SlideShare une entreprise Scribd logo
1  sur  62
Télécharger pour lire hors ligne
Ministère de l’Enseignement                                 République de Côte d’Ivoire
Supérieur et de la Recherche Scientifique                         Union – Discipline - Travail



                            Institut National Polytechnique

                           Félix HOUPHOUET BOIGNY


                    Ecole Supérieure d’Industrie
 N° d’ordre : 06/11/ESI ING TLC /2010


            G
            G 2EE
                 2
 Génie Electrique & Electronique




                    MEMOIRE DE FIN DE CYCLE
                                            Pour l’obtention du

              Diplôme d’ingénieur de conception en télécommunications et réseaux




           Sécurisation des Réseaux NGN :
            Cas de ORANGE Côte D’Ivoire
                        ( OC I )
                              Période de stage : 06 Avril – 05 Juillet 2010
                                                  Présenté par

                                      KARAMOKO MAMADOU
                               Elève ingénieur en télécommunications et
                                                réseaux
       Encadreur Pédagogique                                          Maître de Stage

 Professeur HABA Cissé Théodore                              M. N’DA Jean Marie Dominique
Enseignant Chercheur à l’INPHB de                               Chargé de projet au service
          Yamoussoukro                                    Core Network & Platform ORANGE-CI
Ministère de l’Enseignement                                 République de Côte d’Ivoire
Supérieur et de la Recherche Scientifique                         Union – Discipline - Travail



                            Institut National Polytechnique

                           Félix HOUPHOUET BOIGNY


                    Ecole Supérieure d’Industrie
 N° d’ordre : 06/11/ESI ING TLC /2010


            G
            G 2EE
                 2
 Génie Electrique & Electronique




                    MEMOIRE DE FIN DE CYCLE
                                            Pour l’obtention du

              Diplôme d’ingénieur de conception en télécommunications et réseaux




           Sécurisation des Réseaux NGN :
            Cas de ORANGE Côte D’Ivoire
                        ( OC I )
                              Période de stage : 06 Avril – 05 Juillet 2010
                                                  Présenté par

                                      KARAMOKO MAMADOU
                               Elève ingénieur en télécommunications et
                                                réseaux
       Encadreur Pédagogique                                          Maître de Stage

 Professeur HABA Cissé Théodore                              M. N’DA Jean Marie Dominique
Enseignant Chercheur à l’INPHB de                               Chargé de projet au service
          Yamoussoukro                                    Core Network & Platform ORANGE-CI
Mémoire de fin de cycle
                             Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)




                       INTRODUCTION
              Un réseau peut être vu comme un ensemble de ressources mises en place pour offrir
       des services. C’est l’évolution des services et des trafics offerts qui a piloté, dans les dernières
       années, l’évolution technologique permettant d’augmenter la capacité et les fonctionnalités
       des ressources des opérateurs de téléphonie mobile. Les réseaux de la prochaine génération
       (NGN ou Next Generation Networks en anglais), avec leur architecture répartie, exploitent
       pleinement des technologies de pointe pour offrir de nouveaux services sophistiqués et
       augmenter les recettes des opérateurs tout en réduisant leurs dépenses d’investissement et
       leurs coûts d’exploitation [2]. Un point essentiel dans l’augmentation de l’offre de services
       concerne la capacité à regrouper l’ensemble des services dont le client a besoin et de les lui
       offrir, si possible de manière fidèle. Dans cette situation, le terme "sécurité" est largement
       utilisé pour caractériser le niveau de confiance dans un réseau. De la sécurité découle la
       nécessité de disposer d'architectures, de réseaux, d'équipements et de techniques permettant
       de répondre aux besoins des consommateurs, en ce qui concerne les services proposés.
              Depuis la première phase de migration de son réseau cœur vers le NGN, ORANGE-CI
       n’a cessé de déployer de gros investissements en vue d’effectuer une migration totale.
       Cependant après cette migration totale il faudra mettre en place une politique de sécurisation
       fiable permettant d'optimiser la distribution de l'intelligence de bout en bout de son réseau
       NGN. C’est justement ce travail qui nous a été confié et qui consiste en fait en la mise en
       place d’une technique de sécurisation du réseau NGN de ORANGE-CI. Il renferme l’étude
       des différentes techniques de sécurisation des réseaux NGN, la proposition d’une politique de
       sécurité du réseau NGN de ORANGE-CI et l’architecture du réseau NGN cible sécurisée.
                Le travail s’articulera    autour de trois grands axes. Tout d’abord une approche
       technique de la notion de sécurité dans les réseaux NGN. Ensuite, avec l’analyse du réseau
       existant, nous passerons au choix de la sécurisation puis nous proposerons une architecture
       prenant en compte la sécurité du réseau cible.
                Mais avant d’aborder le travail proprement dit, nous allons présenter le cadre et le
       contexte de notre stage.




Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
                                                                                                              1
Mémoire de fin de cycle
                        Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)




    CHAPITRE 1 :
 CADRE ET CONTEXTE
     DU STAGE



                                             Nous allons décrire l’environnement de travail
                                             dans lequel nous avons évolué durant nos trois
                                             mois de stage, puis nous présenterons le thème
                                             étudié, et la méthodologie de travail adoptée.



Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
                                                                                              2
Mémoire de fin de cycle
                            Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)


            I.1.CADRE DU STAGE
                Notre stage s’est déroulé du 06 Avril au 05 Juillet 2010 au sein de l’équipe Core
       Network & Platform de ORANGE-CI.

            I.1.1   Création de ORANGE-CI [14]

               Orange CI a été créée sous l’appellation, Société Ivoirienne de Mobile (SIM) et sous la
       marque Ivoiris. Elle est détenue à 85% par France Télécom et à 15% par le groupe
       COMAFRIQUE. Ses activités commerciales ont débuté le 28 octobre 1996. Suite à la création
       de la holding de droit français, Orange SA, France Télécom décide de dénommer « Orange »
       toutes ses filiales mobiles, dans lesquelles elle est majoritaire, afin de leur faire bénéficier de
       l’expertise commerciale et de la notoriété dont jouit la marque.
               C’est ainsi que le 18 mars 2002, la Société Ivoirienne de Mobile change de
       dénomination sociale et commerciale et devient Orange Côte d’Ivoire SA (OCI SA).
       Conformément à la politique du groupe, le statut de franchise d’Orange Côte d’Ivoire SA se
       traduit le 29 mai 2002 par l’adoption de la marque, de ses valeurs et de sa vision du futur. Elle
       est à cette date, la première représentation de la marque Orange en Afrique.
               Orange Côte d'Ivoire, société anonyme au capital de 4,136 milliards, a pour siège
       l'immeuble "le Quartz" situé sur le Boulevard Valery Giscard d'Estaing à Abidjan.
               Le Groupe France Telecom a initié depuis 2004, une synergie entre ses filiales en
       Côte d’Ivoire : Orange CI (OCI) et Côte d’Ivoire Telecom (CIT). Les activités du Groupe en
       Côte d’Ivoire concernent les télécommunications à travers les univers fixe-mobile-internet.
               Le numéro de licence d’orange est de 01/CEL/2/96/ATCI ; elle a été accordée le 02
       Avril 1996 et court jusqu’au 02 Avril 2016.

            I.1.2   Missions

              Les résultats probants obtenus par la qualité des services, des produits et l’accueil
       client ont fait d’Orange CI, l’opérateur de référence en Côte d’ Ivoire. Elle s’est donné pour
       objectifs de :
                         Fournir des services spécialisés aux abonnées
                         Satisfaire les besoins de la clientèle
                         Permettre une communication fiable à des tarifs moindres
            Elle souhaite que chaque client puisse communiquer et interagir, à tout moment, de
       n’importe où et de la manière qu’il souhaite. Aussi, elle ambitionne de devenir la première



Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
                                                                                                             3
Mémoire de fin de cycle
                                    Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)

        marque globale de téléphonie mobile. C'est-à-dire être premier dans les services, dans la
        qualité, dans l’innovation et ainsi être le premier choix.

                I.1.3      L’organigramme

                     Pour atteindre ces différents objectifs, OCIT a axé sa politique de gestion sur une
        organisation composée de plusieurs directions, départements et services.

                                                                   DIRECTION
                                                                    GENERAL
                                                                      DG



        Direction financière            Direction des Moyens                   Direction Commerciale       Direction Marketing et de
                (DF)                     Généraux (DMG)                                 (DC)               la Communication (DMC)
                                                                                                                    (DMC)




      Direction Juridique et de        Direction du Réseau et du           Direction de l’Audit et de la        Direction des
      la réglementation (DJR)           Système d’information                                               Ressources Humaines
                                                                                 Qualité (DAQ)
                                                (DRSI)                                                             (DRH)



                                        Direction des études et
                                        Développement (DED)



                                          Direction Adjointe
                                          Réseau structurant
                                               (DARS)



                                        Service CoreNetwork et
                                          Platform (CN&PF)




                                  Figure 1 : Organigramme simplifié d’Orange Côte d’Ivoire




Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
                                                                                                                                   4
Mémoire de fin de cycle
                             Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)


         I.2.    CONTEXTE DU STAGE

            I.2.1    Le service Core Network & platform (CN&PF)

            Notre projet de fin d’études au sein de ORANGE-CI, a été supervisé par le service Core
       Network & Platform (CN&PF). Elle regroupe toutes les activités d’études et de
       développement. Les fonctions de ce service sont :

                Réaliser les études
                Définir les Roadmap IT et Network
                Elaborer le budget de CAPEX
                Etre à l’écoute des besoins des directions d’OCIT et trouver la meilleure solution
                technique pour y répondre
                Assurer l’ingénierie et la gestion de projets lors de la mise en œuvre de :
                       L’évolution du réseau par l’ajout de nouveaux équipements dans le cœur
                       réseau
                       L’extension de capacité des équipements du cœur réseau
                       De nouvelles fonctionnalités
                Assurer la gestion des projets de la DED

            I.2.2    Présentation du thème de l’étude

                La volonté de passage à une architecture NGN au niveau du cœur de réseau de
       ORANGE-CI, s’inscrit avant tout dans une logique d’optimisation du trafic du fait de la
       commutation de paquet et d’évolution vers le concept « tout IP » du réseau existant. Le
       passage à la phase 3 de la migration vers le NGN prévu pour fin juin 2010 de ORANGE-CI se
       caractérise par l’ajout de nouveaux équipements NGN dans le réseau cœur et une
       augmentation des capacités des serveurs existants en termes d’abonnés. Par ailleurs avec cette
       évolution, il paraît nécessaire d’identifier les faiblesses potentielles du réseau NGN et de
       proposer une architecture sécurisée du réseau cible. C'est la raison pour laquelle l’on doit
       définir dans un premier temps une politique de sécurité, dont la mise en œuvre se fait selon
       les étapes suivantes :

                Identifier les besoins en termes de sécurité, les risques pesant sur les équipements et
                les conséquences.




Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
                                                                                                          5
Mémoire de fin de cycle
                           Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)

              Proposer une architecture qui prend en compte la haute disponibilité du réseau pour
              améliorer la QoS.
       Afin d’anticiper en terme de sécurisation totale du réseau NGN cible, le thème
       « SECURISATION DES RESEAUX NGN : CAS DE ORANGE-CI » nous a été confié.

               I.2.3    Intérêt du thème de l’étude

               La stratégie de migration de ORANGE-CI vers le NGN consiste en l’ajout de
       nouveaux équipements dans le réseau cœur et l’augmentation des charges au niveau des
       équipements existants. Cela soulève un certain nombre d’interrogations : les équipements
       ajoutés sont-ils capables de prendre la charge du réseau ? Si oui jusqu'à quel niveau ? Le
       réseau est-il disponible en cas de dysfonctionnement au niveau d’un nœud ? C’est entre autre,
       dans ce paysage disparate de questions que ce travail vient à point nommé, afin de permettre à
       ORANGE-CI de réduire les risques d’indisponibilités considérables du réseau.


