moins 10 postes, sans administrateur de réseau. Ce réseau est illustré par la Figure 5

Fig. 5 : Schéma d'un réseau poste à poste

? Avantages

- Implémentation moins coûteuse ;

- Ne requiert pas un système d'exploitation de réseau ;

- Ne requiert pas un administrateur de réseau dédié.

? Inconvénients

- Moins sécurisé

- Chaque utilisateur doit être formé aux tâches d'administration

- Rend vite l'administration très complexe.

I.2.2.2.1. Réseau à serveur dédicacé ou client serveur

Un serveur : Un ordinateur qui met ses ressources et services à la disposition des autres. Il est, en général, du point de vue de ses performances, plus puissant que les autres.

Un client : Un ordinateur qui, pour l'exécution de certaines de ses applications fait appel aux ressources et services contenus dans le SERVEUR.

8

Selon le mode de commutation, on peut classifier les réseaux en deux catégories: Les réseaux à commutation de circuit et les réseaux à commutation de données.

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

ordinateur central, disponible en permanence pour répondre aux requêtes émises par les clients et relatives à des services de fichiers, d'impression, d'applications ou autres.

La plupart de systèmes d'exploitation de réseau adoptent des relations client-serveur. En règle générale, les ordinateurs de bureau agissent comme des clients, alors qu'un ou plusieurs ordinateurs équipés d'un logiciel dédié, qui sont dotés d'une puissance de traitement et d'une mémoire plus importantes assurent la fonction de serveurs. Les serveurs sont conçus pour gérer simultanément les requêtes de nombreux clients. La figure 6 Ci-dessous présente le modèle client-serveur.

Fig. 6 : Modèle de client-serveur

? Avantages

- Garantit une meilleure sécurité ;

- Plus facile à administrer lorsque le réseau est étendu car

l'administration est centralisée;

- Possibilité de sauvegarder toutes les données dans un
emplacement central.

? Inconvénients

- Requiert l'utilisation d'un système d'exploitation de réseau, tel

que NT, novelle Netware, Windows server 2003 etc. ...

- Le serveur nécessite du matériel plus puissant, mais coûteux ;
Requiert un administrateur professionnel ;

- Présente un point unique de défaillance s'il n'y a qu'un seul
serveur ; si le serveur est en panne, les données de l'utilisateur risquent de ne plus être disponibles.

I.2.2.3. Classification selon le mode de commutation

9

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

I.2.2.3.1. Commutation de circuit y' Principe :

Un chemin physique est construit de bout en bout (phase de connexion) avant tout échange de données. Le circuit est maintenu (phase de transfert) tant que les deux abonnées ne le restituent pas explicitement (phase de libération).

y' Caractéristiques :

La commutation de circuit garantit le bon ordonnancement des données. Il n'y a pas de stockage intermédiaire des données. Les abonnés monopolisent la ressource durant la connexion. Il y a facturation à la minute.

y' Avantage :

Les applications classiques de ce type de réseau sont celles à contrainte temporelle (délai de traversée constant) telles que le service téléphonique et toutes les applications streaming.

y' Inconvénients:

S'il n'y a plus de ressource disponible de bout en bout, la connexion est refusée. En plus, il y a une mauvaise utilisation des ressources.

La figure 7. Ci-dessous présente la commutation de circuits entre 2 correspondants

Fig.7 : Réseau à commutation de circuit

I.2.2.3.2. Commutation de données

Les réseaux à commutation de données sont classés selon trois catégories: I.2.2.3.2.1. La commutation de messages :

y' Principe:

Elle consiste à envoyer un message de l'émetteur jusqu'au récepteur en passant de noeud de commutation, en noeud de commutation. Chaque noeud attend d'avoir reçu complètement le message avant de le réexpédier au noeud suivant. Cette technique nécessite de prévoir des grandes zones tampons dans chaque noeud du réseau, mais comme ces zones ne sont pas illimitées il faut aussi prévoir un contrôle de flux de messages pour éviter la

10

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

saturation du réseau. Dans cette approche il devient très difficile de transmettre de longs messages. Comme un message doit être reçu entièrement à chaque étape si la ligne a un taux d'erreur de 10-5 par bit (1 bit sur 105 est erroné) alors un message de 100000 octets n'a qu'une probabilité de 0,0003 d'être transmis sans erreur.

V' Avantages:

Meilleure utilisation des ressources. En cas de fort trafic, il n'y a pas de blocage lié au réseau empêchant l'émission : le message est simplement ralenti. Il y a possibilité de diffusion.

V' Inconvénients :

Nécessite une mémoire de masse importante dans les commutateurs. Le temps d'acheminement non maîtrisé, pas adapté aux applications temps réel. Si un message est corrompu, il devra être retransmis intégralement.

I.2.2.3.2.2. La commutation de paquets

V' Principe:

Elle est apparue au début des années 70 pour résoudre les problèmes d'erreur de la commutation de messages. Un message émis est découpé en paquets et par la suite chaque paquet est commuté à travers le réseau comme dans le cas des messages. Les paquets sont envoyés indépendamment les uns des autres et sur une même liaison on pourra trouver les uns derrière les autres des paquets appartenant à différents messages. Chaque noeud redirige chaque paquet vers la bonne liaison grâce à une table de routage. La reprise sur erreur est donc plus simple que dans la commutation de messages, par contre le récepteur final doit être capable de reconstituer le message émis en réassemblant les paquets. Ce qui+ nécessitera un protocole particulier car les paquets peuvent ne pas arriver dans l'ordre initial, soit parce qu'ils ont emprunté des routes différentes, soit parce que l'un d'eux a dû être réémis suite à une erreur de transmission.

La figure 8. Ci-dessous présente un réseau à commutation de paquets

Fig.8 : Réseau à commutation de paquets

11

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

V' Avantage:

Optimisation de l'utilisation des ressources. Transmission plus rapide que la commutation de messages. Retransmission uniquement du paquet erroné en erreurs.

V' Inconvénients:

Il peut être nécessaire de réordonner les paquets à l'arrivée. Chaque paquet doit contenir les informations nécessaires à son acheminement.

I.2.2.3.2.3. La commutation de cellules

Principe:

Une cellule est un paquet particulier dont la taille est toujours fixée à 53 octets (5 octets d'en-tête et 48 octets de données). C'est la technique de base des réseaux hauts débits ATM (Asynchronous Transfert Mode) qui opèrent en mode connecté où avant toute émission de cellules, un chemin virtuel est établi par lequel passeront toutes les cellules. Cette technique mixe donc la commutation de circuits et la commutation de paquets de taille fixe permettant ainsi de simplifier le travail des commutateurs pour atteindre des débits plus élevés.

I.2.3. Topologie de réseau

La topologie de réseau définit la structure du réseau. Elle représente l'interconnexion des équipements sur le réseau. Ces équipements sont appelés des noeuds. Les noeuds peuvent être des ordinateurs, des imprimantes, des routeurs, des ponts ou tout autre composant connecté au réseau. Un réseau est composé de deux topologies: la topologie physique et la topologie logique.

I.2.3.1.Topologie physique

La topologie physique du réseau se rapporte à la disposition des équipements et des supports. Ainsi, nous avons :

I.2.3.1.1. Topologie en bus

Tous les équipements d'une topologie en bus sont connectés par un même câble, qui passe d'un ordinateur à l'autre, comme le ferait un bus qui traverse la ville. C'est pourquoi on parle souvent de bus linéaire. L'extrémité du segment de câble principal doit comporter un terminateur qui absorbe le signal lorsque ce dernier atteint la fin de la ligne ou du câble. En cas d'absence de terminateur, le signal électrique représentant les données est renvoyé à l'extrémité du câble, ce qui génère une erreur sur le réseau.

12

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

La figure 9 représente la topologie en bus.

Fig. 9 : Topologie en bus

Cette topologie a pour avantage d'être facile à mettre en oeuvre et de posséder un fonctionnement simple. En revanche, elle est extrêmement vulnérable, étant donné que si l'une des connexions est défectueuse, l'ensemble du réseau en est affecté.

I.2.3.1.2. Topologie en étoile

La topologie en étoile est la plus utilisée sur les réseaux locaux Ethernet. Cette topologie ressemble aux rayons d'une roue de bicyclette. Elle est composée d'un point de connexion central. Il s'agit d'un équipement, comme un hub ou un commutateur, où tous les segments de câble se connectent. Chaque hôte du réseau est connecté à l'équipement central par son propre câble.

La figure 10 représente la topologie en étoile.

Fig. 10 : Topologie en étoile

Contrairement aux réseaux construits sur une topologie en bus, les réseaux suivant une topologie en étoile sont beaucoup moins vulnérables car une des connexions peut être débranchée sans paralyser le reste du réseau. Le point névralgique de ce réseau est le concentrateur, car sans lui plus aucune communication entre les ordinateurs du réseau n'est possible. En revanche, un réseau à topologie en étoile est plus onéreux qu'un réseau à topologie en bus car un matériel supplémentaire est nécessaire (le hub).

13

En outre, cette topologie permet à l'information d'emprunter plusieurs trajets dans son voyage à travers le réseau. Le principal inconvénient physique est que si le nombre

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

I.2.3.1.3. Topologie en anneau

La topologie en anneau est également très utilisée pour la connectivité des réseaux locaux. Comme son nom l'indique, la forme de connexion des hôtes est celle d'un cercle ou d'un anneau. Contrairement à la topologie en bus, aucune de ses extrémités ne nécessite de terminaison. Le mode de transmission des données est différent de celui utilisé dans les topologies en étoile ou en bus. Une trame, appelée jeton, circule autour de l'anneau et s'arrête à chaque noeud. Si un noeud souhaite transmettre des données, il ajoute les données et les informations sur les adresses à la trame. La trame continue de circuler autour de l'anneau jusqu'à ce qu'elle trouve le noeud de destination. Ce dernier récupère alors les données dans la trame. La figure 11 ci-dessous présente la topologie en

anneau

Fig. 11 : Topologie en anneau

L'avantage de cette topologie est qu'il n'y a pas de risque de collisions de paquets de données.

I.2.3.1.4. Topologie maillée

La topologie maillée permet de connecter tous les équipements, ou noeuds, entre eux afin d'obtenir une redondance et, donc, une tolérance aux pannes. Elle est utilisée sur les réseaux étendus (WAN) pour interconnecter les réseaux locaux, mais également pour les réseaux vitaux comme ceux utilisés par les gouvernements. La mise en oeuvre de la topologie maillée est difficile et onéreuse. La figure 12ci-dessous présente la topologie maillée.

Fig. 12: Topologie maillée

14

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

de noeuds n'est pas très réduit, la quantité de média pour les liaisons et le nombre de connexions à ces liaisons, deviennent gigantesques.

I.2.3.2.Topologie logique

La topologie logique représente des voies par lesquelles sont transmis les signaux sur le réseau (mode d'accès des données aux supports et de transmission des paquets de données). La topologie logique est réalisée par un protocole d'accès. Les protocoles d'accès les plus utilisés sont : Ethernet, FDDI et Token ring

I.2.3.2.1. Ethernet (IEEE 802.3)

Les bases de la technologie Ethernet sont apparues dans les années 70, avec un programme appelé Alohanet. Il s'agissait d'un réseau radio numérique conçu pour transmettre les informations via une fréquence radio partagée entre les îles hawaïennes. Avec Alohanet, toutes les stations devaient suivre un protocole selon lequel une transmission sans reçu devait être retransmise après un court délai. Des techniques similaires permettant d'utiliser un support partagé ont été appliquées plus tard à la technologie filaire, sous la forme d'Ethernet. Ethernet a été développé dans l'objectif d'accueillir plusieurs ordinateurs interconnectés sur une topologie de bus partagée.

La première version d'Ethernet incorporait une méthode de contrôle de l'accès aux supports appelée CSMA/CD (Carrier Sense Multiple Access with Collision Detection). Cette méthode d'accès a permis de résoudre les problèmes liés à la communication de plusieurs périphériques sur un support physique partagé.

I.2.3.2.2.Token ring

La société IBM est à l'origine de Token Ring, une architecture de réseau fiable basée sur la méthode de contrôle d'accès à passage de jeton. L'architecture Token Ring est souvent intégrée aux systèmes d'ordinateur central IBM. Elle est utilisée à la fois avec les ordinateurs classiques et les ordinateurs centraux. Il utilise la norme IEEE 802.5.

La technologie Token Ring est qualifiée de topologie en « anneau étoilé » car son apparence extérieure est celle d'une conception en étoile. Les ordinateurs sont connectés à un concentrateur central, appelé Unité d'Accès Multi Station (MSAU). Au sein de ce périphérique, cependant, le câblage forme un chemin de données circulaire, créant un anneau logique. L'anneau logique est créé par la circulation du jeton, qui va du port de l'unité MSAU à un ordinateur.

Si l'ordinateur n'a aucune donnée à envoyer, le jeton est renvoyé au port MSAU, puis en ressort par un autre port pour accéder à l'ordinateur suivant. Ce processus se poursuit pour tous les ordinateurs offrant une grande similarité avec un anneau physique.

15

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

I.2.3.2.3. Fiber Distributed Data Interface (FDDI)

FDDI (Interface de Données Distribuées sur Fibre) est un type de réseau Token Ring. L'implémentation et la topologie FDDI est différente de celles d'une architecture de réseau local Token Ring d'IBM. L'interface FDDI est souvent utilisée pour connecter différents bâtiments au sein d'un campus universitaire ou d'une structure d'entreprise complexe. Les réseaux FDDI fonctionnent par câble en fibre optique. Ils allient des performances haute vitesse aux avantages de la topologie en anneau avec passage de jeton. Les réseaux FDDI offrent un débit de 100 Mbits/s sur une topologie en double anneau. L'anneau extérieur est appelé anneau primaire et l'anneau intérieur c'est anneau secondaire.

I.3 MODÈLE OSI (Open Systems Interconnection)

Modèle de référence pour l'interconnexion de systèmes ouverts, ce modèle est fondé sur une recommandation d'ISO (International Standards Organisation). Un système ouvert est celui qui permet l"interconnexion avec d'autres systèmes ouverts afin de faciliter la communication et l'interopérabilité. Cette architecture en couches permet de bien gérer la complexité.

Le modèle de référence OSI est une représentation abstraite en couches servant de guide à la conception des protocoles réseau. Il divise le processus de réseau en sept couches logiques, chacune comportant des fonctionnalités uniques et se voyant attribuer des services et des protocoles spécifiques. La figure 13. Ci-dessous présente les sept couches du modèle OSI

Fig.13 : Les sept couches du modèle OSI

16

Cette sous-couche ajoute un en-tête et un code de fin à l'unité de données de protocole de la couche 3.

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

I.3.1 Couche physique

Elle s'occupe de:

> La transmission de bits sur un canal de communication;

> Initialisation de la connexion et relâchement à la fin de la

communication entre l'émetteur et le récepteur ;

> L'interface mécanique, électrique et fonctionnelle; Les supports
physiques de transmission de données;

> Résolution de possibilité de transmission physique dans les deux sens
(Half et Full duplex).

I.3.2 Couche liaison des données

La tâche principale de la couche liaison de données est de prendre un moyen de transmission brut et le transformer en une liaison qui paraît exempter d'erreurs de transmission à la couche réseau.

Elle s'occupe de:

> Constituer des trames à partir des séquences de bits reçus;

> Constituer des trames à partir des paquets reçus et les envoie en

séquence. C'est elle qui gère les trames d'acquittement renvoyées par le récepteur.

> La correction d'erreur et de contrôle de flux.

La couche liaison des données est souvent divisée en deux sous-couches : une sous-couche supérieure et une sous-couche inférieure.

? La sous-couche supérieure

Définit les processus logiciels qui fournissent des services aux protocoles de couche réseau. La sous-couche LLC (Logical Link Control) gère la communication entre les couches supérieures et les logiciels de mise en réseau aussi entre les couches inférieures et le matériel. La sous-couche LLC extrait les données des protocoles réseau, en principe un paquet IPv4, et leur ajoute des informations de contrôle pour faciliter la transmission du paquet jusqu'au noeud de destination.

? La sous-couche inférieure

Définit les processus d'accès au support exécutés par le matériel. Elle assure trois fonctions de base : la délimitation des trames, l'adressage et la détection d'erreurs.

17

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

I.3.3 Couche réseau

La couche réseau permet de gérer le sous-réseau, la façon dont les paquets sont acheminés de la source à la destination.

Elle s'occupe de :

y' L'adressage: La couche réseau doit d'abord fournir un

mécanisme pour l'adressage de ces périphériques finaux. Si des éléments de données individuels doivent être acheminés vers un périphérique final, ce dernier doit posséder une adresse unique. Dans un réseau IPv4. Actuellement il existe aussi la version 6 ou IPv6.

y' L'encapsulation: La couche réseau doit également fournir une
encapsulation. Durant le processus d'encapsulation, la couche 3 reçoit l'unité de données de protocole de la couche 4 et ajoute un en-tête de la couche 3, pour créer l'unité de données de protocole de couche 3. Dans un contexte de couche réseau, cet unité de données de protocole est appelée paquet.

y' Le routage: La couche réseau doit ensuite fournir des services

pour diriger ces paquets vers leur hôte de destination. Les hôtes source et de destination ne sont pas toujours connectés au même réseau. En fait, le paquet peut avoir de nombreux réseaux à traverser. En route, chaque paquet doit être guidé sur le réseau afin d'atteindre sa destination finale.

y' Le décapsulage: le paquet arrive sur l'hôte de destination et est
traité par la couche 3. L'hôte examine l'adresse de destination pour vérifier si le paquet était bien adressé à ce périphérique. Si l'adresse est correcte, le paquet est décapsulé par la couche réseau, et l'unité de données de protocole de la couche 4 contenue dans le paquet est transmise au service approprié de la couche transport.

I.3.4 Couche transport

Un des rôles les plus importants de la couche transport, est la gestion de la communication fiable de bout en bout, entre l'émetteur et le récepteur, qui agissent comme machines d'extrémité, alors que les protocoles de couches basses agissent entre machines voisines. La connexion de transport la plus courante consiste en un canal point-à-point, exempt d'erreurs, délivrant les messages ou les octets dans l'ordre d'émission.

Suppose un contrôle d'erreurs et de flux entre hôtes, assemblage et désassemblage de données.

18

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

I.3.5 Couche session

La couche session permet aux utilisateurs travaillant sur différentes machines, d'établir entre eux un type de connexion appelé « session ». Un utilisateur peut aussi établir une session pour se connecter à un système temps partagé ou transférer un fichier entre 2 machines. Un des rôles de la couche session concerne la gestion du dialogue. Les sessions peuvent utiliser le mode unidirectionnel ou bidirectionnel du trafic. Quand on travaille en mode bidirectionnel alterné (half-duplex logique), la couche session détermine qui a le contrôle. Ce type de service est appelé gestion du jeton.

I.3.6 Couche présentation

A la différence des couches inférieures, qui sont seulement concernées par la transmission fiable des bits d'un point à un autre, la couche présentation s'intéresse à la syntaxe et la sémantique de l'information transmise.

I.3.7 Couche application

La couche application est la couche OSI la plus proche de l'utilisateur. Elle fournit des services réseau aux applications de l'utilisateur. Elle se distingue des autres couches en ce sens qu'elle ne fournit pas de services aux autres couches OSI, mais seulement aux applications à l'extérieur du modèle OSI.

