ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA...

43
ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA CONSULTING CIRCLE TABOU Stephane Le 30 mars 2015

Transcript of ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA...

Page 1: ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA CONSULTING CIRCLE

ETUDE ET MISE EN OEUVRE D’UNE

ARCHITECTURE DE TELEPHONIE SUR IP

SECURISEE AU SEIN DE DATA CONSULTING

CIRCLE

TABOU Stephane

Le 30 mars 2015

Page 2: ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA CONSULTING CIRCLE

Table des matières

Liste des figures ii

Liste des abreviations iii

Introduction 1

1 Présentation de l’entreprise 2

1.1 Position géographique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

1.2 Organisation administrative . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

2 Généralités sur la Téléphonie sur IP 3

2.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

2.1.1 Enjeux économiques de la téléphonie sur IP . . . . . . . . . . . . . . 3

2.1.2 Avantanges de la téléphonie sur IP . . . . . . . . . . . . . . . . . . . . 3

2.1.3 Inconvenients de la téléphonie sur IP . . . . . . . . . . . . . . . . . . . 4

2.2 Protocoles de la Téléphonie sur IP . . . . . . . . . . . . . . . . . . . . . . . . 6

2.2.1 Protocole H.323 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

2.2.2 Le protocole SIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

3 Mise en place de l’architecture 14

3.1 Presentation du serveur Asterisk . . . . . . . . . . . . . . . . . . . . . . . . . . 14

3.1.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

3.1.2 Fonctionnalités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

3.1.3 Les fichiers de configuration du serveur Asterisk . . . . . . . . . . . . . 15

3.2 Mise en place de l’environnement . . . . . . . . . . . . . . . . . . . . . . . . . 19

i

Page 3: ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA CONSULTING CIRCLE

3.2.1 Installation de Asterisk . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

3.2.2 Création des comptes SIP . . . . . . . . . . . . . . . . . . . . . . . . . 21

3.2.3 Configuration du Dialplan . . . . . . . . . . . . . . . . . . . . . . . . . 21

3.2.4 Configuration des softphones . . . . . . . . . . . . . . . . . . . . . . . . 21

4 Sécurisation de l’architecture 25

4.1 Les attaques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

4.2 Mécanismes de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

4.2.1 Mise à jour des softwares . . . . . . . . . . . . . . . . . . . . . . . . . . 27

4.2.2 Verouillage de la configuration . . . . . . . . . . . . . . . . . . . . . . . 27

4.2.3 Séparation grâce aux Vlans . . . . . . . . . . . . . . . . . . . . . . . . 27

4.2.4 Filtrage inter-Vlan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

4.2.5 Placer les services convergés dans des DMZ . . . . . . . . . . . . . . . . 28

4.2.6 Authentification et chiffrement SSL/TLS . . . . . . . . . . . . . . . . . 28

4.2.7 Protection contre les attaques ARP . . . . . . . . . . . . . . . . . . . . 28

4.3 Outils de test d’analyse et Vulnérabilités de la ToIP . . . . . . . . . . . . . . . 28

Conclusion Générale 29

Annexes 31

Création des comptes SIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

Attribution des numéros d’appel aux différents services de l’entreprise . . . . . . . . 31

Bibliographie 37

page ii

Page 4: ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA CONSULTING CIRCLE

Table des figures

2.1 Zone H.323 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

2.2 Architecture du protocole H.323 . . . . . . . . . . . . . . . . . . . . . . . . . . 8

2.3 Couches Protocolaires de H.323 . . . . . . . . . . . . . . . . . . . . . . . . . . 9

2.4 Architecture du protocole SIP . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

3.1 SoftPhone X-Lite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

3.2 Configuration du compte SIP du client Alvine . . . . . . . . . . . . . . . . . . 24

iii

Page 5: ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA CONSULTING CIRCLE

Liste des abreviations

IP Internet Protocol

SIP Session Initiation Protocol

ToIP Telephony over Internet Protocol

MGCP Media Gateway Control Protocol

SCCP Skinny Client Control Protocol

RTC Reseau Telephonique Commute

RNIS Réseau Numérique à Integration de Services

ATM Asynchronous Transfert Mode

MCU Multipoint Control unit

MP Multipoint Processeur

IAX Telephony over Internet Protocol

IUT-T International Telecommunications Union - Telecommunication Sector

IETF Internet Engineering Task Force

RFC Request For Comment

PABX Private Automatic Branch Exchange

IPBX IP Public Automatic Branch Exchange

ARP Address Resolution Protocol

ACL Access Control List

DMZ Demilitarized Zone

NAT Network Address Translation

iv

Page 6: ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA CONSULTING CIRCLE

VoIP Voice Over Internet Protocol

MC MultiPoint Controller

GPL General Public Licence

GSM Global System for Mobile communications

PME Petites et Moyennes Entreprises

page v

Page 7: ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA CONSULTING CIRCLE

Introduction

Dans le cadre de ma formation d’ingénieur en Télécommunications et Technologies de

l’Information et de la Communication (TTIC) à la Faculté de Génie Industriel de l’Université

de Douala, j’ai effectué un stage d’une durée de quatre (04) mois,depuis le mois d’Avril

jusqu’au mois de Juillet 2014, à Data Consulting Circle . Ce stage d’imprégnation a été pour

moi une occasion de me frotter au monde socio-professionnel, de faire un lien entre la théorie

apprise à l’école et la pratique réalisée sur le terrain.

Suite à l’explosion de la bande passante sur les réseaux IP et à l’avènement du haut débit

chez les particuliers, de nouvelles techniques de communication sont apparues ces dernières

années. Avec l’uniformisation des réseaux, il est désormais possible de combiner un réseau

téléphonique et un réseau informatique en un réseau unifié transportant les deux types d’in-

formation simultanément et avec les garanties de qualité nécessaires. Ce mariage a conduit

à la naissance de la ToIP. Suite aux avantages offerts par la téléphonie sur IP, la probléma-

tique de son implémentation au sein de Data Consulting Circle s’est posée, d’où le thème de

notre stage « Etude et Mise en oeuvre d’une architecture de Téléphonie sur IP

sécurisée au sein de Data Consulting Circle »

Le présent rapport nous permet de faire un compte rendu des différentes activités effectuées

durant le stage. Dans cette optique, nous l’avons structuré de la manière suivante :

Le chapitre 1 presentera le cabinet DATA CONSULTING CIRCLE .

Le chapitre 2 traitera des généralités sur la téléphonie sur IP.

Le chapitre 3 abordera l’implémentation de la telephonie sur IP au sein du cabinet Data

Consulting Circle.

Le chapitre 4 présentera le volet sécuritaire d’une telle technologie.

1

Page 8: ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA CONSULTING CIRCLE

Chapitre 1

Présentation de l’entreprise

1.1 Position géographique

DATA CONSULTING CIRCLE est un cabinet conseil spécialisé dans le conseil en stra-

tégie marketing et commercial, la promotion des services et produits des PME situé à la rue

KDD à 200 m de l’agence AES-SONEL NEW BELL.