               I.2.4    Méthodologie du travail

              La méthode de travail a consisté à relever les risques afférents aux réseaux NGN, les
       techniques utilisées pour aboutir à une sécurisation, le choix et la mise en œuvre d’une
       solution qui tienne compte du réseau NGN cible de ORANGE-CI.




Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
                                                                                                        6
Mémoire de fin de cycle
                        Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)




      CHAPITRE 2 :
      CONCEPT DE
   SECURITE DANS LES
     RESEAUX NGN

                                     Ici, nous allons présenter les caractéristiques des réseaux
                                     de nouvelles générations (NGN), puis procéder à l’étude
                                     prospective des concepts nouveaux des réseaux NGN.
                                     Après cette étude globale des réseaux NGN, nous
                                     décrirons les limites essentielles en termes de non garantie
                                     de la sécurité et aborderons les politiques de sécurisation
                                     liées aux NGN.



Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
                                                                                                    7
Mémoire de fin de cycle
                             Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)


         II.1. GENERALITES SUR LE RESEAU NGN

              II.1.1 Présentation du réseau NGN

                Les NGN1 sont des réseaux en mode paquet capable d'assurer des services de
       télécommunications et d'utiliser de multiples technologies de transport à large bande à qualité
       de service imposée et dans lesquels les fonctions liées aux services sont indépendantes des
       technologies liées au transport[1]. Afin de s’adapter aux grandes tendances qui sont la
       recherche de souplesse d’évolution de réseau, la distribution de l’intelligence dans le réseau,
       et l’ouverture à des services tiers, les NGN sont basés sur une évolution progressive vers le «
       tout IP » et sont modélisés en couches indépendantes dialoguant via des interfaces ouvertes et
       normalisées.

                La couche « Accès », qui permet l’accès de l’utilisateur aux services via des supports
                de transmission et de collecte divers : câble, cuivre, fibre optique, boucle locale radio,
                xDSL, réseaux mobiles.
                La couche « Transport », qui gère l’acheminement du trafic vers sa destination. En
                bordure du réseau de transport, des « Media Gateways » et des « Signalling
                Gateways» gèrent respectivement la conversion des flux de données et de signalisation
                aux interfaces avec les autres ensembles réseau ou les réseaux tiers interconnectés.
                La couche « Contrôle », qui se compose de serveurs dits « Softswitch » gérant d’une
                part les mécanismes de contrôle d’appel (pilotage de la couche transport, gestion des
                adresses), et d’autre part l’accès aux services (profils d’abonnés, accès aux
                plateformes de services à valeur ajoutée).
                La couche « Services », qui regroupe les plates-formes d’exécution de services et de
                diffusion de contenus. Elle communique avec la couche contrôle du cœur de réseau via
                des interfaces ouvertes et normalisées, indépendantes de la nature du réseau d’accès
                utilisé. Les services et contenus eux-mêmes sont par ailleurs développés avec des
                langages convergents et unifiés.
       La figure suivante présente le principe général d'architecture d'un réseau NGN.

        1
            Il existe globalement deux types de réseau NGN : le NGN Téléphonie et le NGN Multimédia. Les
       NGN Téléphonie sont des architectures de réseau offrant uniquement les services de téléphonie. Le
       NGN Multimédia est une architecture offrant les services multimédia (messagerie vocale/vidéo,
       conférence audio/vidéo, Ring-back tone voix/vidéo) puisque l'usager a un terminal IP multimédia.
       Dans ce mémoire nous n’aborderons que le NGN Téléphonie qui est adopté par ORANGE-CI.


Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
                                                                                                             8
Mémoire de fin de cycle
                              Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)


                                                                            Paramètre
                                                                              NGN
                                       Couche Service
                                     (Opérateur et tiers)

                                              Interfaces ouvertes
                                                Et normalisées
                                                                           Réseau cœur
                                       Couche Contrôle

                                              Interfaces ouvertes
                                                Et normalisées
                                     Couche Transport
                                      (Mode paquet)


                                                                           Connexe au
                                       Réseau d’Accès                        NGN
                                         Multiples




                                        Terminaux



                        Figure 2 : Principe général d’architecture d’un réseau NGN

            II.1.2. Les familles de protocoles d’un réseau NGN [2]

              La convergence des réseaux voix/données ainsi que le fait d’utiliser un réseau en mode
       paquet pour transporter des flux multimédia, ayant des contraintes de « temps réel », a
       nécessité l’adaptation de la couche contrôle. En effet ces réseaux en mode paquet étaient
       généralement utilisés comme réseau de transport mais n’offraient pas de services permettant
       la gestion des appels et des communications multimédia. Cette évolution a conduit à
       l’apparition de nouveaux protocoles, principalement concernant la gestion des flux
       multimédia, au sein de la couche Contrôle.

                   II.1.2.1    Les protocoles de contrôle d’appel
              Les protocoles de contrôle d’appel permettant l’établissement, généralement à
       l’initiative d’un utilisateur, d’une communication entre deux terminaux ou entre un terminal et
       un serveur. Les principaux sont :




Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
                                                                                                         9
Mémoire de fin de cycle
                              Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)

                        II.1.2.1.1 Le protocole historique : H.323

              Développé par l’Union Internationale des Télécommunications (UIT-T), le protocole
       H.323 est le protocole de contrôle d’appel sur IP le plus ancien. Nous observons une mutation
       de la norme H.323 vers les NGN. La version 4 de H.323 permet une dissociation des couches
       Transport et Contrôle : c’est une mutation de la norme H.323 vers les NGN. Cela apporte au
       protocole H.323 la capacité d’être utilisable sur des réseaux opérateurs, alors qu’il avait été
       conçu à l’origine pour des réseaux locaux. Il assure la gestion de la qualité de service de bout
       en bout grâce à l’utilisation des protocoles RTP et RTCP. Les protocoles RTP et RTCP
       garantissent la qualité des communications multimédia en mode paquets (gestion et contrôle
       des flux temps réel). Pouvant être mis en œuvre au dessus d’IP ou d’ATM.
       En outre il apporte des services supplémentaires qui ont été normalisés :
              les appels en attente (H.450.4)
              le « parquage d’appels » (H.450.5)
              le signal d’appel (H.450.6)
              le service d’identification (H.450.8)
              le renvoi d’appel (H.450.9)
              la tarification d’appel (H.450.10)
              le service d’intrusion (H.450.11)

              Il est établi que la signalisation des appels et la synchronisation (H.225) se passent
       entre MSC-Server; par contre le protocole utilisé pour l’échange des capacités entre les
       terminaux, la négociation de canal et le contrôle de flux média entre les terminaux H.323
       (H.245) peut s’effectuer entre MGW ou MSC-Server. Il établi la correspondance entre les
       messages ISUP et H.323 pour les appels IP-RTC et RTCIP.

                        II.1.2.1.2 Le protocole SIP-T : Session Initiation Protocol for Telephone

              Défini par le RFC 3261, l’Internet Draft SIP-T (SIP pour la téléphonie) de l’IETF
       définit la gestion de la téléphonie par le protocole SIP ainsi que l’interconnexion avec le RTC.
       Cependant uniquement avec le protocole SS7/ISUP. SIP-T préconise :
              L’encapsulation des messages ISUP à l’intérieur de messages SIP, permettant la
              transmission de façon transparente de la signalisation ISUP dans le cas de transit par
              un réseau IP.




Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
                                                                                                          10
Mémoire de fin de cycle
                               Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)

              Le renseignement de l’en-tête du message SIP par les informations contenues dans le
              message ISUP, permettant d’acheminer le message correctement à travers le réseau IP
              et de terminer les appels sur un terminal SIP.
          C’est un protocole de signalisation pour l’établissement d’appel et de conférences temps
       réel sur des réseaux IP. Il utilise aussi les protocoles RTP et RTCP pour gérer la qualité de
       service de bout en bout.


                         II.1.2.1.3 Le protocole BICC : Bearer Independant Call control [12]

              Le 3GPP suggère l'utilisation du protocole BICC défini par l'ITU-T. Le protocole
       BICC est une extension du protocole ISUP pour permettre la commande d'appel et de services
       téléphoniques sur un réseau de transport IP ou ATM. Le protocole BICC a pour objectif la
       gestion de la communication entre serveurs d'appel, indépendamment du type de support,
       permettant aux opérateurs de réaliser une migration de leurs réseaux RTC/RNIS/GSM vers
       des réseaux en mode paquet. Il encapsule les messages ISUP à l’intérieur de messages IP.
              Le protocole BICC est donc (ou sera à court terme) compatible aussi bien avec les
       protocoles de contrôle d’appel SIP et H.323 qu’avec un transport en mode IP ou ATM.
              Cependant au vu des tendances à moyen/long terme concernant le choix du protocole
       de contrôle d’appel (plutôt SIP au détriment de H.323) et au vu du support important de BICC
       dans le domaine télécoms, le choix du protocole de signalisation entre serveurs d’appel NGN
       se fera vraisemblablement entre BICC et SIP-T.
                    II.1.2.2     Les protocoles de commande de Media Gateway
              Les protocoles de commande de Media Gateway sont issus de la séparation entre les
       couches Transport et Contrôle et permettent au Softswitch ou Media Gateway Controller de
       gérer les passerelles de transport ou Media Gateway. MGCP (Media Gateway Control
       Protocol) de l’IETF et H.248/MEGACO, développé conjointement par l’UIT et l’IETF, sont
       actuellement les protocoles prédominants.
                         II.1.2.2.1 Le protocole historique : MGCP [12]

              Le Media Gateway Control Protocol (MGCP, RFC 2705), protocole défini par l’IETF,
       a été conçu pour des réseaux de téléphonie IP utilisant des passerelles VoIP. Il gère la
       communication entre les Media Gateway et les Media Gateway Controller. Ce protocole traite
       la signalisation et le contrôle des appels, d’une part, et les flux média d’autre part.
              Les différents éléments qui utilisent MGCP sont :



Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
                                                                                                       11
Mémoire de fin de cycle
                               Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)

               La Signalling Gateway qui réalise l’interface entre le réseau de téléphonie
               (Signalisation SS7) et le réseau IP. Elle termine les connexions des couches basses de
               SS7 et transmet les messages ISUP à la MGC.
               Le Media Gateway Controller (MGC) ou Call Agent qui opère l’enregistrement, la
               gestion et les contrôles des ressources des Media Gateway. Elle coordonne
               l’établissement, le contrôle et la fin des flux média qui transitent par la Media
               Gateway.
               La Media Gateway (MG) qui est le point d’entrée ou de sortie des flux média à
               l’interface avec les réseaux IP et téléphoniques. Elle effectue la conversion des
               médias entre le mode circuit (téléphonique) en le mode paquet (IP).

                          II.1.2.2.2 Le protocole alternatif : MEGACO/H.248
              Le groupe de travail MEGACO (MEdia GAteway COntrol) a été constitué en 1998
       pour compléter les travaux sur le protocole MGCP au sein de l’IETF.
              Depuis 1999, l’UIT et l’IETF travaillent conjointement sur le développement du
       protocole MEGACO/H.248 ; c’est un standard permettant la communication entre les Media
       Gateway Controller (MGC) et les Media Gateway (MG). Il est dérivé de MGCP et possède
       des améliorations par rapport à celui-ci :
              Support de services multimédia et de vidéoconférence.
              Possibilité d’utiliser UDP ou TCP.
              Utilise le codage en mode texte ou binaire.