Voici quelques exemples de ce type d'application : tableurs, traitements de texte et logiciels de terminaux bancaires. La couche application détermine la disponibilité des partenaires de communication voulus, assure la synchronisation et établit une entente sur les procédures de correction d'erreur et de contrôle d'intégrité des données.

I.4. MODELE TCP/IP

Le premier modèle de protocole en couches pour les communications inter réseau fut créé au début des années 70 et est appelé modèle Internet. Il définit quatre catégories de fonctions qui doivent s'exécuter pour que les communications réussissent.

La plupart de modèles de protocole décrivent une pile de protocoles spécifique au fournisseur. Cependant, puisque le modèle TCP/IP est une norme ouverte, aucune entreprise ne contrôle la définition du modèle. Les définitions de la norme et des protocoles TCP/IP sont traitées dans un forum public et définies dans un ensemble des documents disponible au public. Ces documents sont appelés documents RFC (Request For Comments). Ils contiennent les spécifications formelles des protocoles de données ainsi que des ressources qui décrivent l'utilisation des protocoles.

19

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

La figure 14. Ci-dessous établi une comparaison entre le modèle OSI et

TCP/IP.

Fig. 14 : Comparaison du modèle OSI et TCP/IP Ce modèle est divisé en 4 couches, à savoir :

I.4.1 Couche accès réseau

La couche interface réseau du modèle TCP/IP correspond à la couche liaison de données et à la couche physique du modèle OSI. Cette couche définit les fonctions TCP/IP associées à l'étape de préparation des données avant leur transfert sur support physique, notamment l'adressage. La couche interface réseau détermine également les types de support qui peuvent être utilisés pour la transmission des données.

I.4.2 Couche internet

La couche Internet du modèle TCP/IP définit l'adressage et la sélection du chemin. Cette fonction est identique à la couche réseau du modèle OSI. Les routeurs utilisent les protocoles de la couche Internet pour identifier le chemin que les paquets de données emprunteront lors de leur transfert d'un réseau à l'autre. Parmi les protocoles définis dans cette couche figurent les protocoles IP, ICMP (Internet Control Message Protocol), ARP (Address Resolution Protocol) et RARP (Reverse Address Resolution Protocol).

I.4.3 Couche transport

La couche transport segmente les données et se charge du contrôle nécessaire au réassemblage de ces blocs de données dans les divers flux de communication.

20

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

Pour ce faire, elle doit :

> Effectuer un suivi des communications individuelles entre les

applications résidant sur les hôtes source et de destination ;

> Segmenter les données et gérer chaque bloc individuel ;
réassembler les segments en flux de données d'application ;

> Identifier les différentes applications ;

> Contrôle de flux.

La couche transport utilise le protocole TCP (transmission control protocol) et le protocole UDP (user datagram protocol). Ces deux protocoles gèrent les communications de nombreuses applications.

Le protocole UDP (user datagram protocol) est un protocole simple, sans connexion, décrit par le document RFC 768. Il présente l'avantage d'imposer peu de surcharge pour l'acheminement des données. Les blocs de communications utilisés dans le protocole UDP sont appelés des datagrammes. Ces datagrammes sont envoyés « au mieux » par ce protocole de couche transport.

Le protocole UDP est notamment utilisé par des applications de :

· Système de noms de domaine (DNS) ;

· Voix sur IP (VoIP) ;

· SNMP (Simple Network Management Protocol) ;

· DHCP (Dynamic Host Configuration Protocol) ;

· RIP (Routing Information Protocol) ;

· TFTP (Trivial File Transfer Protocol). Etc....

Le protocole TCP (transmission control protocol) est un protocole avec connexion décrit dans le document RFC 793. Il impose une surcharge pour accroître les fonctionnalités, spécifie aussi d'autres fonctions, à savoir la livraison dans l'ordre, l'acheminement fiable et le contrôle du flux. Chaque segment du protocole TCP utilise 20 octets de surcharge dans l'en-tête pour encapsuler les données de la couche application alors que chaque segment du protocole UDP n'ajoute sur 8 octets de surcharge.

Le protocole TCP est utilisé par des applications de :

V' Navigateurs web (http) ;

V' Courriel ;

V' Transfert de fichiers (FTF)

21

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

I.4.4 Couche application

La couche application est la couche qui sert d'interface entre les applications que nous utilisons pour communiquer et le réseau sous-jacent via lequel nos messages sont transmis. Les protocoles de couche application sont utilisés pour échanger des données entre les programmes s'exécutant sur les hôtes source et de destination. Il existe de nombreux protocoles de couche application.

Les protocoles de couche application sont les suivants :

I.4.4.1 le protocole DNS (Domaine Name Service)

Sur les réseaux de données, les périphériques sont étiquetés par des adresses ip numériques, ce qui leurs permettent de participer à l'envoi et à la réception des messages via le réseau. Cependant, la plupart des utilisateurs mémorisent très difficilement ces adresses numériques. C'est pour cette raison, que des noms de domaine ont été créés pour convertir les adresses numériques en noms simples et explicites.

I.4.4.2 le protocole HTTP (HyperText transfer protocol)

Le protocole http est l'un des protocoles de la suite TCP/IP, qui a été développé pour publier et extraire des pages html. Le protocole http est utilisé à travers le web pour le transfert des données et constitue l'un des protocoles d'application les plus utilisés.

I.4.4.3 les protocoles POP (Post Office Protocol) et SMTP (Simple Mail Transfer Protocol)

Lorsque l'utilisateur rédige un courriel, il fait généralement appel à une application connue sous le nom d'agent de messagerie, ou client de messagerie. L'agent de messagerie permet l'envoi des messages et place les messages reçus dans la boîte aux lettres du client, ces deux processus étant des processus distincts.

Pour recevoir le courriel d'un serveur de messagerie, le client de messagerie peut utiliser le protocole POP. L'envoi de courriel à partir d'un client ou d'un serveur implique l'utilisation de commandes et de formats de messages définis par le protocole SMTP.

I.4.4.4 le protocole FTP (File Transfer Protocol)

Le protocole FTP est un autre protocole de couche application couramment utilisé. Il a été développé pour permettre le transfert de fichiers entre un client et un serveur. Un client ftp est une application s'exécutant sur un ordinateur et utilisée pour extraire des fichiers d'un serveur exécutant le démon FTP (FTPD).

22

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

Pour transférer les fichiers correctement, le protocole ftp nécessite que deux connexions soient établies entre le client et le serveur : une connexion pour les commandes et les réponses et une autre pour le transfert même des fichiers.

Le client établit la première connexion au serveur sur le port TCP 21, cette connexion est utilisée pour le trafic de contrôle et se compose de commandes clientes et de réponses serveur. Le client établit la seconde connexion au serveur via le port TCP 20.

I.4.4.5 le protocole DHCP (Dynamic Host Configuration Protocol)

Le protocole DHCP permet aux périphériques d'un réseau d'obtenir d'un serveur DHCP des adresses IP et autres informations. Ce service automatise l'affectation des adresses IP, des masques de sous-réseau, des paramètres de passerelle et autres paramètres de réseau IP.

I.4.4.6 le protocole Telnet

Telnet date du début des années 70 et compte parmi les plus anciens protocoles et services de couche application de la suite TCP/IP. Telnet offre une méthode standard permettant d'émuler les périphériques terminaux texte via le réseau de données. Le terme Telnet désigne généralement le protocole lui-même et le logiciel client qui le met en oeuvre.

Logiquement, une connexion qui utilise Telnet est nommée connexion ou session VTY (Virtual terminal). Plutôt que d'utiliser un périphérique physique pour se connecter au serveur, Telnet utilise un logiciel pour créer un périphérique virtuel qui offre les mêmes fonctionnalités qu'une session de terminal avec accès à l'interface de ligne de commande (cli, command line interface) du serveur.

I.4.4.7 SNMP (Simple Network Management Protocol)

Ce protocole permet de surveiller et de contrôler les équipements du réseau, ainsi que de gérer les configurations, les statistiques, les performances et la sécurité.

I.5 SUPPORTS DE TRANSMISSIONS ET EQUIPEMENTS D'INTERCONNEXION RESEAUX

I.5.1 Supports de transmission

Les supports de transmissions peuvent être décrits comme le moyen d'envoi des signaux ou données d'un ordinateur à l'autre. Les signaux peuvent être transmis via un câble, mais également à l'aide des technologies sans fil.

23

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

Nous traiterons les types de support suivants:

> Cuivre : coaxial et paire torsadée ;

> Verre : fibre optique ;

> Ondes : sans fil.

I.5.1.1.Câble à paire torsadée

Le câble à paire torsadée est utilisé pour les communications téléphoniques et pour la plupart des réseaux Ethernet récents. Une paire de fils forme un circuit qui peut transmettre des données. Les paires sont torsadées afin d'empêcher la diaphonie, c'est-à-dire le bruit généré par les paires adjacentes.

Il existe deux types de pair torsadé:

+ Paire torsadée blindée (STP) ;

+ Paire torsadée non blindée (UTP).

> Paire torsadée blindée

Le câble à paire torsadée blindée (STP) allie les techniques de blindage, d'annulation et de torsion des fils. Chaque paire de fils est enveloppée dans une feuille métallique afin de protéger davantage les fils contre les bruits. Les quatre paires sont elles-mêmes enveloppées dans une tresse ou une feuille métallique. Le câble STP réduit le bruit électrique à l'intérieur du câble (diaphonie), mais également à l'extérieur du câble (interférences électromagnétiques et interférences de radiofréquences).

La figure 15. Ci-dessous présente le câble blindé

Fig.15 : le câble blindé

> Paire torsadée non blindée

Le câble à paire torsadée non blindée (UTP) est utilisé sur différents réseaux. Il comporte deux ou quatre paires de fils. Ce type de câble compte uniquement sur l'effet d'annulation produit par les paires torsadées pour limiter la dégradation du signal due aux interférences électromagnétiques et aux interférences de radiofréquences. Le câble UTP est le plus fréquemment utilisé pour les réseaux Ethernet.

24

Tous les équipements d'un réseau local sans fil doivent être dotés de la carte réseau sans fil appropriée.

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

La figure 16. Ci-dessous présente le câble UTP

Fig. 16 : le câble UTP.

I.5.1.2.Le câble coaxial

Un câble coaxial est constitué d'une partie centrale (appelée âme), c'est-à-dire un fil de cuivre, enveloppé dans un isolant, puis d'un blindage métallique tressé et enfin d'une gaine extérieure.

I.5.1.3.Câble à fibre optique

Le câble à fibre optique est un de réseau capable d'acheminer des impulsions lumineuses modulées. La modulation de la lumière consiste à manipuler la lumière de telle sorte qu'elle transmette des données lors de sa circulation. Les fibres optiques comportent un coeur de brins de verre ou de plastique (et non de cuivre), à travers lesquels les impulsions lumineuses transportent les signaux.

Elles présentent de nombreux avantages par rapport au cuivre au niveau de la largeur de bande passante et de l'intégrité du signal sur la distance. Tandis que, le câblage en fibre est plus difficile à utiliser et plus couteuse que le câblage en cuivre.

I.5.1.4.Supports sans fil

La communication sans fil s'appuie sur des équipements appelés émetteurs et récepteurs. La source interagit avec l'émetteur qui convertit les données en ondes électromagnétiques, puis les envoie au récepteur. Le récepteur reconvertit ensuite ces ondes électromagnétiques en données pour les envoyer à la destination. Dans le cadre de la communication bidirectionnelle, chaque équipement nécessite un émetteur et un récepteur. La plupart de fabricants d'équipements de réseau intègrent l'émetteur et le récepteur dans une même unité appelée émetteur-récepteur ou carte réseau sans fil.

25

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

Les normes de communications de données courantes s'appliquent aux supports sans fil à savoir:

y' Norme IEEE 802.11 : la technologie de réseau local sans fil

(WLAN), couramment appelée Wifi, utilise un système de contention ou système non déterministe basé sur un processus d'accès au support par accès multiple avec écoute de porteuse/évitement de collision (CSMA/CA).

y' Norme IEEE 802.15 : la norme de réseau personnel sans fil
(PAN), couramment appelée Bluetooth, utilise un processus de jumelage de périphériques pour communiquer sur des distances de 1 à 100 mètres.

y' Norme IEEE 802.16 : la technologie d'accès couramment
appelée Wi MAX (World wide Interoperability for Microwave Access) utilise une topologie point-à-multipoint pour fournir un accès à large bande sans fil.

I.5.2 Equipements d'interconnexion Réseaux

Un réseau local est composé de nombreux types d'équipement. Ces derniers sont appelés des composants matériels du réseau local. Certains des composants matériels les plus utilisés pour les réseaux locaux sont les suivants :

I.5.2.1 Répéteur

Un répéteur est un équipement réseau qui a pour rôle de régénérer et de retransmettre le signal. Le but de cet élément est d'augmenter la taille du réseau ; il fonctionne au niveau de la couche 1 du modèle OSI. Il est transparent pour les stations de travail car il ne possède pas d'adresse Ethernet. Il offre un débit de 10 Mbits/s ; l'avantage de cet équipement est qu'il ne nécessite pas (ou très peu) d'administration. Par contre il ne diminue pas la charge du réseau, ne filtre pas les collisions, n'augmente pas la bande passante et n'offre pas de possibilité de réseau virtuel. La figure 17 ci-dessous présente le répéteur.

Fig.17 : Répéteur

I.5.2.2 Routeur

Le routeur est un équipement spécialisé qui joue un rôle clé dans le fonctionnement d'un réseau de données. Les routeurs sont principalement chargés de l'interconnexion des réseaux en déterminant le meilleur chemin pour envoyer des paquets et transférer ces derniers vers leur destination.

Ils effectuent aussi le transfert de paquets en obtenant des informations sur les réseaux distants et en gérant les informations de routage. En plus il est la jonction, ou intersection, qui relie plusieurs réseaux IP.

26

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

La table de routage du routeur permet de trouver la meilleure correspondance entre l'IP de destination d'un paquet et une adresse réseau dans la table de routage. Au final, la table de routage détermine l'interface de sortie pour transférer le paquet et le routeur encapsule ce paquet dans la trame liaison de données appropriée pour cette interface sortante. La 18 ci-dessous présente le routeur.

Fig. 18 : Routeur

I.5.2.3. Switch

Aussi appelé commutateur, en général, les stations de travail d'un réseau

Ethernet sont connectés directement à lui. Un commutateur relie les hôtes qui sont connectés à

un port en lisant l'adresse MAC comprise dans les trames. Intervenant au niveau de la couche

2, il ouvre un circuit virtuel unique entre les noeuds d'origine et de destination, ce qui limite la

communication à ces deux ports sans affecter le trafic des autres ports. En plus de ces

fonctions, il offre des avantages suivants :

- Réduction du nombre de collision,

- Multiples communications simultanément,

- Amélioration de la réponse du réseau (augmentation la bande passante

disponible),

- Hausse de la productivité de l'utilisateur,

Il convient de savoir les critères de choix techniques (performances) lors de

l'achat de celui-ci:

- Bus interne avec un débit max de 10 Gb/s

- Vitesse de commutation nombre de trame/s

- Bande passante annoncée : 24 Gb/s

- Nombre d'adresse MAC mémorisable / interface.

La figure 19 ci-dessous présente le Switch.

Fig.19 Switch

I.5.2.4 Passerelle

La passerelle relie des réseaux hétérogènes, elle dispose des fonctions d'adaptation et de conversion de protocoles à travers plusieurs couches de communication jusqu'à la couche application.

27

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

On distingue les passerelles de transport qui mettent en relation les flux de données d'un protocole de couche transport ; les passerelles d'application qui, quant à elles, réalisent l'interconnexion entre applications de couches supérieures. Malgré le fait que la passerelle est incontournable dans les grandes organisations, elle nécessite souvent une gestion importante. La figure 20 ci-dessous présente le Passerelle.

Fig.20 : Passerelle

I.5.2.5 Firewall

Très souvent pour sa mise en place, le firewall nécessite deux composants essentiels : deux routeurs qui filtrent les paquets ou datagrammes et une passerelle d'application qui renforce la sécurité. En général le filtrage de paquet est géré dans des tables configurées par l'administrateur ; ces tables contiennent des listes des sources/destinations qui sont verrouillées et les règles de gestion des paquets arrivant de et allant vers d'autres machines. Très souvent des machines Unix peuvent jouer le rôle de routeur. La passerelle d'application quant à elle intervient pour surveiller chaque message entrant /sortant ; transmettre/rejeter suivant le contenu des champs de l'en-tête, de la taille du message ou de son contenu.

On trouve aussi sur le marché des équipements dédiés à la fonction de garde-barrière. La figure 21 ci-dessous présente le Firewall.

Fig. 21 : Firewall

I.6 LES ADRESSES IP (INTERNET PROTOCOL)

Le système d'adresse IP offre des fonctions similaires au système postal ou un code qui sert à envoyer des informations à une personne et d'en recevoir des autres personnes. Ce système d'adresse utilise la troisième couche du modèle OSI pour transmettre des informations au destinataire, et nous avons les adresse IP version 4 et version 6 (noté respectivement IPv4 et IPv6), dans ce travail il sera question de travailler avec les adresses IPv4.

Adresse multidiffusion

28

I.6.1. Adresse IPv4 et classes d'adressages

Une adresse IPv4 est une adresse codée sur 32 bits notée sous forme de 4 nombres entiers allant de 0 a 255 et séparés par de points.

Elle est constituée de deux parties :

? Une partie des nombres qui identifie le réseau qu'est commune à l'ensemble de hôtes d'un même réseau.

? Une autre partie qui identifie le nombre des machines qui appartenant à ce réseau, c'est la partie hôte.

A l'origine, plusieurs groupes d'adresses ont été définis dans le but d'optimiser le cheminement (ou le routage) des paquets entre les différents réseaux. Ces groupes ont été baptisés classes d'adresses IP. Ces classes correspondent à des regroupements en réseaux de même taille. Les réseaux de la même classe ont le même nombre d'hôtes maximum.

Classe A

Classe B

Classe D

29

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

Classe A : le premier octet a une valeur comprise entre 1 et 126 ; soit un bit de poids fort égal à 0. Ce premier octet désigne le numéro du réseau et les trois autres correspondant à l'adresse de l'hôte. L'adresse réseau 127.0.0.0 est réservée pour la communication en boucle locale.

Classe B : le premier octet a une valeur comprise entre 128 et 191 ; soit 2 bits de poids fort égaux à 10. Les 2 premiers octets désignent le numéro de réseau et les 2 autres correspondent à l'adresse de l'hôte.

Classe c : le premier octet a une valeur comprise entre 192 et 223 ; soit 3 bits des poids fort égaux à 110. Les trois premiers octets désignent le numéro de réseau et le dernier correspond à l'adresse de l'hôte.

Classe D : le premier octet a une valeur comprise entre 224 et 239 ; soit 3 bits de poids fort égaux à 111. Il s'agit d'une zone d'adresse dédiée aux services de multidiffusion vers des groupes d'hôtes (host groups).

I.6.2. Le masque :

Un masque réseau (en anglais netmask) est un ensemble de chiffre qui se représente sous la forme de 4 octets séparé par des points (comme une adresse IP), qui comprend (dans sa notion binaire) des zéros au niveau des bits de l'adresse IP que l'on veut annuler et des 1 au niveau de ceux que l'on désire conserver.