1.2 Organisation administrative

Le cabinet Data Consulting Circle, est une entreprise encore toute jeune, étant donné

qu’elle est à son troisième mois d’existence. Elle possède en son sein une vingtaine d’employés,

repartis dans les différentes directions et services de ladite structure. Nous pouvons ainsi citer

entre autres :

– Direction Générale

– Direction Technique

– Service des Ressources Humaines

– Service Marketing

– Service Commercial

La direction dans laquelle j’ai éffectué mon stage est la Direction Technique dirigée par

Ing. EBENE Flavien Collins.

2

Page 9: ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA CONSULTING CIRCLE

Chapitre 2

Généralités sur la Téléphonie sur IP

2.1 Introduction

La téléphonie est l’un des moyens de communication les plus utilisés par les humains,

au regard du nombre de terminaux téléphoniques vendus à travers le monde qui a connu

une croissance exponentielle ces dernières années. Elle a donc été pour les opérateurs de

télécommunications, une véritable poule aux œufs d’or. En effet, ces deniers ont maintenu

pendant longtemps leurs tarifs à des niveaux élévés, alors que même leurs infrastructures

étaient largement amorties.

2.1.1 Enjeux économiques de la téléphonie sur IP

Bien que le téléphone demeure l’un des gadgets les plus utilisés par le public dans le

monde des télécommunications, les communications sont fortement influencées par leur coût.

La téléphonie sur IP offre ainsi la possibilité de communiquer, partout dans le monde par

écran interposé, et sans aucune considération financière.

2.1.2 Avantanges de la téléphonie sur IP

La téléphonie sur IP dispose de nombreux avantages par rapport à la téléphonie classique :

3

Page 10: ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA CONSULTING CIRCLE

ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIESUR IP AU SEIN DE DATA CONSULTING CIRCLE

La réduction des coûts opérationnels : En déplaçant le trafic voix de la téléphonie

classique vers le réseau IP, les entreprises ont la possibilité de réduire leurs coûts de commu-

nication. En outre, des réductions importantes sont mises en évidence pour des communica-

tions internationales, puisqu’elles ne requièrent pas un déploiement à l’image de la téléphonie

classique. La ToIP permet ainsi de réaliser des économies sur les équipements et les frais de

maintenance de ces derniers.

Une flexibilité et une productivité accrue : L’utilisation des téléphones logiciels ou

softphones permet aux utilisateurs d’être joignables sur leur extension interne, même en

déplacement ou à domicile sans frais supplémentaires à la seule condition que ces derniers

disposent d’une connexion internet. La messagerie unifiée leur permet par conséquent de

recevoir directement leurs messages vocaux et fax, directement dans leur boîte mail.

Adaptabilité : Les anciens systèmes propriétaires ne sont pas faciles à agrandir. En effet,

l’ajout de lignes téléphoniques ou d’extensions nécessite des mises à jour du matériel souvent

très coûteuses, et dans certains cas, le renouvellement intégral du réseau téléphonique.

Réduction des coûts d’abonnement : La téléphonie sur IP permet d’optimiser l’utilisa-

tion de la connexion internet et donc de mieux rentabiliser son coût. En effet, la capacité d’une

connexion internet large bande n’est souvent au maximum exploitée que de façon ponctuelle.

Moyennant la mise en place de mécanismes de priorité afin de garantir une bonne qualité

de communication durant ces pics d’utilisation ponctuelle, l’excédent de capacité peut être

exploité.

2.1.3 Inconvenients de la téléphonie sur IP

La téléphonie sur IP possède les mêmes contraintes temps réel que la téléphonie classique.

Etant donné que cette technologie basée sur une commutation de paquets, elle est fortement

liée aux contraintes suivantes :

La latence : le délai de transmission est un élément essentiel pour bénéficier du véritable

mode conversationnel et pour minimiser l’écho. Or la durée de traversée d’un réseau IP

dépend de nombreux facteurs :

TABOU Stephane 4

Page 11: ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA CONSULTING CIRCLE

ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIESUR IP AU SEIN DE DATA CONSULTING CIRCLE

– le temps de numérisation de la voix : la voix téléphonique est un signal analogique,

impossible à coder sur un l’ordinateur, il faut donc la numériser avec un codeur. Gé-

néralement, le temps de numérisation est négligeable, mais le codec va déterminer la

vitesse à laquelle les données sont émises ;

– le temps de remplissage des paquets : les données envoyées sont assemblées en paquets.

Ces derniers, comportent des en-têtes, qui sont placées une fois le paquet constitué.On

peut définir le temps de remplissage comme le temps utilisé par le codec pour remplir

un paquet de taille fixée ( la taille ne prend pas en compte les en-têtes qui sont ajoutés

automatiquement et independamment du codec) ;

– le temps de propagation : il se définit comme le rapport de la distance à parcourir entre

l’émetteur et le récepteur sur la vitesse de propagation du signal. On prend généralement

une vitesse de propagation d’un signal de 200 000 Km/s ;

– le temps de transmission : les données arrivent d’un point à un autre selon un temps

qui dépend de la quantité de données émises et du débit auquel fonctionnent les liens

entre l’émetteur et le récepteur. On peut définir le temps de transmission comme le

rapport de la quantité de données à envoyer sur le débit du lien considéré.

– le temps de traitement par les nœuds intermédiaires : les flux de données traversent

un ensemble de routeurs intermédiaires avant d’atteindre la destination.Chacun de ces

nœuds ajoute un délai supplémentaire, qui constitue le temps de traitement des nœuds

intermédiaires. Ce temps est généralement de l’ordre de la milliseconde pour chaque

nœud.

La qualité sonore et la fiabilité : l’un des problèmes les plus importants de la téléphonie

sur IP est la qualité de la transmission qui n’est pas encore optimale, dans certains cas. Ce

qui occasionne des désagréments lors de la reproduction de la voix du correspondant, par

ailleurs il est des situations où l’on constate la perte des morceaux de la conversation.

Dependance de l’infrastructure technologique : la convergence de la voix et des

données dans un système de téléphonie sur IP vers un même système implique une stabilité

de ce dernier devient indispensable,voire fondamentale. Ainsi, la structure intégrant cette

technologie doit être préparée à à faire face aux éventuelles défaillances de l’architecture

TABOU Stephane 5

Page 12: ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA CONSULTING CIRCLE

ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIESUR IP AU SEIN DE DATA CONSULTING CIRCLE

TOIP.

2.2 Protocoles de la Téléphonie sur IP

Les protocoles de VoIP constituent un pont entre Internet et la téléphonie sur IP. On

décrira dans ce document les protocoles de signalisation les plus utilisés : SIP et H.323. Ce-

pendant, il en existe d’autres comme IAX (propriétaire Asterisk), MGCP, SCCP (propriétaire

Cisco) et UNISTIM (propriétaire NORTEL).

2.2.1 Protocole H.323

Le protocole H.323 figure parmi les plus réputés des protocoles de signalisation pour la

téléphonie. Il est à noter que H.323 n’est en réalité que la référence du protocole. Son nom

complet est Packet-based Multimedia Communications Systems ou Système de communica-

tion multimédia fonctionnant en mode packet. Il peut ainsi être utilisé par tous les réseaux à

commutation de packets , en particulier le réseau IP.

