Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 1
MEMOIRE DE PROJET DE FIN DETUDES
PourlobtentiondudiplmedIngnieurdEtatEn
GnieRseauxetSystmes
EtudeetmiseenuvreduservicepiloteToIPdeRENATER
Ralis:Groupementd'IntrtPublicRseauNationaldeTlcommunicationspourlaTechnologie,l'EnseignementetlaRecherche
Ralispar
MrMohamedElMahdiBOUMEZZOUGH
Soutenule:4fvrier2009devantleJury:
Mme.R.ALASSALIMr.S.MUYALMr.B.TUYMr.N.IDBOUFKERMr.L.GOUJDAMI
ProfesseurlENSAdeMarrakech(Prsidente)IngnieurquipeSIPA(servicesIPAvancsetprospective)(Encadrant)ResponsabledelquipeSIPA(Encadrant)ProfesseurlENSAdeMarrakech(Encadrant)ProfesseurlENSAdeMarrakech(Examinateur)
Anne2008/2009
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 2
Remerciements
Au terme de ce travail, je tiens exprimer ma profonde gratitude et mes sincresremerciementsmestuteursdestageauGIPRENATERM.SimonMUYALetM.BernardTUYpourtoutletempsquilsmontconsacr,leurdirectivesprcieuses,etpourlaqualitdeleursuividuranttoutelapriodedemonstage.
Jetiensaussiremerciervivement ledirecteurduGIPRENATER,M.DanyVandromme
quiaacceptdemaccueillirenstageauseindesonorganisme.JevoudrairemerciergalementtoutlepersonnelduGIPRENATERpoursagentillesseet
sonsoutiennotammentMmeEmilieCamisard.MesprofondsremerciementsvontmonencadrantlENSAM.NoureddineIDBOUFKER
quiaacceptdencadrermestravauxdurantces4moisdestage.Mesplusvifsremerciementssadressentaussitoutlecadreprofessoraletadministratif
delENSAdeMarrakech.Mes remerciementsvontenfin toutepersonnequia contribudeprsoude loin
llaborationdecetravail.
RETANER ed PIoT etolip ecivres ud ervu ne esim te edutE sedutEd niF ed tejorP
3 9002/8002 hcekarraM-ASNE
( PI)
. .
.
.
PIS.
. .
:
-
-
-
-
4
.
SIP :
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 4
Rsum
LatlphoniesurIP(ToIP)estunetechnologiequis'imposeprogressivementdanstouslessecteurs,elleconsiste fairetransiter lescommunicationstlphoniquespar lerseauIP.Aujourdhui,cette technologie estdeplusenplusdployeau seindesuniversitsetlaboratoires de recherche connects au Rseau National de tlcommunications pour laTechnologie lEnseignement et la Recherche (RENATER) qui est le rseau acadmiquefranais.
Afindinterconnecter lessystmes de tlphoniemisenplacepar lestablissements
connects, RENATER, une maquette exprimentale d'interconnexion des sites a tdploye.Cettemaquettereposesurunserveurderoutagedappel intersitequiutilise leprotocoleSIP(SessionInitiationProtocol).Cestdanscecontexteque jairalismonstagedefindtudes.
Aprs ltudedu fonctionnementdecettemaquetteetun inventairede ltatde lart
dansledomainedelaToIP,ladeuximephaseconsistelamiseenplacedunservicepilotederoutagedappelspourlacommunautRENATER.
Lesobjectifsdemonprojetdefintudetaient: Etude des volutions possibles de la maquette pour la mise en place du service
pilote. Etudeetmiseenplacedunesolutiondesupervisionduservicepilote. Etudeetmiseenplacedunesolutiondecomptabilisationdappels. Scurisationduservicepilote.
Cemmoire est donc laboutissement de 4mois de travail au sein de lquipe SIPA
(ServicesIPAvancsetprospective)duGIPRENATER.
Motscls:ToIP,SIP,supervision,comptabilisationdappels,scurit
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 5
Abstract
The telephony over IP (ToIP) is becoming a new trend in technology widely usednowadays in almost all business sectors. Its concepts rely on transiting the telephonecommunications through the IP network. Today, this technology is implemented inside anumber of universities and research laboratories connected to the NationaltelecommunicationsNetwork forTechnology,EducationandResearch (RENATER)which istheFrenchacademicnetwork.
Inordertointerconnectthetelephonesystemsalreadyinstalledintheseacademicsites,anexperimentaltestbedhasbeensuccessfullyimplemented.ThistestbedisbasedonacallroutingserverusingSIPprotocol.
Aftercheckingthistestbedfunctionsandpreparingastateoftheartonitstechnologies,
asecondstepconsistedto implementaphonecallroutingpilotservice forthe (RENATER)community.Basedonthiscontext,Iachievedmyinternshipgraduation.
Themainobjectivesofmyinternshipwere: tostudypossibleevolutionsofthecurrenttestbedtodeploythepilotservice tostudyandimplementasolutionformonitoringthecurrentpilotservice tostudyandimplementacallingaccountingsystem SecuringthepilotserviceThis report is the resultof 4monthsof thework I achieved inside the SIPA team (IP
advancedservicesandprospective)ofGIPRENATER.
Keywords:ToIP,SIP,supervision,accounting,security.
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 6
Tabledesmatires
Remerciements .......................................................................................................................... 2 ........................................................................................................................................... 3 Rsum ....................................................................................................................................... 4 Abstract ...................................................................................................................................... 5 Tabledesmatires ..................................................................................................................... 6 ListedesFigures ......................................................................................................................... 8 ListedesTableaux ...................................................................................................................... 9 GlossairedesAcronymes ......................................................................................................... 10 CHAPITREI:Contextedetravail .............................................................................................. 14
Introduction........................................................................................................................ 14 1. GIPRENATER ................................................................................................................ 14 2. RseauRENATER .......................................................................................................... 15 3. EquipeSIPA................................................................................................................... 17 4. Prsentationdustage .................................................................................................. 17 4.1 CadreetObjectifsdustage .......................................................................................... 17 4.2 Planificationduprojetdestage ................................................................................... 18 Conclusion .......................................................................................................................... 18
CHAPITREII:EtatdelartdesprotocolesassocislaToIP ................................................... 20 Introduction........................................................................................................................ 20 1. ProtocoleslislaToIP................................................................................................ 20 2.1 Signalisation ................................................................................................................. 21 2.1.1 SIP(SessionInitiationProtocol) ........................................................................... 22 2.2 Transport ...................................................................................................................... 26 2. StandardENUM............................................................................................................ 27 3. ProblmatiqueToIPaveclesNATetlesparefeux ...................................................... 28 3.1 ProblmedeNAT ......................................................................................................... 29 3.2 Problmedeparefeux................................................................................................. 29 3.3 SolutionsdetraversesdesNATetdesparefeux ...................................................... 31 3.3.1 Passerelledelacoucheapplication(ALG) ........................................................... 32 3.3.2 STUN ..................................................................................................................... 32 3.3.3 TURN..................................................................................................................... 33 3.3.4 ICE......................................................................................................................... 33 3.3.5 Rsumdessolutions........................................................................................... 34 4. ToIPetlascuritdescommunicationsvoix ............................................................... 34 4.1 VulnrabilitsdelaToIP............................................................................................... 35 4.2 ExemplesdattaquessurlinfrastructureToIP ............................................................. 35 4.3 SolutionsdescuritdelaToIP ................................................................................... 36 5. LaToIPetIPv6 .............................................................................................................. 36 Conclusion .......................................................................................................................... 37
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 7
CHAPITREIII:DesignetingnierieToIP................................................................................... 39 Introduction........................................................................................................................ 39 A. Prsentationdelexistant ............................................................................................ 39 1. DescriptiondelamaquetteToIPdeRENATER............................................................. 39 1.1 Architecturedelamaquette ........................................................................................ 39 1.2 Principedefonctionnement ........................................................................................ 40 2. Prsentationd'OpenSER .............................................................................................. 42 B. Travaileffectu............................................................................................................. 43 1. volutionsdelaplateformederoutaged'appelsOpenSER ....................................... 43 1.1 Objectifs ....................................................................................................................... 43 1.2 Etude ............................................................................................................................ 43 1.3 Evolutions ..................................................................................................................... 44 2. Miseenplaced'unesolutiondesupervision ............................................................... 44 2.1 Objectifs ....................................................................................................................... 44 2.2 Etude ............................................................................................................................ 44 2.3 SolutionNagios............................................................................................................. 45 3. MiseenplacedunesolutiondeComptabilisationdappels ....................................... 48 3.1 Objectifs ....................................................................................................................... 48 3.2 Etude ............................................................................................................................ 48 3.3 Miseenplace ............................................................................................................... 48 3.4 Dveloppementd'uneinterfaceweb .......................................................................... 51 3. ScurisationdupiloteToIP........................................................................................... 53 4. Gestiondel'accessibilitdessites ............................................................................... 54 5. Testsdevalidation........................................................................................................ 55 Conclusion .......................................................................................................................... 56
