ETUDE ET MISE EN OEUVRE D’UNE
ARCHITECTURE DE TELEPHONIE SUR IP
SECURISEE AU SEIN DE DATA CONSULTING
CIRCLE
TABOU Stephane...
Table des matières
Liste des figures ii
Liste des abreviations iii
Introduction 1
1 Présentation de l’entreprise 2
1.1 Posi...
3.2.1 Installation de Asterisk . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
3.2.2 Création des comptes SIP . ....
Table des figures
2.1 Zone H.323 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.2 Architectu...
Liste des abreviations
IP Internet Protocol
SIP Session Initiation Protocol
ToIP Telephony over Internet Protocol
MGCP Med...
VoIP Voice Over Internet Protocol
MC MultiPoint Controller
GPL General Public Licence
GSM Global System for Mobile communi...
Introduction
Dans le cadre de ma formation d’ingénieur en Télécommunications et Technologies de
l’Information et de la Com...
Chapitre 1
Présentation de l’entreprise
1.1 Position géographique
DATA CONSULTING CIRCLE est un cabinet conseil spécialisé...
Chapitre 2
Généralités sur la Téléphonie sur IP
2.1 Introduction
La téléphonie est l’un des moyens de communication les pl...
ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE
SUR IP AU SEIN DE DATA CONSULTING CIRCLE
La réduction des coûts o...
ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE
SUR IP AU SEIN DE DATA CONSULTING CIRCLE
– le temps de numérisati...
ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE
SUR IP AU SEIN DE DATA CONSULTING CIRCLE
TOIP.
2.2 Protocoles de ...
ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE
SUR IP AU SEIN DE DATA CONSULTING CIRCLE
être présents pour qu’un...
ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE
SUR IP AU SEIN DE DATA CONSULTING CIRCLE
un ensemble de deux term...
ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE
SUR IP AU SEIN DE DATA CONSULTING CIRCLE
Figure 2.3 – Couches Pro...
ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE
SUR IP AU SEIN DE DATA CONSULTING CIRCLE
tion , la gestion et la ...
ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE
SUR IP AU SEIN DE DATA CONSULTING CIRCLE
Notons que ces protocole...
ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE
SUR IP AU SEIN DE DATA CONSULTING CIRCLE
Le serveur proxy ou serv...
ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE
SUR IP AU SEIN DE DATA CONSULTING CIRCLE
traitée (ex :180 = ’le t...
Chapitre 3
Mise en place de l’architecture
3.1 Presentation du serveur Asterisk
3.1.1 Introduction
De manière générale, le...
ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE
SUR IP AU SEIN DE DATA CONSULTING CIRCLE
une grande utilisation t...
ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE
SUR IP AU SEIN DE DATA CONSULTING CIRCLE
chir ses fonctionnalités...
ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE
SUR IP AU SEIN DE DATA CONSULTING CIRCLE
que , la succession des ...
ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE
SUR IP AU SEIN DE DATA CONSULTING CIRCLE
friend (autorise les app...
ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE
SUR IP AU SEIN DE DATA CONSULTING CIRCLE
devient facile d’attribu...
ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE
SUR IP AU SEIN DE DATA CONSULTING CIRCLE
cesseur, dotés des systè...
ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE
SUR IP AU SEIN DE DATA CONSULTING CIRCLE
3.2.2 Création des compt...
ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE
SUR IP AU SEIN DE DATA CONSULTING CIRCLE
X-lite est un freeware, ...
ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE
SUR IP AU SEIN DE DATA CONSULTING CIRCLE
s’enregistrera.Si l’enre...
ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE
SUR IP AU SEIN DE DATA CONSULTING CIRCLE
Figure 3.2 – Configuratio...
Chapitre 4
Sécurisation de l’architecture
La technologie de ToIP est apparue il y a plus de dix ans. Elle a subi de multip...
ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE
SUR IP AU SEIN DE DATA CONSULTING CIRCLE
en cherchant à le mettre...
ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE
SUR IP AU SEIN DE DATA CONSULTING CIRCLE
4.2.1 Mise à jour des so...
ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE
SUR IP AU SEIN DE DATA CONSULTING CIRCLE
4.2.5 Placer les service...
ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE
SUR IP AU SEIN DE DATA CONSULTING CIRCLE
Wireshark (anciennement ...
Conclusion Générale
Au terme des cinq mois de stage que nous avons éffectué à DATA CONSULTING CIRCLE,
à la direction techni...
Création des comptes SIP
[secretariat]( !)
context = secretariat
host = dynamic
type = friend
nat = yes
careinvite = no
se...
allow = h263
disallow = all
transport=udp
[200](ressourceshumaines)
username=poste-Rh1
callerid="Tonfack" <200>
[200](ress...
[serviceCommercial]( !)
context = marketing
host = dynamic
type = friend
nat = yes
careinvite = no
secret = servicecommerc...
disallow = all
transport=udp
[500](directiontechnique)
username=DT1
callerid="Mr Massingi" <500>
[501](directiontechnique)...
Attribution des numéros d’appel aux différents services
de l’entreprise
[secretariat]
;Pour les appels à destination du séc...
;Pour les appels à destination de la direction generale
exten => _6XX, 1 ,DIAL(SIP/$EXTEN,20,tT)
exten => _6XX, n, voicema...
Bibliographie
[1] G. Barisaux. De h323 sip ou h325 quel protocole s’imposera ?, dec 2011.
http://wapiti.telecom-lille1.eu/...