L'intérêt d'un masque est de pouvoir connaitre le réseau associé à une adresse IP. En effet, comme expliqué précédemment, le réseau est déterminé par un certain nombre d'octet de l'adresse IP. En généralisant, on obtient les masques suivants pour chaque classe :

y' Pour une adresse de classe A, le masque aura la forme suivante : 11111111.00000000.00000000.00000000 en binaire, c'est-a-dire en notation décimale : 255.0.0.0

y' Pour une adresse de classe B, le masque aura la forme suivante : 11111111.11111111.00000000.00000000 c'est-a-dire en notation décimale : 255.255.0.0

y' Pour une adresse de classe D, le masque aura la forme suivante : 11111111.11111111.11111111.00000000 en binaire, c'est-a-dire en notation décimale : 255.255.255.0

30

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

I.7.CONCLUSION

La connaissance préalable d'une infrastructure réseau et différents matériels utilisé dans le réseau est une étape nécessaire pour acquérir la maitrise globale d'un environnement réseau.

Ce chapitre vient de décrire les types de réseaux, les supports de transmission ainsi que les composants matériels qui les constituent. Le chapitre suivant va aborder les considérations générales sur la VoIP.

31

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

CHAPITRE II : LA VOIX SUR UN RESEAU DES DONNES IP
(VoIP) [3] [13] [14] [15] [18] [21] [22]

II.1 INTRODUCTION

L'objectif de ce chapitre est l'étude de cette technologie et de ses différents aspects. Nous parlerons en détail de l'architecture de la VoIP, ses éléments et son principe de fonctionnement. Nous détaillons aussi des protocoles VoIP de signalisation et de transport ainsi que leurs principes de fonctionnement et de leurs principaux avantages et inconvénients.

Depuis quelques années, la technologie VoIP commence à intéresser les entreprises, surtout celles de service comme les centres d'appels. La migration des entreprises vers ce genre de technologie n'est pas pour rien. Le but est de : minimiser le coût des communications ; utiliser le même réseau pour offrir des services de données, de voix, et d'images ; et simplifier les coûts de configuration et d'assistance.

II.2. PRESENTATION DE LA VOIX SUR IP

II.2.1 Définition

VoIP signifie Voice over Internet Protocol ou Voix sur IP. Comme son nom l'indique, la VoIP permet de transmettre la voix en des paquets IP circulant sur Internet. La VoIP peut utiliser du matériel d'accélération pour réaliser ce but et peut aussi être utilisée en environnement de PC.

Elle est une technique qui permet de communiquer par la voix (ou via des flux multimédia audio et/ou Vidéo) sur des réseaux compatibles IP.

On parle de la téléphonie sur IP (Telephony Over IP ou ToIP) quand, en plus de transmettre de la voix, on associe les services de téléphonie, tels que l'utilisation de combinés téléphoniques, les fonctions de centraux téléphoniques (transfert d'appel, messagerie,..), et la liaison au réseau RTC.

II.2.2 Architecture de la VoIP

La VoIP étant une nouvelle technologie de communication, elle n'a pas encore de standard unique. Chaque constructeur apporte ses normes et ses fonctionnalités à ses solutions. Les trois principaux protocoles utilisés sont H.323, SIP et MGCP/MEGACO. Il existe plusieurs approches pour offrir des services de téléphonie et de visiophonie sur des réseaux IP. Certains placent l'intelligence dans le réseau alors que d'autres préfèrent une approche égale à égale avec l'intelligence répartie à chaque périphérie. Chacune ayant ses avantages et ses inconvénients.

32

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

Elle comprend toujours des terminaux, un serveur de communication et une passerelle vers les autres réseaux. Chaque norme a ensuite ses propres caractéristiques pour garantir une plus ou moins grande qualité de service. L'intelligence du réseau est aussi déportée soit sur les terminaux, soit sur les passerelles/ contrôleur de commutation, appelées Gatekeeper.

Dans une architecture VoIP, on trouve les éléments communs suivants :

y' Le routeur : permet d'aiguiller les données et le routage des paquets entre deux réseaux. Certains routeurs permettent de simuler un Gatekeeper grâce à l'ajout de cartes spécialisées supportant les protocoles VoIP.

y' La passerelle : permet d'interfacer le réseau commuté et le réseau IP.

y' Le PABX : est le commutateur du réseau téléphonique classique. Il permet de faire le lien entre la passerelle ou le routeur, et le réseau téléphonique commuté (RTC). Toutefois, si tout le réseau devient IP, ce matériel devient obsolète

y' Les Terminaux : sont généralement de type logiciel (software phone) ou matériel (hardphone), le softphone est installé dans le PC de l'utilisateur. L'interface audio peut être un microphone et des haut-parleurs branchés sur la carte son, même si un casque est recommandé. Pour une meilleure clarté, un téléphone USB ou Bluetooth peut être utilisé. Le hardphone est un téléphone IP qui utilise la technologie de la Voix sur IP pour permettre des appels téléphoniques sur un réseau IP tel que l'Internet au lieu de l'ordinaire système PSTN. Les appels peuvent parcourir par le réseau internet comme par un réseau privé. Un terminal utilise des protocoles comme le SIP (Session Initiation Protocol) ou l'un des protocoles propriétaires tel que celui utilisée par Skype.

La figure 22 décrit, de façon générale, la topologie d'un réseau de téléphonie

Figure 22 : Architecture d'un réseau VOIP

33

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

II.2.3 Les numérisations de la Voix

Convertisseur

numérrique

analogique

Processeur DSP

Ajout d'en-tête

Paquets IP

4. Habillage des

en-têtes

1.Acquisition

2. Numérisation

3. Compression

5. Emission et transport

Le principe de la voix sur IP est basé sur la numérisation de la voix, c'est-à-dire le passage d'un signal analogique à un signal numérique. Celui-ci est compressé en fonction des codecs choisis, cette compression a comme but de réduire la quantité d'information qui est transmise sur le réseau. Le signal obtenu est découpé en paquets, à chaque paquet on ajoute les entêtes propres au réseau (IP, UDP, RTP....) et pour finir, il est envoyé sur le réseau. Ce principe est illustré dans la figure 23.

8. Restitution

6. Réception

Convertisseur

analogique

numérrique

7. Conversion num/analogique

Figure 23 : numérisation de la voix

II.2.3.1. Acquisition du signal

La première étape consiste naturellement à capter la voix à l'aide d'un micro, qu'il s'agisse de celui d'un téléphone ou d'un micro casque.

II.2.3.2. Numérisation

La voix passe alors dans un convertisseur analogique numérique qui réalise deux tâches distinctes

34

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

V' Echantillonnage du signal sonore: un prélèvement périodique de ce signal, il s'agit d'enregistrer à des intervalles très rapprochés la valeur d'un signal afin de pouvoir disposer d'un enregistrement proche de la valeur réelle de ce signal.

V' Quantification : qui consiste à affecter une valeur numérique (en binaire) à chaque échantillon. Plus les échantillons ne sont codés sur un nombre de bits important, meilleure sera la qualité

II.2.3.3. Compression

Le signal une fois numérisé peut être traité par un DSP (Digital Signal Processor) qui va le compresser, c'est-à-dire réduire la quantité d'informations nécessaire pour l'exprimer. L'avantage de la compression est de réduire la taille des données.

II.2.3.4. Habillage des en-têtes

Les données doivent encore être enrichies en informations avant d'être converties en paquets de données à expédier sur le réseau. Nous illustrons par un exemple de type de trafic synchronisation: s'assurer du réassemblage des paquets dans l'ordre

II.2.3.5. Emission et transport

Les paquets sont acheminés depuis le point d'émission pour atteindre le point de réception sans qu'un chemin précis soit réservé pour leur transport.

II.2.3.6. Réception

Lorsque les paquets arrivent à destination, il est essentiel de les replacer dans le bon ordre et assez rapidement. Faute de quoi une dégradation de la voix se fera sentir.

II.2.3.7. Conversion numérique analogique

La conversion numérique analogique est l'étape réciproque de l'étape b. II.2.3.8. Restitution

Dès lors, la voix peut être retranscrite par le haut-parleur du casque, du combiné téléphonique ou de l'ordinateur.

II.2.4 Les contraintes de la voix sur IP

La qualité du transport de la voix est affectée par les paramètres suivants :

? La qualité du codage ;

? Le délai d'acheminement (delay) ; ? La gigue (jitter) ;

35

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

? La perte de paquets (packetloss) ; ? L'écho.

Toutes ces contraintes déterminent la qualité de service (QoS). Le transport de la voix sur IP implique l'utilisation de nombreux protocoles, tels : RTP, RTCP, H245, H225,...

Des normes ont vu le jour afin que les équipements de différentes entreprises puissent Communiquer entre eux, le premier fut H.323, puis arriva la norme SIP en second lieu.

II.2.4.1 Qualité du codage

Généralement, plus le taux de compression est élevé par rapport à la référence de 64Kb/s (G711), moins la qualité de la voix est bonne. Les algorithmes de compression récents permettent d'obtenir des taux de compression élevés, tout en maintenant une qualité de la voix acceptable. L'acceptabilité par l'oreille humaine des différents algorithmes est définie selon le critère MOS (Mean Operationnal Score), défini par l'organisme de normalisation internationale ITU (International Telecommunication Union / Union internationale des Télécommunications). Dans la pratique, les deux algorithmes les plus utilisés sont le G.729 et le G.723.1.Le tableau 1 ci-après montre une liste de codecs avec leur débit correspondant.

Tableau 1: Montre la liste des codecs avec leur débit correspondant II.2.4.2 Délai d'acheminement

LATENCE (Delay) Selon la norme ITU G114, le délai d'acheminement

permet:

? Entre 0 et 150 ms, une conversation normale ;

? Entre 150 et 300 ms, une conversation de qualité acceptable ;

36

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

? Entre 300 et 700 ms, uniquement une diffusion de voix en half duplex (mode talkie-walkie) Au-delà, la communication n'est plus possible.

Précisons que le budget temps (latence) est une combinaison du délai dû au réseau et du délai lié au traitement de la voix par le codec (algorithmes de compression/décompression de la voix). Dans la pratique, si l'on enlève le temps dû aux algorithmes de compression, il est impératif que le réseau achemine la voix dans un délai de 100 à 200 ms. Or, la durée de traversée d'un réseau IP est dépendante du nombre de routeurs traversés ; le temps de traversée d'un routeur étant lui-même fonction de la charge de ce dernier qui fonctionne par file d'attente.

II.2.4.3 Gigue (JITTER)

La gigue (variation des délais d'acheminement des paquets voix) est générée par la variation de charge du réseau (variation de l'encombrement des lignes ou des équipements réseau) et à la variation de routes dans le réseau. Chaque paquet est susceptible de transiter par des combinaisons différentes de routeurs entre la source et la destination. Pour compenser la gigue, on peut utiliser des buffers (mémoire tampon) côté récepteur, afin de reconstituer un train continu et régulier de paquets voix. Toutefois, cette technique a l'inconvénient de rallonger le délai d'acheminement des paquets. Il est donc préférable de disposer d'un réseau à gigue limitée.

II.2.4.4 Perte de paquets

Lorsque les routeurs IP sont congestionnés, ils libèrent automatiquement de la bande passante en se débarrassant d'une certaine proportion des paquets entrants en fonction de seuils prédéfinis.

La perte de paquets est préjudiciable, car il est impossible de réémettre un paquet voix perdu, compte tenu du temps dont on dispose. Le moyen le plus efficace de lutter contre la perte d'informations consiste à transmettre des informations redondantes (code correcteur d'erreurs), qui vont permettre de reconstituer l'information perdue. Des codes correcteurs d'erreurs, comme le Reed Solomon, permettent de fonctionner sur des lignes présentant un taux d'erreur de l'ordre de 15 ou 20 %. Une fois de plus, ces codes correcteurs d'erreurs présentent l'inconvénient d'introduire une latence supplémentaire. Certains, très sophistiqués, ont une latence très faible.

II.2.4.5 Echo

L'écho est un phénomène lié principalement à des ruptures d'impédance lors du passage de 2 fils à 4 fils. Le phénomène d'écho est particulièrement sensible à un délai d'acheminement supérieur à 50 ms. Il est nécessaire d'incorporer un équipement ou un logiciel qui permet d'annuler l'écho.

37

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

II.3 LES PROTOCOLES MULTIMEDIAS

Un protocole est un ensemble de spécifications décrivant les conventions et les règles à suivre dans un échange de données. Son rôle ne s'arrête pas là. Un protocole permet aussi d'initialiser la communication, d'échanger de données.

On distingue plusieurs types de protocoles. Dans ce travail nous expliquons les protocoles multimédias: les protocoles de signalisation (H.323 et SIP) et les protocoles de transport de la voix (RTP et RTCP).

II.3.1 les Protocoles de signalisation

Notre étude sera basée sur les protocoles les plus utilisés : H.323 et SIP que nous allons développer dans cette section

II.3.1.1. Protocole H.323

II.3.1.1.1 Description générale du protocole H.323

Le standard H.323 fournit, depuis son approbation en 1996, un cadre pour les communications audio, vidéo et de données sur les réseaux IP. Il a été développé par l'ITU (International Télécommunications Union) pour les réseaux qui ne garantissent pas une qualité de service (QoS), tels qu'IPX sur Ethernet, Fast Ethernet et Token Ring. Il est présent dans plus de 30 produits et il concerne le contrôle des appels, la gestion multimédia, la gestion de la bande passante pour les conférences point-à-point et multipoints. H.323 traite également de l'interfaçage entre le LAN et les autres réseaux.

Le protocole H.323 fait partie de la série H.32x qui traite de la vidéoconférence au travers différents réseaux. Il inclut H.320 et H.324 liés aux réseaux ISDN (Integrated Service Data Network) et PSTN (Public Switched Telephone Network).

Plus qu'un protocole, H.323 crée une association de plusieurs protocoles différents et qui peuvent être regroupés en trois catégories : la signalisation, la négociation de codec et le transport de l'information.

? Les messages de signalisation sont ceux envoyés pour demander la mise en relation de deux clients, qui indique que la ligne est occupée ou que le téléphone sonne, etc. En H.323, la signalisation s'appuie sur le protocole RAS pour l'enregistrement et l'authentification, le protocole Q.931 pour l'initialisation et le contrôle d'appel.

? La négociation est utilisée pour se mettre d'accord sur la façon de coder les informations à échanger. Il est important que les téléphones (ou systèmes) utilisent un langage commun s'ils veulent se comprendre. Il s'agit du codec le moins gourmand en bande passante ou de celui qui offre la meilleure qualité. Il serait aussi préférable d'avoir plusieurs alternatives de langages. Le protocole utilisé pour la négociation de codec est le H.245.

38

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

? Le transport de l'information s'appuie sur le protocole RTP qui transporte la voix, la vidéo ou les données numérisées par les codecs. Les messages RTCP peuvent être utilisés pour le contrôle de la qualité, ou la renégociation des codecs si, par exemple, la bande passante diminue.

Une communication H.323 se déroule en cinq phases : l'établissement d'appel, l'échange de capacité et réservation éventuelle de la bande passante à travers le protocole RSVP (Ressource réservation Protocol), l'établissement de la communication audio-visuelle, l'invocation éventuelle de services en phase d'appel (par exemple, transfert d'appel, changement de bande passante, etc.) et enfin la libération de l'appel.

II.3.1.1.2. Rôle de composants

L'infrastructure H.323 repose sur quatre composants principaux : les terminaux, les Gateways, les Gatekeepers, et les MCU (Multipoint Control Unit). La figure 24 représente les composants de l'architecture H.323.

Fig.24 : Les composants de l'architecture H.323 ? LES TERMINAUX H.323

Le terminal peut être un ordinateur, un combiné téléphonique, un terminal spécialisé pour la vidéoconférence ou encore un télécopieur sur Internet. Le minimum imposé par H.323 est qu'il mette en oeuvre la norme de compression de la parole G.711, qu'il utilise le protocole H.245 pour la négociation de l'ouverture d'un canal et l'établissement des paramètres de la communication, ainsi que le protocole de signalisation Q.931 pour l'établissement et l'arrêt des communications.

Le terminal possède également des fonctions optionnelles, notamment, pour le travail en groupe et le partage des documents. Il existe deux types de terminaux H.323, l'un de haute qualité (pour une utilisation sur LAN), l'autre optimisé pour de petites largeurs de bandes (28,8/33,6 kbit/s - G.723.1 et H.263).

39

Fig. 25: Zone H.323

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

? GATEWAY OU PASSERELLE

Les passerelles H.323 assurent l'interconnexion avec les autres réseaux, ex:(H.320/RNIS), les modems H.324, les téléphones classiques, etc. Elles assurent la correspondance de signalisation de Q.931, la correspondance des signaux de contrôle et la cohésion entre les médias (multiplexage, correspondance des débits, transcodage audio).

? GATEKEEPER OU PORTIERS

Dans la norme H323, Le Gatekeeper est le point d'entrée au réseau pour un

client H.323.

Il définit une zone sur le réseau, appelée zone H.323 (voir figure II.4 ci-dessous), regroupant plusieurs terminaux, Gateway et MCU dont il gère le trafic, le routage LAN, et l'allocation de la bande passante. Les clients ou les Gateway s'enregistrent auprès du Gatekeeper dès l'activation de celui-ci, ce qui leur permet de retrouver n'importe quel autre utilisateur à travers son identifiant fixe obtenu auprès de son Gatekeeper de rattachement.

Le Gatekeeper a pour fonctions :

y' la translation des alias H.323 vers des adresses IP, selon les spécifications RAS (Registration/Admission/Status) ;

y' le contrôle d'accès, en interdisant les utilisateurs et les sessions non Autorisés ; y' et la gestion de la bande passante, permettant à l'administrateur du réseau de limiter le nombre de visioconférences simultanées.

Une fraction de la bande passante est allouée à la visioconférence pour ne pas gêner les applications critiques sur le LAN et le support des conférences multipoint ad hoc.

Les composants du protocole H.323 sont représentés dans la figure 25, qui constitue une zone H.323 :

40

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

> LES MCU

Les contrôleurs multipoint appelés MCU (Multipoint Control Unit) offrent aux utilisateurs la possibilité de faire des visioconférences à trois terminaux et plus en « présence continue » ou en « activation à la voix ». Un MCU consiste en un Contrôleur Multipoint (MC), auquel est rajouté un ou plusieurs Processeurs Multipoints (MP). Le MC prend en charge les négociations H.245 entre tous les terminaux pour harmoniser les paramètres audio et vidéo de chacun. Il contrôle également les ressources utilisées. Mais le MC ne traite pas directement avec les flux audio, vidéo ou données, c'est le MP qui se charge de récupérer les flux et de leurs faire subir les traitements nécessaires. Un MC peut contrôler plusieurs MP distribués sur le réseau et faisant partie d'autres MCU.

II.3.1.1.3. Avantages du protocole H.323

y' Gestion de la bande passante : H.323 permet une bonne gestion de la bande passante en posant des limites au flux audio/vidéo afin d'assurer le bon fonctionnement des applications critiques sur le LAN. Chaque terminal H.323 peut procéder à l'ajustement de la bande passante et la modification du débit en fonction du comportement du réseau en temps réel (latence, perte de paquets et gigue).

y' Support Multipoint : H.323 permet de faire des conférences multipoint via une structure centralisée de type MCU (Multipoint Control Unit) ou en mode ad-hoc.

y' Support Multicast : H.323 permet également de faire des transmissions en multicast.

y' Interopérabilité : H.323 permet aux utilisateurs de ne pas se préoccuper de la manière dont se font les communications, les paramètres (les codecs, le débit...) sont négociés de manière transparente.

y' Flexibilité : une conférence H.323 peut inclure des terminaux hétérogènes (studio de visioconférence, PC, téléphones...) qui peuvent partager selon le cas, de la voix de la vidéo et même des données grâce aux spécifications T.120.