Conclusiongnrale ................................................................................................................. 57 Rfrencesbibliographiques.................................................................................................... 58 ANNEXES................................................................................................................................... 59
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 8
ListedesFigures Figure1:organigrammeRENATER .......................................................................................... 15 Figure2:architecturedurseauRENATER ............................................................................. 16 Figure3:servicesRENATER ..................................................................................................... 16 Figure4:domainesdecomptencedelquipeSIPA............................................................. 17 Figure5:planningdedroulementdustage .......................................................................... 18 Figure6:pileSIP ..................................................................................................................... 22 Figure7:architectureSIP ........................................................................................................ 23 Figure8:exempledunecommunicationSIP.......................................................................... 26 Figure9:principedefonctionnementdENUM ...................................................................... 27 Figure10:exempledutilisationdENUM ............................................................................... 28 Figure11:problmedeNATavecSIP ..................................................................................... 29 Figure12:problmedufirewallaveclaToIP .......................................................................... 30 Figure13:messageINVITE ...................................................................................................... 31 Figure14:message200OK ..................................................................................................... 31 Figure15:techniquedelapasserelledapplication................................................................ 32 Figure16:principedefonctionnementduprotocoleSTUN ................................................... 33 Figure17:principedefonctionnementduprotocoleTURN................................................... 33 Figure18:maquetteexprimentaleToIPdeRENATER .......................................................... 40 Figure19:principedefonctionnementdelamaquette ......................................................... 41 Figure20:principedefonctionnementduserveurOpenSER................................................. 41 Figure21:composantesdOpenSER ....................................................................................... 42 Figure22:architecturedebasedeNagios.............................................................................. 45 Figure23:interfacedeltatdesservicessuperviss............................................................. 46 Figure24:interfacedutempsderponseduservicePing..................................................... 47 Figure25:interfacedeltatduserviceSIPdeserveurKamailiodansle temps.................... 47 Figure26:architecturedelasolutionmiseenplacepourlasupervision .............................. 47 Figure27:principedefonctionnementdeFreeRADIUSavecKamailio .................................. 49 Figure28:principedefonctionnementdemoduleACCavecMySQL .................................... 50 Figure29:organigrammedelasolutiondecomptabilisationdappels.................................. 50 Figure30:architecturedelasolutiondecomptabilisationdesappels .................................. 51 Figure31:lapagedaccueildelapplication ........................................................................... 52 Figure32:ecrandesdtailsdesappels................................................................................... 52 Figure33:ecrandenombredesappelsparjour .................................................................... 52 Figure34:ecranderecherchersurlesappels ........................................................................ 53 Figure35:organigrammedelasolutiondescurisationduservicepilote ........................... 54
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 9
ListedesTableaux Tableau1:comparatifdunormeSIPetH323 ......................................................................... 21 Tableau2:rsumdessolutionsdetraverseslesNATetlesparefeux............................... 34 Tableau3:rsumdesrsultatsdecomparaisonentreKamailioetOpenSIPS ..................... 43 Tableau4:lesrsultatsdestestsdelagestiondesmessagesderreur ................................. 55 Tableau5:lesrsultatsdestestsdevalidation ...................................................................... 55
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 10
GlossairedesAcronymes
I ICE InteractiveConnectivityEstablishmentIETF InternetEngineeringTaskForceINRIA InstitutNationaldeRechercheenInformatiqueetenAutomatiqueIP InternetProtocolIPBX InternetProtocolPrivateBrancheXchangeIPsec InternetProtocolSecurityIPv6 InternetProtocolversion6 L L2VPN Layer2VirtualPrivateNetworks M MGCP MediaGatewayControlProtocol
A ALG ApplicationLayerGateway C CDR CallDetailRecordCGI CommonGatewayInterfaceCRIHAN CentredeRessourcesInformatiquesdeHauteNormandie D DNS DomainNameSystemDoS DenialofService E ENUM tElephoneNUmberMapping G GNU GNUisnotUnixGPL GeneralPublicLicence H HTTP HyperTextTransferProtocol
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 11
N NAT NetworkAddressTranslation P PHP PHP:HypertextPreprocessorPNP PNPisNOTPerfparse R RADIUS RemoteAuthenticationDialInUserServiceRFC RequestForCommentRTC RseautlphoniquecommutRTCP RealTimeControlProtocolRTP RealTimetransportProtocol S SCCP SkinnyClientControlProtocolSDP SessionDescriptionProtocolSER SIPExpressRouterSIP SessionInitiationProtocolSIPS SessionInitiationProtocolSecureSRTP SecureRealtimeTransportProtocolSSH SecureShellSTUN SimpleTraversalofUDPTroughNAT T ToIP TelephonyoverInternetProtocolTURN TraversalUsingRelayNAT U UAC UserAgentClientUAS UserAgentServerUDP UserDatagramProtocolUITT UnionInternationaledesTlcommunicationsnormalisationdes
Tlcommunications V VLAN VirtualLocalAreaNetworkVoIP VoiceoverInternetProtocol
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 12
Introductiongnrale
LatlphoniesurIPconstitueactuellementunedesplusimportantesvolutionsdansledomainedesTlcommunications. Ilyaquelquesannes, latransmissionde lavoixsur lerseau tlphonique classique ou RTC constituait lexclusivit des tlcommunications.Aujourdhui, ladonneachang.Latransmissionde lavoixvia lesrseaux IPconstitueunenouvellevolutionmajeurecomparablelaprcdente.Audeldelanouveauttechnique,la possibilit de fusion des rseaux IP et tlphoniques entrane non seulement unediminutionde la logistiquencessaire lagestiondesdeuxrseaux,maisaussiunebaisseimportante des cots de communication ainsi que la possibilit de mise en place denouveauxservicesutilisantsimultanmentlavoixetlesdonnes.
Letravailprsentdanscerapportentredanslecadredemonprojetdefindtudesen
cycle dingnieur, option Gnie Rseaux et Systmes, lEcole Nationale des SciencesAppliques deMarrakech. Je lai effectu au groupement d'Intrt public RENATER (GIPRENATER)Paris.LesujettaitlamiseenuvreduservicepiloteToIPdeRENATER.
Aulongdecerapport,jevaisrsumermonstageen4chapitresprincipaux.Le1erchapitreprsentera lorganismedaccueilet lesujetdustagede findtudeset
sesobjectifs.Le2mechapitredonneraunaperuglobalsur lesprotocolesassocis la tlphonie
surIP.Le 3me chapitre sera consacr laprsentationde lamaquette exprimentale ToIP
existante.Ledernierchapitreprsentera le travaileffectupendant le stage, savoir lamiseen
place du service pilote et des solutions qui permettent de comptabiliser les appels, desuperviseretscuriserceservice.
Jefiniraicerapportparuneconclusiongnraleetdesperspectives.
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 13
1
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 14
CHAPITREI:Contextedetravail
Introduction
Ce chapitreprsentedunemaniregnrale le contextede travailet lesobjectifsdemonprojetdefindtudes.
Je vais commencer par une prsentation du groupement dintrt public RENATERcomme tant lorganisme daccueil, aprs je vais prsenter le rseau RENATER (RseauNational de Tlcommunications pour la Technologie, l'Enseignement et la Recherche).Ensuite,jevaisprsenterSIPA(ServicesIPAvancsetprospective)quiest lquipequejaiintgre pendantmon stage. Enfin je vais donner une description demon projet de findtudes,etsesobjectifs.
1. GIPRENATER
Cre en 1993, Le GIP RENATER runit de grands organismes de recherche etd'enseignement, ainsi que le ministre en charge de lenseignement suprieur et de larecherche,pourdvelopperetfairefonctionnerlerseauRENATER[1].
GIP (groupementd'Intrtpublic)estunorganisme butnon lucratif, runissantdesadministrationsdel'Etatetdesorganismespublicspouruneactivitdfinie:danslecasduGIPRENATERils'agitdurseauRENATER.
LeGIPRENATERest lematred'ouvragede lapartiecommunedeRENATER,constituede sonpinedorsaleRENATER,des liaisons internationales,de ses actionspilotes,etduserviceSFINX,quiestunGIX(GlobalInterneteXchange),pointd'changedetraficInternetentreprestatairesde services Internet,ouoprateursde tlcommunicationsquiveulentchangerdutraficIP,sanstransitetsanspasserpardesinfrastructuresinternationales.
Le GIP RENATER est galement le coordinateur technique et oprationnel global del'ensembledu rseauRENATERycompris seslments rgionaux. Il reprsente le rseauRENATERauprsdesinstitutionsfranaisesettrangres,etnotammentauprsdesautresrseauxdelaRecherche.
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 15
Le directeur du GIP RENATER est M. Dany Vandromme, professeur des universits ;L'quipe du GIP RENATER comprend aujourd'hui environ 30 personnes: ingnieurs,techniciensetpersonnelsadministratifsrpartisentreParis,MontpellieretRennes.
Figure1:organigrammeRENATER
2. RseauRENATER
RENATER a t cr dans les annes 1990 dans le but de fdrer et dorganiser lesinfrastructuresdetlcommunicationspourlEducation,laRechercheetlEnseignement[1].
Aujourdhui plus de 1000 tablissements ayant une activit dans les domaines de laRecherche, la Technologie et lEnseignement sont raccords RENATER. Ce rseau leurpermet de communiquer entre eux, daccder aux centres de recherche et auxtablissementsdenseignementdumondeentieretlInternet[1].
Le rseau RENATER est constitu dune infrastructure nationale reliant des points deprsenceenrgionetdanslesDOMTOMainsiquedesliaisonsinternationales,etunnuddchangeentreprestatairesdeservice InternetappelSFINX (Service forFrench InterneteXchange).
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 16
LafigurecidessousdcritlarchitectureglobaledurseauRENATER:
Figure2:architecturedurseauRENATER
RENATERproposesescommunautsunlargeventaildeservices[1]:
Figure3:servicesRENATER
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 17
3. EquipeSIPA
GIPRENATERcomprenduncertainnombredquipe,SIPAen faitpartie.LquipeSIPA(ServicesIPAvancsetprospective)aunemissiondeveilletechnologique.Sadmarcheestavant tout exprimentale pour valider les nouveaux protocoles et leurs usages dans desapplicationsouservicesmergents.
Leschmacidessous,prsente lesdiffrentsdomainesdans lesquels lquipeSIPAestinvestie.
Figure4:domainesdecomptencedelquipeSIPA
4. Prsentationdustage
4.1 CadreetObjectifsdustage
La tlphonie sur IP (ToIP)estun servicequiestdeplusenplusdploy au seindesuniversits et laboratoires de recherche connects au rseau RENATER. Une maquetteexprimentale reliant quelques sites a tmise en place. Cettemaquette repose sur leprotocoleSIPetlerouteurdappelsSIPOpenSER.LamaquettepermetlinterconnexiondesIPBXdessiteset leroutagedappels intersite.Auseinde lquipeSIPA, lobjectifprincipaldu stagetait lamiseenplacedun servicepilotede ToIPen sebasant sur lamaquetteexprimentaleexistante.
Lapremirepartiedustageconsistetudierlesvolutionspossiblesdecettemaquettepour la mise en place dun service pilote de routage dappels au profit des usagers deRENATER, ladeuximepartiedustageconcerne ltudeet lamiseenplacedunesolutiondesupervisionduservicederoutagedappels,latroisimepartiedustageconcerneltudeetlamiseenplacedunesolutiondecomptabilisationdesappels,etlaquatrimepartiedustageconsistelascurisationdurouteurdappels.