Prochain SlideShare
Chargement dans…5
×

Etude et Mise en oeuvre d'une architecture de téléphonie sur IP sécurisée au sein de Data Consulting Circle

2 701 vues

Publié le

Etude et Mise en oeuvre d'une architecture de téléphonie sur IP sécurisée au sein de Data Consulting Circle

Publié dans : Ingénierie
0 commentaire
3 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
2 701
Sur SlideShare
0
Issues des intégrations
0
Intégrations
6
Actions
Partages
0
Téléchargements
158
Commentaires
0
J’aime
3
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Etude et Mise en oeuvre d'une architecture de téléphonie sur IP sécurisée au sein de Data Consulting Circle

  1. 1. ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP SECURISEE AU SEIN DE DATA CONSULTING CIRCLE TABOU Stephane Le 30 mars 2015
  2. 2. Table des matières Liste des figures ii Liste des abreviations iii Introduction 1 1 Présentation de l’entreprise 2 1.1 Position géographique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 1.2 Organisation administrative . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 2 Généralités sur la Téléphonie sur IP 3 2.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 2.1.1 Enjeux économiques de la téléphonie sur IP . . . . . . . . . . . . . . 3 2.1.2 Avantanges de la téléphonie sur IP . . . . . . . . . . . . . . . . . . . . 3 2.1.3 Inconvenients de la téléphonie sur IP . . . . . . . . . . . . . . . . . . . 4 2.2 Protocoles de la Téléphonie sur IP . . . . . . . . . . . . . . . . . . . . . . . . 6 2.2.1 Protocole H.323 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 2.2.2 Le protocole SIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 3 Mise en place de l’architecture 14 3.1 Presentation du serveur Asterisk . . . . . . . . . . . . . . . . . . . . . . . . . . 14 3.1.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 3.1.2 Fonctionnalités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 3.1.3 Les fichiers de configuration du serveur Asterisk . . . . . . . . . . . . . 15 3.2 Mise en place de l’environnement . . . . . . . . . . . . . . . . . . . . . . . . . 19 i
  3. 3. 3.2.1 Installation de Asterisk . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 3.2.2 Création des comptes SIP . . . . . . . . . . . . . . . . . . . . . . . . . 21 3.2.3 Configuration du Dialplan . . . . . . . . . . . . . . . . . . . . . . . . . 21 3.2.4 Configuration des softphones . . . . . . . . . . . . . . . . . . . . . . . . 21 4 Sécurisation de l’architecture 25 4.1 Les attaques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 4.2 Mécanismes de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 4.2.1 Mise à jour des softwares . . . . . . . . . . . . . . . . . . . . . . . . . . 27 4.2.2 Verouillage de la configuration . . . . . . . . . . . . . . . . . . . . . . . 27 4.2.3 Séparation grâce aux Vlans . . . . . . . . . . . . . . . . . . . . . . . . 27 4.2.4 Filtrage inter-Vlan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 4.2.5 Placer les services convergés dans des DMZ . . . . . . . . . . . . . . . . 28 4.2.6 Authentification et chiffrement SSL/TLS . . . . . . . . . . . . . . . . . 28 4.2.7 Protection contre les attaques ARP . . . . . . . . . . . . . . . . . . . . 28 4.3 Outils de test d’analyse et Vulnérabilités de la ToIP . . . . . . . . . . . . . . . 28 Conclusion Générale 29 Annexes 31 Création des comptes SIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 Attribution des numéros d’appel aux différents services de l’entreprise . . . . . . . . 31 Bibliographie 37 page ii
  4. 4. Table des figures 2.1 Zone H.323 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 2.2 Architecture du protocole H.323 . . . . . . . . . . . . . . . . . . . . . . . . . . 8 2.3 Couches Protocolaires de H.323 . . . . . . . . . . . . . . . . . . . . . . . . . . 9 2.4 Architecture du protocole SIP . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 3.1 SoftPhone X-Lite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 3.2 Configuration du compte SIP du client Alvine . . . . . . . . . . . . . . . . . . 24 iii
  5. 5. Liste des abreviations IP Internet Protocol SIP Session Initiation Protocol ToIP Telephony over Internet Protocol MGCP Media Gateway Control Protocol SCCP Skinny Client Control Protocol RTC Reseau Telephonique Commute RNIS Réseau Numérique à Integration de Services ATM Asynchronous Transfert Mode MCU Multipoint Control unit MP Multipoint Processeur IAX Telephony over Internet Protocol IUT-T International Telecommunications Union - Telecommunication Sector IETF Internet Engineering Task Force RFC Request For Comment PABX Private Automatic Branch Exchange IPBX IP Public Automatic Branch Exchange ARP Address Resolution Protocol ACL Access Control List DMZ Demilitarized Zone NAT Network Address Translation iv
  6. 6. VoIP Voice Over Internet Protocol MC MultiPoint Controller GPL General Public Licence GSM Global System for Mobile communications PME Petites et Moyennes Entreprises page v
  7. 7. Introduction Dans le cadre de ma formation d’ingénieur en Télécommunications et Technologies de l’Information et de la Communication (TTIC) à la Faculté de Génie Industriel de l’Université de Douala, j’ai effectué un stage d’une durée de quatre (04) mois,depuis le mois d’Avril jusqu’au mois de Juillet 2014, à Data Consulting Circle . Ce stage d’imprégnation a été pour moi une occasion de me frotter au monde socio-professionnel, de faire un lien entre la théorie apprise à l’école et la pratique réalisée sur le terrain. Suite à l’explosion de la bande passante sur les réseaux IP et à l’avènement du haut débit chez les particuliers, de nouvelles techniques de communication sont apparues ces dernières années. Avec l’uniformisation des réseaux, il est désormais possible de combiner un réseau téléphonique et un réseau informatique en un réseau unifié transportant les deux types d’in- formation simultanément et avec les garanties de qualité nécessaires. Ce mariage a conduit à la naissance de la ToIP. Suite aux avantages offerts par la téléphonie sur IP, la probléma- tique de son implémentation au sein de Data Consulting Circle s’est posée, d’où le thème de notre stage « Etude et Mise en oeuvre d’une architecture de Téléphonie sur IP sécurisée au sein de Data Consulting Circle » Le présent rapport nous permet de faire un compte rendu des différentes activités effectuées durant le stage. Dans cette optique, nous l’avons structuré de la manière suivante : Le chapitre 1 presentera le cabinet DATA CONSULTING CIRCLE . Le chapitre 2 traitera des généralités sur la téléphonie sur IP. Le chapitre 3 abordera l’implémentation de la telephonie sur IP au sein du cabinet Data Consulting Circle. Le chapitre 4 présentera le volet sécuritaire d’une telle technologie. 1
  8. 8. Chapitre 1 Présentation de l’entreprise 1.1 Position géographique DATA CONSULTING CIRCLE est un cabinet conseil spécialisé dans le conseil en stra- tégie marketing et commercial, la promotion des services et produits des PME situé à la rue KDD à 200 m de l’agence AES-SONEL NEW BELL. 1.2 Organisation administrative Le cabinet Data Consulting Circle, est une entreprise encore toute jeune, étant donné qu’elle est à son troisième mois d’existence. Elle possède en son sein une vingtaine d’employés, repartis dans les différentes directions et services de ladite structure. Nous pouvons ainsi citer entre autres : – Direction Générale – Direction Technique – Service des Ressources Humaines – Service Marketing – Service Commercial La direction dans laquelle j’ai éffectué mon stage est la Direction Technique dirigée par Ing. EBENE Flavien Collins. 2