H.323 est spécifié pour le traitement de la signalisation des données multimédias avec de

fortes contraintes temporelles, comme la voix ou la vidéo, mais aussi la réalité virtuelle ou

les jeux vidéos.

H.323 a été développé par l’IUT-T . Les premiers travaux sur le protocole ont débuté en

mai 1995. Depuis lors, de nombreuses versions se sont succédées, apportant leurs lots de

nouveautés et d’amélioration. La version actuelle est la version 7, disponible depuis Novembre

2009.

a. Architecture du protocole H.323

Le protocole H.323 s’articule autour d’une architecture, qui concentre les fonctionnalités

autour d’entités. On en distingue quatre types :

– Les terminaux : ce sont les équipements de traitement destinés aux utilisateurs, leur

permettant d’émettre et de recevoir des appels. Deux terminaux doivent au minimum

TABOU Stephane 6

Page 13: ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA CONSULTING CIRCLE

ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIESUR IP AU SEIN DE DATA CONSULTING CIRCLE

être présents pour qu’une communication ait lieu.

– Le gatekeeper ou garde-barrière : c’est l’équipement permettant la localisation des

utilisateurs. Ces derniers peuvent s’identifier entre eux par des noms, auxquels il faut

attribuer l’adresse IP correspondante dans le réseau, ou si l’appelé n’est pas situé dans

un réseau IP, la localisation de l’entité intermédiaire à joindre pour l’appel. Outre cette

fonction primordiale, un gatekeeper remplit tout un ensemble de fonctions complemen-

taires de gestion et de contrôle des communications, certaines étant indispensables et

d’autres facultatives.

– La passerelle ou gateway : c’est l’équipement permettant à des utilisateurs du réseau

IP de joindre les utilisateurs qui sont actifs sur d’autres types de réseaux RTC, RNIS,

ou ATM.

– Le MCU ou unité de contrôle multipoint, parfois appelée pont multipoint. C’est l’équi-

pement permettant la gestion des conférences, c’est-à-dire les communications multi-

médias mettant en jeu plus de deux interlocuteurs. Ces derniers doivent préalablement

se connecter à la MCU, sur laquelle s’établissent les demandes et négociations des pa-

ramètres à utiliser lors de la conférence.

Le MCU est composé d’un contrôleur multipoint ou MC et de zéro à plusieurs processeurs

multipoint ou MP .

Le MC gère la signalisation de la communication entre les terminaux participant à la confé-

rence.Le MP occupe des fonctions de mixage et de traitement des données de la conférence

(quand plusieurs personnes parlent en même temps par exemple).

Figure 2.1 – Zone H.323

Ces diverses entités se regroupent en deux grandes catégories : les points de terminaison

qui sont des entités auxquelles les émetteurs s’adressent directement pour communiquer (on

retrouve dans cette catégorie les terminaux, les gateways et les MCU) et la zone H.323 qui est

TABOU Stephane 7

Page 14: ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA CONSULTING CIRCLE

ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIESUR IP AU SEIN DE DATA CONSULTING CIRCLE

un ensemble de deux terminaux avec un gatekeeper au minimum, d’autres éléments pouvant

être ajoutés.

Figure 2.2 – Architecture du protocole H.323

b. La pile de protocoles

Le protocole H.323 peut être assimilé à une plateforme complète décrivant comment des

protocoles se combinent afin d’assurer la signalisation. Pour être fonctionnel, H.323 doit

utiliser d’autres protocoles qui forment son ossature. Il en existe toute une panoplie, mais

les plus importants d’entre eux sont les standards fondamentaux H.255.0 qui exploite les

protocoles RAS et Q.931, hérités du RNIS et H.245.

Le protocole H.255.0 met en place un canal de signalisation d’appel et d’enregistrement afin

d’assurer la mise en relation des interlocuteurs. Le protocole H.245, quant à lui, permet de

créer un canal de contrôle pour la négociation des paramètres de la communication (codeur

utilisé, contrôle de flux, etc).

Ainsi, les couches protocolaires de ce modèle sont illustrées à la figure ci-dessous :

TABOU Stephane 8

Page 15: ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA CONSULTING CIRCLE

ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIESUR IP AU SEIN DE DATA CONSULTING CIRCLE

Figure 2.3 – Couches Protocolaires de H.323

2.2.2 Le protocole SIP

Le protocole SIP a été standardisé par le groupe de travail WG MMUSIC de l’IETF. Au

fil des ans , de nombreuses versions se sont succédées, chacune apportant son lot d’améliora-

tion. La première version de ce protocole fut disponible à partir de 1997, une seconde version

a été proposée en mars 1999 (RFC 2543). Cette dernière version, a été revue, complétée, et

corrigée en juin 2002 (RFC 3261).

SIP désigne un protocole de signalisation pour l’établissement, le maintien, la modifica-

TABOU Stephane 9

Page 16: ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA CONSULTING CIRCLE

ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIESUR IP AU SEIN DE DATA CONSULTING CIRCLE

tion , la gestion et la fermeture des sessions interactives entre utilisateurs pour la téléphonie

et la vidéoconférence et plus généralement pour toutes les communications multimédias.

Il n’assure pas le transport des données utiles , mais son objectif est d’établir une liaison

entre les interlocuteurs. Autrement dit, il ne véhicule pas la voix, ni la vidéo, mais assure

simplement la signalisation.

Le protocole SIP dispose d’une grande capacité d’intégration à d’autres protocoles stan-

dards du monde IP. Ce qui lui confère son caractère modulaire, lui permettant ainsi de

fonctionner avec différentes applications telles que la téléphonie, la messagerie instantanée,

la vidéoconférence, la réalité virtuelle et même le jeu vidéo.

Les protocoles disposant d’une affinité avec le protocole SIP sont les suivants :

– RTP (Real-Time Transfert Protocol) RFC 3550, qui se charge du transport des flux en

temps réel ;

– RTCP (Real-time Transfert Protocol ) RFC 3550, qui fournit des informations dyna-

miques sur l’état du réseau ;

– RTSP (Real-time Streaming Protocol ) RFC 2326 , pour contrôler la diffusion de flux

multimédia en temps réel ;

– SDP (Session Description Protocol), RFC 2327, qui fournit la description d’une session,

c’est-à-dire les paramètres utilisés dans une communication SIP.

– SAP (Session Advertisement Protocol), RFC 2974, pour les communications multicast,

qui permet d’ajouter les spécifications d’une nouvelle session.

– MIME (Multipurpose Internet Mail Extension), RFC 2045, standard pour les descrip-

tions de contenus, utilisé sur Internet.

– RSVP (Resource reSerVation Protocol), RFC 2205, pour obtenir des garanties de qua-

lité de service et effectuer des réservations de ressources.

– HTTP (HyperText Transfer Protocol), RFC 2616, pour le traitement des pages Web

sur Internet (on peut inclure des adresses SIP directement dans des pages Web).

– MGCP (Media Gateway Control Protocol), RFC 3435, pour le contrôle des passerelles

assurant la connectivité entre un réseau IP et un réseau téléphonique.