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 18
4.2 Planificationduprojetdestage
Laplanificationestparmi lesphasesdavantprojet lesplus importantes.Elleconsistedtermineretordonnancer les tchesduprojetetestimer leurs charges respectives.Parmilesoutilsdeplanificationdeprojet,jaiutilislediagrammedeGANTT,cestunoutilquipermetdeplanifier leprojetetde rendreplussimple lesuividesonavancement.Cediagramme permet aussi de visualiser lenchainement et la dure des diffrentes tchesdurantlestagecommeilestillustrparlafigurequisuit:
Figure5:planningdedroulementdustage
Conclusion
Ce chapitre introductif a t consacr essentiellement la prsentation delenvironnement dans lequelmon projet de fin dtudes a t effectu. Elle a aussimislaccentsurlaprsentationducontextedemonprojet,sesobjectifsetsaplanification.
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 19
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 20
CHAPITREII:EtatdelartdesprotocolesToIP
Introduction
LatlphoniesurIPestunetechnologiedecommunicationvocaleenpleinemergence.Ellefaitpartied'untournantdans lemondede lacommunication.Eneffet, laconvergencedu tripleplay (voix,donneset vido) faitpartiedesenjeuxprincipauxdes acteursde latlcommunicationaujourd'hui.
La ToIP possde actuellement une vritable opportunit conomiques pour les
entreprises tellesqueladiminutiondu coten infrastructure,de la facturede tlphone.Elle permet lintgration de nombreux services. La tlphonie sur IP est base sur desstandards ouverts: elle permet donc linteraction avec les quipements tlphoniquesstandards. Toutefois, les aspects techniques sousjacents cette nouvelle technologie nesontpastoujoursbienmatriss.LesproblmesdusauNAT, lesparefeux, lascurit,etc.sontdesproblmesquirestentencoredominer.
Cechapitreestconsacr ltudedesprotocolesassocis latlphoniesur IP.Cette
tudevamepermettreparlasuitedemenerbienleprojet.Pourcela,jecommencetoutdabordparprsenterlesprincipauxprotocolesdesignalisationetdetransportdelaToIPetleprotocoleENUMdontlusageestencoreincertainauseindesoprateursdeToIP.JetraiteensuitelesproblmespossparlesNATetlesparefeuxdansunearchitecturedeToIPetlesexemplesdesolutionspour rsoudrecesproblmes. Jeprsenteensuite lesvulnrabilitsspcifiques laToIPet lesmcanismesdescurit.Jetermineenprsentant ltatde lartdudploiementduprotocoleIPv6danslaToIP.
1. ProtocoleslislaToIP
La tlphonie sur IP ou ToIP (Telephony over IP) est un service de tlphonie quitransportelesfluxvoixdescommunicationstlphoniquessurunrseauIP.Aladiffrencede laVoIPo lonnefaitqutablirunecommunicationvoix, laToIP intgre lensembledesservicesassocislatlphonie:doubleappel,messagerie,renvoiedappel,FAX,etc.
Afin de rendre possibles les communications ToIP, les solutions proposes dopent la
coucheIPpardesmcanismessupplmentairesncessairespourapporterlaQOSncessaireaufluxvoixdetypestempsrel,enplusdelintelligencencessairelexcutiondeservices.Aceteffet,ilexistedeuxtypesdeprotocolesprincipauxutilissdanslaToIP:
Protocolesdesignalisation Protocolesdetransport
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 21
2.1 Signalisation
La signalisation correspond la gestion des sessions de communication (ouverture,fermeture, etc.). Le protocole de signalisation permet de vhiculer un certain nombredinformationsnotamment:
Le type de demande (enregistrement dun utilisateur, invitation une sessionmultimdia,annulationd'unappel,rponseunerequte,etc.).
Ledestinataired'unappel. Lmetteur. Lecheminsuiviparlemessage.
Plusieursnormesetprotocolesonttdveloppspour lasignalisationToIP,quelques
uns sont propritaires et dautres sont des standards. Ainsi, les principales propositionsdisponiblespourl'tablissementdeconnexionsenToIPsont:
SIP (Session InitiationProtocol)quiestunstandard IETF (InternetEngineeringTask
Force)dcritdansleRFC3261. H323englobeunensembledeprotocolesdecommunicationdveloppspar lUITT
(Union Internationale des Tlcommunications secteur de la normalisation desTlcommunications).
MGCP(MediaGatewayControlProtocol)standardisparlIETF(RFC3435).
SCCP(SkinnyClientControlProtocol)estunprotocolepropritaireCISCO.AujourdhuileplusrpandudentreeuxestleSIP,ceprotocoleestlargementdployet
utilisauseindeRENATER.LetableauquisuitdresseunlgercomparatifentrelanormeSIPetH323.
SIP H323Nombredchangespour
tablirlaconnexion
35Allerretour 67Allerretour
Maintenanceduprotocole Simple(textecommeHTTP)
Complexe
Evolution Ouvertdenouvellesfonctions
Ajoutdextensionspropritaires
Multicast Oui Oui
Tableau1:comparatifdunormeSIPetH323
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 22
2.1.1 SIP(SessionInitiationProtocol)
IntroductionLe protocole SIP (Session Initialisation Protocol) a t initi par le groupe MMUSIC
(MultipartyMultimediaSessionControl)[RFC2543]etdsormaisreprisetmaintenupar leGroupe SIP de lIETF [RFC 3261]. SIP est un protocole de signalisation appartenant lacouche application du modle OSI. Il a t conu pour louverture, le maintient et laterminaison de sessions de communications interactives entre des utilisateurs. De tellessessions permettent de raliser de laudio, de lenseignement distance et de la voix(tlphonie)surIPessentiellement.Pourlouverturedunesession,unutilisateurmetuneinvitation transportant un descripteur de session permettant aux utilisateurs souhaitantcommuniquerdengociersurlesalgorithmesetcodecsutiliser.SIPpermetaussiderelierdesstationsmobilesen transmettantouredirigeant lesrequtesvers lapositioncourantedelastationappele.Enfin,SIPestindpendantdumdiumutilisetaussiduprotocoledetransportdescouchesbasses.
Architectureprotocolaire
SIPestunprotocole indpendantdes couchesde transport, ilappartientaux couches
applications du modle OSI. Le SIP gre la signalisation et ltablissement des sessionsinteractivesdecommunicationmultimdiasetmultipartites.IlestaussibassurleconceptClient / Serveur pour le contrle dappels et des services multimdias. Conu selon unmodledetypeIP,ilesthautementextensibleetassezsimpleenconceptionarchitecturale,desortequilpeutservirdebaselacrationdapplicationsetdeservices.IlestbassurleprotocoleHTTPetpeututiliserUDPouTCP[8].
Figure6:pileSIP
ArchitectureduneplateformeSIP
SIPestunprotocolesimpleetflexibleorientmessages.Lesprincipauxcomposantsdun
systmebassurSIPsont:
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 23
TerminalSIP(UserAgentClientouUAC):PeuttreaussibienunSoftPhone(logiciel)quunHardPhone(tlphoneIP).LesUACsontcapablesdmettreetderecevoirdelasignalisationSIP.
ProxyServer:encoreappelserveurmandataireauquelestreliunterminalfixeou
mobile,agitcommeserveurenversleclientetcommeclientenverslesautresUAS. RedirectServer:Ceserveurpermetderedirigerlesappelsverslapositioncourante
dun utilisateur. Il ralise simplement une association dadresses vers une ouplusieursnouvellesadresses.
Location Server: Il fournit la position courante des utilisateurs dont la
communication traverse les serveurs mandataire et de redirection auxquels il estrattach.
Registrar Server: Ce serveur reoit et accepte les inscriptions des utilisateurs
(adresseIP,port,login).
Figure7:architectureSIP
StructuredesmessagesSIP
LesmessagesSIPsontcaractrissparune lignededbut,plusieursentteset lecorps
dumessage[8].
LesenttesdesmessagesSIP
Lesenttesontpourrledefournirdesinformationssurlemessageetdepermettreletraitementdumessage.Aceteffet,leprotocoleSIPestdotduncertainnombredenttedont lastructuredpendde lanatureetdurledechaqueentte.Lastructuregnraledunentteestarticuleautourdeplusieurschampsetchaquechampobitun formatgnral:nom_du_champ:valeur_du_champ.LestypesdentteutilissparlesmessagesduprotocoleSIPsontaunombredequatre:
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 24
; Lenttegnral
Ilesttoujoursprsentetcontientlesinformationsdebasepermettantletraitementdumessage.Iladeschampsobligatoiressuivants: Via : il identifie lentit de relais. En effet, chaque entit qui met ou relaye un
messageSIPinsresonidentitafindeprvenirlesbouclesetindiquerlecheminderponse.
From:ilidentifielinitiateurdelarequte. To:ilidentifieledestinatairedelarequte. CallId:cestlidentificateuruniquedelasession. Cseq:ilidentifielasquencedunappel:parexempleplusieursmessagesinvite
avecdeCseqdiffrents.
; Lenttederequte
Cet entte est non toujours utilis. Il contient des informations supplmentaires destinationduserveurSIPpermettantletraitementdelarequteparceluici.
; Lenttederponse
Cet entte est non toujours utilis tout comme lentte de requte. Il contient desinformations supplmentaires ajoutes par le serveur SIP permettant le traitement de larponse.
; Lenttedentit
Cet entte est toujours utilis. Son rle est de dfinir le type et le format desinformationscontenuesdanslesmessages.
Lecorpsdumessage
Il fournit suffisamment dinformations pour permettre la participation une sessionmultimdia.Cesinformationssont:lecodec,destination(adresseIPetportUDP),nomdelasession, etc. Le message du corps est cod conformment au protocole SDP (SessionDescriptionProtocol).SDPestsansdouteleprotocoleleplusimportantdelarchitectureSIP,SDPafaitlobjetdelapropositiondenormeRFC2327.Cestunprotocoledontlobjectifestdtablirundescripteurdesessionsmultimdiaouvrir,ilportelesinformationssuivantes:
; AdressesdedestinationSIP://[email protected].; AlgorithmesdecodageAudioetVido.; TypedetraficRTP.