  9. 9. Chapitre 2 Généralités sur la Téléphonie sur IP 2.1 Introduction La téléphonie est l’un des moyens de communication les plus utilisés par les humains, au regard du nombre de terminaux téléphoniques vendus à travers le monde qui a connu une croissance exponentielle ces dernières années. Elle a donc été pour les opérateurs de télécommunications, une véritable poule aux œufs d’or. En effet, ces deniers ont maintenu pendant longtemps leurs tarifs à des niveaux élévés, alors que même leurs infrastructures étaient largement amorties. 2.1.1 Enjeux économiques de la téléphonie sur IP Bien que le téléphone demeure l’un des gadgets les plus utilisés par le public dans le monde des télécommunications, les communications sont fortement influencées par leur coût. La téléphonie sur IP offre ainsi la possibilité de communiquer, partout dans le monde par écran interposé, et sans aucune considération financière. 2.1.2 Avantanges de la téléphonie sur IP La téléphonie sur IP dispose de nombreux avantages par rapport à la téléphonie classique : 3
  10. 10. ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP AU SEIN DE DATA CONSULTING CIRCLE La réduction des coûts opérationnels : En déplaçant le trafic voix de la téléphonie classique vers le réseau IP, les entreprises ont la possibilité de réduire leurs coûts de commu- nication. En outre, des réductions importantes sont mises en évidence pour des communica- tions internationales, puisqu’elles ne requièrent pas un déploiement à l’image de la téléphonie classique. La ToIP permet ainsi de réaliser des économies sur les équipements et les frais de maintenance de ces derniers. Une flexibilité et une productivité accrue : L’utilisation des téléphones logiciels ou softphones permet aux utilisateurs d’être joignables sur leur extension interne, même en déplacement ou à domicile sans frais supplémentaires à la seule condition que ces derniers disposent d’une connexion internet. La messagerie unifiée leur permet par conséquent de recevoir directement leurs messages vocaux et fax, directement dans leur boîte mail. Adaptabilité : Les anciens systèmes propriétaires ne sont pas faciles à agrandir. En effet, l’ajout de lignes téléphoniques ou d’extensions nécessite des mises à jour du matériel souvent très coûteuses, et dans certains cas, le renouvellement intégral du réseau téléphonique. Réduction des coûts d’abonnement : La téléphonie sur IP permet d’optimiser l’utilisa- tion de la connexion internet et donc de mieux rentabiliser son coût. En effet, la capacité d’une connexion internet large bande n’est souvent au maximum exploitée que de façon ponctuelle. Moyennant la mise en place de mécanismes de priorité afin de garantir une bonne qualité de communication durant ces pics d’utilisation ponctuelle, l’excédent de capacité peut être exploité. 2.1.3 Inconvenients de la téléphonie sur IP La téléphonie sur IP possède les mêmes contraintes temps réel que la téléphonie classique. Etant donné que cette technologie basée sur une commutation de paquets, elle est fortement liée aux contraintes suivantes : La latence : le délai de transmission est un élément essentiel pour bénéficier du véritable mode conversationnel et pour minimiser l’écho. Or la durée de traversée d’un réseau IP dépend de nombreux facteurs : TABOU Stephane 4
  11. 11. ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP AU SEIN DE DATA CONSULTING CIRCLE – le temps de numérisation de la voix : la voix téléphonique est un signal analogique, impossible à coder sur un l’ordinateur, il faut donc la numériser avec un codeur. Gé- néralement, le temps de numérisation est négligeable, mais le codec va déterminer la vitesse à laquelle les données sont émises ; – le temps de remplissage des paquets : les données envoyées sont assemblées en paquets. Ces derniers, comportent des en-têtes, qui sont placées une fois le paquet constitué.On peut définir le temps de remplissage comme le temps utilisé par le codec pour remplir un paquet de taille fixée ( la taille ne prend pas en compte les en-têtes qui sont ajoutés automatiquement et independamment du codec) ; – le temps de propagation : il se définit comme le rapport de la distance à parcourir entre l’émetteur et le récepteur sur la vitesse de propagation du signal. On prend généralement une vitesse de propagation d’un signal de 200 000 Km/s ; – le temps de transmission : les données arrivent d’un point à un autre selon un temps qui dépend de la quantité de données émises et du débit auquel fonctionnent les liens entre l’émetteur et le récepteur. On peut définir le temps de transmission comme le rapport de la quantité de données à envoyer sur le débit du lien considéré. – le temps de traitement par les nœuds intermédiaires : les flux de données traversent un ensemble de routeurs intermédiaires avant d’atteindre la destination.Chacun de ces nœuds ajoute un délai supplémentaire, qui constitue le temps de traitement des nœuds intermédiaires. Ce temps est généralement de l’ordre de la milliseconde pour chaque nœud. La qualité sonore et la fiabilité : l’un des problèmes les plus importants de la téléphonie sur IP est la qualité de la transmission qui n’est pas encore optimale, dans certains cas. Ce qui occasionne des désagréments lors de la reproduction de la voix du correspondant, par ailleurs il est des situations où l’on constate la perte des morceaux de la conversation. Dependance de l’infrastructure technologique : la convergence de la voix et des données dans un système de téléphonie sur IP vers un même système implique une stabilité de ce dernier devient indispensable,voire fondamentale. Ainsi, la structure intégrant cette technologie doit être préparée à à faire face aux éventuelles défaillances de l’architecture TABOU Stephane 5
  12. 12. ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP AU SEIN DE DATA CONSULTING CIRCLE TOIP. 2.2 Protocoles de la Téléphonie sur IP Les protocoles de VoIP constituent un pont entre Internet et la téléphonie sur IP. On décrira dans ce document les protocoles de signalisation les plus utilisés : SIP et H.323. Ce- pendant, il en existe d’autres comme IAX (propriétaire Asterisk), MGCP, SCCP (propriétaire Cisco) et UNISTIM (propriétaire NORTEL). 2.2.1 Protocole H.323 Le protocole H.323 figure parmi les plus réputés des protocoles de signalisation pour la téléphonie. Il est à noter que H.323 n’est en réalité que la référence du protocole. Son nom complet est Packet-based Multimedia Communications Systems ou Système de communica- tion multimédia fonctionnant en mode packet. Il peut ainsi être utilisé par tous les réseaux à commutation de packets , en particulier le réseau IP. H.323 est spécifié pour le traitement de la signalisation des données multimédias avec de fortes contraintes temporelles, comme la voix ou la vidéo, mais aussi la réalité virtuelle ou les jeux vidéos. H.323 a été développé par l’IUT-T . Les premiers travaux sur le protocole ont débuté en mai 1995. Depuis lors, de nombreuses versions se sont succédées, apportant leurs lots de nouveautés et d’amélioration. La version actuelle est la version 7, disponible depuis Novembre 2009. a. Architecture du protocole H.323 Le protocole H.323 s’articule autour d’une architecture, qui concentre les fonctionnalités autour d’entités. On en distingue quatre types : – Les terminaux : ce sont les équipements de traitement destinés aux utilisateurs, leur permettant d’émettre et de recevoir des appels. Deux terminaux doivent au minimum TABOU Stephane 6