                    II.1.2.3     Le Protocole de signalisation sur IP
              La signalisation SIGTRAN permet l’adaptation et le transport de la signalisation SS7
       sur les réseaux IP. Il est aussi appelé SCTP par abus de langage. Il définit le protocole de
       contrôle entre :
              Les Signalling Gateways (SG), qui reçoivent la signalisation SS7 sur TDM, et la
              convertissent en SS7 sur IP.
              Les MSC-Servers, qui interprètent la signalisation SS7 sur IP.
              Et les « signalling points » du réseau IP (serveurs de contrôle d’appel).
       Les couches d’adaptation définies par SIGTRAN ont toutes des objectifs communs :
              Le transport des protocoles de signalisation des couches supérieures, basé sur un
              protocole de transport fiable sur IP qui est le protocole SCTP.




Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
                                                                                                        12
Mémoire de fin de cycle
                              Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)

                La garantie d’une offre de services équivalente à celle proposée par les interfaces des
                réseaux TDM.
                La transparence du transport de la signalisation2 sur un réseau IP : l’utilisateur final ne
                se rend pas compte de la nature du réseau de transport.
                La possibilité de pouvoir supprimer dès que possible les couches basses du protocole
                SS7.
                 La figure 3 montre la pile de protocoles de la signalisation SIGTRAN telle que
            définie par le RFC 2719.




                                     Figure 3: Pile de protocole SIGTRAN

              II.1.3 Les Entités fonctionnelles du cœur du réseau NGN
                Les réseaux mobiles dont l’essentiel du trafic est la voix sont longtemps restés en
       marge de l’évolution de la commutation jusqu’à ce que l’on ait la possibilité de transporter la
       voix sous forme paquets. En effet, Mise sous forme paquet, la voix peut transiter par un
       réseau utilisé pour [1]:
                Remplacer uniquement le réseau d’accès jusqu’au commutateur.
                Remplacer uniquement le cœur du réseau.
                Remplacer les deux derniers.
                Remplacer l’ensemble du réseau, voire construire un nouveau réseau.

       2
           La signalisation est l’ensemble des informations de service nécessaires à l’établissement et au
       déroulement d’une communication sur un réseau (prise en ligne, mise en attente, libération…)


Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
                                                                                                              13
Mémoire de fin de cycle
                             Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)


              Des changements plus profonds peuvent avoir lieu dans l’architecture du réseau. Un
       commutateur téléphonique est constitué de deux parties principales. Une partie matérielle
       (hardware) qui se charge de l’acheminement des octets de voix entre la source et la
       destination. Une partie logicielle (software) qui se charge de gérer la signalisation et les
       services. Les deux parties sont historiquement logées dans le même équipement appelé MSC.
               Le concept de séparation de la signalisation et la commutation permet de centraliser la
       partie intelligente dans un serveur (appelé MSC-Serveur, ou encore MGC : Mediagateway
       Controller) qui contrôlera les divers dispositifs responsables du transcodage (appelés MGW :
       Mediagateway) qui eux ne peuvent pas être centralisés ; ils peuvent se trouver à chaque point
       d’interconnexion entre la partie radio BSS ou le réseau RTC et le réseau paquets. En effet, le
       MSC server contrôle une ou plusieurs MGW. De plus, la fonction réalisée par la MGW, c'est-
       à-dire l’acheminent des flux, peut être fournie par un réseau en mode paquet, ce qui mène vers
       la convergence voix-données. C’est ce type d’architecture que les NGN proposent.
       L’association physique du MSC server et la MGW forme logiquement le MSC. Le MSC
       server peut implémenter des services autres que les services de voix, on a donc une évolution
       naturelle vers la convergence des services.En effet, les clients accèdent au MSC server, pour
       demander l’accès aux services. Par exemple quand un client demande une communication
       vers un correspondant au MSC server, ce dernier lui indique l’adresse destinataire dans le
       réseau de paquets et la source émet les paquets transportant la voix vers cette destination. Les
       flux d’informations, la voix notamment, sont véhiculés directement sur le réseau de paquets
       (IP) de bout en bout. La figure 4 nous donne une architecture claire du commutateur dans le
       réseau NGN.                                       MSC
                                                                          Protocole ISUP vers RTC
                                                                          Protocole BICC ou SIP-T vers MSC server


                                                     MSC server
                  Signalisation
                 BSSAP/RANAP

                                                  Protocole de contrôle
                                                    MEGACO/H.248


             BSS/UTRAN                   Media                              Media
                                                                                               Réseau IP ou
                                   Circuits de paroles                                            ATM
                                       ou canaux
                                      AAL2/ATM           MGW

                                  Figure 4: Architecture de la commutation NGN


Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
                                                                                                                    14
Mémoire de fin de cycle
                               Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)

                    II.1.3.1     Le MSC server

              Le MSC server [13] est un serveur d’appel qui contient l’intelligence liée au contrôle
       de l’appel et pour ce faire possède un modèle d’appel complet. Il est associé à un VLR afin de
       prendre en compte les données des usagers mobiles. Le MSC server identifie les usagers,
       détermine le niveau de service pour chaque usager et achemine de trafic. Par ailleurs, il
       fournit toutes les informations permettant la taxation des appels et la mesure des performances
       du réseau. Aussi, le MSC server s’interface aux serveurs d’applications. Le MSC server peut
       jouer les rôles suivants :

                           II.1.3.1.1 Le GMSC server

              Si un réseau établi un appel vers un PLMN qui ne communique pas avec le HLR,
       l’appel sera routé vers un MSC. Ce MSC sera en mesure d’interroger le HLR approprié afin
       d'obtenir un numéro de MSRN et par la suite router l’appel vers le MSC où l’abonné est
       localisé. Ce MSC qui est appelé Gateway MSC (GMSC) [5]. Le GMSC server sera
       responsable des fonctions de contrôle d’appel et de gestion de la mobilité par rapport à un
       GMSC. . Un transcodage de la parole doit aussi avoir lieu au niveau de la MGW pour
       convertir la parole reçue et qui est encodée à l'aide du codec G.711 en parole encodée en
       utilisant le codec AMR (UMTS) ou à l'aide du codec GSM, avant de router le trafic audio à
       l'autre MGW qui interface les nœuds BSC et RNC.

                           II.1.3.1.2 Le TMSC server [5]

              Dans les applications, une structure en couche est utilisée dans les réseaux de grande
       étendue. Étant un office de liaison, le TMSC server assure les fonctions suivantes :
               Analyse du routage
               Acheminement des appels intra réseau

                II.1.3.2    La Media Gateway (MGW) [13]

               La Media Gateway reçoit un trafic de parole du BSC ou du RNC et le route sur un
       réseau IP ou ATM. L'interface Iu-CS (Interface entre RNC et MSC) ou l'interface A (Interface
       entre BSC et MSC) se connecte dorénavant sur l'entité MGW afin que le trafic audio puisse
       être transporté sur IP ou ATM. Une fois la connexion établie, la MGW convertira les signaux
       audio transportés dans les circuits de parole (terminaison circuit) en paquets IP qui seront




Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
                                                                                                         15
Mémoire de fin de cycle
                             Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)

       transportés dans le réseau IP (terminaison IP) ou en cellules ATM dans le cas d’un transport
       ATM.

       II.1.4    Architecture du réseau NGN

                Les principales caractéristiques des réseaux NGN sont l’utilisation d’un unique réseau
       de transport en mode paquet (IP, ATM,…) ainsi que la séparation des couches de transport
       des flux et de contrôle des communications, qui sont implémentées dans un même équipement
       pour un commutateur traditionnel.
                Ces grands principes et concernant les équipements actifs du cœur de réseau NGN
       Téléphonie se déclinent techniquement comme suit [2] :
                Remplacement des commutateurs traditionnels par deux équipements distincts :
                        D’une part des serveurs de contrôle d’appel dits Softswitch ou Media Gateway
                        Controller (correspondant schématiquement aux ressources processeur et
                        mémoire des commutateurs voix traditionnels).
                        D’autre part des équipements de médiation et de routage dits Media Gateway
                        (correspondant schématiquement aux cartes d’interfaces et de signalisation et
                        aux matrices de commutation des commutateurs voix traditionnels), qui
                        s’appuient sur le réseau de transport mutualisé NGN.
                Apparition de nouveaux protocoles de contrôle d’appel et de signalisation entre ces
                équipements (de serveur à serveur, et de serveur à Media Gateway).


                La figure 5 [15] présente la structure physique d’un réseau NGN Téléphonie. Les
       équipements existants (exemple : commutateur d’accès téléphonique ou BTS/BSC du réseau
       GSM) sont reliés à une couche de transport IP ou ATM par le biais de Media Gateway
       (couche transport). L’établissement des canaux de communication IP ou ATM entre les Media
       Gateway est la responsabilité du MSC server appartenant à la couche contrôle. Dans
       l’architecture NGN Téléphonie, le protocole de contrôle tel que MGCP ou MEGACO ne fait
       que décrire les interactions entre le MSC server et la MGW. Si un MSC server doit contrôler
       une MGW qui est sous la responsabilité d’un autre MSC server, il est nécessaire que les MSC
       server communiquent en s’échangeant de la signalisation.




Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
                                                                                                         16
Mémoire de fin de cycle
                            Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)




                           SCP
                                                                     Application


                             INAP                       SIP

                                                      MSC server    Contrôle
                                  MSC server   BICC

                     BSSAP

                                                                           ISUP


 BSC/Node B                                      BACKBONE
                           MGW                      IP
                                                                        MGW
                                                Transport
                                                                                            RTCP/PLMN
                                  MGW           Adaptation                           Class 5
        BSC/Node B                                                                   Switch

                                                  Accès

               Trafic
               Signalisation
               Commande MGW : H.248



                            Figure 5: Architecture d'un réseau NGN Téléphonie

              Conclusion
          La séparation des fonctions Transport et Contrôle du cœur de réseau est très déterminant
       dans le réseau NGN. En effet, la notion de réseau de transport, au sens NGN, est plus large
       qu’au sens traditionnel. Elle inclut, en complément des liaisons physiques et de
       l’infrastructure « passive » de transport, l’apparition des fonctions Media Gateway et
       Signalling Gateway, qui effectuent la conversion et l’acheminement du trafic et de la
       signalisation sous le contrôle des serveurs d’appel.
          Dans un monde dominé par le service temps réel, la nouvelle génération d’équipements
       NGN qui est largement orientée autour de l’IP peut présenter des limites en termes de capacité
       de tolérance aux pannes.
          L'objectif de la partie suivante est justement l’évaluation des risques dans les réseaux
       NGN.


Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
                                                                                                        17
Mémoire de fin de cycle
                              Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)


         II.2. LES FAILLES DU RESEAU NGN

            II.2.1 Evaluation des risques

           La problématique de la sécurité est très présente dans les réseaux NGN. En effet les
       services téléphoniques ont de fortes contraintes temps réel, exigences renforcées dans le cas
       de services interactifs (communications multimédia). Pour offrir les services temps réels sur
       des réseaux en mode cœur paquet tels que les NGN, des paramètres quantifiables, directement
       liés à la qualité de service de bout en bout, sont utilisés:
                   Le temps de latence, qui correspond au temps écoulé entre le moment où le serveur
                   d’appel établit la connexion entre un appel émis et le moment où le destinataire
                   final le reçoit.
                   La gigue qui est la variation du temps de latence des paquets émis pour une même
                   « conversation ».
                   La perte de paquets qui représente l’information n’arrivant pas à destination dans
                   un délai compatible avec les flux temps réel. Elle se matérialise par la mauvaise
                   qualité d’écoute et une perte considérable des appels.
           Dans le réseau NGN Téléphonie la séparation des fonctions Transport et Contrôle du cœur
       de réseau se caractérise par l’introduction de deux équipements distincts : MSC server et la
       MGW. Ces équipements sont hébergés et sous contrôle permanent de l’opérateur. Ils doivent
       êtres protégés par diverses mesures, par exemple: sécurisation physique des infrastructures
       existantes, durcissement des systèmes visant à réduire les vulnérabilités et à diminuer les
       risques opérationnels. La gestion de la qualité de service par la seule couche transport, basée
       sur les MSC servers et les MGW, n’offre pas de garantie de qualité de service ni de gestion de
       la qualité de service de bout en bout. Les risques de dysfonctionnement se caractérisent par
       une congestion au niveau des équipements NGN. On distingue : la congestion globale et
       partielle du réseau.