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 25
RequtesetRponsesSIP
SIPestunprotocoledetypeclientserveur.Aceteffet, leschangesentreunterminal
appelantetunterminalappelsefontparlintermdiairederequtesetrponseSIP. VoiciunelisteexhaustivedesrequtesSIP:
INVITE: Cette requte indique que lapplication (ou utilisateur) correspondante
lUrlSIPspcifiestinviteparticiperunesession. ACK:Cetterequtepermetdeconfirmerque le terminalappelantabienreuune
rponsedfinitiveunerequteINVITE. BYE:Cetterequteestutiliseparleterminaldelappelpoursignalerquilsouhaite
mettreuntermelasession. CANCELCetterequteestenvoyeparunterminalouunserveurmandataireafin
dannulerunerequtenonvalideparunerponsefinale. REGISTERCettemthodeestutilisepar leclientpourenregistrer ladresse liste
danslechampTOparleserveurauquelilestreli. OPTIONSUnserveurmandataireenmesuredecontacter leterminalappel,doit
rpondreune requteOPTIONSenprcisant sescapacits contacter lemmeterminal.
Acesrequtessontassociesdesrponsesquisontdanslemmeformatquecellesdu
protocoleHTTP.Voicilesplusimportantesdentreelles:
1XXmessagesdinformations(100essai,180sonnerie,183encours) 2XXsuccsdelarequte(200OK) 3XXRedirectiondelappel,lademandedoittredirigeailleurs 4XXErreurduclient(Larequtecontientunesyntaxeerrone) 5XXErreurduserveur(leserveurnapasrussitraiterunerequtecorrecte) 6XXEchecgnral(606requtenonacceptableparaucunserveur)
Fonctionnement
SIPintervientauxdiffrentesphasesdelappel:
Localisationduterminaldelinterlocuteur.
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 26
Analyseduprofiletdesressourcesdudestinataire.
Ngociation du type de mdia (voix, audio, vido) et des paramtres decommunication.
Disponibilit du correspondant, dtermine si le poste appel souhaitecommuniquer,etautoriselappelantlecontacter.
Etablissement et suivi de lappel, avertit les parties appelant et appel de lademande douverture de session, gestion du transfert et de la fermeture desappels.
Gestiondefonctionsvolues:retourderreurs,
LeschmasuivantillustrelescnariodunecommunicationSIP.
Figure8:exempledunecommunicationSIP
2.2 Transport
LorsdunecommunicationToIP,une fois laphasedesignalisationralise, laphasedecommunicationestinitie.Danscettephase,unprotocoledetransportpermetdacheminerles donnes voix entre plusieurs utilisateurs vu que la couche TCP propose un transportfiablemaislent,etlacoucheUDPuntransportrapidemaisnonfiable.LacommunautIETFamisenplaceunnouveaucoupledeprotocoleRTP(RealTimetransportProtocol)etRTCP
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 27
(RealTimeControlProtocol)pourapporterlafiabilitlUDPtoutenexploitantsarapidit.RTPetRTCPsont lesdeuxprotocolesquisontprincipalementutilisspour letransportdeflux mdia sur le rseau IP. RTP permet de transporter les donnes entre plusieursutilisateursenplusdelagestiontempsrelledessessions.Tandisque,RTCPestutilispourtransmettrergulirementdespaquetsdecontrle,quicontiennentdiversesstatistiques,cequipermetdevrifierlaqualitdetransmission.
2. StandardENUM
La fourniture grande chelle du service ToIP suppose lidentification aise desterminaux IP connects au rseau dsireux accder ce service. Cette identification estbasiquementfaitetraverslesadressesIP.AfindtendrelespossibilitsdadressagelUITTatravaillsurlestandardENUM.
ENUM (tElephone NUmber Mapping) est un protocole dfini par lIETF dans le RFC
3761[11]permettant d'utiliser un numro de tlphone (E.1641) comme cl de recherchedansleDNSpourtrouverlamaniredejoindreunepersonne(parexemple:ndetlphonemobile, n de fax, adresse de tlphonie IP, adresse email, adresse de messagerieinstantane,etc.)
LeprincipedENUMreposesur lacrationdunnomdedomaine Internetpourchaque
numrodetlphoneduplandenumrotationinternationalE.164.Lescoordonnesquelesutilisateurs souhaitent publier pour leur propre numro de tlphone sont ensuite"stockes"danslesystmedesnomsdedomaineInternet(DNS)etainsirenduesaccessiblesdemanireglobalepourtous.
VoiciunschmaexpliquantleprincipedefonctionnementdENUM:
Figure9:principedefonctionnementdENUM 1 E.164 est le nom de la norme de lUIT qui standardise les numros de tlphone au niveau mondial.
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 28
Dans ce schma le numro +33666664444 est transform en nom de domaine enl'inversant(commeonfaitpourtrouverunnomdedomainepartird'uneadresseIP),celadonnerait4.4.4.4.6.6.6.6.6.3.3.e164.arpa.OncherchealorslesenregistrementsNAPTR2pourcenomdedomaine.Danscetexemple,letitulairedunumrodetlphone+33666664444peut tre joint en SIP en utilisant lURI sip:[email protected] et par [email protected].
LavantagedENUMseraitde joindreunepersonneavecunseulnumrosurdiffrentsservices de communication aussi travers ENUM une personne peut trs bien spcifierlordredeprfrencedesservicesetdesterminauxutiliser.
LafigurecidessousprsenteunexempledutilisationdENUM.
Figure10:exempledutilisationdENUM
3. ProblmatiqueToIPaveclesNATetlesparefeuxDansunearchitectureToIP,lesNATetlesparefeuxreprsententunproblmepourles
flux de signalisation et mdia. Lobjectif de ce paragraphe est de comprendre cetteproblmatique et de prsenter des exemples de solutions existantes pour rsoudre ceproblme.
2 NAPTR record ou Name Authority Pointer record qui donne accs des rgles de rcriture de l'information, permettant des correspondances entre un nom de domaine et une ressource. Il est spcifi dans la RFC 3403.
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 29
3.1 ProblmedeNAT
LemcanismeNAT (NetworkAddress Translation) estdfinidans leRFC 1631[12]. LeNAT permet de faire correspondre les adresses IP internes souvent non routables d'undomaine un ensembled'adresses routables.Avec la ToIP, cemcanisme reprsenteunproblmepourletransitdesfluxmultimdia.
En effet, les informations utilises pour la signalisation ou la communication sont
inclusesauniveau4etlescouchessuprieuresdumodleOSI,tandisquelesNATtravaillentsurlacouche3.
VoiciunschmaexpliquantleproblmedeNATaveclaToIP:
Figure11:problmedeNATavecSIP
Dans cet exemple, Mohamed ne pourra tablir de communication avec Anas tant
donn que lIPBX narrive pas relayer les rponses SIP de Anas. En effet, lors de latraduction d'adresse effectue par le routeur NAT, seuls l'adresse et le numro de portcontenusdansl'enttedupaquetIPsontmodifis.L'adresseetlenumrodeportcontenusdanslecorpsdelarequteINVITEdumessageSIPnesontpasmodifis.Horscetteadresseestnonroutable.
3.2 Problmedeparefeux
Unparefeu (firewall)estunquipementpermettantdassurer lascuritdunsiteenfiltrantletraficnondsir,ilpermetdefiltrerlespaquetsvenantdurseaupublic.
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 30
Le mode de fonctionnement de la plupart des parefeux pose un problme pourltablissementdescommunicationsSIP.
SIP,par son fonctionnement internequipermet la localisationdesutilisateursau sein
d'unrseauetlangociationdesparamtresdelasession(codecs,portRTP,etc.),posedesproblmespourlesfluxmultimdiasquitraversentlesfirewalls.Eneffet,dansl'architecturedeSIP,plusieursinformationscritiquestellesquel'adresseIPainsiqueleportutilisersontcontenuesdanslesmessagesSIP.
Laproblmatiqueengendreparl'utilisationdeSIPautraversdesparefeuxvientdufait
queceuxcisontgnralementdploysenutilisantdespolitiquesdefiltragequirejettenttouslespaquetsquineproviennentpasouquinesontpasdestinsuneadresseIPetunportdfinis.Cespolitiques,quisontgnralementstatiques,nepermettentpaslatraversed'unfluxdedonnesdesprotocolescommeSIPquipeutngocierdesadressesIPetdesnumrosduportinconnusparleparefeulorsdeltablissementdesession.
Afin de bien comprendre la problmatique engendre par les parefeux pour les flux
multimdias, voici le schma dun scnario d'tablissement de session et comment lefirewallbloquelecontenumultimdia.
Figure12:problmedufirewallaveclaToIP
Dans cet exemple, l'utilisateur SIP [email protected] invite l'utilisateuranas@ipbx.site2.frafindouvrirunesession.Mohamedenvoiedoncunerequted'invitationINVITE(figure8)contenantlesinformationsdelasessionouvrirAnas.Anasrpondaveclemessage200OK (figure9)contenantdes informationssupplmentairessur lasessionouvrir.
Commeonpeutleconstater,l'adresseainsiqueleportutiliserlorsdel'ouverturedela
sessionaudiosontcontenusdanslecorpsdesmessagesINVITEetOK.Cesdeuxinformationsservent l'tablissement du flux audio entre Mohamed et Anas. Dans notre exemple,
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 31
MohamedetAnasutilisentrespectivementlesports3456et5004.Parconsquent,commele firewallades rglesde filtrage stricteset statiques, lecontenumultimdiadAnas seradonctoutsimplementbloquparlefirewall.
Figure13:messageINVITE
Figure14:message200OK
3.3 SolutionsdetraversesdesNATetdesparefeuxAfindefairefaceauxproblmesqueposentlesparefeuxetlesNAT,plusieurssolutions
onttproposesnotammentALG,STUN,TURNetICE.
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 32
3.3.1 Passerelledelacoucheapplication(ALG)Latechniquede lapasserelleapplicativeconsisterendreintelligents lesparefeux
etlesrouteursNATafinqu'ilssoientenmesured'interprterunprotocolespcifique.Pluttque de vrifier uniquement lentte du paquet traiter, les passerelles ralisent uneinspectioncompltedesdonnesdanslecorpsdupaquet.Lespasserellesagissentdoncentantquerelaisspcialisspourunprotocoleprcis(SIPparexemple).