  13. 13. ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP AU SEIN DE DATA CONSULTING CIRCLE être présents pour qu’une communication ait lieu. – Le gatekeeper ou garde-barrière : c’est l’équipement permettant la localisation des utilisateurs. Ces derniers peuvent s’identifier entre eux par des noms, auxquels il faut attribuer l’adresse IP correspondante dans le réseau, ou si l’appelé n’est pas situé dans un réseau IP, la localisation de l’entité intermédiaire à joindre pour l’appel. Outre cette fonction primordiale, un gatekeeper remplit tout un ensemble de fonctions complemen- taires de gestion et de contrôle des communications, certaines étant indispensables et d’autres facultatives. – La passerelle ou gateway : c’est l’équipement permettant à des utilisateurs du réseau IP de joindre les utilisateurs qui sont actifs sur d’autres types de réseaux RTC, RNIS, ou ATM. – Le MCU ou unité de contrôle multipoint, parfois appelée pont multipoint. C’est l’équi- pement permettant la gestion des conférences, c’est-à-dire les communications multi- médias mettant en jeu plus de deux interlocuteurs. Ces derniers doivent préalablement se connecter à la MCU, sur laquelle s’établissent les demandes et négociations des pa- ramètres à utiliser lors de la conférence. Le MCU est composé d’un contrôleur multipoint ou MC et de zéro à plusieurs processeurs multipoint ou MP . Le MC gère la signalisation de la communication entre les terminaux participant à la confé- rence.Le MP occupe des fonctions de mixage et de traitement des données de la conférence (quand plusieurs personnes parlent en même temps par exemple). Figure 2.1 – Zone H.323 Ces diverses entités se regroupent en deux grandes catégories : les points de terminaison qui sont des entités auxquelles les émetteurs s’adressent directement pour communiquer (on retrouve dans cette catégorie les terminaux, les gateways et les MCU) et la zone H.323 qui est TABOU Stephane 7
  14. 14. ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP AU SEIN DE DATA CONSULTING CIRCLE un ensemble de deux terminaux avec un gatekeeper au minimum, d’autres éléments pouvant être ajoutés. Figure 2.2 – Architecture du protocole H.323 b. La pile de protocoles Le protocole H.323 peut être assimilé à une plateforme complète décrivant comment des protocoles se combinent afin d’assurer la signalisation. Pour être fonctionnel, H.323 doit utiliser d’autres protocoles qui forment son ossature. Il en existe toute une panoplie, mais les plus importants d’entre eux sont les standards fondamentaux H.255.0 qui exploite les protocoles RAS et Q.931, hérités du RNIS et H.245. Le protocole H.255.0 met en place un canal de signalisation d’appel et d’enregistrement afin d’assurer la mise en relation des interlocuteurs. Le protocole H.245, quant à lui, permet de créer un canal de contrôle pour la négociation des paramètres de la communication (codeur utilisé, contrôle de flux, etc). Ainsi, les couches protocolaires de ce modèle sont illustrées à la figure ci-dessous : TABOU Stephane 8
  15. 15. ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP AU SEIN DE DATA CONSULTING CIRCLE Figure 2.3 – Couches Protocolaires de H.323 2.2.2 Le protocole SIP Le protocole SIP a été standardisé par le groupe de travail WG MMUSIC de l’IETF. Au fil des ans , de nombreuses versions se sont succédées, chacune apportant son lot d’améliora- tion. La première version de ce protocole fut disponible à partir de 1997, une seconde version a été proposée en mars 1999 (RFC 2543). Cette dernière version, a été revue, complétée, et corrigée en juin 2002 (RFC 3261). SIP désigne un protocole de signalisation pour l’établissement, le maintien, la modifica- TABOU Stephane 9
  16. 16. ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP AU SEIN DE DATA CONSULTING CIRCLE tion , la gestion et la fermeture des sessions interactives entre utilisateurs pour la téléphonie et la vidéoconférence et plus généralement pour toutes les communications multimédias. Il n’assure pas le transport des données utiles , mais son objectif est d’établir une liaison entre les interlocuteurs. Autrement dit, il ne véhicule pas la voix, ni la vidéo, mais assure simplement la signalisation. Le protocole SIP dispose d’une grande capacité d’intégration à d’autres protocoles stan- dards du monde IP. Ce qui lui confère son caractère modulaire, lui permettant ainsi de fonctionner avec différentes applications telles que la téléphonie, la messagerie instantanée, la vidéoconférence, la réalité virtuelle et même le jeu vidéo. Les protocoles disposant d’une affinité avec le protocole SIP sont les suivants : – RTP (Real-Time Transfert Protocol) RFC 3550, qui se charge du transport des flux en temps réel ; – RTCP (Real-time Transfert Protocol ) RFC 3550, qui fournit des informations dyna- miques sur l’état du réseau ; – RTSP (Real-time Streaming Protocol ) RFC 2326 , pour contrôler la diffusion de flux multimédia en temps réel ; – SDP (Session Description Protocol), RFC 2327, qui fournit la description d’une session, c’est-à-dire les paramètres utilisés dans une communication SIP. – SAP (Session Advertisement Protocol), RFC 2974, pour les communications multicast, qui permet d’ajouter les spécifications d’une nouvelle session. – MIME (Multipurpose Internet Mail Extension), RFC 2045, standard pour les descrip- tions de contenus, utilisé sur Internet. – RSVP (Resource reSerVation Protocol), RFC 2205, pour obtenir des garanties de qua- lité de service et effectuer des réservations de ressources. – HTTP (HyperText Transfer Protocol), RFC 2616, pour le traitement des pages Web sur Internet (on peut inclure des adresses SIP directement dans des pages Web). – MGCP (Media Gateway Control Protocol), RFC 3435, pour le contrôle des passerelles assurant la connectivité entre un réseau IP et un réseau téléphonique. TABOU Stephane 10
  17. 17. ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP AU SEIN DE DATA CONSULTING CIRCLE Notons que ces protocoles sont d’une nature différente de celle de SIP, et ils n’interfèrent pas avec la signalisation. Leur utilisation conjointe est possible, voire recommandée pour certains d’entre eux. Cela dit, aucun d’eux n’est indispensable au bon fonctionnement de SIP, qui reste totalement indépendant à leur égard et autorise a priori n’importe quel autre protocole. a. Architecture du protocole SIP Le protocole SIP est implémenté sur une architecture purement logicielle, autour de 5 grandes entités : le terminal utilisateur, le serveur d’enregistrement, le serveur de redirection, le serveur proxy, le serveur de localisation. Le terminal designe un composant materiel (téléphone) ou logiciel (softphone) dont l’uti- lisateur dispose pour émettre et recevoir des appels. Il est généralement appelé UA (User Agent) et est constitué de deux parties : – L’UAC (User Agent Client) ou partie cliente qui est en charge de l’émission des requêtes, en d’autres termes, de l’initialisation des appels, – L’UAS (User Agent Server), qui reçoît et traite les appels. Bien nombreux sont les clients SIP qui existent sur le marché. Parmi les plus réputés, on retrouve notamment : X-Lite, 3CX-Phone et Wengo. Le serveur d’enregistrement joue un rôle primordial dans la communication entre deux ter- minaux.Il permet de localiser un correspondant, tout en gérant la mobilité de ce dernier.En outre, il peut supporter l’authentification des abonnés. Le serveur de localisation contient la base de données de l’ensemble des abonnés qu’il gère. Cette base est renseignée par le serveur d’enregistrement. Le serveur de redirection agit tel un intermédiaire entre le terminal client et le serveur de lo- calisation.Il est sollicité par le terminal client pour contacter le serveur de localisation afin de determiner la position courante d’un utilisateur. L’appelant envoie une requête de localisation d’un correspondant au serveur de redirection ; ce dernier joint le serveur de localisation afin d’effectuer la requête de localisation du correspondant à joindre. Le serveur de localisation répond au serveur de redirection, lequel informe l’appelant en lui fournissant la localisation trouvée. TABOU Stephane 11