II.3.1.1.4. Inconvénients du protocole H.323

y' La complexité de mise en oeuvre et les problèmes d'architecture en ce qui concerne la convergence des services de téléphonie et d'Internet, ainsi qu'un manque de modularité et de souplesse.

y' Comprend de nombreuses options susceptibles d'être implémentées de façon différentes par les constructeurs et de poser des problèmes d'interopérabilité.

II.3.1.2. Protocoles SIP

II.3.1.2.1. Description générale du protocole SIP

SIP signifie « Session Initiation Protocol» c'est un protocole standard ouvert de télécommunications multimédia (son, message, vidéo, etc.). il est actuellement le protocole le plus utilisé pour téléphonie par Internet ou Voix sur IP.

41

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

Le SIP n'est pas uniquement destiné à la VoIP, mais également à de nombreuses applications telles que la messagerie instantanée, la visiophonie, la réalité virtuelle ou même les jeux vidéo.

Le SIP est un protocole qui a été normalisé et standardisé par l'IETF (Internet Engineering Task Force). Il a été conçu pour établir, modifier et terminer des sessions multimédias. Le SIP remplace progressivement le protocole H.323, le protocole SIP est aujourd'hui devenu la norme de secteur des télécoms pour les communications multimédias.

Le seul acteur majeur n'utilisant pas le protocole SIP est le service «Skype», ce qui le prive d'être compatible avec la plupart de matériels, logiciels et application SIP du marché

II.3.1.2.2. Principe de fonctionnement

Puisque on choisira le protocole SIP pour effectuer notre travail, on s'approfondira à expliquer les différents aspects, caractéristiques qui font du protocole SIP un bon choix pour l'établissement de la session, les principales caractéristiques du protocole SIP sont :

? Fixation d'un compte SIP

Il est important de s'assurer que la personne appelée soit toujours joignable. Un compte SIP sera associé à un nom unique. Nous illustrons par exemple, si un utilisateur d'un service de voix sur IP dispose d'un compte SIP et que chaque fois qu'il redémarre son ordinateur, son adresse IP change, il doit cependant toujours être joignable. Son compte SIP doit être associé à un serveur SIP (proxy SIP) dont l'adresse IP est fixe. Ce serveur lui allouera un compte et il permettra d'effectuer ou de recevoir des appels quelques soit son emplacement. Ce compte sera identifiable via son nom (ou pseudo).

? Changement des caractéristiques durant une session

Un utilisateur doit pouvoir modifier les caractéristiques d'un appel en cours. Nous illustrons par l'exemple suivant, un appel initialement configuré en peut être modifié en (voix+ vidéo).

? Différents modes de communication

Avec SIP, les utilisateurs qui ouvrent une session peuvent communiquer en mode point à point, en mode diffusif ou dans un mode combinant ceux-ci.

? Mode Point à point : on parle dans ce cas-là d'«unicast » qui correspond à la communication entre deux machines.

? Mode diffusif : on parle dans ce cas-là de « multicast » (plusieurs utilisateurs via une unité de contrôle MCU - Multipoint Control Unit).

42

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

· Combinatoire : combine les deux modes précédents. Plusieurs utilisateurs interconnectés en multicast via un réseau à maillage complet de connexion.

? Gestion des participants

Durant une session d'appel, de nouveaux participants peuvent joindre les participants d'une session déjà ouverte en participant directement, en étant transférés ou en étant mis en attente (cette particularité rejoint les fonctionnalités d'un PABX par exemple, où l'appelant peut être transféré vers un numéro donné ou être mis en attente).

? Négociation des médias supportés

Cela permet à un groupe durant un appel de négocier sur les types de médias supportés. Nous illustrons par l'exemple suivant, la vidéo peut être ou ne pas être supportée lors d'une session.

? Adressage

Les utilisateurs disposant d'un numéro (compte) SIP disposent d'une adresse ressemblant à une adresse mail ( sip:numéro@serveursip.com). Le numéro SIP est unique pour chaque utilisateur.

? Modèle d'échange

Le protocole SIP repose sur un modèle Requête/Réponse. Les échanges entre un terminal appelant et un terminal appelé se font par l'intermédiaire de requêtes. La liste de requêtes échangées est la suivante :

· Invite : cette requête indique que l'application (ou utilisateur) correspondante à l'url SIP spécifié est invité à participer à une session. Le corps du message décrit cette session (par exemple : média supportés par l'appelant). En cas de réponse favorable, l'invité doit spécifier les médias qu'il supporte.

· Ack : cette requête permet de confirmer que le terminal appelant a bien reçu une réponse définitive à une requête Invite.

· Options : un proxy server en mesure de contacter l'UAS (terminal) appelé, doit répondre à une requête Options en précisant ses capacités à contacter le même terminal.

· Bye : cette requête est utilisée par le terminal de l'appelé à fin de signaler qu'il souhaite mettre un terme à la session.

· Cancel : cette requête est envoyée par un terminal ou un proxy server à fin d'annuler une requête non validée par une réponse finale comme, par exemple, si une machine ayant été invitée à participer à une session, et ayant accepté l'invitation ne reçoit pas de requête Ack, alors elle émet une requête Cancel.

43

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

· Registre : cette méthode est utilisée par le client pour enregistrer l'adresse listée dans l'URL TO par le serveur auquel il est relié.

? Codes d'erreurs

Une réponse à une requête est caractérisée, par un code et un motif, appelés respectivement code d'état et raison phrase. Un code d'état est un entier codé sur 3 digits indiquant un résultat à l'issue de la réception d'une requête. Ce résultat est précisé par une phrase, text based (UTF-8), expliquant le motif du refus ou de l'acceptation de la requête. Le code d'état est destiné à l'automate gérant l'établissement des sessions SIP et les motifs aux programmeurs.

Il existe 6 classes de réponses et de codes d'état, représentées par le premier

digit :

· 1xx = Information - La requête a été reçue et continue à être traitée.

· 2xx = Succès - L'action a été reçue avec succès, comprise et acceptée.

· 3xx = Redirection - Une autre action doit être menée afin de valider la requête.

· 4xx = Erreur du client - La requête contient une syntaxe erronée ou ne peut pas être traitée par ce serveur.

· 5xx = Erreur du serveur - Le serveur n'a pas réussi à traiter une requête apparemment correcte.

· 6xx = Echec général - La requête ne peut être traitée par aucun serveur.

II.3.1.2.3. Les équipements du protocole SIP

Contrairement à H.323, largement fondé sur une architecture physique, le protocole SIP s'appuie sur une architecture purement logicielle.

Le protocole SIP s'articule principalement autour des cinq composantes suivants : terminal utilisateur ; serveur d'enregistrement ; serveur de localisation ; serveur de redirection et serveur proxy. La figure 26 illustre de façon générique les communications entre ces éléments. Un seul terminal étant présent sur cette figure, aucune communication n'est possible.

Nous nous intéressons aux seuls échanges entre le terminal et les services que ce dernier est susceptible d'utiliser lors de ses communications.

44

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

Fig. 26 : Composante du protocole SIP

On peut schématiquement observer qu'il existe deux catégories de services: L'un fourni au niveau de l'utilisateur (par le terminal), l'autre fourni au niveau des serveurs du réseau. Ces derniers sont répartis en deux classes : les serveurs de redirection et proxy, qui facilitent le routage des messages de signalisation et jouent le rôle d'intermédiaires, et les serveurs de localisation et d'enregistrement, qui ont pour fonction d'enregistrer ou de déterminer la localisation des abonnés du réseau.

II.3.1.2.3.1. Terminal

Le terminal est l'élément dont dispose l'utilisateur pour appeler et être appelé. Il doit donc permettre de composer des numéros de téléphone. Il peut se présenter sous la forme d'un composant matériel (un téléphone) ou d'un composant logiciel (un programme lancé à partir d'un ordinateur).

? User Agent Server (UAS) : représente l'agent de la partie appelée. C'est une application de type serveur qui contacte l'utilisateur lorsqu'une requête SIP est reçue. Et elle renvoie une réponse au nom de l'utilisateur.

? User Agent Client (U.A.C) : représente l'agent de la partie appelante. C'est une application de type client qui initie les requêtes. La figure 27 Ci-dessous présente le modèle communication entre UAC et UAS.

Requête

Fig. 27 : Communication entre UAC et UAS

45

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

II.3.1.2.3.2. Serveur d'enregistrement

Deux terminaux peuvent communiquer entre eux sans passer par un serveur d'enregistrement, à condition que l'appelant connaisse l'adresse IP de l'appelé. Cette contrainte est fastidieuse, car un utilisateur peut être mobile et ne pas avoir d'adresse IP fixe, par exemple s'il se déplace avec son terminal ou s'il se connecte avec la même identité à son lieu de travail et à son domicile. En outre, l'adresse IP peut être fournie de manière dynamique par un serveur DHCP.

Le serveur d'enregistrement (Register Server) offre un moyen de localiser un correspondant avec souplesse, tout en gérant la mobilité de l'utilisateur. Il peut en outre supporter l'authentification des abonnés. Cette figure 29 montre l'enregistrement du terminal d'Amparo sur un serveur Registrar.

A la réception du message REGISTER, le serveur Registrar a accès à l'adresse IP de la source, Amparo dans l'en-tête IP du message.

Fig. 28 : Enregistrement SIP

II.3.1.2.3.3. Serveur de localisation

Le serveur de localisation (Location Server) joue un rôle complémentaire par rapport au serveur d'enregistrement en permettant la localisation de l'abonné.

Ce serveur contient la base de données de l'ensemble d'abonnés qu'il gère. Cette base est renseignée par le serveur d'enregistrement. Chaque fois qu'un utilisateur s'enregistre auprès du serveur d'enregistrement, ce dernier en informe le serveur de localisation.

II.3.1.2.3.4. Serveur de redirection

Le serveur de redirection (Redirect Server) agit comme un intermédiaire entre le terminal client et le serveur de localisation. Il est sollicité par le terminal client pour contacter le serveur de localisation afin de déterminer la position courante d'un utilisateur.

46

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

II.3.1.2.3.5. Serveur Proxy

Les serveurs proxy jouent aussi un rôle collaboratif, puisque les requêtes qu'ils véhiculent peuvent transiter d'un serveur proxy à un autre, jusqu'à atteindre le destinataire. Notons que le serveur proxy ne fait jamais transiter de données multimédias et qu'il ne traite que les messages SIP.

Le serveur proxy remplit les différentes fonctions suivantes :

y' localiser un correspondant ;

y' réaliser éventuellement certains traitements sur les requêtes ;

y' initier, maintenir et terminer une session vers un correspondant.

II.3.1.2.4. Avantages et inconvénients du protocole SIP > Avantages

y' L'implémentation de la Voip avec le protocole de signalisation SIP (Session Initiation Protocol) fournit un service efficace, rapide et simple d'utilisation. SIP est un protocole rapide et léger.

y' Les utilisateurs s'adressent à ces serveurs Proxy pour s'enregistrer ou demander l'établissement de communications. Toute la puissance et la simplicité du système viennent de là. On peut s'enregistrer sur le Proxy de son choix indépendamment de sa situation géographique. L'utilisateur n'est plus "attaché" à son autocommutateur.

y' Une entreprise avec plusieurs centaines d'implantations physique différente n'a besoin que d'un serveur Proxy quelque part sur l'Internet pour établir "son" réseau de téléphonique "gratuit" sur l'Internet un peu à la manière de l'émail.

> Inconvénients

y' L'une des conséquences de cette convergence est que le trafic de voix et ses systèmes associés sont devenus aussi vulnérables aux menaces de sécurité que n'importe quelle autre donnée véhiculée par le réseau.

y' En effet, SIP est un protocole d'échange de messages basé sur HTTP. Ainsi, il est très vulnérable face à des attaques de types DoS (Dénis de Service), détournement d'appel, trafic de taxation, etc.

II.3.1.2.5. comparaison entre le protocole SIP et H.323

y' Les deux protocoles SIP et H323 représentent les standards définis jusqu'à présent pour la signalisation à propos de la téléphonie sur Internet .Ils présentent tous les deux des approches différentes pour résoudre un même problème.

47

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

y' H323 est basé sur une approche traditionnelle du réseau à commutation de circuits. Quant à SIP, il est plus léger car basé sur une approche similaire au protocole http.

y' La complexité de H.323 provient encore du fait de la nécessité de faire appel à plusieurs protocoles simultanément pour établir un service, par contre SIP n'a pas ce problème.

y' H323 ne reconnaît que les Codecs standardisés pour la transmission des données multimédias proprement dit alors que SIP, au contraire, peut très bien en reconnaître d'autres. Ainsi, on peut dire que SIP est plus évolutif que H.323.

Le tableau 2 nous donne l'approche comparative du protocole SIP et du protocole H.323.

Tableau 2 : comparaison entre le protocole SIP et H.323

En résumé, La simplicité, la rapidité et la légèreté d'utilisation, tout en étant très complet, du protocole SIP sont autant d'arguments qui pourraient lui permettre de convaincre les investisseurs. De plus, ses avancées en matière de sécurisation des messages sont un atout important par rapport à ses concurrents.

II.3.2. Protocoles De Transport

Nous décrivons deux autres protocoles de transport utilisés pour la voix sur IP, à savoir : le RTP et le RTCP.

II.3.2.1 Le protocole RTP

Le protocole RTP (Real Time Protocol) ou encore protocole de transport en temps réel, a été développé au sein du groupe de travail AVT (Audio Vidéo Transport) de

48

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

l'IETF. RTP définit un format d'encapsulation de données multimédias temps réel compatible ALF sur l'internet.

Ce protocole assure une numérotation et un horodatage des paquets en encapsulant les données dans un nouvel entête. Il repose lui-même sur le protocole UDP, qui ne renvoie pas les trames perdues en cours de route, afin de privilégier l'enchaînement du son et des images, plutôt que l'intégrité des données.

II.3.2.1.1. Les fonctions du protocole RTP

Le protocole RTP a pour but d'organiser les paquets à l'entrée du réseau et de les contrôler à la sortie.

C'est un protocole de bout en bout, volontairement incomplet et malléable pour s'adapter aux besoins des applications. Il sera intégré dans le noyau de l'application. Il laisse la responsabilité du contrôle aux équipements d'extrémité. C'est aussi un protocole adapté aux applications présentant des propriétés temps réel.

Il permet ainsi de :

? Mettre en place un séquencement des paquets par une numérotation afin de permettre ainsi la détection des paquets perdus. C'est un point primordial dans la reconstitution des données ;

? Identifier le contenu des données pour leurs associer un transport sécurisé et reconstituer la base de temps des flux (horodatage des paquets : possibilité de resynchronisation des flux par le récepteur) ;

? L'identification de la source, c'est à dire l'identification de l'expéditeur du paquet. Dans un multicast, l'identité de la source doit être connue et déterminée ;

II.3.2.1.2. Avantages et inconvénients du protocole RTP ? Avantages du protocole RTP

- Le protocole RTP permet de reconstituer la base de temps des différents flux multimédia (audio, vidéo, etc.);

- de détecter les pertes de paquets ;

- et d'identifier le contenu des paquets pour leur transmission sécurisée.

? Inconvénients du protocole RTP

- Il ne permet pas de réserver des ressources dans le réseau ou d'apporter une fiabilité dans le réseau ;

- Il ne garantit pas le délai de livraison.

49

V' RR (Receiver Report) : Ensemble de statistiques portant sur la communication entre les participants. Ces rapports sont issus des récepteurs d'une session.

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

II.3.2.2. Le protocole RTCP

Le protocole RTCP est fondé sur la transmission périodique de paquets de contrôle à tous les participants d'une session. C'est le protocole UDP (par exemple) qui permet le multiplexage des paquets de données RTP et des paquets de contrôle RTCP.

Le protocole RTP utilise le protocole RTCP, Real-time Transport Control Protocol, qui transporte les informations supplémentaires pour la gestion de la session. Les récepteurs utilisent RTCP pour renvoyer vers les émetteurs un rapport sur la QoS.

II.3.2.2.1. Les fonctions du protocole RTCP

Parmi les principales fonctions qu'offre le protocole RTCP sont les suivants :

V' Une synchronisation supplémentaire entre les médias : Les applications multimédias sont souvent transportées par des flots distincts. Nous illustrons par exemple, la voix, l'image ou même des applications numérisées sur plusieurs niveaux hiérarchiques peuvent voir les flots gérées et suivre des chemins différents.

V' L'identification des participants à une session : les paquets RTCP contiennent des informations d'adresses, comme l'adresse d'un message électronique, un numéro de téléphone ou le nom d'un participant à une conférence téléphonique.

V' Le contrôle de la session : le protocole RTCP permet aux participants d'indiquer leur départ d'une conférence téléphonique (paquet Bye de RTCP) ou simplement de fournir une indication sur leur comportement.

Le protocole RTCP demande aux participants de la session d'envoyer périodiquement les informations citées ci-dessus. La périodicité est calculée en fonction du nombre de participants de l'application. On peut dire que les paquets RTP ne transportent que les données des utilisateurs. Tandis que les paquets RTCP ne transportent en temps réel, que de la supervision.

Ce protocole défini Cinq paquets de contrôle :

V' SR (Sender Report) : Ce rapport regroupe des statistiques concernant la transmission (pourcentage de perte, nombre cumulé de paquets perdus, variation de délai (gigue), etc.). Ces rapports sont issus d'émetteurs actifs d'une session.

50

VoIP permet des possibilités avancées de largeur de bande et la vidéoconférence améliorée et à un prix raisonnable.

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

V' SDES (Source Description) : Carte de visite de la source (nom, e-mail, localisation). V' BYE : Message de fin de participation à une session.

V' APP : Fonctions spécifiques à une application.

II.3.2.2.2. Point fort et limite du protocole RTCP

Le protocole de RTCP est adapté pour la transmission de données temps réel. Il permet d'effectuer un contrôle permanant sur une session et ces participants. Par contre il fonctionne en stratégie bout à bout. Et il ne peut pas contrôler l'élément principal de la communication le réseau.

II.4 AVANTAGES ET INCONVENIENTS DE LA TELEPHONIE SUR IP

II.4.1. Avantages

La voix sur IP offre de nombreuses nouvelles possibilités aux opérateurs et utilisateurs qui bénéficient d'un réseau basé sur IP. Les avantages le plus marqués sont les suivants.

? Coût bas

Cette technologie mène à la plus grande épargne financière. Se produit parce que là existe seulement un réseau portant la voix et les données fournies par seulement un fournisseur.

La téléphonie IP permet de relier et ou de configuration des téléphones au analogiques au IPBX sans passer par un PABX traditionnel et ainsi conserver les anciens téléphones (analogiques) ou le câblage.

Cette technologie permet à un utilisateur nomade d'utiliser les services téléphoniques partout où il se connecte et permet de réduire les éventuels coûts liés à une sédentarité (téléphonie mobile, carte téléphonique, téléphone d'hôtel...).

Les coûts de communication sont réduits grâce aux fournisseurs émergeants qui proposent, à prix réduit, les appels nationaux et internationaux, cela permet aussi de communiquer entre les filiales à moindre coût.