            II.2.2 La Congestion globale du réseau [1]

            La congestion globale est caractérisée par une interruption considérable de tous les
       services. Ce dysfonctionnement généralisé est causée par une défaillance matérielle ou une
       surcharge au niveau du MSC server qui gère l’essentiel du trafic. Chez les opérateurs, les
       situations suivantes peuvent se présenter :




Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
                                                                                                         18
Mémoire de fin de cycle
                              Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)

                     Toutes les MGW sont hors de contrôle, par exemple la perte de tous les liens entre
                     un MSC server et toutes les MGW qu’il contrôle.
                     Tous les trafics gérés par un MSC server sont interrompus, par exemple l’échec
                     des MOC (appels entrants), des MTC (appels sortants), des handovers et des
                     mises à jour de localisation.
                     La perte énorme des données des MSC servers et des MGW
       La congestion globale du réseau introduit la charge des MSC servers dans le réseau.

               II.2.3 La Congestion partielle du réseau [1]

               Lorsqu’une MGW est congestionnée, l’essentiel du trafic qu’elle gère est perdu. On
       parle de congestion partielle quand certains trafics sont momentanément interrompus. Dans ce
       cas :
                     Certaines MGW sont hors de contrôle.

                     Les trafics gérés par une MGW sont interrompus, par exemple l’échec des MOC
                     (appels entrants), des MTC (appels sortants).
       La congestion partielle du réseau introduit la charge des MGW dans le réseau.

               Conclusion
                Les réseaux NGN présentent de nombreuses limites car un facteur clé de la téléphonie
       est prépondérant, c’est celui lié à la notion du « temps réel » et donc la disponibilité.
                Puisqu’il est impossible d’empêcher totalement les pannes matérielles, il est nécessaire
       de prévoir les moyens et mesures permettant d’éviter ou de rétablir en temps réel tout
       incident. La partie suivante aborde la politique de sécurisation des réseaux de façon générale.


         II.3. POLITIQUES DE SECURISATION DES RESEAUX

               II.3.1 La haute disponibilité [7]

                La haute disponibilité désigne une architecture réseau, ou un service, disposant d'un
       taux de disponibilité convenable. On entend par disponible le fait d'être accessible et rendre le
       service demandé.
                La disponibilité est aujourd'hui un enjeu très important et qu'en cas d'indisponibilité,
       les répercussions en termes de coûts et de production peuvent avoir un effet catastrophique.
       Par exemple une disponibilité de 99 % indique que le service ne sera pas disponible pendant



Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
                                                                                                           19
Mémoire de fin de cycle
                               Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)

       3,65 jours par an maximum (un tableau en dessous est fourni pour les différents taux de
       disponibilité). On atteint la haute disponibilité à partir de 99,9 %. La haute disponibilité
       nécessite donc une architecture adaptée.
              Le tableau suivant montre la durée d’indisponibilité du réseau en fonction du taux de
       disponibilité.
                           Tableau 1: Durée d’indisponibilité par taux de disponibilité
                        Taux de disponibilité                     Durée d’indisponibilité
                                97 %                                      11 Jours
                                98 %                                       7 Jours
                                99 %                                3 Jours et 15 Heures
                                99,9 %                             8 Heures et 48 Minutes
                               99,99 %                                   53 Minutes
                               99,999 %                                  5 Minutes
                             99,9999 %                                   32 secondes


              Il est nécessaire par exemple d'alimenter les composants par une alimentation
       stabilisée, d'installer une climatisation efficace afin de maintenir les conditions d'utilisations
       optimum et minimiser les risques de coupures et donc d'arrêt des équipements du réseau cœur.
       Les risques d'incendies doivent aussi être pris en compte ainsi que la protection des câbles.
       Ces précautions de base sont des critères à prendre en compte des le début de l'installation des
       équipements.
              Ces précautions d'ordre externe à l'architecture sont très importantes mais ne suffisent
       pas à garantir une haute disponibilité. Afin de pouvoir l'atteindre, il est nécessaire de mettre
       en place une architecture matérielle complémentaire par la redondance des matériels. La
       sécurisation des données est aussi une solution indispensable pour mettre en place la haute
       disponibilité sur le long terme.

                    II.3.1.1     La redondance matérielle
              La redondance est comme son nom l'indique une duplication partielle ou totale des
       ressources du réseau. Il existe plusieurs types de redondance :
              La redondance symétrique
              La redondance asymétrique
              La redondance évolutive
              La redondance modulaire


Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
                                                                                                            20
Mémoire de fin de cycle
                               Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)

                         La redondance symétrique repose sur le principe de dupliquer deux choses
                         semblables à l'identique point par point.
                         La redondance asymétrique permet de basculer d'un type de matériel à un
                         autre, il n'est pas forcément identique mais assure les mêmes fonctionnalités
                         avec si possible des performances similaires.
                         La redondance évolutive est comparable à l'asymétrique mais on isole le
                         système défaillant lors d'une panne pour utiliser une autre partie du système.
                         La redondance modulaire est une technique qui permet de dévier une panne
                         d'un système sur un autre.
              Dans tous les cas on ne parle de redondance seulement que si les composants exercent
       les mêmes fonctions et ce sans dépendre les uns des autres. Leur influence mutuelle se limite
       en général à se répartir la charge de travail ou des données. Des interactions comme la
       consommation électrique ou la dissipation de chaleur existent quand même. Certains
       composants effectuent des contrôles sur l'activité de leur voisin afin de se substituer à celui ci
       s'ils sont manifestement hors d'usage, ou relancer le service si cela est possible.
              Dans le cas de systèmes complexes, on peut dupliquer différents sous-ensemble. On
       travail successivement sur chaque sous-ensemble en commençant par ceux jugés les moins
       fiables ou étant le plus critique. Une fois dupliqué on se concentre sur le prochain sous-
       ensemble jugé le plus sensible ou fragile et ainsi de suite. On poursuivra ce processus jusqu'à
       avoir atteint le niveau de capacité, de performance et de fiabilité requis et aussi tant que le
       surcoût de l'installation est jugé rentable.

                    II.3.1.2    La sécurisation des données

              La mise en place d'une architecture redondante ne permet que de s'assurer de la
       disponibilité des données mais elle ne permet pas de se protéger contre les mauvaises
       interactions entre équipements ou contre des catastrophes naturelles (incendie, inondations,
       tremblement de terre). Il est nécessaire de sécuriser les données et donc de prévoir des
       mécanismes de sauvegardes afin de garantir la pérennité de celles ci. Cette fonction est double
       car elle permet d'archiver en même temps ces données. Il existe plusieurs types de
       sauvegarde, voici les principaux :
                            Sauvegarde totale
                            Sauvegarde différentielle
                            Sauvegarde incrémentale



Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
                                                                                                            21
Mémoire de fin de cycle
                              Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)

                           Sauvegarde à delta
              La sauvegarde totale (en anglais on parle de full backup) réalise une copie conforme
              des données à sauvegarder sur un support séparé. Ce qui peut poser des problèmes en
              cas de gros volume en terme de lenteur et donc de disponibilité si les données sont
              modifiées en cours de sauvegarde. Elle permet toutefois d'obtenir une image fidèle des
              données à un instant t.
              La sauvegarde différentielle (en anglais on parle de differential backup) se focalise
              uniquement sur les données modifiées depuis la dernière sauvegarde complète. Par
              rapport à la sauvegarde incrémentale (vu après), ce type de sauvegarde est plus lent et
              aussi plus coûteux en espace de stockage mais elle est plus fiable car seule la
              sauvegarde complète est nécessaire pour reconstituer les données sauvegardées.
               La sauvegarde incrémentale (en anglais on parle d’incremental backup) copie tous les
              éléments modifiés depuis la dernière sauvegarde. Plus performante qu'une sauvegarde
              totale car elle ne sauvegarde que les éléments modifiés avec un espace de stockage
              plus faible mais nécessite en contrepartie de posséder les sauvegardes précédentes
              pour reconstituer la sauvegarde complète.
              La sauvegarde à delta (en anglais delta backup) est une sauvegarde incrémentale sur
              des éléments de données à granularité plus fine, c'est à dire au niveau de chaque bloc
              de données.

            II.3.2 Mode de reprise après sinistre

                   II.3.2.1    La réplication

              Dans cette technique deux (ou plus) serveurs (1 et 2) assurent le même service mais
       seul le serveur 1 est actif. Le serveur 2 (passif) est une parfaite copie en temps réel du serveur
       1. Ainsi, en cas d'interruption, le serveur 2 est prêt à remplacer le serveur 1. Il faut s'assurer
       que la somme des ressources passives est égale aux ressources actives (ex. pour deux serveurs
       actifs et un passif les serveurs actifs ne doivent pas dépasser une charge de 50%) pour éviter
       les débordements. Cependant cette solution demande une grande quantité de ressources
       "inutilisées" en fonctionnement normal.

                   II.3.2.2    La répartition des charges

              Elle est aussi appelé l'équilibrage de charge (Load Balancing en anglais). Ce processus
       consiste à distribuer le trafic sur un ensemble de machines [5]. L'objectif est de :


Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
                                                                                                            22
Mémoire de fin de cycle
                               Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)

                      Lisser le trafic réseau et ainsi mieux répartir la charge globale sur les différents
                      équipements)
                      Pouvoir assurer la disponibilité des équipements en envoyant des données
                      adaptées aux équipements. Seuls ceux pouvant répondre à la demande seront
                      sollicités, on gagne aussi en temps de réponse.

                    II.3.2.3    Le mode dégradé

              La fonctionnalité en mode dégradé est de permettre le fonctionnement des installations
       de manière partielle ou ralentie. C'est tenter de fournir le service jugé indispensable, en
       manquant de ressources complètes ou fiables. Une organisation particulière permet de
       poursuivre l'exploitation des services jugés indispensables tout en préparant le dépannage.

            Conclusion
              La haute disponibilité du réseau est indispensable mais difficile à atteindre. Elle
       nécessite de mettre en œuvre une architecture prenant en compte la redondance des
       équipements et la sécurité des données.
              Dans la partie suivante nous verrons en quoi consiste la sécurisation des réseaux NGN


         II.4. LES TECHNIQUES DE SECURISATION DANS LES RESEAUX NGN

              La sécurité dans un réseau NGN consiste à garantir l’accès aux services et aux
       ressources afin de permettre la disponibilité totale du réseau.
              Dans cette partie, nous décrivons les mécanismes de sécurité habituels, utilisés pour
       assurer la redondance en cas de problème. L’ensemble de ces mécanismes représente ce que
       l’on est en droit d’attendre d’une architecture de réseau NGN sécurisée.