  18. 18. ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP AU SEIN DE DATA CONSULTING CIRCLE Le serveur proxy ou serveur mandataire, permet d’initialiser une communication à la place de l’appelant, jouant le rôle d’intermédiaire entre les terminaux des interlocuteurs et agit pour le compte de ces derniers. Il remplit les fonctions suivantes : la localisation d’un correspondant, les traitements éventuels sur les requêtes, l’initialisation, le maintien et la terminaison d’une session vers un correspondant. Ainsi,un serveur proxy, en plus de la localisation, permet de mettre en communication les deux terminaux de façon transparente pour le terminal client. Il peut donc acheminer les mes- sages de signalisation des terminaux, de l’initialisation de la communication à sa terminaison, en passant par sa modification. On distingue deux types de serveurs proxy : – Le proxy statefull qui maintient pendant toute la durée des sessions l’état des connexions, – Le proxy stateless qui achemine les messages independamment les uns des autres, sans sauvegarder l’état des connexions. Figure 2.4 – Architecture du protocole SIP Fonctionnement du protocole SIP SIP,protocole de signalisation se charge exclusivement de la mise en relation des interlo- cuteurs. Afin d’établir ladite communication , il se charge d’envoyer plusieurs paquets entre les deux terminaux afin de définir le début et la fin de la communication, son type , le type d’encodage utilisé pour l’audio et bien d’autres paramètres. Ces requêtes sont définies par différents codes : – 1XX :information ; la requêtere reçue par le destinataire a été reçue et contiue à être TABOU Stephane 12
  19. 19. ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP AU SEIN DE DATA CONSULTING CIRCLE traitée (ex :180 = ’le terminal destinataire sonne’) – 2XX : Succès (ex : 200=’OK’ 202=’acceptée’) – 3XX : Redirection ; une autre action doit avoir lieue afin de valider la requête – 4XX : Erreur du client ; la requête contient une syntaxe fausse ou bien elle ne peut pas être traitée par le serveur – 5XX : Erreur du serveur ; le serveur n’a pas réussi à traitée la requête qui smeble être correcte – 6XX : Echec général ; la requête ne peut être traitée par aucun serveur. TABOU Stephane 13
  20. 20. Chapitre 3 Mise en place de l’architecture 3.1 Presentation du serveur Asterisk 3.1.1 Introduction De manière générale, les grandes entreprises sont dotées de centraux téléphoniques appe- lés autocommutateurs ou PABX. Un PBX désigne une entité logique, presque toujours gérée par un équipement matériel doté d’une triple fonction : le routage des appels au sein d’un réseau privé, l’interconnection des réseaux et la gestion des services de téléphonie. L’évolution de la technologie dans le domaine des télécommunications a conduit à la mise sur pied de PABX d’un genre nouveau : le PABX logiciel, plus connu sous le nom de IPBX. Parmi les plus réputés du domaine, Asterisk en fait partie. Asterisk est un IPBX, complet et très performant qui a su s’imposer face à des géants tels que Cisco, Nortel, Avaya, 3Com, et Siemens. Initialement conçu pour fonctionner sous Linux, il en existe aujourd’hui des versions disponibles pour toutes les plateformes : FreeBsd, Sun Solaris, MacOs X, Open Suse et Windows. Developpé en 2001 par Mark Spencer, de la société américaine Digium, Astérisk est un logiciel libre d’utilisation, ses sources sont téléchargeables sous licence GNU GPL, permettant ainsi à une importante communauté d’utilisateurs de contribuer à son developpement. Son archi- tecture modulaire, sa facilité de mise en œuvre et son fonctionnement simplifié permettent 14
  21. 21. ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP AU SEIN DE DATA CONSULTING CIRCLE une grande utilisation tant au sein des grandes entreprises qu’au sein des particuliers. 3.1.2 Fonctionnalités Astérisk propose toutes les fonctionnalités d’un standard téléphonique de niveau profes- sionnel, des plus élémentaires aux plus complexes. Non seulement il permet une gestion du routage des appels au sein du réseau, mais en plus, il supporte une large gamme de services, parmi lesquels nous pouvons citer quelques uns : – Authentification des utilisateurs appelants, – Serveur vocal interactif, – Numérotation abrégée pour définir des raccourcis, – Transfert d’appel, – Filtrage d’appel, – Messagerie vocale, – Notification et écoute par e-mail des messages laissés sur son répondeur, – Gestion des conférences, – Double appel, – Mise en attente, – Journalisation des appels, – Facturation détaillée, – Enregistrement des appels. Bien nombreux sont les protocoles supportés par Asterisk, notamment H.323, SIP, MGCP, IAX(protocole propriétaire d’Asterisk) et SCCP. L’interopérabilité est également assurée avec la téléphonie standard RTC et la téléphonie numerique RNIS. En outre, il supporte les codecs audio suivants : G.711, G.726, G.729, ADPCM et GSM. 3.1.3 Les fichiers de configuration du serveur Asterisk Vu son architecture modulaire, Asterisk n’est en fait constitué que d’un seule brique élémentaire, sur laquelle se greffent des composants additionnels, permettant ainsi d’enri- TABOU Stephane 15
  22. 22. ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP AU SEIN DE DATA CONSULTING CIRCLE chir ses fonctionnalités. De ce fait, il est possible de n’installer que les composants dont on a besoin et d’en laisser d’autres pour une installation ultérieure. Les principaux com- posants d’Asterisk sont sous la forme d’archives d’extension .tar.gz disponibles à l’adresse http://www.asterisk.org/download ou ftp://ftp.digium.com/pub Les principaux mo- dules d’Astérisk sont les suivants : – Asterisk , qui constitue l’élément fondamental du serveur, seul indispensable à son fonctionnement ; – Asterisk-addons qui comporte plusieurs modules complémentaires d’Astérisk ; – Asterisk-sounds, ces modules fournissent une quantité de sons qui peuvent être uti- lisés dans des messages d’accueil ou pour signaler à l’appelant divers services. Les messages audio sont disponibles en trois langues : anglais, français et espagnol. – Libiax inclue toute une bibliothèque de codes sources utilisant le protocole IAX. – Libri pour assurer l’interface avec les réseaux non-IP. – Zaptel , il contient les pilotes pour les cartes d’interface avec les réseaux non-IP. Une fois , tous les téléchargements terminés , il faut procéder à la décompression des ar- chives téléchargées grâce à la commande tar -xzvf nom_du_composant_à_installer. Ensuite, on effectue la compilation et l’installation de ces composants grâce aux commandes :make qui permet de lancer la compilation du composant et make install qui permet de lancer son installation. Il est à noter que l’installation de ces composants ne doit pas se faire au hasard. En effet, il serait judicieux d’installer les bibliothèques Zaptel et Libri avant de procéder à l’intallation de Astérisk pour terminer enfin par le module Asterisk-addons et Asterisk- sounds. Il existe deux modes de démarrage du logiciel Asterisk , le mode client et le mode serveur. – Mode serveur : Dans ce mode, le serveur se met en écoute des clients et prend en charge leur demande de connexion et de communication. Ce mode est démarré de deux ma- nières différentes. Pour un lancement automatique du serveur (à chaque démarrage du système d’exploi- tation), la commande utilisée est la suivante : /usr/sbin/sfar_asterisk Pour un lancement manuel, on utilise la commande suivante : asterisk -vvvc. Notons TABOU Stephane 16