? Vidéoconférence

51

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

? Dispositifs supplémentaires

A la différence du service de téléphone normal qui charge habituellement plus pour les dispositifs supplémentaires, VoIP vient avec une foule de dispositifs avancés de communication. Comme exemple le renvoi d'appel, l'attente d'appel, le courrier vocal, l'identification de visiteur et appeler à trois voies sont certains des nombreux services inclus avec le service téléphonique de VoIP à aucun supplément. Vous pouvez également envoyer des données telles que des images et des documents en même temps que vous parlez au téléphone.

? Simplification de la gestion, d'administration et de migration

Du fait d'une convergence vers un réseau unique, les procédures d'assistance, de configuration et d'intégration sont simplifiées (simplification de l'exploitation, unification des applications, etc....).

Les solutions de la téléphonie sur IP sont conçues pour dégager une stratégie de migration à faible risque à partir de l'infrastructure existante, car elles peuvent être installées en parallèle au réseau existant.

? Augmentation des services

Il y a une augmentation des services propres aux réseaux IP, comme notamment la détection de présence, c'est à dire savoir si l'utilisateur est en ligne ou non. Mais aussi les applications de l'entreprise peuvent intégrer les services téléphoniques, par exemple il y a une possibilité de téléphoner à un utilisateur en se servant des contacts du logiciel de messagerie.

II.4.2. Inconvénients

Si la VoIP commence à te retenir vraiment bon, veuillez-vous pour comprendre les désavantages suivants aussi bien.

? Aucun service pendant une coupure électrique

Pendant une panne d'électricité un téléphone normal est maintenu dans le service par le courant fourni par la ligne téléphonique. Ce n'est pas possible avec des téléphones d'IP, ainsi quand la puissance sort, il n'y aucun service téléphonique de VoIP. Afin d'employer VoIP pendant une coupure électrique, une alimentation d'énergie non interruptible ou un générateur doit être installé sur les lieux.

52

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

? Fiabilité

Puisque la VoIP se fonde sur une connexion Internet, votre service de VoIP sera affecté par la qualité et la fiabilité de votre service d'Internet à bande large et parfois par les limitations de votre PC.

Les connexions internet et la congestion pauvres peuvent avoir comme conséquence la qualité de voix déformée ou tordue. Si vous utilisez votre ordinateur en même temps que faire un appel de l'ordinateur VoIP, vous pouvez constater que la qualité de voix détériore nettement.

? Sécurité

La sécurité est une principale préoccupation avec VoIP, car elle est avec d'autres technologies d'Internet. Les problèmes de sécurité les plus en avant au-dessus de VoIP sont identité et vol de service, virus et malware, déni de service, spamming, appel trifouillant et les attaques phishing.

? Problème d'engorgement du réseau

Une dégradation d'une conversation téléphonique peut être due à une surcharge du réseau. La téléphonie nécessite peu de bande passante, mais requiert quand même un débit constant, ce besoin entre en contradiction avec la politique du protocole IP : "Best Effort".

II.5. CONCLUSION

Dans ce chapitre, nous avons décrit la VoIP en tant que solution la plus rentable pour effectuer des communications téléphoniques en entreprise, mais aussi une bonne solution en matière d'intégration de services données et voix, fiable et à moindre coût.

Malgré que la normalisation n'ait pas atteint la maturité suffisante pour sa généralisation au niveau des réseaux IP, il n'est pas dangereux de miser sur ces standards, vu qu'ils ont été acceptés par l'ensemble de la communauté de la téléphonie.

Dans le chapitre qui suit, nous allons aborder les aspects liés aux vulnérabilités de cette nouvelle technologie de communication, ainsi que les mesures de sécurisation de services.

53

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

CHAPITRE III : LE RESEAU PRIVE VIRTUEL: VPN [12] [13]

[1] [3] [11] [19] [20]

III.1 INTRODUCTION

VPN : Virtual Private Network (Réseau privé virtuel) en français est une technique permettant à un ou plusieurs postes distants de communiquer de manière sure, tout en empruntant les infrastructures publiques.

L'opportunité de migrer de la téléphonie classique vers la téléphonie IP, a offert plusieurs avantages pour les entreprises, et les a permis de bénéficier de nouveaux services, tels que la vidéoconférence et la transmission des données. L'intégration de ces services dans une seule plateforme nécessite plus de sécurité ainsi le besoin d'un VPN

Dans ce chapitre, nous allons décrire les attaques qui menacent la VoIP, et nous détaillerons quelques-unes. Nous finirons par une description des bonnes pratiques pour sécuriser les communications de type voix sur IP.

III.2. DEFINITIONS

III.2.1. Réseau privé

Couramment utilisés dans les entreprises, les réseaux privés entreposent souvent des données confidentielles à l'intérieur de l'entreprise. De plus en plus, pour des raisons d'interopérabilité, on y utilise les mêmes protocoles que ceux utilisés dans l'Internet. On appelle alors ces réseaux privés « intranet ». Y sont stockés des serveurs propres à l'entreprise en l'occurrence des portails, serveurs de partage de données, etc.

En général, les machines se trouvant à l'extérieur du réseau privé ne peuvent accéder à celui-ci. L'inverse n'étant pas forcément vrai. L'utilisateur au sein d'un réseau privé pourra accéder au réseau internet.

III.2.2. Réseau privé virtuel

Dans les réseaux informatiques et les télécommunications, le réseau privé virtuel (Virtual Private Networking en anglais, abrégé en VPN) est vu comme une extension des réseaux locaux et préserve la sécurité logique que l'on peut avoir à l'intérieur d'un réseau local. Il correspond en fait à une interconnexion de réseaux locaux via une technique de «tunnel ». Nous parlons de VPN lorsqu'un organisme interconnecte ses sites via une infrastructure partagée avec d'autres organismes.

Il existe deux types de telles infrastructures partagées : les « Publiques » comme Internet et les infrastructures dédiées que mettent en place les opérateurs pour offrir des services de VPN aux entreprises.

54

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

C'est sur internet et les infrastructures IP que se sont développées les techniques de «tunnel». Il permet d'échanger des données entre deux ordinateurs sur un réseau partagé ou public, selon un mode qui émule une liaison privée point à point.

Toutefois la plupart des entreprises ne peuvent pas se permettre de relier deux réseaux locaux distants par une ligne spécialisée, il est parfois nécessaire d'utiliser Internet comme support de transmission. Un bon compromis consiste à utiliser Internet comme support de transmission en utilisant un protocole de "tunnellisation" (en anglais tunneling), c'est-à-dire encapsulant les données à transmettre de façon chiffrée. Nous parlons alors de réseau privé virtuel pour désigner le réseau ainsi artificiellement créé

III.3. CONCEPTS DE VPN

Les réseaux locaux d'entreprise (LAN ou RLE) sont des réseaux internes à une organisation, c'est-à-dire que les liaisons entre machines appartiennent à l'organisation. Ces réseaux sont souvent reliés à Internet par l'intermédiaire d'équipements d'interconnexion. Il arrive que des entreprises éprouvent le besoin de communiquer avec des filiales, des clients ou même des personnels géographiquement éloignés via Internet.

Pour autant, les données transmises sur Internet sont beaucoup plus vulnérables que lorsqu'elles circulent sur un réseau interne à une organisation car le chemin emprunté n'est pas défini à l'avance, ce qui signifie que les données empruntent une infrastructure réseau publique appartenant à différents opérateurs. Ainsi il n'est pas impossible que sur le chemin parcouru, le réseau soit écouté par un utilisateur indiscret ou même détourné. Il n'est donc pas concevable de transmettre dans de telles conditions des informations sensibles pour l'organisation ou l'entreprise.

La première solution pour répondre à ce besoin de communication sécurisé consiste à relier les réseaux distants à l'aide de liaisons spécialisées. Toutefois la plupart des entreprises ne peuvent pas se permettre de relier deux réseaux locaux distants par une ligne spécialisée, il est parfois nécessaire d'utiliser Internet comme support de transmission. Un bon compromis consiste à utiliser Internet comme support de transmission en utilisant un protocole d'encapsulation" (en anglais tunneling, d'où l'utilisation impropre parfois du terme "tunnellisation"), c'est-à-dire encapsulant les données à transmettre de façon chiffrée.

On parle alors de réseau privé virtuel (noté RPV ou VPN, acronyme de Virtual Private Network) pour désigner le réseau ainsi artificiellement créé.

Ce réseau est dit virtuel car il relie deux réseaux "physiques" (réseaux locaux) par une liaison non fiable (Internet), et privé car seuls les ordinateurs des réseaux locaux de part et d'autre du VPN peuvent "voir" les données. Le système de VPN permet donc d'obtenir une liaison sécurisée à moindre coût, si ce n'est la mise en oeuvre des équipements terminaux.

55

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

En contrepartie il ne permet pas d'assurer une qualité de service comparable à une ligne louée dans la mesure où le réseau physique est public et donc non garanti. Ci-dessous la figure 29 présente une architecture d'un VPN.

Fig. 29 : Architecture d'un VPN

III.4. FONCTIONNEMENT D'UN VPN

Le VPN repose sur un protocole, appelé protocole de tunnelisation (tunneling protocol), c'est-à-dire un protocole permettant aux données passant d'une extrémité du VPN à l'autre d'être sécurisées par des algorithmes de cryptographie. La figure 30 ci-dessous présente le fonctionnement d'un VPN.

Fig. 30 : Fonctionnement d'un VPN

Le terme « tunnel » est une voie de communication dans lequel circulerons les données cryptées. Dans le cas d'un VPN établi entre deux machines, on appelle client VPN l'élément permettant de chiffrer et de déchiffrer les données du côté utilisateur (client) et serveur VPN (ou plus généralement serveur d'accès distant) l'élément chiffrant et déchiffrant les données du côté de l'organisation.

Lorsqu'un utilisateur nécessite d'accéder au réseau privé virtuel, sa requête sera transmise en clair au système passerelle, qui va se connecter au réseau distant par l'intermédiaire d'une infrastructure de réseau public, puis va transmettre la requête de façon chiffrée. L'ordinateur distant va alors fournir les données au serveur VPN de son réseau local

56

La première permet à l'utilisateur de communiquer sur plusieurs réseaux en créant plusieurs tunnels, mais nécessite un fournisseur d'accès proposant un NAS (Network

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

qui va transmettre la réponse de façon chiffrée. A la réception sur le client VPN de l'utilisateur, les données seront déchiffrées, puis transmises à l'utilisateur...

Les principaux avantages d'un VPN :

y' Sécurité : assure des communications sécurisées et chiffrées.

y' Simplicité : utilise les circuits de télécommunication classiques.

y' Economie : utilise l'internet en tant que média principal de transport, ce qui évite les coûts liés à une ligne dédiée.

III.5. LES CONTRAINTES D'UN VPN

Le principe d'un VPN est d'être transparent pour les utilisateurs et pour les applications ayant accès. Il doit être capable de mettre en oeuvre les fonctionnalités suivantes : - Authentification d'utilisateur : seuls les utilisateurs autorisés doivent avoir accès au canal VPN.

- Cryptage des données : lors de leur transport sur le réseau public, les données doivent être protégées par un cryptage efficace.

- Gestion de clés : les clés de cryptage pour le client et le serveur doivent pouvoir être générées et régénérées.

- Prise en charge multi protocole : la solution VPN doit supporter les protocoles les plus utilisés sur les réseaux publics en particulier IP.

III.6. TYPE DE VPN

On distingue 3 types de VPN : III.6.1. Le VPN d'accès

Le VPN d'accès est utilisé pour permettre à des utilisateurs itinérants d'accéder au réseau privé. L'utilisateur se sert d'une connexion Internet pour établir la connexion VPN. Il existe deux cas:

- L'utilisateur demande au fournisseur d'accès de lui établir une connexion cryptée vers le serveur distant : il communique avec le Nas (Network Access Server) du fournisseur d'accès et c'est le NAS (Network Access Server) qui établit la connexion cryptée.

- L'utilisateur possède son propre logiciel client pour le VPN auquel cas il établit directement la communication de manière cryptée vers le réseau de l'entreprise.

Les deux méthodes possèdent chacune leurs avantages et leurs inconvénients :

57

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

Access Server) compatible avec la solution VPN choisie par l'entreprise. De plus, la demande de connexion par le Nas n'est pas cryptée. Ce qui peut poser des problèmes de sécurité.

Sur la deuxième méthode, le problème disparaît puisque l'intégralité des informations sera cryptée dès l'établissement de la connexion. Par contre, cette solution ne nécessite que chaque client transporte avec lui le logiciel, lui permettant d'établir une communication cryptée. Quelle que soit la méthode de connexion choisie, Ce type d'utilisation montre bien l'importance dans le VPN d'avoir une authentification forte des utilisateurs. La figure 31. Ci-dessous présent un VPN d'accès

Fig. 31 : VPN d'Accès

Il est nécessaire pour ce type de VPN de définir une authentification forte afin de vérifier les utilisateurs distants et mobiles. L'utilisateur utilise donc un ISP (Internet Service Provider) dans le but d'établir une communication sécurisée avec l'entreprise distante.

III.6.2. L'intranet VPN

L'intranet VPN est utilisé pour relier au moins deux intranets entre eux. Ce type de réseau est particulièrement utile au sein d'une entreprise possédant plusieurs sites distants. Le plus important dans Ce type de réseau est de garantir la sécurité et l'intégrité des données. Certaines données très sensibles peuvent être amenées à transiter sur le VPN (base de données client, informations financières...). Il s'agit d'une authentification au niveau de paquet pour assurer la validité des données, de l'identification de leur source ainsi que leur non-répudiation. La plupart d'algorithmes utilisés font appel à des signatures numériques qui sont ajoutées aux paquets. La confidentialité des données est, elle aussi, basée sur des algorithmes de cryptographie. La technologie en la matière est suffisamment avancée pour permettre une sécurité quasi parfaite. Le coût matériel des équipements de cryptage et décryptage ainsi que les limites légales interdisent l'utilisation d'un codage " infaillible ". Généralement pour la confidentialité, le codage en lui-même pourra être moyen à faible, mais sera combiné avec d'autres techniques comme l'encapsulation IP dans IP pour assurer une sécurité raisonnable. Ci-dessous, la figure 32 présente un Intranet VPN.

58

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

Fig. 32 : Intranet VPN

L'Intranet VPN favorise la communication entre les départements internes d'une entreprise et ses sites distants. Les VPN s'appuient alors sur le réseau d'un opérateur ou d'un ISP. Il est nécessaire de développer un fort chiffrement afin de protéger les informations sensibles qui peuvent circulé telles que les bases de données clients etc.

III.6.3. L'extranet VPN

Une entreprise peut utiliser le VPN pour communiquer avec ses clients et ses partenaires. Elle ouvre alors son réseau local à ces derniers. Dans ce cas, il est nécessaire d'avoir une authentification forte des utilisateurs, ainsi qu'une trace des différents accès. De plus, seul une partie des ressources sera partagée, ce qui nécessite une gestion rigoureuse des espaces d'échange. Ci-dessous, la figure 33 présente un extranet VPN.

Fig. 33 : Extranet VPN

L'Extranet VPN entre une compagnie, ses clients et partenaires stratégiques, nécessite une solution ouverte afin d'assurer l'interopérabilité avec les diverses solutions que les partenaires peuvent implémenter. Le standard actuel pour les VPN basés sur Internet est IPSec (Internet Protocol Security). Il est également important de gérer le trafic afin d'éviter le goulot d'étranglement à l'entrée du réseau, pour obtenir un temps de réponse le plus court possible à une demande critique.

59

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

III.7. TOPOLOGIES DE VPN

Les VPN s'appuient principalement sur Internet comme support de transmission, avec un protocole d'encapsulation et un protocole d'authentification, au niveau des topologies, on retrouve des réseaux privés virtuels en étoile, maillé ou partiellement maillé. Dans la figure 34 est présenté un VPN en étoile.

Siège

Fig. 34 : VPN en étoile

Dans cette topologie toutes les ressources sont centralisées au même endroit et c'est à ce niveau qu'on retrouve le serveur d`accès distant ou serveur VPN, dans ce cas de figure tous les employés du réseau s'identifient ou s'authentifient au niveau du serveur et pourront ainsi accéder aux ressources qui se situent sur l'intranet. Dans la figure 35 ci-dessous est présenté un VPN maillé.

Fig. 35 : VPN maillé

Dans cette autre topologie les routeurs ou passerelles présents aux extrémités de chaque site seront considérés comme des serveurs d'accès distant, les ressources sont décentralisées sur chacun des sites autrement dit les employés pourront accéder aux informations présents sur tous les réseaux.

60

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

III.8. PROTOCOLES DE SECURITE VPN

Les principaux protocoles de tunneling VPN sont les suivants :

V' Point-to-Point Tunneling Protocol (PPTP) est un protocole de niveau 2 développé par Microsoft, 3Com, Ascend, US Robotics et ECI Telematics.

V' Layer Two Tunneling Protocol (L2TP) est l'aboutissement des travaux de l'IETF (RFC 2661) pour faire converger les fonctionnalités de PPTP et L2F. Il s'agit d'un protocole de niveau 2 s'appuyant sur PPP.

V' IPSec est un protocole de niveau 3, issu des travaux de l'IETF, permettant de transporter des données chiffrées pour les réseaux IP.

III.8.1. Le protocole Point To Point Tunneling Protocol (PPTP)

Nous pouvons accéder à un réseau privé par l'intermédiaire d'Internet ou d'un autre réseau public au moyen d'une connexion à un réseau privé virtuel (VPN) utilisant le protocole PPTP (Point To Point Tunneling Protocol).

Le protocole PPTP (Point To Point Tunneling Protocol) est un protocole qui utilise une connexion PPP (Point to Point Protocole) à travers un réseau IP en créant un réseau privé virtuel (VPN). Microsoft a implémenté ses propres algorithmes afin de l'intégrer dans ses versions de Windows. Ainsi, PPTP est une solution très employée dans les produits VPN commerciaux à cause de son intégration au sein des systèmes d'exploitation Windows.

Le principe du protocole PPTP est de créer des paquets sous le protocole PPP et de les encapsuler dans des datagrammes IP. Le tunnel PPTP se caractérise par une initialisation du client, une connexion de contrôle entre le client et le serveur ainsi que par la clôture du tunnel par le serveur.

III.8.2. Le protocole Layer Two Tunneling Protocol (L2TP)

Nous pouvons accéder à un réseau privé par l'intermédiaire d'Internet ou d'un autre réseau public au moyen d'une connexion à un réseau privé virtuel (VPN) utilisant le protocole L2TP (Layer Two Tunneling Protocol). L2TP est un protocole de tunneling standard utilisé sur Internet qui possède pratiquement les mêmes fonctionnalités que le protocole PPTP (Point To Point Tunneling Protocol).La version de L2TP mise en oeuvre dans Windows XP est conçu pour s'exécuter en mode natif sur des réseaux IP. Cette version de L2TP ne prend pas en charge l'encapsulation en mode natif sur des réseaux X.25, Frame Relay ou ATM.

Sur la base des spécifications des protocoles L2F (Layer Two Forwarding) et PPTP (Point To Point Tunneling Protocol), Nous pouvons utiliser le protocole L2TP pour configurer des tunnels entre les réseaux concernés. À l'instar de PPTP, L2TP encapsule les trames PPP (Point To Point Protocol) qui encapsulent ensuite les protocoles IP ou IPX et permettent aux utilisateurs d'exécuter à distance des programmes qui sont tributaires de

61

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

protocoles réseau déterminés. Ci-dessous la figure 36 présente un Vpn utilisant le protocole L2TP.