TABOU Stephane 10

Page 17: ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA CONSULTING CIRCLE

ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIESUR IP AU SEIN DE DATA CONSULTING CIRCLE

Notons que ces protocoles sont d’une nature différente de celle de SIP, et ils n’interfèrent pas

avec la signalisation. Leur utilisation conjointe est possible, voire recommandée pour certains

d’entre eux. Cela dit, aucun d’eux n’est indispensable au bon fonctionnement de SIP, qui

reste totalement indépendant à leur égard et autorise a priori n’importe quel autre protocole.

a. Architecture du protocole SIP

Le protocole SIP est implémenté sur une architecture purement logicielle, autour de 5

grandes entités : le terminal utilisateur, le serveur d’enregistrement, le serveur de redirection,

le serveur proxy, le serveur de localisation.

Le terminal designe un composant materiel (téléphone) ou logiciel (softphone) dont l’uti-

lisateur dispose pour émettre et recevoir des appels. Il est généralement appelé UA (User

Agent) et est constitué de deux parties :

– L’UAC (User Agent Client) ou partie cliente qui est en charge de l’émission des requêtes,

en d’autres termes, de l’initialisation des appels,

– L’UAS (User Agent Server), qui reçoît et traite les appels.

Bien nombreux sont les clients SIP qui existent sur le marché. Parmi les plus réputés, on

retrouve notamment : X-Lite, 3CX-Phone et Wengo.

Le serveur d’enregistrement joue un rôle primordial dans la communication entre deux ter-

minaux.Il permet de localiser un correspondant, tout en gérant la mobilité de ce dernier.En

outre, il peut supporter l’authentification des abonnés.

Le serveur de localisation contient la base de données de l’ensemble des abonnés qu’il gère.

Cette base est renseignée par le serveur d’enregistrement.

Le serveur de redirection agit tel un intermédiaire entre le terminal client et le serveur de lo-

calisation.Il est sollicité par le terminal client pour contacter le serveur de localisation afin de

determiner la position courante d’un utilisateur. L’appelant envoie une requête de localisation

d’un correspondant au serveur de redirection ; ce dernier joint le serveur de localisation afin

d’effectuer la requête de localisation du correspondant à joindre. Le serveur de localisation

répond au serveur de redirection, lequel informe l’appelant en lui fournissant la localisation

trouvée.

TABOU Stephane 11

Page 18: ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA CONSULTING CIRCLE

ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIESUR IP AU SEIN DE DATA CONSULTING CIRCLE

Le serveur proxy ou serveur mandataire, permet d’initialiser une communication à la place de

l’appelant, jouant le rôle d’intermédiaire entre les terminaux des interlocuteurs et agit pour le

compte de ces derniers. Il remplit les fonctions suivantes : la localisation d’un correspondant,

les traitements éventuels sur les requêtes, l’initialisation, le maintien et la terminaison d’une

session vers un correspondant.

Ainsi,un serveur proxy, en plus de la localisation, permet de mettre en communication les

deux terminaux de façon transparente pour le terminal client. Il peut donc acheminer les mes-

sages de signalisation des terminaux, de l’initialisation de la communication à sa terminaison,

en passant par sa modification. On distingue deux types de serveurs proxy :

– Le proxy statefull qui maintient pendant toute la durée des sessions l’état des connexions,

– Le proxy stateless qui achemine les messages independamment les uns des autres, sans

sauvegarder l’état des connexions.

Figure 2.4 – Architecture du protocole SIP

Fonctionnement du protocole SIP

SIP,protocole de signalisation se charge exclusivement de la mise en relation des interlo-

cuteurs. Afin d’établir ladite communication , il se charge d’envoyer plusieurs paquets entre

les deux terminaux afin de définir le début et la fin de la communication, son type , le type

d’encodage utilisé pour l’audio et bien d’autres paramètres. Ces requêtes sont définies par

différents codes :

– 1XX :information ; la requêtere reçue par le destinataire a été reçue et contiue à être

TABOU Stephane 12

Page 19: ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA CONSULTING CIRCLE

ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIESUR IP AU SEIN DE DATA CONSULTING CIRCLE

traitée (ex :180 = ’le terminal destinataire sonne’)

– 2XX : Succès (ex : 200=’OK’ 202=’acceptée’)

– 3XX : Redirection ; une autre action doit avoir lieue afin de valider la requête

– 4XX : Erreur du client ; la requête contient une syntaxe fausse ou bien elle ne peut pas

être traitée par le serveur

– 5XX : Erreur du serveur ; le serveur n’a pas réussi à traitée la requête qui smeble être

correcte

– 6XX : Echec général ; la requête ne peut être traitée par aucun serveur.

TABOU Stephane 13

Page 20: ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA CONSULTING CIRCLE

Chapitre 3

Mise en place de l’architecture

3.1 Presentation du serveur Asterisk

3.1.1 Introduction

De manière générale, les grandes entreprises sont dotées de centraux téléphoniques appe-

lés autocommutateurs ou PABX.

Un PBX désigne une entité logique, presque toujours gérée par un équipement matériel doté

d’une triple fonction : le routage des appels au sein d’un réseau privé, l’interconnection des

réseaux et la gestion des services de téléphonie.

L’évolution de la technologie dans le domaine des télécommunications a conduit à la mise

sur pied de PABX d’un genre nouveau : le PABX logiciel, plus connu sous le nom de IPBX.

Parmi les plus réputés du domaine, Asterisk en fait partie.

Asterisk est un IPBX, complet et très performant qui a su s’imposer face à des géants tels

que Cisco, Nortel, Avaya, 3Com, et Siemens. Initialement conçu pour fonctionner sous Linux,

il en existe aujourd’hui des versions disponibles pour toutes les plateformes : FreeBsd, Sun

Solaris, MacOs X, Open Suse et Windows.

Developpé en 2001 par Mark Spencer, de la société américaine Digium, Astérisk est un logiciel

libre d’utilisation, ses sources sont téléchargeables sous licence GNU GPL, permettant ainsi

à une importante communauté d’utilisateurs de contribuer à son developpement. Son archi-

tecture modulaire, sa facilité de mise en œuvre et son fonctionnement simplifié permettent

14

Page 21: ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA CONSULTING CIRCLE

ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIESUR IP AU SEIN DE DATA CONSULTING CIRCLE

une grande utilisation tant au sein des grandes entreprises qu’au sein des particuliers.

3.1.2 Fonctionnalités

Astérisk propose toutes les fonctionnalités d’un standard téléphonique de niveau profes-

sionnel, des plus élémentaires aux plus complexes. Non seulement il permet une gestion du

routage des appels au sein du réseau, mais en plus, il supporte une large gamme de services,

parmi lesquels nous pouvons citer quelques uns :

– Authentification des utilisateurs appelants,

– Serveur vocal interactif,

– Numérotation abrégée pour définir des raccourcis,

– Transfert d’appel,

– Filtrage d’appel,

– Messagerie vocale,

– Notification et écoute par e-mail des messages laissés sur son répondeur,

– Gestion des conférences,

– Double appel,

– Mise en attente,

– Journalisation des appels,

– Facturation détaillée,

– Enregistrement des appels.