            II.4.1 Le MGW Load sharing [4]

                II.4.1.1   Description du mode

              Dans ce mode, un BSC/RNC peut être connecté à plusieurs MGW afin de sécuriser
       l’accès aux services à travers les MGW. Les MGW s’échangent des ressources de telle sorte
       que lorsqu’une MGW est défaillante, la charge du trafic du BSC/RNC est gérée
       automatiquement par un autre sans interruption du trafic. Le schéma ci-dessous montre le
       principe :




Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
                                                                                                             23
Mémoire de fin de cycle
                            Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)


                                                        MSC server




                             MGW 1                          MGW 2




                               BSC                            RNC




                    BTS                                               Node B



                              Figure 6: Architecture mode MGW Load sharing

               II.4.1.2   Avantages et inconvénients

              Cette technique est moins coûteuse et assure une redondance des MGW. Par contre
       elle se limite à la sécurité des MGW et donc évite la congestion partielle. Le risque de
       congestion globale est important car les MSC servers ne sont pas redondants.

            II.4.2 Le Dual Homing [5]

              Cette technique basée sur la réplication permet de mettre en place une politique de
       gestion de la sécurité des MGW. Dans cette technique, le MSC server fonctionnant dans le
       réseau (appelé MSC server actif) peut être configuré avec un second MSC server backup
       (appelé MSC server standby). Dans les conditions normales le MSC server actif opère la
       signalisation et offre les autres services. Quand celui-ci est défaillant, le MSC server standby
       utilise des liens de relai de charges existants entre les deux MSC server pour détecter les
       failles sur le MSC server actif afin de prendre le contrôle des MGW. Cette technique
       comprend quatre modes de connexion des MSC Servers.



Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
                                                                                                          24
Mémoire de fin de cycle
                              Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)

                   II.4.2.1    Le mode 1+1 backup (master/slave)

                         II.4.2.1.1 Description du mode

              Dans ce mode un MSC server est configuré en actif ou master et l’autre
       s’interconnecte en backup aux MGW du master. Seul le master est actif et en cas de surcharge
       ou de chute du master, le second appelé slave prend immédiatement le contrôle de toutes les
       MGW. Le schéma suivant est une illustration de ce mode

              MSC server                                                     MSC server
               Master                                                          Slave




              MGW 1                                                          MGW 4    Lien de contrôle actif
                                   MGW 2                MGW 3                         Lien de contrôle standby
                       Région A                                  Région B
                                                                                      Lien de relai



                           Figure 7: Architecture mode 1+1 backup (master/slave)

                         II.4.2.1.2 Avantages et inconvénients

              Cette technique est très facile à déployer. Elle permet un fonctionnement du réseau en
       mode dégradé. Elle peut être efficace si le trafic est moins dense.
              Néanmoins, en cas de dysfonctionnement d’un MSC-Server, il faut que le second soit
       capable de supporter toutes les charges du réseau ; ce qui ne résout pas forcement le problème
       car les charges sont sur un autre MSC server qui risque de se congestionner à son tour.



                   II.4.2.2    Le mode 1+1 backup avec assistance mutuelle (Load sharing)

                         II.4.2.2.1 Description du mode

              Dans ce mode chaque MSC server est configuré en actif et en standby. Chacun des
       MSC servers contrôle ses MGW, mais en cas de congestion ou de chute de l’un, les MGW




Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
                                                                                                            25
Mémoire de fin de cycle
                                Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)

       sont automatiquement gérés par l’autre en plus de ses MGW. La figure 8 nous montre ce
       mode


                                                                               MSC server
                  MSC server
                                                                                Actif et
                   Actif et
                                                                                Standby
                   Standby




                 MGW 1                MGW 2               MGW 3                MGW 4
                         Région A                                   Région B



           Lien de contrôle actif
           Lien de contrôle standby
           Lien de relai

                   Figure 8: Architecture mode 1+1 avec assistance mutuelle (Load sharing)
                          II.4.2.2.2 Avantages et inconvénients

                 Cette technique assure une mutualisation des charges du réseau donc présente une
       bonne tolérance aux pannes. Elle permet ainsi de réduire les risques de congestion globale du
       réseau.
                 En revanche, elle ne prend en compte que la défaillance d’un MSC-Server. Donc si
       une MGW chute les trafics gérés par celle-ci sont interrompus ; ce qui n’évite pas la
       congestion partielle du réseau.

                     II.4.2.3    Le mode N+1 backup (master/slave)
                          II.4.2.3.1 Description du mode

                 Ce mode présente un système avec N MSC server actifs et un MSC Server
       supplémentaire configuré en standby pour la sécurité de contrôle des MGW.
                 En cas de surcharge ou de chute d’un MSC server actif, le standby prend
       immédiatement le contrôle de ses MGW. L’architecture montre un mode backup avec N=2




Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
                                                                                                       26
Mémoire de fin de cycle
                                 Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)


                                                                   MSC server
                                                                    Standby                             MSC server
      MSC server                                                                                          Actif
        Actif




       MGW 1        MGW 2                                        MGW 4                   MGW 5           MGW 6
                                              MGW 3
           Région A                                   Région B                                   Région C



                   Lien de contrôle actif
                   Lien de contrôle standby
                   Lien de relai

                             Figure 9: Architecture mode N+1 backup (master/slave)

                           II.4.2.3.2 Avantages et inconvénients

                  Cette technique permet de sécuriser les MSC serveurs par l’ajout d’un serveur backup
       dans le réseau. Elle peut être efficace si tous les MSC serveurs ne chutent pas au même
       moment. Néanmoins sa mise en place nécessite qu’en cas de fonctionnement normal du
       réseau, un MSC server soit inutilisé dans le réseau, ce qui présente un coût considérable.
                  Aussi, un inconvénient majeur réside dans la limite de gestion des charges du réseau
       en cas de congestion globale.

                      II.4.2.4    Le mode N+1 backup avec assistance mutuelle (Load sharing)
                           II.4.2.4.1 Description du mode

                  Dans ce mode, N + 1 MSC server sont actifs et parmi eux un MSC Server est
       configuré en standby pour les autres. En cas de surcharge ou de chute d’un MSC server actif,
       le standby prend immédiatement le contrôle de ses MGW. Le standby permet le contrôle du
       trafic d’un MSC server à un instant donné mais ne peut gérer deux MSC servers au même
       instant.




Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
                                                                                                              27
Mémoire de fin de cycle
                               Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)



                                                               MSC server
                                                                Actif et                          MSC server
          MSC server                                            Standby                             Actif
            Actif




       MGW 1        MGW 2                                     MGW 4                    MGW 5           MGW 6
                                           MGW 3
           Région A                                Région B                                    Région C



            Lien de contrôle actif
            Lien de contrôle standby
            Lien de relai



                 Figure 10: Architecture mode N+1 avec assistance mutuelle (Load sharing)

                         II.4.2.4.2 Avantages et inconvénients

              Cette technique permet d’avoir des ressources disponibles en cas de chute d’un MSC
       server. Le risque de surcharge du MSC server est minime, ce qui est bénéfique pour
       l’opérateur. Elle présente des avantages intéressants pour les réseaux en perpétuelle évolution
       car si chaque composant, à son tour, peut continuer à fonctionner lorsque l'un de ses sous-
       composants est en panne, alors le système entier pourra continuer à fonctionner.
              Mais comme dans les autres situations les MGW ne sont pas hors de danger. En effet
       la centralisation de la redondance au niveau des MSC servers reste l’inconvénient majeur.

                    II.4.2.5    Le Virtual Server

              Cette technique appelée également Virtual Server Node, permet la gestion de tous les
       MSC servers actifs par le standby MSC server configuré sur le même MSC server.
              C’est un partitionnement logique du MSC server afin qu’il soit actif et standby au
       même instant. Chaque Virtual Server est identifié par un numéro et le Virtual Server 0 est
       utilisé par le MSC server en actif et les autres sont configurés en actifs ou en standby.




Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
                                                                                                               28
Mémoire de fin de cycle
                            Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)

              Les Virtual MSC servers permettent au MSC server de s’interconnecté à plusieurs
       MGW par des liens de contrôle standby et à plusieurs MSC servers par des liens de relais.
              Ils ont deux états :
                      DESACTIVE : Le lien de contrôle standby est inactif et en cas de problème sur
                      la MGW, le MSC server standby n’est pas sollicité.
                      ACTIVE : Le lien de contrôle standby est actif et en cas de problème sur la
                      MGW, le MSC server standby peut être sollicité pour éviter l’indisponibilité
                      du réseau. La figure 11 est une illustration du Virtual Server

                                                  MSC server
                                                 Actif et Passif
             MSC server actif                                                       MSC server actif
                                                   Virtual Server 0




                                                   Virtual Server 1




                                                   Virtual Server 2




                 MGW 1                                                                  MGW 3
                                                     MGW 2

                       Figure 11: Le principe du Virtual Server dans le Dual Homing

            II.4.3 Le MSC Pool

              Les méthodes de sécurisation dans les réseaux sont orientées aujourd’hui vers les
       applications distribuées d’autocorrection basée sur un modèle de partage de ressource. Cette
       structure distribuée protège le réseau entier d’un incident éventuel si toutefois le mécanisme
       de partage de ressource permet une distribution équitable des charges du réseau entier. Ainsi
       l'efficacité de réseau est maximisée.
              Considéré comme une technique de sécurisation évoluée du réseau cœur, le MSC Pool
       est basée sur le principe de réseau distribué. En effet il permet de relier plusieurs MSC pour




Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
                                                                                                        29
Mémoire de fin de cycle
                              Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)

          former un ensemble de MSC appelé MSC pool, dans lequel les équipements partagent des
          ressources. Le MSC pool est fondé sur deux principes essentiels [9]:
                        La commutation en temps réel (Load Sharing): en cas de problème, la
                        correction doit se faire automatiquement pour assurer la communication. La
                        technique du MSC Pool s'assure que les services sur le MSC endommagé ou
                        surchargé soient commutés immédiatement sur d'autres MSC.
                        La distribution équitable des charges (Load Balancing): Etant donné que la
                        capacité totale du réseau est équivalente à la capacité de tous les commutateurs
                        dans le pool, la fonction de sécurisation du MSC Pool permet un partage
                        équitable de toutes les charges dans le Pool. Ainsi toutes les MSC sont
                        redondantes et la capacité du trafic est améliorée.
                  Dans cette technique toutes les BSC/RNC sont connectés aux MSC de sorte à former
          une zone entièrement sécurisée appelée MSC pool area3. Tous les MSC dans un pool sont
          informés en temps réel de la charge de trafic supportée par leur voisin, ce qui favorise la
          distribution de charge. Les figures 12 et 13 montrent respectivement le principe général du
          MSC pool et un pool area constitué de cinq(5) LA (Location Area) [12].




                                    Figure 12: Principe général du MSC pool




      3
        Un Pool Area est une collection de BSC/RNC géré par un ou plusieurs MSC partageant les
      charges de trafic. Tous les MSC relié à un pool area gèrent les LA (Location Area) qui s’y trouvent.

Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
                                                                                                             30
Mémoire de fin de cycle
                             Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)




                               Figure 13: Pool Area avec cinq(5) Location Areas

                    II.4.3.1 Concept du Roaming intra Pool [5]

               Dans le MSC pool les MSC s’échangent les informations des abonnés en activité les
       uns des autres. Afin de réduire les messages de signalisation concernant les mises à jour de
       localisation des MS/UE d’un MSC à un autre, le NRI (Network Identifier Ressource) est
       introduit dans le TMSI. En effet ce paramètre permet d’identifier un MSC qui gère un
       MS/UE. Quand un MS/UE s’enregistre dans le VLR d’un MSC qui se trouve dans un MSC
       pool pour une première fois, un TMSI4 contenant un NRI lui est alloué pour identifier un
       unique MSC. Lorsque le MS/UE initie une demande de service, le NRI est contenue dans la
       requête et le BSC/RNC l’utilise pour router la requête vers le même MSC.
               Avec le NRI toutes les requêtes du MS/UE dans un MSC pool area peuvent êtres
       routées vers le même MSC correspondant. Ce qui permet de conserver le MSC de départ
       même en cas de changement de paramètres de localisation du MS/UE. Le Roaming intra pool
       permet de réduire considérablement la charge de signalisation sur l’interface C/D.
               Un MSC dans un MSC pool est identifié par un seul NRI. La capacité en termes
       d’abonné augmente lorsque le MSC reçoit un nouveau NRI.
               Tous les NRI utilisé par les MSC dans le pool doivent êtres différents. Le NRI a une
       longueur configurable par l’opérateur entre 0 et 10 bits.

        4
          Le TMSI (Temporary Mobile Subscriber Identifer) est utilisé pour augmenter la confidentialité en
        évitant l’utilisation de l’IMSI sur l’interface air.

Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
                                                                                                             31
Mémoire de fin de cycle
                             Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)

                Dans la structure du TMSI le NRI commence à partir du 23ème octet et une valeur 0
       pour le NRI signifie que le NRI n’est pas utilisé et le « MSC pool » n’est pas configuré dans
       le réseau.
                La figure 14 montre la structure du TMSI dans un MSC pool et NRI de longueur 10
       bits.




                           Bits 31–30                    CS/PS service indicator
                           Bit 29                        VLR restart count
                           Bits 23–14                    NRI
                           Other bits                    User IDs

                                    Figure 14: Structure du TMSI avec NRI
                          II.4.3.1.1 La Fonction NNSF

                La fonction NNSF (NAS Node Selection Function) définie dans le 3GPP Intra Domain
       Connection of RAN Nodes to Multiple CN Nodes (TS 23.236)       [10] est utilisée pour effectuer le
       roaming intra pool. En effet le BSC/RNC utilisé pour router la requête de mise à jour de
       localisation vers le MSC sélectionné utilise cette fonction. La fonction NNSF peut être
       configurée sur une MGW. Dans ce cas, la MGW est utilisée pour sélectionner le MSC server
       disponible pour effectuer le Load Balancing entre les MSC servers. Le principe de la fonction
       NNSF est décrit comme suit :
                       Le MS/UE envoi une demande de mise à jour de localisation (Location Update
                       Request) au NNSF node5
                       Le NNSF Node sélectionne un MSC disponible par un algorithme de routage
                       prenant en compte la charge du trafic.
                       Le MSC alloue un TMSI au MS/UE contenant le NRI.
                       Le MSC choisi envoi une confirmation de mise à jour de localisation (Location
                       Update Complete) au MS/UE avec le TMSI
                       Le NNSF Node route effectue le routage vers le CN Node6 correspondant.



       5
           Le NNSF Node est une BSC/RNC qui supporte la fonction NNSF.
       6
           Le CN Node peut être un MSC (partie CS) ou un SGSN (partie PS).


Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
                                                                                                            32
Mémoire de fin de cycle
                            Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)


       La Figure 15 [16] suivante illustre l’utilisation du mécanisme de la fonction NNSF




                          Figure 15: Mécanisme d’activation du NRI par le NNSF

               Le Pool area n’a aucune influence sur le routage, donc un BSC/RNC hors d’un Pool
       area peut utiliser le NNSF si toutefois le MSC qui le gère est dans un pool. Dans le MSC
       Pool, la fonction NNSF peur être implémentée sur le BSC/RNC ou la MGW mais pas les
       deux à la fois. Cela évite les upgrades lourds des nœuds réseaux (BSC/RNC, MGW).
                          II.4.3.1.2 La fonction A-Flex

               Cette fonction permet aux BSC/RNC d’être connectés à plusieurs CN Node. Elle
       permet une sécurisation physique de la partie accès du réseau. Le principe de la fonction A-
       Flex est décrit comme suit :
                       Un BSC/RNC peut être connecté à plusieurs MGW. Le MSC server
                       sélectionne le circuit de la MGW correspondant basé sur des critères.

                       Les BSC/RNC sont connectés à plusieurs MGW qui supportent la fonction
                       A-Flex pour former un Pool Area. Ceci permet de former un MSC Pool sans
                       mise à jour des BSC/RNC si toutefois la fonction NNSF est implémentée
                       dans les MGW.

                          II.4.3.1.3 Le Load Balancing




Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
                                                                                                      33
Mémoire de fin de cycle
                           Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)

               Quand un MS/UE demande un service en utilisant un TMSI, le BSC/RNC
       sélectionne le MSC server disponible pour le MS/UE selon sa table de correspondance entre
       NRI et MSC server dans le MSC Pool.
               Lorsque le MSC server sélectionné n'est pas disponible ou il n'existe pas de
       correspondance avec le NRI, le BSC/RNC suit le principe de l'équilibrage de charge ou Load
       Balancing. Il choisit un MSC server disponible pour servir le MS/UE en fonction de la
       capacité d’abonnés qu’il peut supporter dans le MSC Pool.
               Le MSC server sélectionné alloue un TMSI contenant son NRI au MS/UE pour
       pallier d’éventuels changements de MSC server.
                   II.4.3.2 Le Virtual Media Gateway

               Une MGW est normalement connectée à un seul MSC server. Une MGW peut être
       scindée logiquement en plusieurs MGW appelés Virtual MGW (VMGW), qui sont reliés à
       plusieurs MSC servers. Chaque VMGW est identifié par un identifiant unique appelé VMGW
       ID. Le Virtual MGW permet également le partage de ressources dans le pool et réduit le les
       liens multiples entre MSC server et MGW.
               La figure 16 illustre de façon simple le concept de Virtual Media Gateway.


                                                     MSC pool




                                        MSC server              MSC server

                    MSC server
                                                                               MSC server




                          MGW A                                                     MGW B
                         VMGW 1                                                    VMGW 1
                         VMGW 2                                                    VMGW 2
                         VMGW 3                                                    VMGW 3
                         VMGW 4                                                    VMGW 4




                              BSC/RNC BSC/RNC                      BSC/RNC BSC/RNC
                              Figure 16: Concept du Virtual Media Gateway


Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
                                                                                                    34
Mémoire de fin de cycle
                          Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)




                  II.4.3.3 Les caractéristiques de planification du MSC Pool [5]

               Les tableaux 2 et 3 montrent les caractéristiques pour la mise en place du MSC pool ;


                                 Tableau 2: Caractéristiques du MSC Pool

            Capacité supportée              Connexion                         Valeur
        Capacité maximum supportée       Nombre de MSC                            32
             par un MSC Pool                servers
                                         Nombre de MGW                            300
                                       Nombre de RNC/BSC                          128
                                      Nombre de LA/cellules                    30,000
        Capacité maximum supportée       Nombre de virtual       32 (Une MGW peut être connectée
               par une MGW                   MGW                 simultanément à 32 MSC servers)
                                         Nombre de RNC                            50
                                            connecté
                                         (mode IP/ATM)
                                         Nombre de BSC                            50
                                      connectée (mode TDM)
        Capacité maximum supportée       Nombre de MSC                            32
                par un RNC               servers connecté
                                         Nombre de MGW                             5
                                             connecté
                                          (mode IP/ATM)
        Capacité maximum supportée       Nombre de MSC                            32
                par une BSC              servers connecté
                                        Nombre de MGW                              5
                                      connectée (mode TDM)




Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
                                                                                                       35
Mémoire de fin de cycle
                           Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)



                                     Tableau 3: Planification des NRI

             Longueur NRI                Nombre de NRIs            Nombre maximum d’abonnés
                <=6 bits                         1                            3,200,000
                 7 bits                          1                            1,600,000
                 7 bits                          2                            3,200,000
                 8 bits                          1                              800,000
                 8 bits                          2                            1,600,000
                 8 bits                          3                            2,400,000
                 8 bits                          4                            3,200,000
                 9 bits                          1                              400,000
                 9 bits                          2                              800,000
                 9 bits                          3                            1,200,000
                 9 bits                          4                            1,600,000
                 9 bits                          5                            2,000,000
                 9 bits                          6                            2,400,000
                 9 bits                          7                            2,800,000
                 9 bits                          8                            3,200,000
                 10 bits                         N                         20 x N x 10,000

                  II.4.3.4 Avantages et Inconvénient

              Le MSC pool présente de nombreux avantages dont :
                      L’amélioration de la technique du Load Sharing
                      L’augmentation de la disponibilité du réseau car lorsqu’un MSC est en
                      défaut, tous le trafic qu’il gère est routé sur plusieurs MSC par un puissant
                      algorithme de routage (NNSF ou A-Flex/Iu-Flex)
                      La réduction de la signalisation dans le réseau cœur grâce au NRI.
                      L’utilisation efficace des ressources du réseau
                      Déploiement sans mise à jour des BSC/RAN
                      La distribution de charge par la partie radio (BSS/RAN)
              Néanmoins le MSC pool est limité par :




Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
                                                                                                      36
Mémoire de fin de cycle
                            Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)

                        Tous les MSC servers et les MGW sont interconnectés, ce qui nécessite un
                        maillage important au niveau du cœur réseau NGN.

            Conclusion

              Dans un milieu très compétitif, les techniques d’amélioration de la qualité du réseau
       NGN deviennent de plus en plus puissantes. Plusieurs techniques sont utilisées pour atteindre
       la haute disponibilité du réseau.
              Mais toutes ces techniques ont leurs forces et faiblesses qu’il convient de souligner
       pour adopter la meilleure méthode qui prend en compte les capacités du réseau.




Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
                                                                                                       37
Mémoire de fin de cycle
                        Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)




         CHAPITRE 3
      ETUDE DU RESEAU
          EXISTANT



                                             Cette partie se propose de présenter, d’entrée de
                                             jeu, l’essentiel des équipements NGN de
                                             ORANGE-CI. Suivra ensuite, la structure du
                                             réseau cœur.



Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
                                                                                                 38
Mémoire de fin de cycle
                             Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)


           III.1. PRESENTATION DES EQUIPEMENTS NGN DE ORANGE-CI
              Depuis la migration de son réseau cœur vers la plateforme NGN, l’opérateur
       ORANGE-CI s’est doté d’équipements NGN issus du constructeur Chinois HUAWEI.
              Dans la solution NGN de HUAWEI, la fonction de commutation du MSC est assurée
       par deux équipements distincts : le MSOFT X3000 qui joue le rôle de MSC server et l’UMG
       8900 qui représente la MGW et qui est pilotée par le MSOFT X3000.
              Le MSOFT X3000 et l’UMG 8900 sont essentiellement les équipements de la
       commutation NGN dans le réseau cœur d’ORANGE-CI.

             III.1.1 La commutation NGN HUAWEI

                III.1.1.1   Le MSOFT X3000 [1]

               Le MSOFT X3000 (Mobile Softswitch X3000) fonctionne comme MSC-Server au
       niveau de la couche contrôle du réseau cœur dans les NGN. Il est compatible TDM, c'est-à-
       dire peut fournir la fonction MSC des réseaux TDM. Il supporte les protocoles CAP, CAMEL
       1, 2, 3 et 4 et également à la fois les réseaux 2G et 3G ; et fait la signalisation SIGTRAN et
       SS7. Il est chargé de :
                   La gestion de la Mobilité
                   La gestion de la Sécurité
                   La contrôle des Handovers Intra-MSC et Inter-MSC
                   Le traitement des Appels : gestion de la mobilité, établissement, libération d'appel.
                   Taxation : gestion des CDR et           redirection vers le BC pour la taxation,
                   communication avec l’IN ou l’IMS pour la taxation des services.
                   La fonction de Point de Commutation de Service (SSP7) dans le cas des réseaux
                   TDM : allocation, ordre de connexion et libération de canaux RTP ou de circuits
                   de communication en cas d’utilisation TDM.
                Il contient aussi un VLR pour le contrôle des données relatives aux abonnés et les
       données relatives au CAMEL. Lors de la connexion avec la MGW, le MSOFTX3000
       fonctionne comme contrôleur du MGW (MGCF). Il assure l’interconnexion entre l’IP
       multimedia subsystem (IMS) et le domaine CS.