  23. 23. ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP AU SEIN DE DATA CONSULTING CIRCLE que , la succession des options v a pour but d’afficher un certain niveau de messages informatifs concernant le fonctionnement du serveur de plus en plus élevé. vvv est l’acro- nyme de very very verbose. La lettre c demande qu’un message s’affiche devant chaque ligne. – Mode client ou mode interactif : Le client Asterisk se branche au serveur Asterisk et l’interroge pour lui demander des informations sur son état courant ou pour lui donner de nouvelles directives. En effet, ce mode permet de vérifier que le serveur est opérationnel. On peut ainsi récuperer de nombreuses informations concernant l’état du serveur et l’état des connexions des utilisateurs.Le lancement d’Asterisk en mode client s’effectue grâce à la commande asterisk -r. La gestion des appels par le serveur Asterisk ne peut s’effectuer que par l’entremise de fichiers de configuration. La configuration du serveur Asterisk, est fondée sur les quatre éléments suivants : a. Description des utilisateurs et des terminaux Il est quasi fondamental d’identifier les utilisateurs afin qu’ils puissent être joignables au sein du réseau. Par ailleurs, mettre en place un authentification permet de s’assurer que les utilisateurs frauduleux ne pourront s’introduire dans le système. Ils sont recencés dans les fichiers de configuration selon le protocole de signalisation qu’ils utilisent. Les protocoles de signalisation SIP et IAX utilisent respectivement les fichiers sip.conf et iax.conf pour cette description. Le fichier sip.conf se subdivise en sections dont chacune est identifiée par son étiquette ou label. La section [general] permet d’effectuer des configurations générales liées au serveur. La section [user_id] définit chaque compte d’utilisateur. Un compte d’utilisateur se voit décrit par les paramètres suivants : – username qui renseigne sur l’identifiant de l’utilisateur, – secret qui indique le mot de passe associé, – type indique le type de compte. Il peut prendre l’une des trois valeurs suivantes : TABOU Stephane 17
  24. 24. ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP AU SEIN DE DATA CONSULTING CIRCLE friend (autorise les appels entrants et sortants), user (autorise les appels entrants), peer (autorise les appels sortants), – host spécifie une addresse IP à partir de laquelle l’utilisateur pourra accéder à son compte. Afin d’autoriser une adresse IP dynamique, on la renseigne par la valeur dy- namic, – callerid qui renseigne sur le nom d’utilisateur entre guillemets, suivi de son numéro d’appel. Cette information permet d’afficher le nom d’utilisateur et son numéro de téléphone dans le cadre des appels sortants, ceci dans le cas ou le terminal utilisé permet d’afficher ces informations, – context qui définit le type de routage à appliquer pour l’utilisateur tel que défini dans le plan de numérotation, – language qui determine la langue utilisée pour les fichiers audio, – allow qui liste les codecs autorisés par l’utilisateur, – disallow qui interdit les codecs mentionnés à sa suite, – nat qui spécifie si le flux réseau utilise la translation d’adresse NAT, – mailbox pour l’adresse de boîte vocale associée au compte – dtmfmode pour le type de tonalité. Il peut prendre les valeurs rfc2833, info ou auto. – careinvite permet d’indiquer au serveur asterisk lorsqu’une communcation s’efectue de réemettre les informations concernant le flux multimédia dans de nouveaux mes- sages.Cette paramètre doit prendre la valeur no dans le cas où l’utilisateur est derrière un NAT. La configuration du fichier iax.conf est similaire à celle du fichier sip.conf b. Plan de numérotation (DialPlan) Il determine les règles de routage des appels tout en permettant la mise en relation des interlocuteurs. Il est défini dans un fichier unique extensions.conf qui inclue d’autres fichiers. Le fichier extensions.conf est organisé en sections appelées contextes. Un contexte défini un cadre d’application et peut contribuer à une catégorisation des utilisateurs. L’aisance avec laquelle le serveur Asterisk est personnalisable provient de ces contextes, étant donné qu’il TABOU Stephane 18
  25. 25. ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP AU SEIN DE DATA CONSULTING CIRCLE devient facile d’attribuer des paramètres particuliers à des utilisateurs spécifiques ou à un groupe d’utilisateurs de façon indépendante. Il existe deux sections particulières dans le fi- chier extensions.conf. Ces deux sections sont tout au début dudit fichier et sont [general ] et [globals]. La section [general] définit les options générales appliquées par le serveur Asterisk au plan de numérotation. Par exemple les indications suivantes : Clearglobalvars = yes permet d’afficher les variables globales enregistrées par le serveur As- terisk static = yes writeprotect = no pour la sauvegarde du plan de numérotation. La section [global] définit les variables globales prises en compte par le serveur Asterisk. Le format général d’un dialplan est le suivant : [context] Exten =>identifiant_d’extension,priorité,application c. Les services supplémentaires Les services supplémentaires fournissent plus de fonctionnalités au serveur, chaque service étant défini dans un fichier spécifique. d. Le matériel physique Il est nécessaire une fois que la possibilité de communiquer avec les utilisateurs du réseau téléphonique commuté est envisageable. Ceci dans le but d’indiquer au serveur Asterisk la nature des composants et la façon dont il va communiquer avec ces derniers. 3.2 Mise en place de l’environnement Dans un souci de simplicité, nous avons présenté un schema assez simplifié du réseau informatique de Data Consuling Circle, avec les différents services de la structure. Le réseau informatique de Data Consulting Circle est constitué du matériel suivant : – une dizaine d’ordinateurs de marque Toshiba dont les caractéristiques sont les sui- vantes : 2Go de RAM, 150 Go de disque dur, 2.8 Ghz pour la fréquence du micropro- TABOU Stephane 19
  26. 26. ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP AU SEIN DE DATA CONSULTING CIRCLE cesseur, dotés des systèmes d’exploitation Windows XP et Windows 7 ; – des imprimantes de marque HP – des scanners de marque HP – un modem Huawei E153 – un serveur dont les caractéristiques sont les suivantes : Processeur Quad-Core (4 threads) Intel Xeon E5-2403 (1.8 GHz), 8 Go de mémoire vive de type DDR3 ECC (1333 MHz),2 To d’espace disque (2x disques durs 1 To SATA 6Gb/s) – deux switch Cisco de 24 ports 3.2.1 Installation de Asterisk Asterisk sera installé sur le serveur Linux. On peut installer le logiciel Asterisk de deux manières : installation par les sources : Sur la distribution Linux Debian, les paquets de la dernière version stable se trouvent dans les dépôts officiels.La commande apt-get install asterisk suffit pour installer le logiciel ; installation par les sources : Les sources du logiciel se trouvent sur le site officiel de l’édi- teur :http://www.digium.org/. A cette date, la version la plus stable et documentée est la 13.0.1 •Télécharger l’archive asterisk-10.7.0.tar.gz ; •Decompresser l’archive grâce à la commande tar -xzvf asterisk-10.7.0.tar.gz •Executer la commande ./configure pour la configuration des fichiers sources •On peut executer optionnellement make menuselect pour installer des modules supplémen- taires. •Executer la commande make pour la compilation des fichiers sources •Ensuite la commande make install pour l’installation des services •Pour terminer, on execute la commande make samples qui permet de créer les fichiers de configuration de base de Asterisk. Pour démarrer le serveur, on peut le faire en mode client grâce à la commande asterisk -r. TABOU Stephane 20