Bien nombreux sont les protocoles supportés par Asterisk, notamment H.323, SIP, MGCP,

IAX(protocole propriétaire d’Asterisk) et SCCP. L’interopérabilité est également assurée avec

la téléphonie standard RTC et la téléphonie numerique RNIS. En outre, il supporte les codecs

audio suivants : G.711, G.726, G.729, ADPCM et GSM.

3.1.3 Les fichiers de configuration du serveur Asterisk

Vu son architecture modulaire, Asterisk n’est en fait constitué que d’un seule brique

élémentaire, sur laquelle se greffent des composants additionnels, permettant ainsi d’enri-

TABOU Stephane 15

Page 22: ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA CONSULTING CIRCLE

ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIESUR IP AU SEIN DE DATA CONSULTING CIRCLE

chir ses fonctionnalités. De ce fait, il est possible de n’installer que les composants dont

on a besoin et d’en laisser d’autres pour une installation ultérieure. Les principaux com-

posants d’Asterisk sont sous la forme d’archives d’extension .tar.gz disponibles à l’adresse

http://www.asterisk.org/download ou ftp://ftp.digium.com/pub Les principaux mo-

dules d’Astérisk sont les suivants :

– Asterisk , qui constitue l’élément fondamental du serveur, seul indispensable à son

fonctionnement ;

– Asterisk-addons qui comporte plusieurs modules complémentaires d’Astérisk ;

– Asterisk-sounds, ces modules fournissent une quantité de sons qui peuvent être uti-

lisés dans des messages d’accueil ou pour signaler à l’appelant divers services. Les

messages audio sont disponibles en trois langues : anglais, français et espagnol.

– Libiax inclue toute une bibliothèque de codes sources utilisant le protocole IAX.

– Libri pour assurer l’interface avec les réseaux non-IP.

– Zaptel , il contient les pilotes pour les cartes d’interface avec les réseaux non-IP.

Une fois , tous les téléchargements terminés , il faut procéder à la décompression des ar-

chives téléchargées grâce à la commande tar -xzvf nom_du_composant_à_installer. Ensuite,

on effectue la compilation et l’installation de ces composants grâce aux commandes :make

qui permet de lancer la compilation du composant et make install qui permet de lancer son

installation. Il est à noter que l’installation de ces composants ne doit pas se faire au hasard.

En effet, il serait judicieux d’installer les bibliothèques Zaptel et Libri avant de procéder

à l’intallation de Astérisk pour terminer enfin par le module Asterisk-addons et Asterisk-

sounds.

Il existe deux modes de démarrage du logiciel Asterisk , le mode client et le mode serveur.

– Mode serveur : Dans ce mode, le serveur se met en écoute des clients et prend en charge

leur demande de connexion et de communication. Ce mode est démarré de deux ma-

nières différentes.

Pour un lancement automatique du serveur (à chaque démarrage du système d’exploi-

tation), la commande utilisée est la suivante : /usr/sbin/sfar_asterisk

Pour un lancement manuel, on utilise la commande suivante : asterisk -vvvc. Notons

TABOU Stephane 16

Page 23: ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA CONSULTING CIRCLE

ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIESUR IP AU SEIN DE DATA CONSULTING CIRCLE

que , la succession des options v a pour but d’afficher un certain niveau de messages

informatifs concernant le fonctionnement du serveur de plus en plus élevé. vvv est l’acro-

nyme de very very verbose. La lettre c demande qu’un message s’affiche devant chaque

ligne.

– Mode client ou mode interactif : Le client Asterisk se branche au serveur Asterisk

et l’interroge pour lui demander des informations sur son état courant ou pour lui

donner de nouvelles directives. En effet, ce mode permet de vérifier que le serveur est

opérationnel. On peut ainsi récuperer de nombreuses informations concernant l’état du

serveur et l’état des connexions des utilisateurs.Le lancement d’Asterisk en mode client

s’effectue grâce à la commande asterisk -r.

La gestion des appels par le serveur Asterisk ne peut s’effectuer que par l’entremise de

fichiers de configuration. La configuration du serveur Asterisk, est fondée sur les quatre

éléments suivants :

a. Description des utilisateurs et des terminaux

Il est quasi fondamental d’identifier les utilisateurs afin qu’ils puissent être joignables au

sein du réseau. Par ailleurs, mettre en place un authentification permet de s’assurer que les

utilisateurs frauduleux ne pourront s’introduire dans le système. Ils sont recencés dans les

fichiers de configuration selon le protocole de signalisation qu’ils utilisent.

Les protocoles de signalisation SIP et IAX utilisent respectivement les fichiers sip.conf et

iax.conf pour cette description.

Le fichier sip.conf se subdivise en sections dont chacune est identifiée par son étiquette ou

label.

La section [general] permet d’effectuer des configurations générales liées au serveur. La section

[user_id] définit chaque compte d’utilisateur. Un compte d’utilisateur se voit décrit par les

paramètres suivants :

– username qui renseigne sur l’identifiant de l’utilisateur,

– secret qui indique le mot de passe associé,

– type indique le type de compte. Il peut prendre l’une des trois valeurs suivantes :

TABOU Stephane 17

Page 24: ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA CONSULTING CIRCLE

ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIESUR IP AU SEIN DE DATA CONSULTING CIRCLE

friend (autorise les appels entrants et sortants), user (autorise les appels entrants),

peer (autorise les appels sortants),

– host spécifie une addresse IP à partir de laquelle l’utilisateur pourra accéder à son

compte. Afin d’autoriser une adresse IP dynamique, on la renseigne par la valeur dy-

namic,

– callerid qui renseigne sur le nom d’utilisateur entre guillemets, suivi de son numéro

d’appel. Cette information permet d’afficher le nom d’utilisateur et son numéro de

téléphone dans le cadre des appels sortants, ceci dans le cas ou le terminal utilisé

permet d’afficher ces informations,

– context qui définit le type de routage à appliquer pour l’utilisateur tel que défini dans

le plan de numérotation,

– language qui determine la langue utilisée pour les fichiers audio,

– allow qui liste les codecs autorisés par l’utilisateur,

– disallow qui interdit les codecs mentionnés à sa suite,

– nat qui spécifie si le flux réseau utilise la translation d’adresse NAT,

– mailbox pour l’adresse de boîte vocale associée au compte

– dtmfmode pour le type de tonalité. Il peut prendre les valeurs rfc2833, info ou auto.

– careinvite permet d’indiquer au serveur asterisk lorsqu’une communcation s’efectue

de réemettre les informations concernant le flux multimédia dans de nouveaux mes-

sages.Cette paramètre doit prendre la valeur no dans le cas où l’utilisateur est derrière

un NAT.

La configuration du fichier iax.conf est similaire à celle du fichier sip.conf

b. Plan de numérotation (DialPlan)

Il determine les règles de routage des appels tout en permettant la mise en relation des

interlocuteurs. Il est défini dans un fichier unique extensions.conf qui inclue d’autres fichiers.