Figure15:techniquedelapasserelledapplication(source:http://www.newportnetworks.com/whitepapers/nattraversal4.html)
Leparefeux/routeurNATvadonclirelecontenucompletdupaquetpuisvamodifierlesadresses IPetports inscritsdans lepaquetafindepouvoir transmettre lepaquetdans lerseaupublic.Suitecela,leparefeux/routeurNATouvriraunportdaccsafinquelacommunicationpuisseavoircorrectement.
3.3.2 STUNSTUN(SimpleTraversalofUDPThroughNetworkAddressTranslators)estunprotocole
nonc dans le RFC 3489 [13] et dvelopp par le groupe de travail deMIDCOM. Cettetechnique se distingue des techniques des passerelles de la couche application par sonindpendancefaceauxprotocolesdecommunication.
STUNpermetdetraverserlesrouteursNATenaffectantuneadresseIPetunnumrode
portpublicunpostesitudanslerseauprivpoureffectuerunecommunicationdetypeUDP avec un rseau public. Pour ce faire, une srie de requtes un serveur STUN esteffectueetlesrponsesduserveurserventcaractriserladresseIPetlenumrodeportd'unpostecommuniquer.
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 33
CombinantSTUNdesprotocoles telqueSIP,plusieursproblmes relisaux routeursNATpeuventtre solutionns.Seul le casodes routeursNATde type symtrique3 sontutilissnepeuttretraitenutilisantcettetechnique.
LafiguresuivantedcritleprincipedefonctionnementduprotocoleSTUN.
Figure16:principedefonctionnementduprotocoleSTUN
3.3.3 TURNTURN (Traversal Using Relay NAT) est un mcanisme en cours dveloppement et de
standardisationauprsde lIETFagissantentantqueserveursderelais. IlatdveloppafindepallierleslacunesduprotocoleSTUN.
CeprotocolepermetdesclientsquisontdansdesrseauxutilisantdesrouteursNAT
d'effectuerdesconnexionsentreeuxenpassantparunserveurderelais.
Figure17:principedefonctionnementduprotocoleTURN
3.3.4 ICEICE (Interactive Connectivity Establishment) est une technologie en cours de
dveloppementpar IETFquiconsiste intgrerSTUNetTURNauseindesclientsSIPpourdterminertouteslesconnexionspossiblesentredeuxpostes. 3 Un NAT symtrique est celui dans lequel la translation dadresse est calcule en fonction de ladresse IP et port de la source et de celui du destinataire
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 34
3.3.5 Rsumdessolutions
Letableauquisuitrsumelesprincipes,avantagesetinconvnientsdessolutionsprsentes:
Tableau2:rsumdessolutionsdetraverseslesNATetlesparefeux
4. ToIPetlascuritdescommunicationsvoix
La tlphonie sur IP, malgr ses trs nombreux avantages, notamment financiers,comportedesrisquesmajeursentermesdescuritdescommunicationsvoix.
solution principe Avantages InconvnientsALG
FirewalletrouteurNATintelligentscapablesdetravaillerauniveau7
Techniquesimple
Tempsdelatenceimportantsdusautraitementcompletetindividueldespaquets.
STUN Dterminelecouple(adresses,ports)publicsquondoitutiliserdanslepaquetSIPpourobtenirunerponse
Protocolestandardis.Peudinfrastructure:seul1serveurdoittredploypoureffectuerlesrequtes.
ilnefonctionnepasaveclesNATssymtriques
TURN BassurSTUNpourlchangedeclsLeserveurTURNsertderelaisentrelmetteuretlercepteur
Techniquesimple
ModificationdesprogrammesncessairepourquilspuissentintgrerTURN
ICE intgreSTUNetTURNauseindesclientsSIPpourdterminertouteslesconnexionspossiblesentredeuxpostes.
TraversetoustypesdeNAT
Tempsdtablissementdunappellong.Modificationdesserveursetclientspourledploiement.
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 35
4.1 VulnrabilitsdelaToIP
UnappeltlphoniqueToIPsedcomposeendeuxphases: lasignalisationquipermetdtablirlappel,etlaphasedetransportdesfluxdemediasquitransportentlavoix.
Au cours de la phase de signalisation, les messages SIP cods en mode texte sont
transmis de faon non chiffre dans le rseau, ce qui permet un pirate dcouterfacilementlesmessagesSIPetdaccderauxinformationsdetransportdesfluxmdia.
Enoutredurantletransportdesfluxvoix,leprotocoleRTPprsentegalementplusieurs
vulnrabilits dues labsence dauthentification et de chiffrement. Par voie deconsquence,plusieursattaquesToIPpeuventavoirlieu.
4.2 ExemplesdattaquessurlinfrastructureToIP
Ilexistedenombreusesattaquespossiblessur lerseauToIPdont lesplusrpandues,sont:
Dnis de service(attaque DoS): lobjectif dune attaque DoS est de rendre unlment du rseau indisponible. Un exemple de ce type attaque est lenvoiillgitimesdepaquetsSIPBYE[17].
Ecouteclandestine:Lobjectifdecetteattaqueestd'couterletraficdesignalisation
et/oudedonnes,enutilisantdesoutilsdcouterseautelsqueVOMIT(VoiceOverMisconfigured InternetTelephone), SiVuS (SIPVulnerability Scanner),etWireShark[17].
Dtournementdutrafic: lattaquantredirigesonprofit letraficToIP.Ellesebase
surlenvoidunmessagederedirectionindiquantquelappelsestdplacetdonnesapropreadressecommeadressederenvoie,decettefaontouslesappelsdestinsalutilisateursonttransfrsalattaquant[17].
Usurpationdidentit:Cetypedattaqueconsisteusurperlidentitdelexpditeur
dumessageSIPenmodifiantlidentitdelexpditeurdunmessage[17]. Volsdeservices:lepiratepeutemprunterlidentitdunutilisateuretlutiliserpour
fairepasserdesappelssur lerseauToIPsansavoirpayer lefournisseurdeservice[17].
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 36
4.3 SolutionsdescuritdelaToIP
LesmcanismesdescuritpropossdansunearchitectureToIPsont: Lascuritde linfrastructure IP:Cest lepremierniveaudescurit,car lascurit
de linfrastructure ToIP est lie la scurit du rseau IP. Un exemple est lasparationlogiquedesrseauxDataetVoixpardesVLANs.
Lauthentification: Lauthentification du tlphone IP par le serveur et
lauthentification du serveur par le tlphone IP avant dautoriser un quelconqueappel.Ilexistediffrentsmoyensdauthentificationtelsque:SIPS,IPsec.
; SIPS (Session Initiation Protocol Secure): est un mcanisme de
scuritdfiniparRFC3261pourl'envoidemessagesSIPaudessusduprotocoledescurisationTLS(TransportLayerSecurity).
; IPsec (Internet Protocol Security): est un ensemble de protocoles
(couche3dumodleOSI)dfinipar IETF (RFC2401),permettant letransportscurisdesdonnessurunrseauIP[6].
Lechiffrement:cestunmoyenefficacedeprotgerlesdonnes.Plusieurssolutions
peuvent tre utilises : le chiffrement des flux de signalisation avec SIPS, lechiffrementdesfluxvoixavecSRTP,dessolutionspropritaires.
; SRTP(SecureRealtimeTransportProtocol):dfinitunprofildeRTP,
qui a pour but d'apporter le chiffrement, l'authentification etl'intgritdesmessages,et laprotectioncontre lereplaydedonnesRTPenunicastetmulticast.SRTPatconuparCiscoetEricsson,etestratifiparl'IETFentantqueRFC3711.
5. LaToIPetIPv6IPv6 est le protocole Internet de nouvelle gnration conu par l'IETF. Il permet
principalement de disposer dun plus grand nombre d'adresses pour chaque lment durseau. Il offre galement une plus grande facilit de configuration et amliore lesmcanismesdegestionde lamobilit IP. Il intgrenativement la scurit, les classesdeserviceetladiffusionmulticast.
Le dploiement du protocole IPv6 pour le support de la ToIP va permettre dviter
davoir recours aux NATs grce sa grande capacit dadressage et de simplifier ainsilarchitecture.Nanmoins, lamiseenplacede laToIPen IPv6nestpasencore rpandueparceque laplupartdesquipementsdeToIPne supportentpasencorecetteversionduprotocole IP.Voicidesexemplesde solutionsToIPqui supportent IPv6:Kamailio (routeurdappels),Linphone,KphoneetSJPhone(quisontdessoftphones,applicationslogiciellesinstallersurunordinateur).
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 37
ConclusionLa tlphonie sur IP est une technologie qui utilise les rseaux informatiques comme
supportdecommunication.LessolutionsToIPsontdeplusenplusbasessurdesstandardsouverts.BeaucoupdecessolutionsutilisentSIPcommeprotocoledesignalisationToIP.Lesprincipauxprotocolesutilisspourletransportdelavoixsont:RTPetRTCP.Etpourgarantirla compatibilit entre la ToIP et le rseau tlphonique classique, lIETF a travaill sur lestandardENUM.
Ledploiementde latechnologieToIPdans lesrseauxactuelsaprovoqu lapparition
desnouvellesproblmatiquesnotammentauniveaudesdispositifsdescurittelsquelesparefeuetlesrouteursNAT,ainsique lesvulnrabilitsde ToIPentermedescurit.LesproblmesdeNATetdeparefeuxonttsolutionnsenutilisantplusieurstechniquesquisontrsumesdans letableau2,tandisquedenombreuxmcanismesdescuritonttprsentsnotammentlascuritdelinfrastructureIP,lauthentification,etlechiffrement.
Dans le chapitrequi suit, je vaisprsenter lamaquetteexprimentale ToIP qui est laplateformedetravailque jaiutilise initialementpendantmonstage.Par lasuite, jevaisprsenterletravaileffectupendantlestage.
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 38
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 39
CHAPITREIII:DesignetingnierieToIP
IntroductionLa dmarche exprimentale est lamthode qui caractrise le travailde lquipe SIPA
pourlamiseenproductiondesnouveauxservicesauprofitdelacommunautRENATER.Pour la mise en production dun service de routage dappels, une maquette
exprimentale dinterconnexion de sites universitaires et centres de recherche, ayantdployunesolutiondeToIP,eninterne,atmiseenplaceparlquipeSIPA.