  27. 27. ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP AU SEIN DE DATA CONSULTING CIRCLE 3.2.2 Création des comptes SIP Au regard de la subdivision de l’administration de Data Consulting Circle, nous avons crée un minimum de deux comptes SIP par service.Les differents comptes SIP sont présentés dans l’annexe 1 3.2.3 Configuration du Dialplan Les paramètres de configuration du dialplan sont en annexe 2. Serveur Vocal Interactif : Encore appelé IVR, il permet de guider les utilisateurs vers le service quils souhaitent joindre, on peut sen servir aussi pour simplement annoncer les horaires douvertures,etc [ivr] exten => 1111,1,Goto(ivr_sdie,s,1) exten => s,1,Answer() exten => s,2,Playback(accueil_dcc) exten => s,3,Set(TIMEOUT(response=10)) exten => s,4,Background(menu_ivr) exten =>s,5,WaitExten() exten => i,1,Playback(invalid) exten => i,2,Goto(ivr,s,4) exten => t,1,Goto(ivr,s,4) 3.2.4 Configuration des softphones Le client SIP ou softphone permet de jouer le rôle d’un téléphone IP de manière logiciel. Il requiert un système de son (carte son, micro, haut parleur) pour l’utiliser. Ces clients permettent de remplacer des téléphones IP matériels onéreux.Il existe une multitude de soft- phones, disponibles en version payante et version gratuite.Dans le cadre de notre stage, nous avons eu à travailler sur le softphone X-lite. TABOU Stephane 21
  28. 28. ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP AU SEIN DE DATA CONSULTING CIRCLE X-lite est un freeware, simple d’utilisation. Il est disponible pour les différents systèmes d’ex- ploitation : WIndows, Linux et Mac sur le site de l’editeur CounterPath. Figure 3.1 – SoftPhone X-Lite Pour configurer le client X-lite,l’utilisateur 100 et 200 doivent accéder au menu Sip Ac- count Setting, puis de ce menu, vers le sous menu Sip Account. Dans la fenêtre qui s’ouvre, il suffit de remplir les champs illustrés suivant des deux utilisateurs. Utilisateur 100 – Identifiant affiché pour l’utilisateur (Display Name) : Alvine – Identifiant utilisé pour loguer l’utilisateur (User Name) : 100 – Mot de passe associé (Password) : secretariat000 – Nom sous lequel l’autorisation d’accès est possible (Authorization User) : 100 – Nom de domaine (Domain) : 192.168.85.150 Notons qu’afin que l’authentification soit possible, ces valeurs doivent être conformes à celles saisies dans le fichier sip.conf du serveur Asterisk. Une fois la configuration achevée, le softphone se connectera automatiquement au serveur et TABOU Stephane 22
  29. 29. ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP AU SEIN DE DATA CONSULTING CIRCLE s’enregistrera.Si l’enregistrement a echoué, un message d’erreur explique le motif de l’echec du processus d’enregistrement. TABOU Stephane 23
  30. 30. ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP AU SEIN DE DATA CONSULTING CIRCLE Figure 3.2 – Configuration du compte SIP du client Alvine TABOU Stephane 24
  31. 31. Chapitre 4 Sécurisation de l’architecture La technologie de ToIP est apparue il y a plus de dix ans. Elle a subi de multiples standar- disations internationales, qui, sans la mettre à labri des évolutions permanentes, inhérentes aux technologies réseau, la rendent désormais suffisamment mature pour envisager un dé- ploiement à grande échelle. À condition toutefois de maîtriser la sécurité et son intégration au monde du sans fil. Les vulnérabilités dont les attaques peuvent tirer parti peuvent avoir cinq origines : – les protocoles ; – les logiciels ; – le système d’exploitation ; – l’infrastructure physique ; – l’erreur humaine. Chacune d’elles est une source potentielle de faille, qu’il convient d’étudier avec précaution dans la mise en place d’une solution de ToIP. Il faut noter qu’une attaque peut avoir trois objectifs : acquisition de service : L’objectif ici, est de s’approprier des droits et fonctionnalités qui n’ont pas véritablement été attribuées à l’attaquant. Interception de service : cette attaque compromet la confidentialité du service et vise à en analyser ou modifier le contenu. Interruption de service : L’objectif est purement de nuire au bon déroulement du service 25
  32. 32. ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP AU SEIN DE DATA CONSULTING CIRCLE en cherchant à le mettre hors d’usage. 4.1 Les attaques Les attaques de sécurité réseau sont regroupées en attaques passives et actives. Une attaque est dite passive lorsqu’un individu non autorisé obtient un accès à une ressource sans modifier le contenu. Elles désignent généralement des écoutes ou des analyses de trafic ou analyse de flot de trafic. Una attaque est dite active lorsqu’un parti non autorisé apporte des modifications aux mes- sages et flux de données ou de fichiers. Il est possible de détecter ce type d’attaque. On distingue dans cette catégorie la masquarade ou usurpation d’identité, le rejeu, la modifica- tion de messages et le déni de service ou DoS(Deny of Service). Ce dernier type d’attaque est l’une des sources de menace redoutables pour les solutions de securité logicielle, puisque la sécurité est facilement mise en cause en cas de modification malveillante des programmes chargés d’appliquer les protocoles et les règles de contrôle. 4.2 Mécanismes de sécurité De nombreux mécanismes sont mis en œuvre dans la sécurisation d’une architecture de Téléphonie sur IP. On peut citer : – Mise à jour des softwares – Verouillage de la configuration – Séparation grâce aux Vlans – Filtrage inter-Vlan – Utilisation de cartes réseaux supportant le protocole 802.1Q – Authentification et chiffrement – Protection contre les attaques ARP TABOU Stephane 26
  33. 33. ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP AU SEIN DE DATA CONSULTING CIRCLE 4.2.1 Mise à jour des softwares L’IPBX, les hardphones et les softphones contiennent tous un logiciel, dont le code source peut contenir des failles, donc peit être vulnérable à diverses attaques. Il est donc fondamental de maintenir à jour la version de ces logiciels, notamment lorsqu’une faille de sécurité les concernant a été découverte. 4.2.2 Verouillage de la configuration Une fois le softphone/hardphone configuré, il est imporant de verouiller par mot de passe sa configuration afin d’empêcher qu’un utilisateur ne puisse modifier ces paramètres (par exemple,désactiver l’authentification). 4.2.3 Séparation grâce aux Vlans Cette solution consiste à definir un Vlan! DATA dédié aux équipements réseaux présents dans le réseau DATA et un Vlan dédié à la téléphonie sur IP. 4.2.4 Filtrage inter-Vlan Les communications entre les VLAN doivent être rigoureusement filtrées de manière à nau- toriser que les flux nécessaires. Seuls les flux définis sont autorisés. Le filtrage peut s’effec- tuer comme suit : en définissant des listes de contrôles d’accès ou ACL sur les switches et/ou les rou- teurs interconnectant les Vlans, en configurant des firewall entre les VLANs. Les trage devraient être basées sur les adresses IP, les numéros de ports/protocoles et les flags TCP/IP de ma- nière à être le plus strict possible et à nautoriser que les communications nécessaires. Par exemple, les IP Ph soin denvoyer un flux média (ex : RTP) aux serveurs VoIP. Donc, au lieu dautoriser toutes com- munications entre les VLAN VOIP Hardphones/Softphones et le VLAN VoIP Servers, seul le tra- fic concernant le protocole de signalisation (ex : SIP) devrait être autorisé. TABOU Stephane 27