Le fichier extensions.conf est organisé en sections appelées contextes. Un contexte défini un

cadre d’application et peut contribuer à une catégorisation des utilisateurs. L’aisance avec

laquelle le serveur Asterisk est personnalisable provient de ces contextes, étant donné qu’il

TABOU Stephane 18

Page 25: ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA CONSULTING CIRCLE

ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIESUR IP AU SEIN DE DATA CONSULTING CIRCLE

devient facile d’attribuer des paramètres particuliers à des utilisateurs spécifiques ou à un

groupe d’utilisateurs de façon indépendante. Il existe deux sections particulières dans le fi-

chier extensions.conf. Ces deux sections sont tout au début dudit fichier et sont [general ] et

[globals].

La section [general] définit les options générales appliquées par le serveur Asterisk au plan

de numérotation. Par exemple les indications suivantes :

Clearglobalvars = yes permet d’afficher les variables globales enregistrées par le serveur As-

terisk

static = yes

writeprotect = no pour la sauvegarde du plan de numérotation.

La section [global] définit les variables globales prises en compte par le serveur Asterisk. Le

format général d’un dialplan est le suivant :

[context] Exten =>identifiant_d’extension,priorité,application

c. Les services supplémentaires

Les services supplémentaires fournissent plus de fonctionnalités au serveur, chaque service

étant défini dans un fichier spécifique.

d. Le matériel physique

Il est nécessaire une fois que la possibilité de communiquer avec les utilisateurs du réseau

téléphonique commuté est envisageable. Ceci dans le but d’indiquer au serveur Asterisk la

nature des composants et la façon dont il va communiquer avec ces derniers.

3.2 Mise en place de l’environnement

Dans un souci de simplicité, nous avons présenté un schema assez simplifié du réseau

informatique de Data Consuling Circle, avec les différents services de la structure.

Le réseau informatique de Data Consulting Circle est constitué du matériel suivant :

– une dizaine d’ordinateurs de marque Toshiba dont les caractéristiques sont les sui-

vantes : 2Go de RAM, 150 Go de disque dur, 2.8 Ghz pour la fréquence du micropro-

TABOU Stephane 19

Page 26: ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA CONSULTING CIRCLE

ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIESUR IP AU SEIN DE DATA CONSULTING CIRCLE

cesseur, dotés des systèmes d’exploitation Windows XP et Windows 7 ;

– des imprimantes de marque HP

– des scanners de marque HP

– un modem Huawei E153

– un serveur dont les caractéristiques sont les suivantes : Processeur Quad-Core (4 threads)

Intel Xeon E5-2403 (1.8 GHz), 8 Go de mémoire vive de type DDR3 ECC (1333 MHz),2

To d’espace disque (2x disques durs 1 To SATA 6Gb/s)

– deux switch Cisco de 24 ports

3.2.1 Installation de Asterisk

Asterisk sera installé sur le serveur Linux. On peut installer le logiciel Asterisk de deux

manières :

installation par les sources : Sur la distribution Linux Debian, les paquets de la dernière

version stable se trouvent dans les dépôts officiels.La commande apt-get install asterisk

suffit pour installer le logiciel ;

installation par les sources : Les sources du logiciel se trouvent sur le site officiel de l’édi-

teur :http://www.digium.org/. A cette date, la version la plus stable et documentée

est la 13.0.1

•Télécharger l’archive asterisk-10.7.0.tar.gz ;

•Decompresser l’archive grâce à la commande tar -xzvf asterisk-10.7.0.tar.gz

•Executer la commande ./configure pour la configuration des fichiers sources

•On peut executer optionnellement make menuselect pour installer des modules supplémen-

taires.

•Executer la commande make pour la compilation des fichiers sources

•Ensuite la commande make install pour l’installation des services

•Pour terminer, on execute la commande make samples qui permet de créer les fichiers de

configuration de base de Asterisk.

Pour démarrer le serveur, on peut le faire en mode client grâce à la commande asterisk

-r.

TABOU Stephane 20

Page 27: ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA CONSULTING CIRCLE

ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIESUR IP AU SEIN DE DATA CONSULTING CIRCLE

3.2.2 Création des comptes SIP

Au regard de la subdivision de l’administration de Data Consulting Circle, nous avons

crée un minimum de deux comptes SIP par service.Les differents comptes SIP sont présentés

dans l’annexe 1

3.2.3 Configuration du Dialplan

Les paramètres de configuration du dialplan sont en annexe 2.

Serveur Vocal Interactif : Encore appelé IVR, il permet de guider les utilisateurs vers

le service quils souhaitent joindre, on peut sen servir aussi pour simplement annoncer les

horaires douvertures,etc

[ivr]

exten => 1111,1,Goto(ivr_sdie,s,1)

exten => s,1,Answer()

exten => s,2,Playback(accueil_dcc)

exten => s,3,Set(TIMEOUT(response=10))

exten => s,4,Background(menu_ivr)

exten =>s,5,WaitExten()

exten => i,1,Playback(invalid)

exten => i,2,Goto(ivr,s,4)

exten => t,1,Goto(ivr,s,4)

3.2.4 Configuration des softphones

Le client SIP ou softphone permet de jouer le rôle d’un téléphone IP de manière logiciel.

Il requiert un système de son (carte son, micro, haut parleur) pour l’utiliser. Ces clients

permettent de remplacer des téléphones IP matériels onéreux.Il existe une multitude de soft-

phones, disponibles en version payante et version gratuite.Dans le cadre de notre stage, nous

avons eu à travailler sur le softphone X-lite.

TABOU Stephane 21

Page 28: ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA CONSULTING CIRCLE

ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIESUR IP AU SEIN DE DATA CONSULTING CIRCLE

X-lite est un freeware, simple d’utilisation. Il est disponible pour les différents systèmes d’ex-

ploitation : WIndows, Linux et Mac sur le site de l’editeur CounterPath.

Figure 3.1 – SoftPhone X-Lite

Pour configurer le client X-lite,l’utilisateur 100 et 200 doivent accéder au menu Sip Ac-

count Setting, puis de ce menu, vers le sous menu Sip Account. Dans la fenêtre qui s’ouvre,

il suffit de remplir les champs illustrés suivant des deux utilisateurs.

Utilisateur 100

– Identifiant affiché pour l’utilisateur (Display Name) : Alvine

– Identifiant utilisé pour loguer l’utilisateur (User Name) : 100

– Mot de passe associé (Password) : secretariat000

– Nom sous lequel l’autorisation d’accès est possible (Authorization User) : 100

– Nom de domaine (Domain) : 192.168.85.150

Notons qu’afin que l’authentification soit possible, ces valeurs doivent être conformes à

celles saisies dans le fichier sip.conf du serveur Asterisk.

Une fois la configuration achevée, le softphone se connectera automatiquement au serveur et

TABOU Stephane 22

Page 29: ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA CONSULTING CIRCLE

ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIESUR IP AU SEIN DE DATA CONSULTING CIRCLE

s’enregistrera.Si l’enregistrement a echoué, un message d’erreur explique le motif de l’echec

du processus d’enregistrement.