Fig.36: VPN utilisant le protocole L2TP III.8.3. Le protocole Internet protocol security (IPsec)

Internet protocol security (IPsec) est un protocole qui vise à sécuriser l'échange de données au niveau de la couche réseau.

Le protocole IPSec est destiné à fournir différents services de sécurité. Il permet grâce à plusieurs choix et options de définir différents niveaux de sécurité afin de répondre de façon adaptée aux besoins de chaque entreprise. La stratégie IPSec permettant d'assurer la confidentialité, l'intégrité et l'authentification des données entre deux hôtes est gérée par un ensemble de normes et de protocoles :

V' Authentification des extrémités :

Elle permet à chacun de s'assurer de l'identité de chacun des interlocuteurs. L'authentification se fait entre les machines et non entre les utilisateurs, dans la mesure où IPSec est un protocole de couche 3.

V' Confidentialité des données échangées :

Le contenu de chaque paquet IP peut être chiffré afin qu'aucune personne non autorisée ne puisse le lire.

V' Authenticité des données :

IPSec permet de s'assurer que chaque paquet a bien été envoyé par l'hôte et qu'il a bien été reçu par le destinataire souhaité.

V' Intégrité des données échangées:

IPSec permet de vérifier qu'aucune donnée n'a été altérée lors du trajet.

62

Pour réaliser cette attaque, L'attaquant doit être capable d'écouter le réseau et récupérer les messages INVITE et BYE.

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

y' Protection contre les écoutes et analyses de trafic :

Le mode tunneling permet de chiffrer les adresses IP réelles et les en-têtes des paquets IP de l'émetteur et du destinataire. Ce mode permet ainsi de contrecarrer toutes les attaques de ceux qui voudraient intercepter des trames afin d'en récupérer leur contenu.

y' Protection contre le rejet :

IPSec intègre la possibilité d'empêcher un pirate d'intercepter un paquet afin de le renvoyer à nouveau dans le but d'acquérir les mêmes droits que l'envoyeur d'origine.

Ces différentes caractéristiques permettent à l'hôte A de crypter ses données et de les envoyer vers l'hôte B via le réseau, puis à l'hôte B de les recevoir et de les décoder afin de les lire sans que personne ne puisse altérer ou récupérer ces données.

III.9 LES ATTAQUES DANS LES RESEAUX VoIP

Les attaques sur les réseaux VoIP peuvent être classées en deux types : les attaques internes et les attaques externes. Les attaques externes sont lancées par des personnes autres que celles qui participent aux appels, et ils se produisent généralement quand les paquets VoIP traversent un réseau peu fiable et/ou l'appel passe par un réseau tiers durant le transfert des paquets. Les attaques internes s'effectuent directement au réseau local dans lequel se trouve l'attaquant.

Les types d'attaques les plus fréquentes contre un système VoIP sont :

III.9.1.Sniffing

Un renfilage (Sniffing) peut avoir comme conséquence un vol d'identité et la révélation d'informations confidentielles. Il permet également aux utilisateurs malveillants perfectionnés de rassembler des informations sur les systèmes VoIP. Ces informations peuvent par exemple être employées pour mettre en place une attaque contre d'autres systèmes ou données.

Plusieurs outils requis pour le sniffing, y compris pour le protocole H.323 et des plugins SIP, sont disponibles en open source.

III.9.2 Suivi des appels

Appelé aussi Call tracking, cette attaque se fait au niveau du réseau LAN/VPN et cible les terminaux (soft/hard phone). Elle a pour but de connaître qui est en train de communiquer et quelle est la période de la communication. L'attaquant doit récupérer les messages INVITE et BYE en écoutant le réseau et peut ainsi savoir qui communique, à quelle heure, et pendant combien de temps.

63

Exemple: quand un agent SIP envoie un message INVITE pour initier un appel, l'attaquant envoie un message de redirection 3xx indiquant que l'appelé s'est déplacé et

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

III.9.3 Injection des paquets RTP

Cette attaque se fait au niveau du réseau LAN/VPN. Elle cible le serveur registre, et a pour but de perturber une communication en cours.

L'attaquant devra tout d'abord écouter un flux RTP de l'appelant vers l'appelé, analyser son contenu et générer un paquet RTP contenant un en-tête similaire mais avec un plus grand numéro de séquence et times tramp, afin que ce paquet soit reproduit avant les autres paquets (s'ils sont vraiment reproduits). Ainsi, la communication sera perturbée et l'appel ne pourra pas se dérouler correctement.

Pour réaliser cette attaque, l'attaquant doit être capable d'écouter le réseau afin de repérer une communication ainsi que les times tramps des paquets RTP. Il doit aussi être capable d'insérer des messages RTP qu'il a généré ayant un time tramp modifié.

III.9.4. Le dénis de service (DOS : Denial Of Service)

C'est d'une manière générale, l'attaque qui vise à rendre une application informatique ou un équipement informatique incapable de répondre aux requêtes de ses utilisateurs et donc le mettre hors d'usage.

Une machine serveur offrant des services à ses clients (par exemple un serveur web) doit traiter des requêtes provenant de plusieurs clients. Lorsque ces derniers ne peuvent en bénéficier, pour des raisons délibérément provoquées par un tiers, il y a déni de service.

Dans une attaque de type DoS flood attack, les ressources d'un serveur ou d'un réseau sont épuisées par un flot de paquets. Un seul attaquant visant à envoyer un flot de paquets peut être identifié et isolé assez facilement. Cependant, l'approche de choix pour les attaquants a évolué vers un déni de service distribué (DDoS).

Une attaque DDoS repose sur une distribution d'attaques DoS, simultanément menées par plusieurs systèmes contre un seul. Cela réduit le temps nécessaire à l'attaque et amplifie ses effets. Dans ce type d'attaque, les pirates se dissimulent parfois grâce à des machines-rebonds (ou machines zombies), utilisées à l'insu de leurs propriétaires. Un ensemble de machines-rebonds, est contrôlable par un pirate après infection de chacune d'elles par un programme de type porte dérobée (backdoor).

III.9.5. Détournement d'appel (CALL HIJACKING)

Le Call Hijacking consiste à détourner un appel. Plusieurs fournisseurs de service VoIP utilisent le web comme interface permettant à l'utilisateur d'accéder à son système téléphonique.

Un utilisateur authentifié peut changer les paramètres de ses transferts d'appel à travers cette interface web. C'est peut être pratique, mais un utilisateur malveillant peut utiliser le même moyen pour mener une attaque.

64

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

par la même occasion, il donne sa propre adresse comme adresse de renvoi. A partir de ce moment, tous les appels destinés à l'utilisateur sont transférés et c'est l'attaquant qui les reçoit.

Un appel détourné en lui-même est un problème, mais c'est encore plus grave quand il est porteur d'informations sensibles et confidentielles.

III.9.6. Attaque par écoute clandestine

Cette attaque consiste à écouter l'appel entre l'appelant et l'appelé, au moyen d'un empoisonnement ARP, dans le but de convaincre à la fois le serveur mandataire et les téléphones VoIP des deux utilisateurs, de communiquer avec l'attaquant et non entre eux. La figure 37 suivante illustre l'aspiration d'une transmission VoIP.

Fig.37 : L'aspiration d'une transmission VoIP

Tout d'abord, l'appel est paramétré. L'appelant A envoie la requête pour appeler B au serveur mandataire SIP. Ce message est intercepté puis transmis à la personne malveillante. Le serveur mandataire SIP tente désormais de joindre B pour lui indiquer que A souhaité l'appeler. Ce message est également intercepté puis transmis à la personne malveillante. Après une initialisation de l'appel réussie, l'appel actuel (qui a recours au protocole RTP) entre A et B commence. Cette communication RTP est également interceptée puis transmise par la personne malveillante. L'utilisation d'un outil comme Ethereal pour aspirer une communication, permet de recevoir également les données utiles RTP en continu.

III.10. MESURES DE SECURISATION

Les vulnérabilités existent au niveau protocolaire, application et systèmes d'exploitation. On a découpé la sécurisation en trois niveaux : Sécurisation protocolaire, sécurisation de l'application et sécurisation du système d'exploitation.

III.10.1 Sécurisation au niveau des protocoles

La prévalence et la facilité de sniffer des paquets et d'autres techniques pour la capture des paquets IP sur un réseau pour la voix sur IP fait que, le cryptage soit une nécessité pour la protection les données des personnes connectées qui sont interconnectées.

65

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

III.10.1.1 VoIP VPN

Un VPN VoIP combine la voix sur IP et la technologie des réseaux privés virtuels pour offrir une méthode assurant la préservation de la prestation vocale. Puisque la VoIP transmet la voix numérisée en un flux de données, la solution VPN VoIP semble celle la plus approprié vu qu'elle offre le cryptage des données grâces a des mécanismes de cryptages, puisqu'elle permet d'offrir l'intégrité des paquets VoIP.

Vu que notre objectif est d'assurer la confidentialité et l'intégrité des clients, le mode choisi est le mode tunnel. Puisqu'il sécurise le paquet comme un tout (contrairement en mode transport qui ne sécurise que le payload IP). Le mode tunnel se base sur l'encapsulation de tout le paquet IP et ajoute un nouvel entête pour l'acheminement de ce dernier. Ce mode est généralement utilisé pour les routeur-to-routeur.

Le mode tunnel, on choisit le protocole ESP qui lui a son tour va assurer le cryptage des données et donc la confidentialité, contrairement au protocole AH qui ne permet que l'authentification des paquets et non le cryptage.

Dans ce cas, la solution qu'on propose est ESP mode tunnel qui est appliqué uniquement sur les points de terminaison à la voix IP, c'est-à-dire le routeur. Il permettra de minimiser le nombre de machines qui seront impliquées dans le traitement engendré par la sécurité. Le nombre des clés nécessaires sera réduit.

III.10.1.2 Le protocole TLS

C'est un protocole de sécurisation des échanges au niveau de la couche transport (TLS : Transport Layer Security). TLS, anciennement appelé Secure Sockets Layer (SSL), est un protocole de sécurisation des échanges sur Internet. C'est un protocole modulaire dont le but est de sécuriser les échanges Internet entre le client et le serveur indépendamment de tout type d'application. TLS agit comme une couche supplémentaire au-dessus de TCP.

Son utilisation est principalement associée à l'utilisation des certificats X.509 pour l'authentification des serveurs et le chiffrement des échanges (la signalisation).

III.10.2 Sécurisation au niveau application

Plusieurs méthodes peuvent être appliquées pour sécuriser l'application, ces méthodes varient selon le type d'application (serveur ou client). Pour sécuriser le serveur, il faut :

? L'utilisation d'une version stable, Il est bien connu que toute application non stable contient surement des erreurs et des vulnérabilités. Pour minimiser les risques, il est impératif d'utiliser une version stable ;

66

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

y' Tester les mises à jour des softwares dans un laboratoire de test. Il est très important de tester toute mise à jour de l'application dans un laboratoire de test, avant de les appliquer sur le système en production ;

y' Ne pas tester les correctifs sur le serveur lui-même ;

y' Ne pas utiliser la configuration par défaut qui sert juste à établir des appels. Elle ne contient aucune protection contre les attaques ;

y' Ne pas installer une application cliente dans le serveur.

Certains paramètres doivent être appliqués de manière sélective. Ces paramètres renforcent la sécurité de l'application, on peut les activer ou les interdire sur la configuration générale de l'application, comme on peut juste utiliser les paramètres nécessaires pour des clients bien déterminés et selon le besoin bien sûr. Ces paramètres protègent généralement contre le déni de service et ces différentes variantes. Il est conseiller d'utiliser les paramètres qui utilisent le hachage des mots de passe, il assure la confidentialité de messages.

III.10.3 Sécurisation du système d'exploitation

Il est très important de sécuriser le système sur lequel est implémenté le serveur de VoIP.

Le système est compromis, l'attaque peut se propager sur l'application serveur. Le risque d'affecter les fichiers de configuration contenant des informations sur les clients enregistrés.

Il y a plusieurs mesures de sécurités à prendre pour protéger le système

d'exploitation :

y' utiliser un système d'exploitation stable. Les nouvelles versions toujours contiennent des bugs et des failles qui doivent être corrigés et maîtrisés avant ;

y' Mettre à jour le système d'exploitation en installant les correctifs de sécurité recommandé pour la sécurité ;

y' Ne pas mettre des mots de passe simple et robuste. Ils sont fondamentaux contre les intrusions. Et ils ne doivent pas être des dates de naissances, des noms, ou des numéros de téléphones. Un mot de passe doit être assez long et former d'une combinaison de lettre, de chiffres et ponctuations ;

y' Ne pas exécuter le serveur VoIP avec un utilisateur privilège. Si un utilisateur malveillant arrive à accéder au système via une exploitation de vulnérabilité sur le serveur VoIP, il héritera tous les privilèges de cet utilisateur ;

y' Installer seulement les composants nécessaires : pour limiter les menaces sur le système d'exploitation. Il vaut mieux installer sur la machine le système d'exploitation et le serveur ;

y' Supprimer tous les programmes, logiciels ou des choses qui n'ont pas d'importance et qui peuvent être une cible d'attaque pour accéder au système ;

67

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

? Renforcer la sécurité du système d'exploitation en installant des patches qui permettent de renforcer la sécurité générale du noyau.

On peut aussi utiliser les pare feu ou les ACL pour limiter l'accès à des personnes bien déterminé et fermer les ports inutiles et ne laisser que les ports utilisés (5060, 5061, 4569,...).

Le pare feu (firewall) est un software ou hardware qui a pour fonction de sécuriser un réseau ou un ordinateur contre les intrusions venant d'autres machines. Le pare feu utilise le système de filtrage de paquet après analyse de l'entête des paquets IP qui s'échange entre les machines.

Le firewall peut être implémenté avec un ACL qui est une liste d'Access Control Entry (ACE) ou entrée de contrôle d'accès donnant ou supprimant des droits d'accès à une personne ou un groupe. On aura besoin d'ACL pour donner des droits à des personnes bien déterminées selon leurs besoins et leurs autorités.

Pour un serveur VoIP, il est important d'implémenter les ACL pour sécuriser le serveur en limitant l'accès à des personnes indésirables. Nous illustrons par un exemple, seuls les agents enregistrés peuvent envoyer des requêtes au serveur.

III.11. AVANTAGES ET DESAVANTAGES D'UN VPN

III.11.1. Avantages :

La mise en place d'un réseau privé virtuel permet de connecter de façon sécurisée des ordinateurs distants au travers d'une liaison non fiable (Internet), comme s'ils étaient sur le même réseau local. Ce procédé est utilisé par de nombreuses entreprises afin de permettre à leurs utilisateurs de se connecter au réseau d'entreprise hors de leur lieu de travail. On peut facilement imaginer un grand nombre d'applications possibles :

? Les connexions VPN offrent un accès au réseau local (d'entreprise) à distance et de façon sécurisée pour les travailleurs nomades.

? Les connexions VPN permettent d'administrer efficacement et de manière sécurisé un réseau local à partir d'une machine distante.

? Les connexions VPN permettent aux utilisateurs qui travaillent à domicile ou depuis d'autres sites distants d'accéder à distance à un serveur d'entreprise par l'intermédiaire d'une infrastructure de réseau public, telle qu'Internet.

? Les connexions VPN permettent également aux entreprises de disposer de connexions routées partagées avec d'autres entreprises sur un réseau public, tel qu'Internet, et de continuer à disposer de communications sécurisées, pour relier, par exemple des bureaux éloignés géographiquement. Une connexion VPN routée via Internet fonctionne logiquement comme une liaison de réseau étendu (WAN, Wide Area Network) dédiée.

68

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

? Les connexions VPN permettent de partager des fichiers et programmes de manière sécurisés entre une machine locale et une machine distante.

III.11.2. Désavantages

? La qualité de service (et les délais d'acheminement) n'est pas garantie ? Les performances ne sont pas toujours au rendez-vous.

III.12. CONCLUSION

Dans ce chapitre, il a été question de présenter les différentes vulnérabilités devant lesquelles le déploiement de la voix sur IP fait face. Certaines mesures de sécurisation de l'environnement IP doivent être prises en compte afin de garantir la qualité des services. Il existe plusieurs attaques qui menacent l'utilisation de la voix sur le réseau IP, et nous avons fait allusion à quelques-unes jugées gênant et courant.

Dans le chapitre qui suit, nous ferons la présentation du réseau informatique de Ministère du budget, cadre de notre travail.

69

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

CHAPITRE IV : PRESENTATION DU RESEAU DE
MINISTERE DU BUDGET [4]

IV.1 INTRODUCTION

Dans ce chapitre nous procéderons à la présentation du réseau informatique du Ministère du Budget, et procéderons à l'analyse des conditions permettant l'implémentation de la VoIP en son sein.

IV.2 CONSIDERATIONS GENERALES

IV.2.1 Situation géographique

Le Ministère du Budget est situé au croisement du Boulevard du 30 juin au numéro 33C et de l'avenue TSF dans la commune de la Gombe, ville de Kinshasa.

IV.2.2 Historique

Dans les années 80, suite à un constat alarmant dû à une gestion incohérente et peu orthodoxe des finances publiques, une solution a été prise au cours de la 11^e session ordinaire du comité central du MPR recommandant au conseil exécutif de créer un département chargé d'élaborer le budget de l'Etat, d'en suivre et d'en contrôler son exécution.

Fin octobre 1986, il est créé par l'ordonnance n° 86-263 bis le département du budget devenu par la suite Ministère du Budget. Avant la création du nouveau Département, il existait la Direction du Budget, Contrôle et de la Paie qui évoluaient au sein du Département des Finances.

Le Département du Budget avait comme principale mission : Elaboration, suivi et l'exécution du Budget de l'Etat. L'administration de ce nouveau département devait, conformément à cette ordonnance, fonctionner avec un Secrétariat Général comprenant quatre services dont la Direction des services Généraux, la Direction des Etudes et de la Prévision, la Direction du contrôle et la paie.

Depuis sa création jusqu'à ce jour, le nombre de Directions du Secrétariat et les missions du Ministre du Budget n'ont cessé de subir de modifications.

En 1989, la direction des Etudes et de la Prévision est scindée en deux Directions : celle de Préparation et suivi du budget et celle des Etudes et Programmation budgétaire. A la même occasion naîtra la Direction des Marchés Publics.

En 1991, le Gouvernement de Combat confiera l'intendance Générale au Ministère du Budget. Ainsi naquit un nouveau service : la Direction de l'Intendance Générale et des Crédits Centralisés.

70

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

Dans le souci de garantir la transparence, la traçabilité et la célérité dans l'exécution des dépenses publiques, deux nouveaux services verront le jour en 2003 la Coordination informatique Interministérielle (chaîne de la dépense) et le secrétariat permanent du conseil des Adjudications.

Dans le cadre de la réforme des finances publiques initiée en 2010, et pour assurer la transparence et la modernisation du système de passation des marchés publics, la Direction Générale de Contrôle des Marchés publics (DGCMP) fut créée sur les cendres du secrétariat permanent du conseil des adjudications et de Direction des Marchés Publics supprimés.

A la suite de tous ces changements intervenus, l'Administration du Budget compte actuellement sept Directions, 11 Divisions Provinciales ainsi deux services publics sous tutelle : à savoir, la DGCMP et le Service National des Approvisionnements et de l'Imprimerie (SENAPI).

IV.3. ORGANNIGRAMME DE L'ADMINISTRATION DU MINISTERE DU BUDGET

Au terme de l'ordonnance présidentielle n° 08/74 du 24 décembre 2008 et les dispositions de la nouvelle loi financière promulguée le 27 juillet 2011, sept fonctions-métiers reviennent au Ministère du Budget.