Aujourdhui, la maquette exprimentale ToIP de RENATER prsente des limites,
notamment les aspects de supervision ne sont pas implments, les statistiques sur lesappelstraitsparleserveurderoutagedappelsOpenSERnesontpastablies,etlesaccsauserveurnesontpasscuriss.
Dansleschapitresquisuivent,Nouscommenceronstoutdabordparvoirunaperusur
lamaquetteexprimentaleToIPdeRENATER,nouspoursuivonsensuiteparlaprsentationdesralisationspendantnotreprojetdefintudes.
A. Prsentationdelexistant
1. DescriptiondelamaquetteToIPdeRENATER
1.1 ArchitecturedelamaquetteLamaquetteexprimentaledinterconnexiondes sitesenToIP repose sur leprotocole
SIP.Elleestcomposepar: Les IPBXs (Mitel, Cisco, Alcatel, Asterisk, etc.) mis en place aux niveaux des sites
universitaires et les centres de recherche pour offrir le service de ToIP leursusagers.
UnrouteurdappelIPquiestbassurlerouteurSIPOpenSER.SonrleestdassurerlinterconnexiondesditsIPBXs,etleroutagedappelsintersite.
Cettemaquettepermet: De centraliser tous les prfixes atteignables au niveau du plan dadressage et
dacheminerlesappelsintersitesurlerseauRENATER. Doffrir une souplesse organisationnelle dans la gestion des prfixes pour les
tablissements.
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 40
Actuellement lamaquettedeToIPpermetdemettreen relationunedizainede sites :
l'INRIA (3000 postes), les Universits de Normandie via le CRIHAN (4770 postes), lesUniversitsdeLorraine(5910postes),l'universitdeMontpellierIII(900postes)ainsiqueleGIPRENATER(50postesrpartisentrelessitesdeParisetMontpellier).
LafiguresuivanteillustrelarchitecturedelamaquetteexprimentaleToIPdeRENATERavecdesexemplesdessitesraccordslamaquette[16]:
Figure18:maquetteexprimentaleToIPdeRENATER
1.2 PrincipedefonctionnementLe site souhaitant profiter du service ToIP afin d'acheminer ses appels destination
d'autressitesayantdroitRENATER,n'aurabesoindeparamtrersonIPBXqu'uneseulefois.Aumoinsdeuxroutesdevrontexister:
UnerouteversRENATER Unerouteversl'oprateurLeserveurderoutagedappelsOpenSERassure lamiseenrelationentre lesdiffrents
IPBXdessitesconnectslamaquette.L'utilisateurcomposelenumrodesoncorrespondant.Silenumron'estpasjoignable
en IP, le serveurOpenSER renvoieunmessageSIP,quipermet l'IPBXdu siteoriginedebasculer lappelsur laroutesuivante, leplussouventsonaccsRTC(RseauTlphoniqueCommut). L'intrt principal de cette maquette est que le site n'aura pas besoin de
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 41
connaitrelesroutespourjoindrelensembledesIPBXdelacommunautRENATERetnauradoncpasmaintenirjourunetablederoutesverslessites.
Leschmasuivantdcritleprincipedefonctionnementdelamaquette.
Figure19:principedefonctionnementdelamaquette
LorganigrammesuivantmontreleprincipedefonctionnementdOpenSER.
Figure20:principedefonctionnementduserveurOpenSER
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 42
2. Prsentationd'OpenSERLerouteurdappelOpenSERconstituellmentcentraldelamaquette.Chaquerequte
SIP INVITE d'tablissement de communication mise par un IPBX est traite par le proxyOpenSER.
OpenSERestun logiciel libre, IlestuneversionhritedeSER (SIPExpressRouter), le
code(enlicenceGPL)deSERatreprisparungroupededveloppeursduprojetlafindel'anne2005pourconstituerunnouveaulogiciel.
OpenSERprendenchargelesfonctions:
Proxyserver: ilassure lesfonctionsderelayagedesrequtesetrponsesSIPentredeuxUsersAgents.
Registrarserver: ilgre lesrequtesREGISTERenvoyespar lesUsersAgentspoursignalerleuremplacementcourant.
Location server: il permet de fournir les dtails demplacement courant dunutilisateur.
Redirectserver:ilredirigelesUsersAgentsversunautreProxyserver. Application server: il fournit des services avancs pour les utilisateurs tels que
servicedeprsence,messagerieinstantane,etc.VoicicidessouslescomposantesdOpenSER:
Figure21:composantesdOpenSER
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 43
B. Travaileffectu1. volutionsdelaplateformederoutaged'appelsOpenSER
1.1 ObjectifsLobjectifestdinstallerunnouveaurouteurdappelspourleservicepiloteensebasant
surlestravauxeffectusjusquprsentsurlamaquetteexprimentaledeRENATER.
1.2 EtudeDans cette tude, jai trouv que des versions plus rcentes que la version installe
dOpenSER sont disponibles. Ces nouvelles versions contiennent des amliorations desfonctionnalits,etdescorrectionsdebugs.Jaidcouvertque leprojetOpenSERachangsonnomen Kamailio[2]etquunnouveauprojetappel OpenSIPS[3]at lancsur labase dOpenSER. J'ai donc t amen faire une comparaison des deux projets. Lacomparaison propose est base sur les fonctionnalits, la taille de la communauttravaillantcetteversion,etladynamiquedechaqueprojet.
Voiciuntableauquirsume lesrsultatsde lacomparaisoneffectue le20septembre
2008.
Critre Kamailio OpenSIPS
rsultatsderechercheGoogle
Kamailio+SIP25400
OpenSIPS+SIP16600
Derniremisejourdusite 20081002 20080901
Nombredadministrateurduprojet 5 1
Nombrededveloppeurs 27 16
Licencedutilisation GPL GPL
Laversionstable Kamailiov1.4.1 OpenSIPS1.4.2
Laversionencoursdedveloppement Kamailiov1.5.0
Mailinglists oui Oui
Nombredemodules(fonctionnalits) 86 86
Communaut active Moinsactive
Tableau3:rsumdesrsultatsdecomparaisonentreKamailioetOpenSIPS
A la lecture des rsultats de cette comparaison, notre choix sest port sur le projetKamailio dans un premier temps. Cependant, nous suivons de prs lvolution du projetOpenSIPS.
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 44
1.3 EvolutionsLaprincipalevolutionestlamiseenplacedunservicepilotederoutagedappelsbas
sur Kamailio pour la communaut RENATER, la version installe est Kamailio 1.4.1 (cf.ANNEXE1).
Lamaquetteexprimentaleresteraenplaceafindepermettredesnouveauxsitesde
faire des tests avant de se connecter au pilote. Elle permettra galement de valider desnouveauxservicesavantdelesmettreenproductionsurlepilote(IPv6,redondance,etc.).
Lamigration des sites raccords lamaquette vers le service pilote se fait aprs lavalidationdufonctionnementdelaToIPdusitesurlamaquetteexprimentale.
Desamliorationsontaussitintroduitesdanslefichierdeconfigurationparrapport
laconfigurationdOpenSERexistantedans lamaquetteexprimentalenotamment lapriseenchargelesmessagesSIPOPTIONS.
2. Miseenplaced'unesolutiondesupervision
2.1 ObjectifsLobjectifprincipaltaitdeproposerunesolutiondesupervisionquipermettede: Surveiller ltat du service de routage des appels tlphoniques dans le serveur
KamailiodeRENATERetsesperformances(lachargeCPU,utilisationdelammoire,utilisationdudisquedur).
SuperviserltatdesIPBXdessitesdistantsinterconnectsauservicepilote. GrapherdansletempsltatduserveurKamailioetdesIPBXdessitesdistants. AvertirladministrateurdupiloteToIPencasdeproblme.
2.2 EtudeLa plupart des solutions de supervision de ToIP qui existent sont des solutions
commerciales.Parmileslogicielslibrespermettantdesuperviserlesservicesvoix,Monit[6]permet de surveiller des services locaux installs sur une machine Linux/Unix. On peututilisercetoutilpoursuperviserlerouteurSIP(Kamailio)deRENATERetlessitesdistantsquiutilisentdeslogicielsIPBX(Kamailio,OpenSIPS,Asterisk..),maiscettesolutionnepermetpasdesuperviser lessitesdistantsquiutilisentdesIPBX matrielscomme(MITEL,CISCO)etnerpondpastousnosbesoins.
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 45
UneautresolutionestdutiliserloutilSIPpquipermetdegnrerdesappelsSIPavecunUAC4etunUAS5en lignedecommandeenexploitant le rapportdappelslaborparcetoutil.Cettesolutiontaittrop limiteparrapport l'ampleurdenosbesoins cardautresoutils sont ncessaires pour vrifier ltat des liens et pour gnrer des graphiques.Cependant, loutilSIPppourratreutilepourtester lesperformancesdescommunicationsentredeuxsites.
LaderniresolutiontudieestlelogicieldesupervisionNagios[4],quisemblerpondre
trsbiennosbesoinsgrcesamodularitet lesgreffonsdisponiblespourSIP.Lechoixs'estdoncportnaturellementsurNagios.
2.3 SolutionNagiosNagiosestun logiciel libredesupervisionderseau. IlestdisponiblesousLicenceGNU
GPL, ilpermetde savoir toutmoment le statutdeshtesetdes services spcifisparl'administrateurrseau.Ilsechargegalementdel'envoid'alertessuiteunepanneouundysfonctionnementdurseau.
Nagioss'appuiesurunmoteurcritenCchargdel'ordonnancementdesvrifications,
ainsiquelesactionsraliserlorsdeladtectiondunincident.Lesvrificationssontfaiteslaidedesgreffons(plugins)quipermettentauxutilisateursdedvelopperfacilementleurspropresvrificationsdesservices.Lesgreffonspeuventtredveloppsdansnimportequellangagedeprogrammation(C,shell,perl,).LetoutestcontrlabletraversunepagewebenCGIetaccessiblevian'importequelserveurHTTPcommeApache.