       7
          Le SSP assure toutes les fonctions de base de la commutation pour le réseau mobile. Dans la
       solution Alcatel, la fonction de commutation du MSC est assurée par deux équipements distincts : le
       SSP (SSP : Service Switching Pont) et le RCP (Radio Commande Point). Le SSP est piloté par le
       RCP qui joue aussi le rôle de VLR. La solution Alcatel permet d’avoir un seul SSP et plusieurs RCP,
       ce qui permet à l’opérateur d’augmenter la capacité d’abonnés sans devoir ajouter de SSP.

Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
                                                                                                             39
Memoire karamoko mss
Memoire karamoko mss
Memoire karamoko mss
Memoire karamoko mss
Memoire karamoko mss
Memoire karamoko mss
Memoire karamoko mss
Memoire karamoko mss
Memoire karamoko mss
Memoire karamoko mss
Memoire karamoko mss
Memoire karamoko mss
Memoire karamoko mss
Memoire karamoko mss
Memoire karamoko mss
Memoire karamoko mss
Memoire karamoko mss
Memoire karamoko mss
Memoire karamoko mss
Memoire karamoko mss
Memoire karamoko mss

Contenu connexe

Tendances

La fibre optique
La fibre optiqueLa fibre optique
La fibre optiqueGONEAxel
 
Étude et mise en place d'un serveur messengerie
Étude et mise en place d'un serveur messengerie Étude et mise en place d'un serveur messengerie
Étude et mise en place d'un serveur messengerie iferis
 
Rapport stage IP-MSAN Tunisie télécom
Rapport stage IP-MSAN Tunisie télécomRapport stage IP-MSAN Tunisie télécom
Rapport stage IP-MSAN Tunisie télécomSiwar GUEMRI
 
Rapport de stage VOIP, digitalisation et visioconference à l'oncc
Rapport de stage VOIP, digitalisation et visioconference à l'onccRapport de stage VOIP, digitalisation et visioconference à l'oncc
Rapport de stage VOIP, digitalisation et visioconference à l'onccEmeric Kamleu Noumi
 
Rapport de stage telecom de Dika Etame Guy Landry. Encadreur: Kamleu Noumi Em...
Rapport de stage telecom de Dika Etame Guy Landry. Encadreur: Kamleu Noumi Em...Rapport de stage telecom de Dika Etame Guy Landry. Encadreur: Kamleu Noumi Em...
Rapport de stage telecom de Dika Etame Guy Landry. Encadreur: Kamleu Noumi Em...Emeric Kamleu Noumi
 
Presentation stage Tunisie Telecom
Presentation stage Tunisie TelecomPresentation stage Tunisie Telecom
Presentation stage Tunisie Telecomlitayem bechir
 
Etude et Mise en oeuvre d'une architecture de téléphonie sur IP sécurisée au ...
Etude et Mise en oeuvre d'une architecture de téléphonie sur IP sécurisée au ...Etude et Mise en oeuvre d'une architecture de téléphonie sur IP sécurisée au ...
Etude et Mise en oeuvre d'une architecture de téléphonie sur IP sécurisée au ...stepmike
 
Rapport final cbi
Rapport final cbiRapport final cbi
Rapport final cbiMan Foru
 
Étude et Mise en place d'un serveur samba par webmin
Étude et Mise en place d'un serveur samba par webmin Étude et Mise en place d'un serveur samba par webmin
Étude et Mise en place d'un serveur samba par webmin iferis
 
Diagnostic et resolution d'un problème d'interférence dans la bande de 2.4GHz
Diagnostic et resolution d'un problème d'interférence dans la bande de 2.4GHzDiagnostic et resolution d'un problème d'interférence dans la bande de 2.4GHz
Diagnostic et resolution d'un problème d'interférence dans la bande de 2.4GHzRicardo SEBANY
 
Mémoire Ingénieur KOUAO Ekra Mathieu
Mémoire Ingénieur KOUAO Ekra Mathieu Mémoire Ingénieur KOUAO Ekra Mathieu
Mémoire Ingénieur KOUAO Ekra Mathieu Mathieu Ekra Kouao
 
ETUDE DE L'EVOLUTION DU COEUR PAQUET 3G VERS L'EPC
ETUDE DE L'EVOLUTION DU COEUR PAQUET 3G VERS L'EPCETUDE DE L'EVOLUTION DU COEUR PAQUET 3G VERS L'EPC
ETUDE DE L'EVOLUTION DU COEUR PAQUET 3G VERS L'EPCOkoma Diby
 
Etude d’un répartiteur générale téléphonique
Etude d’un répartiteur générale téléphoniqueEtude d’un répartiteur générale téléphonique
Etude d’un répartiteur générale téléphoniqueAchref Ben helel
 
Les enjeux de la Signature électronique
Les enjeux de la Signature électroniqueLes enjeux de la Signature électronique
Les enjeux de la Signature électroniqueSage france
 

Tendances (20)

La fibre optique
La fibre optiqueLa fibre optique
La fibre optique
 
Étude et mise en place d'un serveur messengerie
Étude et mise en place d'un serveur messengerie Étude et mise en place d'un serveur messengerie
Étude et mise en place d'un serveur messengerie
 
Rapport stage IP-MSAN Tunisie télécom
Rapport stage IP-MSAN Tunisie télécomRapport stage IP-MSAN Tunisie télécom
Rapport stage IP-MSAN Tunisie télécom
 
Rapport de stage VOIP, digitalisation et visioconference à l'oncc
Rapport de stage VOIP, digitalisation et visioconference à l'onccRapport de stage VOIP, digitalisation et visioconference à l'oncc
Rapport de stage VOIP, digitalisation et visioconference à l'oncc
 
Rapport de stage telecom de Dika Etame Guy Landry. Encadreur: Kamleu Noumi Em...
Rapport de stage telecom de Dika Etame Guy Landry. Encadreur: Kamleu Noumi Em...Rapport de stage telecom de Dika Etame Guy Landry. Encadreur: Kamleu Noumi Em...
Rapport de stage telecom de Dika Etame Guy Landry. Encadreur: Kamleu Noumi Em...
 
Presentation stage Tunisie Telecom
Presentation stage Tunisie TelecomPresentation stage Tunisie Telecom
Presentation stage Tunisie Telecom
 
Etude et Mise en oeuvre d'une architecture de téléphonie sur IP sécurisée au ...
Etude et Mise en oeuvre d'une architecture de téléphonie sur IP sécurisée au ...Etude et Mise en oeuvre d'une architecture de téléphonie sur IP sécurisée au ...
Etude et Mise en oeuvre d'une architecture de téléphonie sur IP sécurisée au ...
 
Rapport final cbi
Rapport final cbiRapport final cbi
Rapport final cbi
 
Étude et Mise en place d'un serveur samba par webmin
Étude et Mise en place d'un serveur samba par webmin Étude et Mise en place d'un serveur samba par webmin
Étude et Mise en place d'un serveur samba par webmin
 
Diagnostic et resolution d'un problème d'interférence dans la bande de 2.4GHz
Diagnostic et resolution d'un problème d'interférence dans la bande de 2.4GHzDiagnostic et resolution d'un problème d'interférence dans la bande de 2.4GHz
Diagnostic et resolution d'un problème d'interférence dans la bande de 2.4GHz
 
Mémoire Ingénieur KOUAO Ekra Mathieu
Mémoire Ingénieur KOUAO Ekra Mathieu Mémoire Ingénieur KOUAO Ekra Mathieu
Mémoire Ingénieur KOUAO Ekra Mathieu
 
ETUDE DE L'EVOLUTION DU COEUR PAQUET 3G VERS L'EPC
ETUDE DE L'EVOLUTION DU COEUR PAQUET 3G VERS L'EPCETUDE DE L'EVOLUTION DU COEUR PAQUET 3G VERS L'EPC
ETUDE DE L'EVOLUTION DU COEUR PAQUET 3G VERS L'EPC
 
Telephonie ip
Telephonie ipTelephonie ip
Telephonie ip
 
QoS & VoIP
QoS & VoIPQoS & VoIP
QoS & VoIP
 
Rapport de fin d'etude
Rapport  de fin d'etudeRapport  de fin d'etude
Rapport de fin d'etude
 
Etude d’un répartiteur générale téléphonique
Etude d’un répartiteur générale téléphoniqueEtude d’un répartiteur générale téléphonique
Etude d’un répartiteur générale téléphonique
 
TELEPHONIE SUR IP
TELEPHONIE SUR IPTELEPHONIE SUR IP
TELEPHONIE SUR IP
 
Simulation de réseaux pon
Simulation de réseaux ponSimulation de réseaux pon
Simulation de réseaux pon
 
Exposer reseaux haut débit
Exposer reseaux haut débitExposer reseaux haut débit
Exposer reseaux haut débit
 
Les enjeux de la Signature électronique
Les enjeux de la Signature électroniqueLes enjeux de la Signature électronique
Les enjeux de la Signature électronique
 

En vedette

Mise en place d'une soltion de communication unifiée
Mise en place d'une soltion de communication unifiéeMise en place d'une soltion de communication unifiée
Mise en place d'une soltion de communication unifiéedartenien
 
MEMOIRE DE FIN DE CYCLE Pour l’obtention du : Master 2 en SIR (REALISATION D...
MEMOIRE DE FIN DE CYCLE Pour l’obtention du : Master 2  en SIR (REALISATION D...MEMOIRE DE FIN DE CYCLE Pour l’obtention du : Master 2  en SIR (REALISATION D...
MEMOIRE DE FIN DE CYCLE Pour l’obtention du : Master 2 en SIR (REALISATION D...Olympe Tchibozo
 
Mémoire fin de cycle1
Mémoire fin de cycle1Mémoire fin de cycle1
Mémoire fin de cycle1Mustafa Bachir
 
Serveur Vocal Interactif plus d'autres technologies
Serveur Vocal Interactif plus d'autres technologiesServeur Vocal Interactif plus d'autres technologies
Serveur Vocal Interactif plus d'autres technologiesjosepkap
 
Rapport de stage TOIP/VOIP
Rapport de stage TOIP/VOIPRapport de stage TOIP/VOIP
Rapport de stage TOIP/VOIPMounir Kaali
 
J'organise ma communication
J'organise ma communicationJ'organise ma communication
J'organise ma communicationloic nouyou
 
Etude de texte les caractéristiques d'un texte dialogué
Etude de texte les caractéristiques d'un texte dialoguéEtude de texte les caractéristiques d'un texte dialogué
Etude de texte les caractéristiques d'un texte dialoguéPape Kamara
 
Présentation générale
Présentation généralePrésentation générale
Présentation généraleSophie Marchand
 
Pourquoi et comment fidéliser les clients avec aYaline et Copernica Marketing...
Pourquoi et comment fidéliser les clients avec aYaline et Copernica Marketing...Pourquoi et comment fidéliser les clients avec aYaline et Copernica Marketing...
Pourquoi et comment fidéliser les clients avec aYaline et Copernica Marketing...Sébastien Daunit
 