A ceci s'ajoutent les fonctions supports de gestion des ressources humaines, de gestion budgétaire sectorielle et du patrimoine, des études de communications et information, de suivi et évaluation, des statistiques et d'informatiques. Etoffées de plus en plus, ces missions sont exercées à travers les structures ci-dessus présentées.

D.S.G

DEPB

DPSB

DCB

DP

CII

DIG-CC

D.U

D.I

Secrétariat Général

71

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

Légende :

- D.I. : Division Informatique

- D.U. : Division Unique

- D.S.G : Direction de services Général

- DEPB : Direction des études et Programmations Budgétaires

- DPSB : Direction de la Préparation et du suivi du Budget

- DCB : Direction du Contrôle Budgétaire

- DP : Direction de la Paie

- CII : Coordination Informatique Interministérielle

- DIG-CC : Direction de l'intendance Générale et Crédits Centralisées

IV.4. MISSIONS DES DIFFERENTES STRUCTURES DU MINISTERE DU BUDGET

Il faut signaler que les missions dévolues aux différentes structures du Ministère ont évolué au fil des années afin de répondre aux fluctuations économiques tant au niveau national qu'international.

De 1986 à nos jours, plusieurs réformes ont eu lieu occasionnant des modifications concernant :

1. La mission générale et spécifique de l'Administration du Budget ;

2. Les structures et cadres organiques (organigrammes compris) ;

3. Les effectifs et les profils.

La nouvelle vision dictée par les réformes en cours vise l'amélioration des recettes publiques et de la gestion de la TVA (taxe sur la valeur ajoutée), l'intégration du système de gestion axée sur les résultats ainsi que le budget programme dans la phase d'élaboration.

Dans cette phase d'élaboration, la République Démocratique du Congo a lancé normalement à partir de l'année 2012 le premier budget pluriannuel pour une période allant de 2012 à 2014.

La dernière réforme en date sur les finances publiques a permis au pays de se doter du code des marchés publics (loi n° 10/010 du 27 avril 2010 relative aux marchés publics), ce qui a conduit à l'amendement des missions et structures du Ministère du Budget et finalement a donné lieu à la promulgation de la nouvelle loi financière (LOFIP) en juillet 2011.

? Le Secrétariat Général

Le Secrétaire Général est le cerveau administratif ou l'instrument technique du Ministère dans la mise en oeuvre des Missions dévolues au ministère. Les rôles d'animation et de coordination, d'engagement et de représentation du Ministère, de présidence de la

72

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

commission budgétaire et d'interface par rapport au cabinet et aux autres administrations lui reviennent.

? La Direction des Services Généraux (DSG)

Gérer les ressources humaines, le développement des compétences, la formation, la logistique et l'intendance, de même qu'assurer le dialogue social et la promotion des actions socioculturelles, telles sont globalement les missions de cette Direction-pilier. Sous peu, elle sera dénommée pour la direction administrative et financière (DAF), renforcée pour la gestion prévisionnelle des ressources humaines et des crédits sectoriels.

? Direction des études et Programmations Budgétaires (DEPB)

Réaliser des études sur l'économie, les finances publiques, les lois et les procédures et toute autre matière connexe dans leur aspect budgétaire, de même qu'élaborer la stratégie et le CDMT (cadre de dépenses à moyen terme) sectoriels, telles sont les grandes missions de cette Direction.

Parmi ses activités phares, on peut citer :

? La rédaction des rapports annuels du Ministère et de la note de la conjoncture ; ? La rédaction du magazine Echos du ministère du Budget.

? La Direction de la Préparation et du suivi du Budget (DPSB)

Préparer, élaborer le budget de l'Etat et en assurer le suivi de l'exécution, de manière à proposer éventuellement des mesures d'amélioration de l'équilibre budgétaire, sont là les attributions essentielles de cette Direction-pilier. En plus de l'élaboration du CDMT central, elle est aussi chargée de produire les états de suivi budgétaire et d'émettre des avis préalables sur les textes législatifs à incidence budgétaire, et sur les opérations financières légales (prêts, garantie, subventions ou prise de participation). Elle participe activement à l'élaboration du cadrage macroéconomique.

? La Direction du Contrôle Budgétaire (DCB)

Cette Direction s'occupe du contrôle à priori de la régularité des engagements, ainsi que de centralisation et de l'analyse des comptabilités des engagements des dépenses exécutées. Elle a également en charge la préparation des instructions portant modalités d'encadrement de l'exécution des dépenses et de la mobilisation des recettes, que le Ministère du Budget publie en circulaire. Elle produit les plans trimestriels d'engagement, liées aux plans de trésorerie.

73

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

s La Direction de la Paie(DP)

Cette Direction est chargée de saisir et de diffuser les états de paie et les titres de règlement, de collecter et de conserver les informations utiles au calcul de la paie du personnel des services publics de l'Etat (actifs, retraités, rentiers), de vérifier la paie et de régler les litiges, de fournir des données aux services chargés de la comptabilité publique et des prévisions budgétaires sur les rémunérations. Elle participe aussi à la définition des politiques salariales et barémiques.

s La Direction de l'intendance Générale et Crédits Centralisées (DIG-CC)

Cette Direction est l'instrument par lequel le Ministère du Budget assume son rôle d'ordonnancement général des charges communes.

A ce titre, elle assure les engagements et le suivi des dépenses liées aux charges communes et aux crédits décentralisés (eau, électricité, locations satellitaires et immobilières, ...). En outre, elle élabore et tient à jour la réglementation ad hoc et la comptabilité des matières.

s La Coordination Informatique Interministérielle (CII)

Ce service qui a rang de direction a été institué par l'arrêté interministériel n° CAB.MIN/FP/JMK/PPJ/0165/2003 du 27 juin 2003, pour assurer la conception, le développement, la maintenance et la gestion du système informatique de la chaîne de la dépense publique. Elle assure en outre la standardisation et la normalisation des méthodes et référentiels dans le domaine des finances publiques (nomenclature, cadre comptable, ...). Ce service pilote ces jours l'installation de la chaîne de dépense provinciale informatisée.

s Les Divisions Provinciales du Budget

Il sied de noter que l'administration du budget est représentée par chaque province par une division provinciale au sein de laquelle fonctionnent les bureaux qui sont structurellement la déclination des directions au niveau central.

IV.5. DIVISION INFORMATIQUE

La Division Informatique du Ministère du Budget est une structure qui est rattachée au Secrétariat Général. Sa mission est d'apporter l'appui informatique dans toutes les Directions du Ministère. Elle est composée de trois bureaux, à savoir :

1. Bureau Exploitation et Administration de la base de données ;

2. Bureau Etudes et développement ;

3. Bureau infrastructure et Administration Réseau.

74

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

IV.5.1. Organigramme de la Division Informatique

Chef de Division

SECRETARIAT

BUREAU INFRASTRUCTURES ET
ADMINISTRATION RESEAU

IV.5.2. Description des bureaux

+ Bureau Exploitation et Administration de la Base de données : Attributions :

Le bureau exploitation de la Division Informatique est chargé de :

V' Administration des bases de données ;

V' L'exploitation de toutes les ressources matérielles

V' La gestion des bases de données ;

V' La production des documents de paie ;

V' L'établissement du rapport mensuel de la paie ;

V' La sauvegarde des bases de données ;

V' La planification d'exécution des travaux ;

V' La vérification des documents de paie.

+ Bureau Etudes et Développement Attributions :

Ce bureau a pour mission de :

V' Concevoir et développer les applications informatiques ;

V' Maintenir les applications existants ;

V' Archiver les différentes versions des applications ;

V' Assister les utilisateurs dans l'exécution des procédures informatiques.

+ Bureau infrastructures et Administration Réseau Attributions :

Ce bureau s'occupe essentiellement de :

V' La gestion de la maintenance des équipements ; V' L'administration du Réseau ;

V' La gestion des consommables informatiques.

75

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

IV.6. ETUDE DU RESEAU EXISTANT DU MINISTERE DE BUDGET

Nous ne saurions débuter ce travail sans avoir une idée claire et précise sur l'existant quel qu'il soit.

La première tâche a été de rencontrer différentes personnes qui entretiennent directement ou indirectement une relation avec le service informatique de Ministère du Budget.

Apres quoi, nous avons réellement débuté le travail en menant différentes recherches. Cette méthodologie de travail nous a permis d'avoir une connaissance large de l'existant.

IV.6.1 Analyse du reseau informatique du Ministère du Budget

IV.6.1.1 Equipements et serveurs utilises

Actuellement, le réseau informatique au Ministère du Budget comporte au total 15 Switch dont 10 sont remarquable et 5 non remarquable, 5 points d'accès WIFI (dont 4 sont des points d'accès WIFI simple et un point d'accès routeur), un téléphone analogique et un routeur VPN.

Il comporte encore 5 antennes Wimax complète (INDOOR ET OUTDOOR UNIT), une antenne Vsat complète et un modem Idirect 500. Le tableau 3 représente les équipements du réseau informatique de Ministère du Budget.

Tableau 3 : Les équipements du réseau informatique de Mnistère du Budget Le Ministère du Budget dispose dune permanence électrique situé à la sall

76

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

Pour ce qui est des serveurs, la salle de serveur de Ministère du Budget comporte 2 serveurs :

? Premier serveur : il comporte le service DHCP, Pare-feu et fait aussi le routage, celui-ci fait le proxy cache et l'authentification, le rôle du DNS, il joue le rôle de service Web, permet de faire le backup de la base de données, ainsi que toutes les configurations des différents serveurs ;

? Deuxième serveur : Ce serveur s'occupe de la gestion des téléphones pour la communication interne.

Les caractéristiques physiques de chaque serveur sont illustrées dans le tableau

4 ci-dessous.

Tableau 4 : les caractéristiques physique de chaque serveur

IV.6.1.2. Supports de transmission utilisés dans le reseau informatique de Ministère du Budget

les supports de transmission suivants :

? Les câbles torsadés : utilise le torsadé blindé et non blindé à l'intérieur des bâtiments ; dont les blindés dans de faux plafond et le non blindé catégorie 5e pour connecter les ordinateurs et autres équipements réseaux.

? Les supports sans fils : la norme utilisée est IEEE 802.11g IV.5.1.3 Services et applications reseaux utilisées

Dans le tableau 5 ci-dessous nous présentons les différents services et applications qui tournent dans le réseau intranet de Ministère du Budget :

77

Fig 38 : Architecture du réseau existant

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

Tableau 5 : Services et applications utilisées dans le réseau IV.6. ARCHITECTURE DU RESEAU EXISTANT

La figure 38 présente l'architecture du réseau existant de Ministère du Budget

78

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

IV.7 CRITIQUE DU RESEAU INFORMATIQUE DU MINISTERE DU BUDGET

IV.7.1. Critiques

La communication entre différents services et divisions au sein du Ministère du Budget se fait encore sous forme manuelle, le PABX analogique qui a été installé par les autorités de l'époque se trouve dans un état vétuste et n'est pas opérationnel, or à l'heure actuelle où on parle de la convergence de services voix et données sur le même réseau, il serait étonnant que cette institution dispose d'un réseau informatique qui ne sert jusqu'à présent qu'a la transmission des données, et pourtant cette même infrastructure pouvait aussi faciliter l'ajout d'autres services tels que : les communications vocales.

Désenclaver ce service, sous-entend mettre un paquet consistant pour la réhabilitation de son réseau téléphonique et ensuite engager un personnel bien formé pour assurer la maintenance de ce réseau. Hors, réhabiliter ce réseau et engager un personnel qualifié relève d'un investissement non négligeable et cela représente un cout important pour l'entreprise.

IV.7.2 Proposition des solutions et recommandation

Pour répondre aux besoins que nous avons évoqués ci-haut, nous avons proposé l'implémentation d'une solution VoIP, qui est une solution d'entreprise offrant aux agents, la possibilité d'effectuer les communications vocales sur le réseau unique voix et données, et voire même à l'extérieure en utilisant l'Internet comme moyen de transport.

Cette convergence des services voix et données sur un réseau unique s'accompagne des avantages liés à la réduction des couts d'investissement, à la réduction des procédés d'assistance, à l'amélioration de la mobilité des travailleurs et permet aussi de travailler à distance à moindre cout.

L'utilisation de la VoIP conduit à la réduction des coûts d'appels et est possible en utilisant un fournisseur de service VoIP pour les appels longues distances et internationaux. Il est très facile d'interconnecter les systèmes téléphoniques entre bureaux et succursales via l'Internet ou le WAN et de téléphoner gratuitement.

Avec cette technologie, nous n'avons pas besoin d'un câblage indépendant, c.à.d. un réseau informatique à part et un réseau téléphonique aussi à part. Nous avons une seule infrastructure où on peut connecter des téléphones directement à une prise (RJ45) du réseau informatique, laquelle prise peut être partagée avec un ordinateur adjacent. Les téléphones logiciels peuvent être aussi installés directement sur le PC.

79

Fig. 39 : Solution de la nouvelle architecture réseau de Ministère du Budget

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

IV.7.3 Architecture du nouveau réseau de Ministère du Budget

L'architecture de la solution que nous avons proposée avec deux bâtiment est représentée par la figure 39

80

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

IV.7 CONCLUSION

Dans ce chapitre, nous avons fait la présentation du Ministère du Budget avec un accent particulier sur son réseau informatique, cadre choisi pour l'implémentation de la solution VOIP.

Dans le chapitre qui suit, nous allons proposer l'approche de cette implémentation.

81

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

CHAPITRE V : APPROCHE D'IMPLEMENTATION DE LA VoIP

[6][16][17][21]

V.1 INTRODUCTION

Dans ce chapitre, nous proposons le modèle d'implémentation de la solution VoIP, au sein du réseau informatique du Ministère du Budget. Ce modèle reposera sur les principes de base se rapportant à sa mise en oeuvre effective, étant donné que, dans le cadre de ce travail nous resterons essentiellement très théoriques. Toutefois, nous allons faire un petit montage expérimental avec du matériel essentiel.

V.2 THEORIE D'IMPLEMENTATION DE LA VoIP.

V.2.1 Choix du matériel

Pour implémenter notre solution, tout en tenant compte des facteurs tels que : capacité de traitement des requêtes, temps de réponse aux requêtes des clients, ainsi de suite, nous avons porté notre choix sur un Serveur DELL Power EDGE 850 du réseau existant.

Le serveur DELL Power EDGE 850 est économique au format 2U, doté de capacité biprocesseur et équipé des fonctionnalités essentielles hautes performances, qui offrent aux clients une plate-forme leur permettant de concevoir une solution entièrement optimisée. Il est parfaitement adapté pour l'informatique courante et haute performance, idéal pour les petites et moyennes entreprises.

Ce serveur est doté d'un processeur dual core 1,86 GHz, une ram 4 Gb et un disque dur 2 Tb.

V.2.2 CHOIX DES LOGICIELS

Il existe plusieurs logiciels qui permettent d'implémenter une solution VoIP dans une entreprise, que ça soit dans le monde libre comme Elastix, AsteriskNow, Trixbox,etc ou dans le monde des logiciels propriétaires où l'on peut citer comme 3CX Phone System, X-Lite, etc...

Pour implémenter notre solution, le choix a été porté sur la plateforme X-Lite et de notre serveur Elastix.

En ce qui concerne le système d'exploitation sur lequel notre solution doit tourner, nous ne nous sommes pas trop atteler là-dessus. Parce que notre solution est compatible aux différents systèmes d'exploitation.

82

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

V.2.2.1 Présentation du Serveur Elastix

V.2.2.1.1. Installation d'elastix

Nous épinglons les étapes suivies pour l'installation d'Elastix sur notre ordinateur(Serveur).

V' Télécharger le fichier image d'Elastix en suivant le lien suivant : http://www.elastix.org/content/view/137/60/lang,en/. On peut prendre la version stable 1.6 ou la version 2.0 R.

V' Graver de l'image sur un CD-ROM

V' Insérer le CD ainsi gravé, au démarrage de la machine. Après démarrage de l'ordinateur, l'écran ci-dessous apparaitra.

Un utilisateur expert peut entrer en mode avancé en tapant la commande : « advanced ». Sinon, attendre et le CD d'installation lancera automatique ou alors presser sur le bouton « Enter ou Entrée » du clavier.

V' Choisir la langue à utiliser pendant l'installation.

83

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

V.2.2.1.2. CONFIGURATION DES SERVICES. V.2.2.1.2.1. Lancement du serveur

Pour démarrer le serveur, on entre le login « root » et le mot de passe « je suis » crée lors de l'installation d'Elastix

Pour accéder dans le serveur, on tape son adresse IP « 192.168.5.1 » comme URL dans un navigateur quelconque et la page de connexion au serveur apparaitra

84

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

Pour se connecter, on tape admin et on tape le même mot de passe, on a alors l'interface web d'Administration du serveur dans laquelle on peut faire tout ce que nous voulons. Par exemple :

? configuration des paramètres Réseau ? configuration de matériel téléphonique ? création d'une nouvelle extension ? configuration de logiciel de téléphonie ? etc...

V.2.2.1.2.2 Plan du numérotation

Pour assurer une bonne administration de notre solution implémentée, nous avons mis en place un plan de numérotation à 3 chiffres afin d'avoir une marge de manoeuvre assez large pouvant permettre l'incrémentation de plusieurs extensions.

En se référant au découpage du réseau informatique de Ministère du Budget, nous avons reparti les numéros des extensions, comme indiqué dans le tableau 6

85

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

Tableau 6 : Plan de numérotation

V.2.2.1.2.3 Création d'une nouvelle extension

Cet espace est réservé aux combinés, logiciels de téléphonie, pagers, ou n'importe quoi d'autre qui peut être considéré comme 'extension' dans le contexte classique PABX. Définir et éditer des extensions est probablement la tâche la plus commune effectuée par un administrateur de PABX, et de surcroit, cette page sera familière. Il y a 4 types de dispositifs supportés - SIP, IAX2, ZAP et 'Personnalisé'. Pour créer une nouvelle Extension, aller au menu « PBX » qui par défaut, arrive à la section « Configuration PBX »; dans cette section, choisir l'option « Extensions » sur le panneau gauche. Maintenant on peut créer une nouvelle extension.

Tout d'abord, choisir le dispositif parmi les options disponibles. Cliquer sur « Submit » pour procéder aux enregistrements des champs nécessaires pour la création d'une nouvelle extension.

86

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

y' User Extension : Elle doit être unique. C'est le numéro qui peut être appelé de n'importe qu'elle autre extension, ou directement du réceptionniste numérique s'il est activé. Elle peut être de n'importe qu'elle longueur, mais conventionnellement, un numéro de 3 ou 4 chiffres est utilisé.

y' Display Name : Le nom d'identification de l'appelant pour les appels de cet utilisateur affichera ce nom. Entrez seulement le nom, pas le numéro.

y' Secret : C'est le mot de passe utilisé par le périphérique téléphonique pour s'authentifier sur le serveur elastix. Il est habituellement configuré par l'administrateur avant de donner le téléphone à l'utilisateur, et il n'est pas nécessaire qu'il soit connu par l'utilisateur. Si l'utilisateur utilise un logiciel de téléphonie, alors Il aura besoin de ce mot de passe pour configurer son logiciel. Après avoir rempli ces champs on clique sur « submit » pour l'enregistrement et puis on clique sur « apply configuration change here » pour actualiser l'enregistrement.