Voiciunschmadtaillantl'architecturedebasedeNagios:
Figure22:architecturedebasedeNagios
4 Il initie la session 5 Il rpond aux requtes
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 46
LinstallationdeNagiosest ralise sur ladistributionDebianEtch avec la commande
aptgetdeLinux,quipermetdercuprerlesfichiersdeNagiosetdeprocderfacilementlinstallationet laconfigurationdecedernier.Laversion installeestNagios3.0.6.Nousavons aussi besoin dinstaller les plugins Nagios qui sont utiliss pour la supervision. Laversioninstalleestnagiosplugins1.4.13.
Poursuperviser lesperformancesde lamachineKamailio, jaiutilis lepluginNRPEqui
permetd'excuterdespluginsdistancesurlamachineKamailiopuisd'envoyerlesrsultatsNagios(cf.ANNEXE2).
PoursurveillerleservicederoutagedesappelssurlerouteurSIP(Kamailio)deRENATER
et lesIPBXdessitesdistants,jaiutilis leplugincheck_sipquinestpasfournienstandardaveclespluginsdeNagios.
Pourtracerdesgraphiquespourlesdiffrentsservicessuperviss,jaiinstalllemodule
PNP (l'acronyme de PNP est PNP isNOT Perfparse). Cemodule permet de rcuprer lesdonnesrelativesauxperformancesdusystmeinterrogetd'injectercesvaleursdansdesbases rrdtool. Il est possible ainsi de gnrer des graphiques personnaliss intgrs linterfaceweb.
JaiconfigurNagiospourquilavertisseladministrateurdupiloteToIPparemailencas
deproblme.Enfin jaimisenplace lestyleNuvola pouramliorer l'interfacegraphiqueNagioset la
rendreplusagrable.Les figures cidessous prsentent une vue densemble des interfaces de la solution
Nagiosmiseenplace:
Figure23:interfacedeltatdesservicessuperviss
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 47
Figure24:interfacedutempsderponseduservicePing
Figure25:interfacedeltatduserviceSIPdeserveurKamailiodansle temps
Durant lamiseenplacede toutesces solutions, jai rencontrplusieursproblmesdeconfiguration causedumanquededocumentation.Unproblmeestpospar lemodulePNPlorsdelaffichagedesgraphiquesduserviceSIP.Eneffet,PNPutilisedesmodlespourgnrer lesgraphiques.Lemodle (template)duserviceSIPnestpasdfini, jaidoncdcrirenotrepropremodle.
Figure26:architecturedelasolutionmiseenplacepourlasupervision
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 48
3. MiseenplacedunesolutiondeComptabilisationdappelsLebutde lamiseenplacedune solutiondecomptabilisationdappelsestdepouvoir
fournirdesstatistiquessurletauxdutilisationduservicederoutagedappelsdeRENATERetdecollecterlesinformationsanalyserencasdeproblme.
3.1 ObjectifsLobjetdecettepartiedemon stageestdtudieretmettreenplaceune solutionde
comptabilisationdappelsquipermettede: EtablirdesstatistiquessurlesappelstraitsparleserveurKamailiodeRENATER. Suivrecesstatistiquesdansletemps.
Agrgerlesstatistiquesparsitepouravoirunsuiviprcisdelusageduservicepour
chaquesite.
3.2 EtudeAprsavoireffectuplusieursrecherchessur lessolutionsdecomptabilisationdappels
existantesquipeuventrpondrenosbesoins,jaitrouvquiilyadenombreusessolutionsqui sont soit commercialises, soit trop complexes pour nos besoins. Notre tude estconsacretroissolutions.
Lapremireestdutiliserlesdonnesdufichierlogduserveurkamailio,cependantcette
solutionnepermetpasdavoirunniveaudedtailssuffisantsurlappel.Unedeuxime solution consiste utiliser lemoduleACC6 avecunebasededonnes
MySQL.LinconvnientdecettesolutionestlagnrationdunenregistrementdanslabasededonnespourchaquerequteSIPreueparleserveurKamailio[7].
Une troisime solution tudie estdutiliser lemoduleACC avecun serveurRADIUS.
Cestcettederniresolutionquiatadopte.Eneffet,ellevapermettredavoirunseulenregistrementpourtoutelasessionSIP.
3.3 Miseenplace
RADIUS est un protocole qui intgre les notions dAAA (Authorization,AuthenticationandAccounting). Ladernire versionduprotocoleRADIUS estnormalisepar l'IETFdansdeuxRFC:RFC2865(RADIUSauthentication)etRFC2866(RADIUSaccounting). 6ACC est un module de Kamailio qui permet denregistrer les transactions SIP dans diffrentes bases de donns
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 49
NousavonschoisiFreeRADIUS[5]commeserveurRADIUSpourlafonctiondaccounting.
Leprincipedecettefonctionsebasesurdeuxtypesdepaquetsprincipaux:AccountingStartetAccountingStop.Unesessionestdfinieparl'intervalleentreunStartetunStop.
FreeRADIUSestunlogiciellibre,ilsagitdundesserveursRADIUSlesplusmodulaireset
richesen fonctionnalits. Lesdtailsde linstallationet la configuration sontexpliqusenannexe3decerapport.
Danscettesolution,leserveurKamailiovamettreunpaquetAccountingStartavecun
identificateur de session au serveur FreeRADIUS lors de la rception dun message SIPINVITE.Quand leserveurKamailioreoit lemessageSIPBYEde lammesession, ilenvoieunpaquetAccountingStopaveclemmeidentificateurdesession.LeserveurfreeRADIUSvaenvoyeralorsunseulenregistrement labasededonnesMySQLquicontient ladureettouslesparamtresdelasession.
Voiciunschmadcrivantleprincipedefonctionnementdecettesolution:
Figure27:principedefonctionnementdeFreeRADIUSavecKamailio
Lorsdestestseffectuspourvalidercettesolution,nousavonstrouvqueFreeRADIUS
nepermetpasdegnrerlesCDRpourlesappelschous,cequiestnormal,tantdonnque lemessage SIP BYE nest pas reu par Kamailio. Les sessions nayant pas reues demessageSIPBYEsontcomptabilisesdansunfichierlogFreeRADIUS.J'aidonctamenmettreenplacelasolutiondumoduleACCavecMySQLpourcomptabiliserjustelesappelschousdanslabasededonnes(cf.ANNEXE4).
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 50
VoiciunschmaillustrantleprincipedefonctionnementdelasolutionmoduleACCavecMySQL:
Figure28:principedefonctionnementdemoduleACCavecMySQLLasolutiondecomptabilisationdappelssecomposededeuxbriquesfonctionnelles:
1. ModuleACCavecFreeRADIUS2. ModuleACCavecMySQL
En effet, la gnration des CDRs relatifs une communication SIP dpendessentiellementdelarussitedesontraitement(existenceounondemessagesderreur).
Lorganigrammequisuitrsumelessentieldecequiaprcd.
Figure29:organigrammedelasolutiondecomptabilisationdappels
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 51
Lafigurecidessousillustrelarchitecturedelasolutiondecomptabilisationdappels:
Figure30:architecturedelasolutiondecomptabilisationdesappels
3.4 Dveloppementd'uneinterfaceweb
Pour afficher les informations des appels stockes dans la base de donnes parFreeRADIUS,jaidveloppuneinterfacewebenPHPquipermet: Afficherlenombredesappelseffectusparchaquesite(figure24) Afficherlesdtailsdesappels(figure25) Affichersousformedegrapheslenombreetladuredesappelseffectusparmois
etparanne(figure26) Effectuer des recherches sur les appels selon des critres(le site appelant, le site
appel,ladatedappel)(figure27)
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 52
Voicilesprincipauxcransdelapplicationwebdveloppes:
Figure31:lapagedaccueildelapplication
Figure32:ecrandesdtailsdesappels
Figure33:ecrandenombredesappelsparjour
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 53
Figure34:ecranderecherchersurlesappels
3. ScurisationdupiloteToIP
Tout systme accessible via IP estune ciblepotentiellepour l'ensembledesmenacespesantsurlesrseauxIP.AfindelimiterlesaccsetscuriserleserveurpiloteToIP,jaimisenplacesolutiondescuritbasesur loutil IPtables.Des filtresonttconfigurssur lerouteurdappelsdefaonnautoriserquelesIPBXdessitesconnectsaupiloteenvoyerdes requtes SIP sur le port 5060. Les flux du serveur de supervision Nagios et decomptabilisationdappelFreeRADIUS,ainsique les fluxpour ladministrationdu serveurdistance(SSH)sontautorissgalement(cf.ANNEXE5).
Lesrglesdefiltragesappliquerontdoncselonlescritressuivants: AdresseIPsource AdresseIPdedestination
Protocoledecommunication
Portsource
PortdedestinationLorganigrammesuivantrsumelasolutionpourscuriserleservicepiloteToIP.
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 54
Figure35:organigrammedelasolutiondescurisationduservicepilote
4. Gestiondel'accessibilitdessitesLobjectif tait de grer lesmessages derreur SIP envoys par le serveur de routage
dappels Kamailio, afin davoir un basculement rapide vers le rseau RTC en casdinaccessibilitdu sitedistant.Pour cela,des testsontt ralissavecundes sitesdelINSERM(InstitutNationaldelaSantetdelaRechercheMdicale).
Letableausuivantdcrit lesrsultatsdestestsaprs lesamliorations introduitesdans
lefichierdeconfigurationdeKamailio.
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 55
Tableau4:lesrsultatsdestestsdelagestiondesmessagesderreur
5. TestsdevalidationAfindevalider lesdiffrentessolutionsmisesenplace,des testsdevalidationontt
effectusaveclesiteINSERM. Letableaucidessousdonnelesrsultatsdestests.