TABOU Stephane 23

Page 30: ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA CONSULTING CIRCLE

ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIESUR IP AU SEIN DE DATA CONSULTING CIRCLE

Figure 3.2 – Configuration du compte SIP du client Alvine

TABOU Stephane 24

Page 31: ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA CONSULTING CIRCLE

Chapitre 4

Sécurisation de l’architecture

La technologie de ToIP est apparue il y a plus de dix ans. Elle a subi de multiples standar-

disations internationales, qui, sans la mettre à labri des évolutions permanentes, inhérentes

aux technologies réseau, la rendent désormais suffisamment mature pour envisager un dé-

ploiement à grande échelle. À condition toutefois de maîtriser la sécurité et son intégration

au monde du sans fil.

Les vulnérabilités dont les attaques peuvent tirer parti peuvent avoir cinq origines :

– les protocoles ;

– les logiciels ;

– le système d’exploitation ;

– l’infrastructure physique ;

– l’erreur humaine.

Chacune d’elles est une source potentielle de faille, qu’il convient d’étudier avec précaution

dans la mise en place d’une solution de ToIP.

Il faut noter qu’une attaque peut avoir trois objectifs :

acquisition de service : L’objectif ici, est de s’approprier des droits et fonctionnalités qui

n’ont pas véritablement été attribuées à l’attaquant.

Interception de service : cette attaque compromet la confidentialité du service et vise à

en analyser ou modifier le contenu.

Interruption de service : L’objectif est purement de nuire au bon déroulement du service

25

Page 32: ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA CONSULTING CIRCLE

ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIESUR IP AU SEIN DE DATA CONSULTING CIRCLE

en cherchant à le mettre hors d’usage.

4.1 Les attaques

Les attaques de sécurité réseau sont regroupées en attaques passives et actives.

Une attaque est dite passive lorsqu’un individu non autorisé obtient un accès à une ressource

sans modifier le contenu. Elles désignent généralement des écoutes ou des analyses de trafic

ou analyse de flot de trafic.

Una attaque est dite active lorsqu’un parti non autorisé apporte des modifications aux mes-

sages et flux de données ou de fichiers. Il est possible de détecter ce type d’attaque. On

distingue dans cette catégorie la masquarade ou usurpation d’identité, le rejeu, la modifica-

tion de messages et le déni de service ou DoS(Deny of Service). Ce dernier type d’attaque

est l’une des sources de menace redoutables pour les solutions de securité logicielle, puisque

la sécurité est facilement mise en cause en cas de modification malveillante des programmes

chargés d’appliquer les protocoles et les règles de contrôle.

4.2 Mécanismes de sécurité

De nombreux mécanismes sont mis en œuvre dans la sécurisation d’une architecture de

Téléphonie sur IP. On peut citer :

– Mise à jour des softwares

– Verouillage de la configuration

– Séparation grâce aux Vlans

– Filtrage inter-Vlan

– Utilisation de cartes réseaux supportant le protocole 802.1Q

– Authentification et chiffrement

– Protection contre les attaques ARP

TABOU Stephane 26

Page 33: ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA CONSULTING CIRCLE

ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIESUR IP AU SEIN DE DATA CONSULTING CIRCLE

4.2.1 Mise à jour des softwares

L’IPBX, les hardphones et les softphones contiennent tous un logiciel, dont le code source

peut contenir des failles, donc peit être vulnérable à diverses attaques. Il est donc fondamental

de maintenir à jour la version de ces logiciels, notamment lorsqu’une faille de sécurité les

concernant a été découverte.

4.2.2 Verouillage de la configuration

Une fois le softphone/hardphone configuré, il est imporant de verouiller par mot de passe

sa configuration afin d’empêcher qu’un utilisateur ne puisse modifier ces paramètres (par

exemple,désactiver l’authentification).

4.2.3 Séparation grâce aux Vlans

Cette solution consiste à definir un Vlan! DATA dédié aux équipements réseaux présents

dans le réseau DATA et un Vlan dédié à la téléphonie sur IP.

4.2.4 Filtrage inter-Vlan

Les communications entre les VLAN doivent être rigoureusement filtrées de manière à nau-

toriser que les flux nécessaires. Seuls les flux définis sont autorisés. Le filtrage peut s’effec-

tuer comme suit : en définissant des listes de contrôles d’accès ou ACL sur les switches et/ou les rou-

teurs interconnectant les Vlans, en configurant des firewall entre les VLANs. Les règles de fil-

trage devraient être basées sur les adresses IP, les numéros de ports/protocoles et les flags TCP/IP de ma-

nière à être le plus strict possible et à nautoriser que les communications nécessaires. Par exemple, les IP Phones nont pas be-

soin denvoyer un flux média (ex : RTP) aux serveurs VoIP. Donc, au lieu dautoriser toutes com-

munications entre les VLAN VOIP Hardphones/Softphones et le VLAN VoIP Servers, seul le tra-

fic concernant le protocole de signalisation (ex : SIP) devrait être autorisé.

TABOU Stephane 27

Page 34: ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA CONSULTING CIRCLE

ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIESUR IP AU SEIN DE DATA CONSULTING CIRCLE

4.2.5 Placer les services convergés dans des DMZ

Afin de ne pas compromettre la séparation des VLAN DATA et VoIP, les services conver-

gés (services nécessitant un accès au VLAN DATA et au VLAN VoIP) doivent être pla-

cés dans une DMZ.Les règles du firewall doivent être le plus strict possible afin de nautori-

ser que les flux necessaires.

4.2.6 Authentification et chiffrement SSL/TLS

Le protocole TLS(Transport Layer Security ) est un protocole qui sécurise les echanges sur in-

ternet. Il fonctionne en mode clientserveur et fournit quatre objectifs de securité :

– l’authentification du serveur ;

– la confidentialité des données échangées (ou session chiffrée) ;

– l’intégrité des données échangées ;

4.2.7 Protection contre les attaques ARP

Cette methode consiste à empêcher la connexion du pirate sur le réseau.La mise en œuvre

de cette méthode passe par la sécurisation de l’accès physique du réseau pour un réseau

filaire, l’installation d’un pare-feu,l’analyse des historiques et l’implementation des tables

ARP statiques.

4.3 Outils de test d’analyse et Vulnérabilités de la ToIP

SiVuS est lun des scanners de vulnérabilité les plus connus et les plus fiables suppor-

tant le protocole SIP. Ce scanner propose un grand nombre de fonctionnalités qui per-

mettent de mesurer la sécurité dun composant SIP.

VOMIT est un logiciel qui permet de convertir une conversation d’un téléphone IP Cisco en un fi-

chier son de format wav. Pour cela, L’utilitaire demande un fichier de capture de type tcp-

dump.

TABOU Stephane 28

Page 35: ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA CONSULTING CIRCLE

ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIESUR IP AU SEIN DE DATA CONSULTING CIRCLE

Wireshark (anciennement Ethereal) est un logiciel de surveillance des réseaux IP, permettant

ainsi d’analyser le flux de trafic qui transite sur le réseau.