V.2.2.1.2.4 Installation et configuration du logiciel de téléphonie softphone X-Lite

En configurant un logiciel de téléphonie, notre but est d'avoir un PC connecté qui autorise les mêmes fonctions qu'un téléphone traditionnel. Pour ceci, nous avons besoin d"installer un logiciel qui convertit le PC en téléphone. Toutefois, un micro et un casque sont nécessaires. Il y a beaucoup de logiciels de téléphonie, d'où dans notre cas nous avons utilisé X-Lite.

L'écran suivant nous montre la progression de l'installation

87

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

Configuration du soft phone

Après avoir installé le logiciel nous avons ce téléphone, pour le configurer on clique sur le menu. Un menu de paramètres de connection apparait. Dans ce menu, nous remplissons le champ profil par le nom du client et son extension 102, en suivant les valeurs introduites dans le serveur. Pour valider, nous cliquerons sur OK.

Il est clair qu'après que la validation soit faite, ces valeurs doivent être conformes à celles saisies dans le fichier sip.conf du serveur Elastix.

88

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

Une fois la configuration terminée, notre téléphone se connectera automatiquement au serveur et s'enregistrera. Un message « Ready » s'affichera, indiquant que les communications sont désormais possibles. Sinon, un message d'erreur va s'afficher expliquant le motif l'échec du processus.

Il est important de noter que les PC dans lesquels sera installé le logiciel de téléphonie X-Lite doivent être configurés pour qu'ils communiquent avec le serveur dans le réseau. Donc On doit les attribuer les adresses IP à chacun par l'administrateur réseau pour un petit réseau, mais pour un grand réseau, l'attribution sera automatique avec le DHCP.

Etablissement de l'appel entre deux extensions, l'extension 100 appel l'extension 102

89

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

V.2.2.1.2.5. Création d'une adresse e-mail

Pour avoir une adresse email on aura besoin d'un domaine et d'un compte ? Création d'un domaine

L'option « Domaines » du menu « Email » d'Elastix permet de voir et de configurer les domaines dans le serveur email.

On clique sur le menu « Email » dans l'interface de l'administrateur et on aura cet écran

Pour ajouter un domaine, cliquer sur le bouton « Créer Domaine ». Une page sera affichée où on peut taper le nom du nouveau domaine et cliquer sur sauver pour le sauvegarder.

? Création du compte

L'option « Comptes » du menu « Email » d'Elastix permet de voir et de configurer les comptes email pour chacun des domaines spécifiés dans le serveur.

90

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

Pour ajouter un nouveau compte, sélectionner le domaine sous lequel il sera créé et cliquer sur le bouton « Créer Compte ». Une page sera affichée où on peut entrer les informations des champs suivants :

? Adresse email : c'est le texte qui vient avant le symbole @

? Quota : l'espace maximal que ce compte email peut utiliser pour le stockage des emails sur le serveur. L'espace est mesuré en kilo-octets, donc il faut être attentif à ceci lorsque les quotas sont assignés à chaque utilisateur.

? Mot de passe : Le mot de passe de l'utilisateur du compte email.

? Retaper le mot de passe : Confirmation du mot de passe de l'utilisateur

V.2.2.1.2.6. Consultation d'un e-mail

L'option « Web mail » du menu « Email » d'Elastix permet de consulter les emails des domaines configurés.

Pour accéder, renseigner le nom d'utilisateur et le mot de passe et cliquez sur le bouton « Login » et nous l'écran suivant apparaitra

91

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

V.3 INTEGRATION DE LA VoIP DANS LE VPN

Dans le cas de notre travail, nous allons nous intéreser sur le Trunk SIP qui nous permet de créer un tunnel de sécurité VPN permettant aux entreprises ayant un standard IP d'utiliser la VoIP afin de faire transiter leurs appels entrants et/ou sortants, à partir d'une connexion sur le réseau Internet Haut Débit via le protocole SIP.

V.3.1. Trunk SIP

Dans ce travail nous configurons le système avec le protocole SIP afin de relier les serveurs Elastix distant. La raison principale étant que le SIP permet des communications multicast et unicast ; c'est-à-dire qu'il permet d'envoyer des paquets soit vers une personne soit vers plusieurs personnes à la fois. Le protocole SIP étant un protocole de signalisation, les informations sont transportées par les protocoles TCP ou UDP puis diffusées sur le réseau par les protocoles RTP et RTCP.

Pour arriver à ce résultat, il faut mettre en place un trunk SIP. Un trunk SIP est une liaison entre deux serveurs VoIP sécurisés. Une autre application de ce trunk SIP est la création d'un lien entre deux sites distants. Dans ce cas, les coûts de communication entre sites se réduisent aux coûts d'abonnement d'Internet. La figure 40 ci-dessous représente l'interconnexion de deux site passant par le Trunk SIP.

Fig.40 : L'interconnexion de deux site

92

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

V.3.2. Configuration du Trunk

Premièrement, on doit définir un Trunk sur chacun des systèmes afin qu'ils puissent s'authentifier et échanger. Deuxièmement, pour la sortie des appels d'un système vers un autre, on doit définir au minimum une route de sortie afin que les appels puissent passer d'un système à l'autre via le plan d'acheminement d`appel et de numérotation. Il est également possible d'interconnecter deux serveurs Elastix en utilisant le protocole SIP.

Tout d'abord, il faut accéder à l'onglet PBX puis cliquer sur "Trunk"

Création d'un Trunk

Configuration du serveur 1

Créer un nouveau SIP Trunk:

1. Aller dans FreePbx

2. Dans la barre horizontale, cliquer sur Setup

3. Dans la barre verticale, cliquer sur Trunks

4. Cliquer sur Add SIPTrunk

5. Dans la partie Outgoing Settings :

Trunk Name: serveur 1

Peer Details:

context=from-internal

host=192.168.5.1

qualify=yes

secret=secret1

type=peer

username=elastix1

93

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

6. Dans la partie Incoming Settings :

User Context: elastix2 User Details:

context=from-internal host=192.168.5.1

secret=secret1

type=user

7. Cliquer sur le bouton Submit changes:

Cette concerne les paramètres d'entrée nécessaires au tunnel SIP pour la réception des appels provenant de l'autre serveur.

8. Cliquer sur le rectangle Apply Configuration changes:

94

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

Assigner une route sortante au trunk:

9. Aller dans FreePbx

10. Dans la barre horizontale, cliquer sur Setup

11. Dans la barre verticale, cliquer sur Outbound Route

12. Cliquer sur la route 0

13. Dans la partie Trunk Sequence:, choisir en premier Serveur1

14. Cliquer sur le bouton Submit changes

15. Cliquer sur le rectangle Apply Configuration changes:

> Secret : le mot de passe du tunnel SIP.

> Type : Les utilisateurs s'authentifient pour accéder aux services liés au contexte d'appel.

> context=from-trunk, Le contexte de l'appel. Ici, le paramètres "from-trunk" défini les règles dans le plan de numérotation permettant de réceptionner des appels provenant de l'extérieur.

> qualify=no, Pour les paramètres d'entrée, le tunnel SIP n'est pas visible.

> host=dynamic, Valeurs possibles "Dynamic" ou renseigner l'adresse IP de l'hôte.

V.4 MESURES DE SECURISATION DE LA SOLUTION DEPLOYEE

Etant donné que la solution VoIP implémentée est une application de plus dans le réseau existant et qu'elle est exposée aux attaques diverses, telles que nous énumérer au chapitre III, il était important d'envisager des mesures de sécurisation du serveur qui hébergera cette application.

Pour ce faire, dans la section qui suit nous allons présenter certaines recommandations techniques proposant des mesures de sécurisation de la solution, une fois mise en place.

Les recommandations techniques à mettre en place sont les suivantes : V' la protection physique du serveur

Le serveur doit être installé dans la salle informatique et bénéficier du même niveau de sécurité (alarme, anti-incendie, surveillance, etc.) que d'autres serveurs.

95

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

V' La redondance des composants critiques

Cette solution est coûteuse, mais nécessaire lorsque la criticité de l'infrastructure VoIP exige une forte disponibilité et/ou un rétablissement rapide en cas de panne. Les équipements critiques seront donc dupliqués et des mécanismes de partage de charge seront mis en place. Des tests réguliers doivent en outre être réalisés, afin de contrôler les procédures de basculement et le bon fonctionnement des appareils redondants.

V' Consolider et sécuriser le système d'exploitation du serveur

La sécurité du réseau voix implique à la fois celle des systèmes d'exploitation et des applications qui le composent. Consolider les systèmes d'exploitation est indispensable, nécessaire et obligatoire. Les ports et les services inutiles seront désactivés. Les systèmes seront mis à jour régulièrement pour corriger les vulnérabilités, et les permissions sur les registres appliquées, etc.

V' Segmentation du réseau en VLAN

Les trafics voix et données transiteront sur des réseaux distincts, des Virtual Local Area Network seront mis en place sur les commutateurs. Les différents flux de voix seront ainsi sécurisés, ce qui empêchera une personne connectée sur le réseau de données d'écouter le trafic voix. Les Switchs assureront en outre, la gestion des ACL (Access Control Lists = Listes de Contrôle d'Accès) et interdiront le port monitoring et les ports non-actifs seront désactivés.

V' Placer les équipements derrière le pare-feu

Les firewalls seront configurés en amont des serveurs, pour éviter le déni de service, et sur les segments critiques. Ils ne contrôleront que les flux des VLANs qui sont bien restreints aux protocoles de la VoIP. Les pare-feu supporteront à la fois les protocoles SIP (Session Initiation Protocol) et les protocoles H.323.

V' Crypter les communications de bout en bout

Le cryptage concerner les flux de signalisation (chargés de mettre en relation l'appelant et l'appelé) et média (transport de l'information). Ainsi le chiffrement de la voix peut s'appuyer soit sur le protocole TLS (Transport Layer Security), DTLS (Datagram TLS) ou SRTP (Secure RTP). Une entreprise peut également décider de recourir à IPSec. Les communications externes peuvent aussi être acheminées via des tunnels VPN.

V' Monitoring du trafic voix

La surveillance du réseau avec des Sniffers et des IDS permettra de détecter le trafic anormal et les tentatives d'intrusion. L'analyse des logs pourra en outre révéler des attaques en brute force, des appels frauduleux (de nuit, vers des numéros surtaxés, etc.). Tandis que des pics du trafic voix traduiront des spams vocaux (voice spam).

Toutefois, le risque zéro n'existe pas et les solutions de sécurité applicables à la VoIP peuvent s'avérer à la fois complexes et coûteuses à mettre en oeuvre. L'entreprise devra donc arbitrer entre criticité, coût et niveau de risque jugé acceptable.

96

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

CONCLUSION GENERALE

Aujourd'hui les entreprises, ont beaucoup plus besoin de se communiquer à un prix moins couteux, donc elles ont besoin d'économiser en matériel et en finance.

Nous n'avons pas illustré cette fusion par une réalisation pratique, par manque de moyens financiers pouvant nous permettre de nous procurer tous les matériels concourant à cette réalisation.

Nous notons qu'au cours de ce travail, nous avons eu à beaucoup apprendre dans le cadre du cours de Gsm et du VoIP en ce qui concerne les réseaux informatiques.

Alors nous suggérons aux entreprises de la place qui n'ont pas encore cette technologie en leur sein, de s'y intéresser. Ceci aura comme impact direct, la réduction sensible des coûts liés à la communication.

En dernier lieu on a illustré comment réaliser une installation d'un logiciel libre pour la gestion de la VoIP et celle d'un Soft-phone ainsi que les différentes configurations pour le déploiement de notre système de communication IP.

En effet, ce travail nous a donné l'occasion de nous familiariser avec les théories sur la VoIP, sa conception ainsi que son implémentation. Nous pensons que cette découverte constitue un acquit important, en tant que futur Ingénieur informaticien.

Pour bien appréhender le mécanisme qui se déroule dans un VPN, nous avons parlé sur le « VPN et Sécurité informatique » qui élucide les points essentiels de la virtualisation

Nous n'avons pas la prétention d'avoir tout dit ou tout fait dans ce travail, néanmoins, nous pensons avoir posé des bases sur une éventuelle implémentation dans le cas du réelle. Nous prions, pour cela, à tout lecteur d'apporter les critiques et suggestions constructives, afin de nous aider à réorienter cette étude pour un développement ultérieur.

97

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

REFERENCES BIBLIOGRAPHIQUES

I. OUVRAGES

1. Peter Thermos and Ari Takanen ,Securing VoIP networks threats, vulnerabilities, and counter measures, (Addison-Wesley (c) 2007)

2. TANENBAUM, A., les Réseaux, Inter,éditions, Paris, Prentice Hall, London, 1997.

3. J. Luc Koch, B.Dalibard. 2004, « téléphonie sur IP »,

4. Ministère du Budget, RDC, au mois de mars 2015

5. Guy PUJOLLE, Les Réseaux, Eyrolles, Paris, 2003.

6. DA CUNHA José, VoIP et Asterisk/Trixbox, métrise en systèmes distribués et réseaux, Université de Franche Comté, 2007-2008.

II. NOTES DE COURS ET TRAVAUX DE FIN D'ETUDES

7. Pierre KASENGEDIA MUTUMBE, cours d'architecture des systèmes téléinformatique, Génie Informatique, ISTA/Kin, 2011-2012,103 pages

8. KASENGEDIA MOTUMBE, P. Transmission de données et sécurité informatique, L2 Génie Informatique, Faculté des sciences UNIKIN 2014-2015

9. P.O. MBUYI MUKENDI Eugène, cours de réseau informatique et télématique, G3 informatique, 2012-2013

10. Pierre KASENGEDIA MUTUMBE, cours réseau informatique, inédit, 2éme Génie Informatique, Unikin, 2014-2015

11. Hardy MBOLE BANKULU, Etude et solutions de mise en place d'un système d'information sécurisé dans une entreprise publique. cas de l'Office de Voiries et Drainage, Universite de Kinshasa, projet de mémoire de fin d'etude, 20122013

III. WEBOGRAPHIE

12. www.google.com Cours de réseau informatique.pdf, Consulté le 27juillet 2015

13. http:// www.frameip.com/voip/, Voix sur IP - VoIP, Consulté le 27juillet 2015

14. www.rofes.fr/satic/ Protocole-voip.pdf, Consulté le 30 juillet 2015

15. http://hi-tech-depanne.com/voip/ Consulté le 30 juillet 2015

16. http://www.elastix.org, Elastix_User_Manual_French_0.9.2-1.Pdf consulté en Janvier 2016

17. www.x-lite.com Consulté le 5 janvier 2016

18. www.protocolesip.com , Consulté le 5 janvier 2016

19. http://www.frameip.com/vpn/ chapitre 8 cours sur les VPN, Consulté le 5 janvier 2016

98

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

20. www.securityfocus.com/infocus/1862 two attacks against VoIP par Peter Thermos. Consulter le 12 Février 2013

21. www.rtcip.fr/IMG/pdf/livre_blanc_learning. , Consulter le 12 Février 2013

21. www.frameip.com/voip/ Protocoles de transport, . Consulter le 12 Février 2013

22. www.Faq.programmerworld.net/lang/fr/voip/voip-avantages-inconvénient.htm, . Consulter le 12 Février 2013

I.5 SUPPORTS DE TRANSMISSIONS ET EQUIPEMENTS D'INTERCONNEXION RESEAUX 22

I.5.1 Supports de transmission 22

I.5.2 Equipements d'interconnexion Réseaux 25

I.5.2.3. Switch 26

I.5.2.4 Passerelle 26

I.5.2.5 Firewall 27

100

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

I.7.CONCLUSION 30

II.1 INTRODUCTION 31

II.2.3 Les numérisations de la Voix 33

II.2.4 Les contraintes de la voix sur IP 34

II.3 LES PROTOCOLES MULTIMEDIAS 37

II.3.1.2.5. comparaison entre le protocole SIP et H.323 46

II.3.2. Protocoles De Transport 47

II.3.2.1 Le protocole RTP 47

II.3.2.2. Le protocole RTCP 49

II.4 AVANTAGES ET INCONVENIENTS DE LA TELEPHONIE SUR IP 50

II.4.1. Avantages 50

II.5. CONCLUSION 52

CHAPITRE III : LE RESEAU PRIVE VIRTUEL: VPN [12] [13] [1] [3] [11] [19] [20] 53

III.1 INTRODUCTION 53

III.2. DEFINITIONS 53

III.2.1. Réseau privé 53

II.2.2. Réseau privé virtuel 53

III.3. CONCEPTS DE VPN 54

III.4. FONCTIONNEMENT D'UN VPN 55

III.5. LES CONTRAINTES D'UN VPN 56

III.6. TYPE DE VPN 56

III.6.1. Le VPN d'accès 56

III.6.2. L'intranet VPN 57

III.6.3. L'extranet VPN 58

III.7. TOPOLOGIES DE VPN 59

III.8.2. Le protocole Layer Two Tunneling Protocol (L2TP) 60

III.8.3. Le protocole Internet protocol security (IPsec) 61

III.9 LES ATTAQUES DANS LES RESEAUX VoIP 62

III.10. MESURES DE SECURISATION 64

III.10.1 Sécurisation au niveau des protocoles 64

III.10.2 Sécurisation au niveau application 65

III.10.3 Sécurisation du système d'exploitation 66

III.11. AVANTAGES ET DESAVANTAGES D'UN VPN 67

III.11.1. Avantages : 67

III11.2. Désavantages 68

III.12. CONCLUSION 68

CHAPITRE IV : PRESENTATION DU RESEAU DE MINISTERE DU BUDGET [4] 69

IV.1 INTRODUCTION 69

IV.2.2 Historique 69

101

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

IV.3. ORGANNIGRAMME DE L'ADMINISTRATION DU MINISTERE DU BUDGET 70

IV.5. DIVISION INFORMATIQUE 73

IV.5.1. Organigramme de la Division Informatique 74

IV.5.2. Description des bureaux 74

IV.6. ETUDE DU RESEAU EXISTANT DU MINISTERE DE BUDGET 75

IV.6.1 Analyse du reseau informatique du Ministère du Budget 75

IV.6. ARCHITECTURE DU RESEAU EXISTANT 77

IV.7 CRITIQUE DU RESEAU INFORMATIQUE DU MINISTERE DU BUDGET 78

IV.7.1. Critiques 78

IV.7.2 Proposition des solutions et recommandation 78

IV.7.3 Architecture du nouveau réseau de Ministère du Budget 79

IV.7 CONCLUSION 80

CHAPITRE V : APPROCHE D'IMPLEMENTATION DE LA VoIP [6][16][17][21] 81

V.1 INTRODUCTION 81

V.2.2 CHOIX DES LOGICIELS 81

V.2.2.1.1. Installation d'elastix 82

V.2.2.1.2. CONFIGURATION DES SERVICES. 83

V.2.2.1.2.1. Lancement du serveur 83

V.2.2.1.2.3 Création d'une nouvelle extension 85

V.2.2.1.2.4 Installation et configuration du logiciel de téléphonie softphone X-Lite 86

V.2.2.1.2.5. Création d'une adresse e-mail 89

V.2.2.1.2.6. Consultation d'un e-mail 90

V.3 INTEGRATION DE LA VoIP DANS LE VPN 91

V.3.1. Trunk SIP 91

V.3.2. Configuration du Trunk 92

V.4 MESURES DE SECURISATION DE LA SOLUTION DEPLOYEE 94

CONCLUSION GENERALE 96

REFERENCES BIBLIOGRAPHIQUES 97

TABLE DES MATIERES 99