Lasolution Ntest Description Rsultatattendu Rsultat
1 DsactiverlinterfacerseaudelIPBX
NagiosretourneuntatdeconnectivitdiffrentdeOK
OK
Lasolutionde
supervision2 ArrterleserviceSIPde
lIPBXNagiosretourneuntatduserviceSIPdiffrentOK
OK
1 Effectuerunappelrussi Enregistrementajoutdanslabasededonnescommeappel
russi
OK
Lasolutionde
Comptabilisationdappels
2 Effectuerunappelchou
(leservicenestpasdisponible)
Enregistrementajoutdanslabasededonnescommeappel
chou
OK
LascurisationdupiloteToIP
1 EffectuerunappelvialOpenSERdelamaquette
Appelrejetparlerouteurdappelsduservicepilote
OK
Tableau5:lesrsultatsdestestsdevalidation
Ntest Description Typedemessageerreur Rsultatdebasculement
Tempsdebasculement
1 DsactiverlinterfacerseaudelIPBX
Requestetimeout OK 10s
2 ArrterleserviceSIPdelIPBX
Requestetimeout OK 10s
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 56
ConclusionDanscedernierchapitre,nousavonsprsent lamaquetteexprimentale, laphasede
ralisation de notre projet en prsentant les solutions mises en place, la dmarche detravail,leprincipedefonctionnementdechaquesolution,finalement,nousavonsprsentlestestsdevalidationeffectus.
Actuellement le servicepiloteToIPestoprationnel,deux sitesontdjmigrversceservicequi sontGIPRENATERPARISetGIPRENATERMONTPELLIER. Ilestprvu aussidemigrerdautressitesdanslesjoursquiviennent.
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 57
ConclusiongnraleLatlphoniesurIPconstitueincontestablementuneattractiondetaillelafoispourles
quipementiers,lesoprateurs,lesentreprisesetlegrandpublic.Silesenjeuxconomiquesjustifient largement cette convoitise, il ne faut cependant pas ngliger les contraintestechniquessurmonter.
Durant le prsent projet de fin dtudes, Il nous a t confi la mission, au sein de
lquipeSIPA (Services IPAvancsetprospective)duGIPRENATER,dtudieretmettreenplace leservicepiloteToIPdeRENATER.Pourcela,notre travailatdcomposencinqtapesmajeures.Lapremireavaitpourbutdtudier lesbasesde latlphoniesur IP.Lesecond travail consistait tudier lesvolutionspossibles sur lamaquetteexprimentalemiseenplaceparlquipeSIPApourinstallerleservicepiloteToIP.Latroisimetapetaitla mise en place dune solution de supervision du service pilote. La quatrime tapeconsistaitmettreenplacedunesolutiondecomptabilisationdappels.Enfin, laderniretapeavaitpourbutdelimiterlesaccsetscuriserleserveurpiloteToIP.CeprojetdefindtudesadonnlieuuneplateformedeToIPbasesurunserveurderoutagedappeldetypeKamailio etdes solutionspour la supervision et la comptabilisationdes sessions SIPVoIP.
Llaborationdecetravailmapermis,dunepart,dapprofondirlesconnaissancesetle
savoir faireacquisdurant les annesdema formation lENSAdeMarrakech,etdautrepart,deprparermon intgration lavieprofessionnelleetdemesesituersur lemarchdestlcommunications(rseaux,systmesdecommunication,services,...).
Le travail que jai ralis pourrait tre complt et poursuivi sous diffrents aspects,
notamment: Miseenplacedunesolutionderedondancedesserveurs impliqusdans leservice
pilote. Introduction dIPv6 dans les quipements du service pilote et avec les sites
partenaires. Amliorationdesmcanismesdescuritmisenplace.
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 58
Rfrencesbibliographiques[1].SiteofficieldeRENATER,http://www.renater.fr,janvier2009[2].SiteofficieldeKamailio,http://www.kamailio.org,janvier2009[3].SiteofficieldOpenSIPS,http://www.opensips.org,janvier2009[4].SiteofficieldeNagios,http://www.nagios.org,janvier2009[5].SiteofficieldeFreeRADIUS,http://freeradius.org,janvier2009[6].Lencyclopdielibrewikipedia,http://fr.wikipedia.org/wiki/Accueil,janvier2009[7].FlavioE.Goncalves,BuildingTelephonySystemswithOpenSER,PacktPublishing(April25,2008)[8].N.IDBOUFKER, ArchitecturesProtocolairesVoIP:H.323etSIP, dcembre2008[9].R.Sparks,M.Handley,E.Schooler,SIP:SessionInitiationProtocol,RFC3261,IETF,June2002[10].F.Andreasen,B.Foster,MediaGatewayControlProtocol(MGCP),RFC3435,IETF,January2003[11].P.Faltstrom,M.Mealling, TheE.164toUniformResourceIdentifiers(URI)DynamicDelegationDiscoverySystem(DDDS)Application(ENUM),RFC3761,IETF,April2004 [12].K.Egevang,P.Francis, TheIPNetworkAddressTranslator(NAT),RFC1631,IETF,May1994[13].J.Rosenberg,J.Weinberger,C.Huitema,R.Mahy,STUNSimpleTraversalofUserDatagramProtocol(UDP)ThroughNetworkAddressTranslators(NATs),RFC3489,IETF,March2003 [14].C.Rigney,S.Willens,A.Rubens,W.Simpson,RemoteAuthenticationDialInUserService(RADIUS),RFC2865,IETF,June2000[15].C.Rigney,RADIUSAccounting,RFC2866,IETF,June2000[16].RapportdugroupedetravailToIP,www.renater.fr/IMG/pdf/Compil_Doc_synth.pdf[17].BestPracticesforVoIPSIPSecurity,www.td.unige.ch/pdf/BP_VoIP_Security.pdf
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 59
ANNEXES
ANNEXE1:ConfigurationKamailioCeciestunextraitdufichierdeconfigurationduserveurKamailio:
#######Rapportdesmodifications###########cration16/12/2008#RaccordementSITE1(Ville1etVille2)le17/12/2008#testavecSITE2le24/12/2008#######GlobalParameters#########debug=3log_stderror=nolog_facility=LOG_LOCAL0fork=yeschildren=4port=5060listen=udp:193.*.*.*alias=*.renater.fr.#######ModulesSection#########setmodulepathmpath="//usr/local/lib/kamailio/modules/".##########Blocdessitesraccordsauservicepilote#############################GIPRENATER#################. if(uri=~"sip:01539420[3,4,8,9][09]@.*"){ # 40 Postes route(2);};..
#processtrafficfromInternettoSITE1route[2]{# log(1,"Inroute[2]"); rewritehostport("193.*.*.*:5060"); append_hf("Phint:ForwardedtoSITE1\r\n");xlog("L_INFO","$rmfrom$futo$tu"); if(!t_relay()){sl_reply_error(); };exit; }
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 60
ANNEXE2:exemplededfinitiondesservicespourlasupervision
UnexemplededfinitiondesservicessuperviserpourlamachineKamailio:definehost{usegenerichosthost_nameKamailioaddress193.*.*.*}
defineservice{
host_nameKamailioservice_descriptionSIPcheck_commandcheck_sip!sip:193.*.*.*usegenericserviceaction_urlhttp://193.*.*.*/pnp4nagios/index.php?host=Kamailio&srv=SIP
}defineservice{
host_nameKamailioservice_descriptionPINGcheck_commandcheck_ping!100.0,20%!500.0,60%usegenericserviceaction_urlhttp://193.*.*.*/pnp4nagios/index.php?host=Kamailio&srv=PING
}defineservice{use genericservicehost_nameKamailioservice_descriptionDiskSpacecheck_commandcheck_nrpe!check_hda1}#ChargeCPUdefineservice{
use genericservicehost_name Kamailioservice_description CPULoadcheck_command check_nrpe!check_load
}
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 61
ANNEXE3:ConfigurationmoduleACCavecFreeRADIUS
InstallationFreeRADIUS Laversioninstalle2.0.*:
#aptgetinstallfreeradiusfreeradiusutils#aptgetinstallfreeradiusmysqlCrationetlaconfigurationdelabasededonnedefreeRADIUS InstallationMysql
#aptgetinstallmysqlserver#aptgetinstallmysqlclient Crationdelabasededonnes
dpkgicdrtool_6.6.10_all.debmysqladminurootpcreateaccountingmysqlurootaccounting
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 62
Configuration du serveur kamailio comme client de FreeRDIUS dans le fichier
/etc/freeradius/clients.conf
client193.*.*.*{secret=***********shortname=siprouter1nastype=other} Activermysqldanslefichier/etc/freeradius/radiusd.conf
Accounting{acct_uniquedetailsqlunixradutmp}
Ajouterledictionnairekamailiodanslefichier/etc/freeradius/dictionary
cp/var/www/CDRTool/setup/radius/OpenSIPs/dictionary.ser/etc/freeradius/dicotionary.kamailio$INCLUDE/usr/share/freeradius/dictionary$INCLUDE/etc/freeradius/dictionary.kamailioConfigurationduclientfreeRADIUS(Kamailio)
Ajouterledictionnairekamailiodanslefichier/etc/radiusclientng/dictionary
#Thefilenamegivenhereshouldbeanabsolutepath.$INCLUDE/etc/radiusclientng/dictionary.radius
AjouterladresseduserveurFreeRADIUSdanslefichier/etc/radiusclientng/servers
#RADIUSservertouseforaccoutingrequests.AllthatI#saidforauthserverapplies,too.Acctserver 193.*.*.*
Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER
ENSA-Marrakech 2008/2009 63
Ajouterleslignessuivantesdansleficherdeconfigurationdekamailio(kamailio.cfg)
modparam("acc","radius_config","/etc/radiusclientng/radiusclient.conf")modparam("acc","radius_flag",2)modparam("acc","radius_missed_flag",3)modparam("acc","radius_extra","UserName=$Au;\
CallingStationId=$from;\CalledStationId=$to;\SipTranslatedRequestURI=$ruri;\SipRPid=$avp(s:rpid);\SourceIP=$si;\SourcePort=$sp;\CanonicalURI=$avp(s:can_uri);\BillingParty=$avp(s:billing_party);\DivertReason=$avp(s:divert_reason);\XRTPStat=$hdr(XRTPStat);\Contact=$hdr(contact);\Event=$hdr(event);\ENUMTLD=$avp(s:enum_tld)")
ANNEXE4:ConfigurationmoduleACCavecMySQL Ajouterleslignessuivantesdansleficherdeconfigurationdekamailio(kamailio.cfg)
modparam("acc","db_url","mysql://root:root@193.*.*.*/accounting")#flagtorecordtodbmodparam("acc","db_flag",1)modparam("acc","db_missed_flag",2)#f
Top Related