  34. 34. ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP AU SEIN DE DATA CONSULTING CIRCLE 4.2.5 Placer les services convergés dans des DMZ Afin de ne pas compromettre la séparation des VLAN DATA et VoIP, les services conver- gés (services nécessitant un accès au VLAN DATA et au VLAN VoIP) doivent être pla- cés dans une DMZ.Les règles du firewall doivent être le plus strict possible afin de nautori- ser que les flux necessaires. 4.2.6 Authentification et chiffrement SSL/TLS Le protocole TLS(Transport Layer Security ) est un protocole qui sécurise les echanges sur in- ternet. Il fonctionne en mode clientserveur et fournit quatre objectifs de securité : – l’authentification du serveur ; – la confidentialité des données échangées (ou session chiffrée) ; – l’intégrité des données échangées ; 4.2.7 Protection contre les attaques ARP Cette methode consiste à empêcher la connexion du pirate sur le réseau.La mise en œuvre de cette méthode passe par la sécurisation de l’accès physique du réseau pour un réseau filaire, l’installation d’un pare-feu,l’analyse des historiques et l’implementation des tables ARP statiques. 4.3 Outils de test d’analyse et Vulnérabilités de la ToIP SiVuS est lun des scanners de vulnérabilité les plus connus et les plus fiables suppor- tant le protocole SIP. Ce scanner propose un grand nombre de fonctionnalités qui per- mettent de mesurer la sécurité dun composant SIP. VOMIT est un logiciel qui permet de convertir une conversation d’un téléphone IP Cisco en un fi- chier son de format wav. Pour cela, L’utilitaire demande un fichier de capture de type tcp- dump. TABOU Stephane 28
  35. 35. ETUDE ET MISE EN OEUVRE D’UNE ARCHITECTURE DE TELEPHONIE SUR IP AU SEIN DE DATA CONSULTING CIRCLE Wireshark (anciennement Ethereal) est un logiciel de surveillance des réseaux IP, permettant ainsi d’analyser le flux de trafic qui transite sur le réseau. TABOU Stephane 29
  36. 36. Conclusion Générale Au terme des cinq mois de stage que nous avons éffectué à DATA CONSULTING CIRCLE, à la direction technique, nous pouvons de ce pas faire un bilan des différentes réalisations éffectuées. Le travail qui nous avait été convié était « Etude et Mise en œuvre d’une architec- ture de téléphonie sur IP au sein de Data Consulting Circle». Dans l’accomplis- sement de cette tâche, nous avons présenté une vue générale de la téléphonie sur IP, et les configurations visant à la mise en œuvre de cette architecture au sein de DCC. Parlant de l’apport de notre stage dans notre vie, nous pouvons avec quasi-certitude qu’elle a été à plusieurs niveaux à l’instar : – académique : car elle nous a permis de faire un pont entre la théorie apprise pendant les différents cours magistraux qu’on retrouvent à l’école et la pratique qui ne donne pas toujours le résultat attendu – professionnel : car elle nous a permi de nous mettre dans la peau d’un travailleur avec tous ses contraintes 30
  37. 37. Création des comptes SIP [secretariat]( !) context = secretariat host = dynamic type = friend nat = yes careinvite = no secret = secretariat000 allow = ulaw allow = gsm allow = h263 disallow = all transport=udp [100](secretariat) username=poste-Secretariat1 callerid="Alvine" <100> [101](secretariat) username=poste-Secretariat2 callerid= "Josiane" <101> [ressourceshumaines]( !) context = rh host = dynamic type = friend nat = yes careinvite = no secret = ressourceshumaines000 allow = ulaw allow = gsm page 31
  38. 38. allow = h263 disallow = all transport=udp [200](ressourceshumaines) username=poste-Rh1 callerid="Tonfack" <200> [200](ressourceshumaines) username=poste-Rh2 callerid="Patrick" <201> [serviceMarketing]( !) context = marketing host = dynamic type = friend nat = yes careinvite = no secret = servicemarketing000 allow = ulaw allow = gsm allow = h263 disallow = all transport=udp [300](serviceMarketing) username=poste-mark1 callerid="Boniface" <300> [301](serviceMarketing) username=poste-mark2 callerid="Helene" <301> page 32
  39. 39. [serviceCommercial]( !) context = marketing host = dynamic type = friend nat = yes careinvite = no secret = servicecommercial000 allow = ulaw allow = gsm allow = h263 disallow = all transport=udp [400](serviceCommercial) username=poste-ServiceCommercial1 callerid="Mme Tsafack"<400> [401](serviceCommercial) username=poste-ServiceCommercial2 callerid="Mme Etoube" <401> [directiontechnique]( !) context = directiontechnique host = dynamic type = friend nat = yes careinvite = no secret = directiontechnique000 allow = ulaw allow = gsm allow = h263 page 33
  40. 40. disallow = all transport=udp [500](directiontechnique) username=DT1 callerid="Mr Massingi" <500> [501](directiontechnique) username=DT2 callerid="Mr TABOU" <501> [directiongenerale]( !) context = direction generale host = dynamic type = friend nat = yes careinvite = no secret = directiongenerale000 allow = ulaw allow = gsm allow = h263 disallow = all transport=udp [600](directiongenerale) username=DG1 callerid="DG" <600> [601](directiongenerale) username=DG1 callerid="DG" <601> page 34
  41. 41. Attribution des numéros d’appel aux différents services de l’entreprise [secretariat] ;Pour les appels à destination du sécrétariat exten => _1XX, 1 ,DIAL(SIP/$EXTEN,20,tT) exten => _1XX, n, voicemail($EXTEN) exten => _1XX, n, hangup() [ressourceshumaines] ;Pour les appels à destination des ressources humaines exten => _2XX, 1 ,DIAL(SIP/$EXTEN,20,tT) exten => _2XX, n, voicemail($EXTEN) exten => _2XX, n, hangup() [servicemarketing] ;Pour les appels à destination du service marketing exten => _3XX, 1 ,DIAL(SIP/$EXTEN,20,tT) exten => _3XX, n, voicemail($EXTEN) exten => _3XX, n, hangup() [servicecommercial] ;Pour les appels à destination du serviceCommercial exten => _4XX, 1 ,DIAL(SIP/$EXTEN,20,tT) exten => _4XX, n, voicemail($EXTEN) exten => _4XX, n, hangup() [directiontechnique] ;Pour les appels à destination du directiontechnique exten => _5XX, 1 ,DIAL(SIP/$EXTEN,20,tT) exten => _5XX, n, voicemail($EXTEN) exten => _5XX, n, hangup() [directiongenerale] page 35
  42. 42. ;Pour les appels à destination de la direction generale exten => _6XX, 1 ,DIAL(SIP/$EXTEN,20,tT) exten => _6XX, n, voicemail($EXTEN) exten => _6XX, n, hangup() Messagerie vocale : Dans le fichier voicemail.conf, on a les configurations suivantes : [secretariat] 199 => 1000,secretariat,secretariat@dataconsultingcircle.com [ressourceshumaines] 299 => 2000,ressourceshumaines,ressourceshumaines@dataconsultingcircle.com [servicemarketing] 399 => 3000,servicemarketing,servicemarketing@dataconsultingcircle.com [servicecommercial] 499 => 4000,servicecommercial,servicecommercial@dataconsultingcircle.com [directiontechnique] 599 => 5000,directiontechnique,directiontechnique@dataconsultingcircle.com [directiongenerale] 599 => 5000,directiongenerale,directiongenerale@dataconsultingcircle.com Et dans le fichier extensions.conf, on a les configurations suivantes : ;Pour consulter la messagerie vocale exten => 999, 1, voicemailmain($EXTEN) exten => 999, n, Hangup() page 36
  43. 43. Bibliographie [1] G. Barisaux. De h323 sip ou h325 quel protocole s’imposera ?, dec 2011. http://wapiti.telecom-lille1.eu/commun/ens/peda/options/st/rio/pub/ exposes/exposesser2010-ttnfa2011/barisaux-gourong/H323.html. [2] M. Damien. Toip asterisk. Administration de systèmes, réseaux et applica- tions à base de logiciels libres, page 49, jan 2007. [3] A. W. des Télécommunications. La voix sur paquets ou voip, apr 2006. http://www. awt.be/web/res/index.aspx?page=res,fr,fic,150,004. [4] O. Didier, G. Maxime, L. Léonard, B. Vincent, and William. Rapport de projet. Technical report, 2005-2006. [5] Jreppetti. Introduction a la voix sur ip, apr 2012. http://www.erasme.org/ Introduction-a-la-voix-sur-IP-VoIP. [6] B. Rebha. Étude et Mise en place d’une Solution VOIP Sécurisée. PhD thesis, Université Virtuelle de Tunis, 2011. 37

×