TABOU Stephane 29

Page 36: ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA CONSULTING CIRCLE

Conclusion Générale

Au terme des cinq mois de stage que nous avons éffectué à DATA CONSULTING CIRCLE,

à la direction technique, nous pouvons de ce pas faire un bilan des différentes réalisations

éffectuées.

Le travail qui nous avait été convié était « Etude et Mise en œuvre d’une architec-

ture de téléphonie sur IP au sein de Data Consulting Circle». Dans l’accomplis-

sement de cette tâche, nous avons présenté une vue générale de la téléphonie sur IP, et les

configurations visant à la mise en œuvre de cette architecture au sein de DCC.

Parlant de l’apport de notre stage dans notre vie, nous pouvons avec quasi-certitude qu’elle

a été à plusieurs niveaux à l’instar :

– académique : car elle nous a permis de faire un pont entre la théorie apprise pendant

les différents cours magistraux qu’on retrouvent à l’école et la pratique qui ne donne

pas toujours le résultat attendu

– professionnel : car elle nous a permi de nous mettre dans la peau d’un travailleur avec

tous ses contraintes

30

Page 37: ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA CONSULTING CIRCLE

Création des comptes SIP

[secretariat]( !)

context = secretariat

host = dynamic

type = friend

nat = yes

careinvite = no

secret = secretariat000

allow = ulaw

allow = gsm

allow = h263

disallow = all

transport=udp

[100](secretariat)

username=poste-Secretariat1

callerid="Alvine" <100>

[101](secretariat)

username=poste-Secretariat2

callerid= "Josiane" <101>

[ressourceshumaines]( !)

context = rh

host = dynamic

type = friend

nat = yes

careinvite = no

secret = ressourceshumaines000

allow = ulaw

allow = gsm

page 31

Page 38: ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA CONSULTING CIRCLE

allow = h263

disallow = all

transport=udp

[200](ressourceshumaines)

username=poste-Rh1

callerid="Tonfack" <200>

[200](ressourceshumaines)

username=poste-Rh2

callerid="Patrick" <201>

[serviceMarketing]( !)

context = marketing

host = dynamic

type = friend

nat = yes

careinvite = no

secret = servicemarketing000

allow = ulaw

allow = gsm

allow = h263

disallow = all

transport=udp

[300](serviceMarketing)

username=poste-mark1

callerid="Boniface" <300>

[301](serviceMarketing)

username=poste-mark2

callerid="Helene" <301>

page 32

Page 39: ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA CONSULTING CIRCLE

[serviceCommercial]( !)

context = marketing

host = dynamic

type = friend

nat = yes

careinvite = no

secret = servicecommercial000

allow = ulaw

allow = gsm

allow = h263

disallow = all

transport=udp

[400](serviceCommercial)

username=poste-ServiceCommercial1

callerid="Mme Tsafack"<400>

[401](serviceCommercial)

username=poste-ServiceCommercial2

callerid="Mme Etoube" <401>

[directiontechnique]( !)

context = directiontechnique

host = dynamic

type = friend

nat = yes

careinvite = no

secret = directiontechnique000

allow = ulaw

allow = gsm

allow = h263

page 33

Page 40: ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA CONSULTING CIRCLE

disallow = all

transport=udp

[500](directiontechnique)

username=DT1

callerid="Mr Massingi" <500>

[501](directiontechnique)

username=DT2

callerid="Mr TABOU" <501>

[directiongenerale]( !)

context = direction generale

host = dynamic

type = friend

nat = yes

careinvite = no

secret = directiongenerale000

allow = ulaw

allow = gsm

allow = h263

disallow = all

transport=udp

[600](directiongenerale)

username=DG1

callerid="DG" <600>

[601](directiongenerale)

username=DG1

callerid="DG" <601>

page 34

Page 41: ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA CONSULTING CIRCLE

Attribution des numéros d’appel aux différents services

de l’entreprise

[secretariat]

;Pour les appels à destination du sécrétariat

exten => _1XX, 1 ,DIAL(SIP/$EXTEN,20,tT)

exten => _1XX, n, voicemail($EXTEN)

exten => _1XX, n, hangup()

[ressourceshumaines]

;Pour les appels à destination des ressources humaines

exten => _2XX, 1 ,DIAL(SIP/$EXTEN,20,tT)

exten => _2XX, n, voicemail($EXTEN)

exten => _2XX, n, hangup()

[servicemarketing]

;Pour les appels à destination du service marketing

exten => _3XX, 1 ,DIAL(SIP/$EXTEN,20,tT)

exten => _3XX, n, voicemail($EXTEN)

exten => _3XX, n, hangup()

[servicecommercial]

;Pour les appels à destination du serviceCommercial

exten => _4XX, 1 ,DIAL(SIP/$EXTEN,20,tT)

exten => _4XX, n, voicemail($EXTEN)

exten => _4XX, n, hangup()

[directiontechnique]

;Pour les appels à destination du directiontechnique

exten => _5XX, 1 ,DIAL(SIP/$EXTEN,20,tT)

exten => _5XX, n, voicemail($EXTEN)

exten => _5XX, n, hangup()

[directiongenerale]

page 35

Page 42: ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA CONSULTING CIRCLE

;Pour les appels à destination de la direction generale

exten => _6XX, 1 ,DIAL(SIP/$EXTEN,20,tT)

exten => _6XX, n, voicemail($EXTEN)

exten => _6XX, n, hangup()

Messagerie vocale : Dans le fichier voicemail.conf, on a les configurations suivantes :

[secretariat]

199 => 1000,secretariat,[email protected]

[ressourceshumaines]

299 => 2000,ressourceshumaines,[email protected]

[servicemarketing]

399 => 3000,servicemarketing,[email protected]

[servicecommercial]

499 => 4000,servicecommercial,[email protected]

[directiontechnique]

599 => 5000,directiontechnique,[email protected]

[directiongenerale]

599 => 5000,directiongenerale,[email protected]

Et dans le fichier extensions.conf, on a les configurations suivantes :

;Pour consulter la messagerie vocale

exten => 999, 1, voicemailmain($EXTEN)

exten => 999, n, Hangup()

page 36

Page 43: ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA CONSULTING CIRCLE

Bibliographie

[1] G. Barisaux. De h323 sip ou h325 quel protocole s’imposera ?, dec 2011.

http://wapiti.telecom-lille1.eu/commun/ens/peda/options/st/rio/pub/

exposes/exposesser2010-ttnfa2011/barisaux-gourong/H323.html.

[2] M. Damien. Toip asterisk. Administration de systèmes, réseaux et applica-

tions à base de logiciels libres, page 49, jan 2007.

[3] A. W. des Télécommunications. La voix sur paquets ou voip, apr 2006. http://www.

awt.be/web/res/index.aspx?page=res,fr,fic,150,004.

[4] O. Didier, G. Maxime, L. Léonard, B. Vincent, and William. Rapport de projet. Technical

report, 2005-2006.

[5] Jreppetti. Introduction a la voix sur ip, apr 2012. http://www.erasme.org/

Introduction-a-la-voix-sur-IP-VoIP.

[6] B. Rebha. Étude et Mise en place d’une Solution VOIP Sécurisée. PhD thesis, Université

Virtuelle de Tunis, 2011.

37