Communication orale converser au téléphone, transmettre des infos au téléphone.
Communication orale converser au téléphone, transmettre des infos au téléphone.Communication orale converser au téléphone, transmettre des infos au téléphone.
Communication orale converser au téléphone, transmettre des infos au téléphone.Pape Kamara
 
La Communication
La Communication La Communication
La Communication Signos
 
Résumé "Comment parler en public" de Dale Carnegie
Résumé "Comment parler en public" de Dale CarnegieRésumé "Comment parler en public" de Dale Carnegie
Résumé "Comment parler en public" de Dale CarnegieEric Bounyavath
 
Rapport PFE Ingénieurs - ULT-2016 - Hamza Mefteh fini
Rapport PFE Ingénieurs - ULT-2016 - Hamza Mefteh finiRapport PFE Ingénieurs - ULT-2016 - Hamza Mefteh fini
Rapport PFE Ingénieurs - ULT-2016 - Hamza Mefteh finiHamza Mefteh
 
ISP consult présentation
ISP  consult présentationISP  consult présentation
ISP consult présentationsaber haouet
 
Cahier de-tp-asterisk1
Cahier de-tp-asterisk1Cahier de-tp-asterisk1
Cahier de-tp-asterisk1Amadou KA
 
Rapport pfe ingénieur ilyes issaoui
Rapport pfe ingénieur ilyes issaouiRapport pfe ingénieur ilyes issaoui
Rapport pfe ingénieur ilyes issaouiIssaoui Ilyes
 
Mémoire professionnel - louis-Benjamin Dubuis - MCI
Mémoire professionnel - louis-Benjamin Dubuis - MCIMémoire professionnel - louis-Benjamin Dubuis - MCI
Mémoire professionnel - louis-Benjamin Dubuis - MCISans doute votre entreprise !
 

En vedette (20)

Mise en place d'une soltion de communication unifiée
Mise en place d'une soltion de communication unifiéeMise en place d'une soltion de communication unifiée
Mise en place d'une soltion de communication unifiée
 
MEMOIRE DE FIN DE CYCLE Pour l’obtention du : Master 2 en SIR (REALISATION D...
MEMOIRE DE FIN DE CYCLE Pour l’obtention du : Master 2  en SIR (REALISATION D...MEMOIRE DE FIN DE CYCLE Pour l’obtention du : Master 2  en SIR (REALISATION D...
MEMOIRE DE FIN DE CYCLE Pour l’obtention du : Master 2 en SIR (REALISATION D...
 
Memoire final sfallou
Memoire final sfallouMemoire final sfallou
Memoire final sfallou
 
Les Communications Unifiées
Les Communications UnifiéesLes Communications Unifiées
Les Communications Unifiées
 
Mémoire fin de cycle1
Mémoire fin de cycle1Mémoire fin de cycle1
Mémoire fin de cycle1
 
Serveur Vocal Interactif plus d'autres technologies
Serveur Vocal Interactif plus d'autres technologiesServeur Vocal Interactif plus d'autres technologies
Serveur Vocal Interactif plus d'autres technologies
 
Rapport de stage TOIP/VOIP
Rapport de stage TOIP/VOIPRapport de stage TOIP/VOIP
Rapport de stage TOIP/VOIP
 
J'organise ma communication
J'organise ma communicationJ'organise ma communication
J'organise ma communication
 
Etude de texte les caractéristiques d'un texte dialogué
Etude de texte les caractéristiques d'un texte dialoguéEtude de texte les caractéristiques d'un texte dialogué
Etude de texte les caractéristiques d'un texte dialogué
 
Présentation générale
Présentation généralePrésentation générale
Présentation générale
 
Pourquoi et comment fidéliser les clients avec aYaline et Copernica Marketing...
Pourquoi et comment fidéliser les clients avec aYaline et Copernica Marketing...Pourquoi et comment fidéliser les clients avec aYaline et Copernica Marketing...
Pourquoi et comment fidéliser les clients avec aYaline et Copernica Marketing...
 
Communication orale converser au téléphone, transmettre des infos au téléphone.
Communication orale converser au téléphone, transmettre des infos au téléphone.Communication orale converser au téléphone, transmettre des infos au téléphone.
Communication orale converser au téléphone, transmettre des infos au téléphone.
 
La Communication
La Communication La Communication
La Communication
 
Résumé "Comment parler en public" de Dale Carnegie
Résumé "Comment parler en public" de Dale CarnegieRésumé "Comment parler en public" de Dale Carnegie
Résumé "Comment parler en public" de Dale Carnegie
 
Rapport PFE Ingénieurs - ULT-2016 - Hamza Mefteh fini
Rapport PFE Ingénieurs - ULT-2016 - Hamza Mefteh finiRapport PFE Ingénieurs - ULT-2016 - Hamza Mefteh fini
Rapport PFE Ingénieurs - ULT-2016 - Hamza Mefteh fini
 
Prise de Parole en Public
Prise de Parole en PublicPrise de Parole en Public
Prise de Parole en Public
 
ISP consult présentation
ISP  consult présentationISP  consult présentation
ISP consult présentation
 
Cahier de-tp-asterisk1
Cahier de-tp-asterisk1Cahier de-tp-asterisk1
Cahier de-tp-asterisk1
 
Rapport pfe ingénieur ilyes issaoui
Rapport pfe ingénieur ilyes issaouiRapport pfe ingénieur ilyes issaoui
Rapport pfe ingénieur ilyes issaoui
 
Mémoire professionnel - louis-Benjamin Dubuis - MCI
Mémoire professionnel - louis-Benjamin Dubuis - MCIMémoire professionnel - louis-Benjamin Dubuis - MCI
Mémoire professionnel - louis-Benjamin Dubuis - MCI
 

Similaire à Memoire karamoko mss

conception et réalisation d'une application de gestion des rapports téléphoni...
conception et réalisation d'une application de gestion des rapports téléphoni...conception et réalisation d'une application de gestion des rapports téléphoni...
conception et réalisation d'une application de gestion des rapports téléphoni...ismailbou
 
Stage camtelcmr
Stage camtelcmrStage camtelcmr
Stage camtelcmrMerraBisso
 
Case Study Conakry Terminal
Case Study Conakry TerminalCase Study Conakry Terminal
Case Study Conakry TerminalToure Amie
 
Ingénieur de conception télécommunications et réseaux
Ingénieur de conception télécommunications et réseaux Ingénieur de conception télécommunications et réseaux
Ingénieur de conception télécommunications et réseaux josephMBOUA
 
Rapport stage fin d'études
Rapport stage fin d'étudesRapport stage fin d'études
Rapport stage fin d'étudesAlbert IBANEZ
 
Document sur l'Auto provisioning, contacts, presence et streaming sur asterisk
Document sur l'Auto provisioning, contacts, presence et streaming sur asteriskDocument sur l'Auto provisioning, contacts, presence et streaming sur asterisk
Document sur l'Auto provisioning, contacts, presence et streaming sur asteriskEmeric Kamleu Noumi
 
Mémoire analyse fonctionnelle et rédimensinnement d'une infrastructure réseau...
Mémoire analyse fonctionnelle et rédimensinnement d'une infrastructure réseau...Mémoire analyse fonctionnelle et rédimensinnement d'une infrastructure réseau...
Mémoire analyse fonctionnelle et rédimensinnement d'une infrastructure réseau...GeorgeMillan2
 
Rapport de stage FRANK FAPONG Encadreur - Kamleu Noumi Emeric.pdf
Rapport de stage FRANK FAPONG Encadreur - Kamleu Noumi Emeric.pdfRapport de stage FRANK FAPONG Encadreur - Kamleu Noumi Emeric.pdf
Rapport de stage FRANK FAPONG Encadreur - Kamleu Noumi Emeric.pdfEmeric Kamleu Noumi
 
rapport final djoukwe kepngue donald
rapport final djoukwe kepngue donaldrapport final djoukwe kepngue donald
rapport final djoukwe kepngue donalddonald djoukwe
 
soutenance_aux_BTS_2022-2023.pdf
soutenance_aux_BTS_2022-2023.pdfsoutenance_aux_BTS_2022-2023.pdf
soutenance_aux_BTS_2022-2023.pdfbydiaskemtsa
 
Rapport version finale kouakou aboua pokou alexis
Rapport version finale kouakou aboua pokou alexis Rapport version finale kouakou aboua pokou alexis
Rapport version finale kouakou aboua pokou alexis abouaalexis
 
PFE Swap INWI 2G 3G LTE
PFE Swap INWI 2G 3G LTEPFE Swap INWI 2G 3G LTE
PFE Swap INWI 2G 3G LTEAziz Abamni
 
Mabrouk PréSenatation De La Va Rcm 2010 2011 3éMe AnnéE
Mabrouk PréSenatation De La Va Rcm 2010 2011  3éMe AnnéEMabrouk PréSenatation De La Va Rcm 2010 2011  3éMe AnnéE
Mabrouk PréSenatation De La Va Rcm 2010 2011 3éMe AnnéEmabrouk
 
httpswww.ummto.dzdspacebitstreamhandleummto13205Amrouche20M..pdfsequence=1&is...
httpswww.ummto.dzdspacebitstreamhandleummto13205Amrouche20M..pdfsequence=1&is...httpswww.ummto.dzdspacebitstreamhandleummto13205Amrouche20M..pdfsequence=1&is...
httpswww.ummto.dzdspacebitstreamhandleummto13205Amrouche20M..pdfsequence=1&is...ssuserbd922f
 

Similaire à Memoire karamoko mss (20)

Memoire license iii
Memoire license iiiMemoire license iii
Memoire license iii
 
conception et réalisation d'une application de gestion des rapports téléphoni...
conception et réalisation d'une application de gestion des rapports téléphoni...conception et réalisation d'une application de gestion des rapports téléphoni...
conception et réalisation d'une application de gestion des rapports téléphoni...
 
Tht cv french
Tht cv frenchTht cv french
Tht cv french
 
Stage camtelcmr
Stage camtelcmrStage camtelcmr
Stage camtelcmr
 
Case Study Conakry Terminal
Case Study Conakry TerminalCase Study Conakry Terminal
Case Study Conakry Terminal
 
Ingénieur de conception télécommunications et réseaux
Ingénieur de conception télécommunications et réseaux Ingénieur de conception télécommunications et réseaux
Ingénieur de conception télécommunications et réseaux
 
Rapport stage fin d'études
Rapport stage fin d'étudesRapport stage fin d'études
Rapport stage fin d'études
 
Document sur l'Auto provisioning, contacts, presence et streaming sur asterisk
Document sur l'Auto provisioning, contacts, presence et streaming sur asteriskDocument sur l'Auto provisioning, contacts, presence et streaming sur asterisk
Document sur l'Auto provisioning, contacts, presence et streaming sur asterisk
 
Mémoire analyse fonctionnelle et rédimensinnement d'une infrastructure réseau...
Mémoire analyse fonctionnelle et rédimensinnement d'une infrastructure réseau...Mémoire analyse fonctionnelle et rédimensinnement d'une infrastructure réseau...
Mémoire analyse fonctionnelle et rédimensinnement d'une infrastructure réseau...
 
CV Stage
CV StageCV Stage
CV Stage
 
Rapport de stage FRANK FAPONG Encadreur - Kamleu Noumi Emeric.pdf
Rapport de stage FRANK FAPONG Encadreur - Kamleu Noumi Emeric.pdfRapport de stage FRANK FAPONG Encadreur - Kamleu Noumi Emeric.pdf
Rapport de stage FRANK FAPONG Encadreur - Kamleu Noumi Emeric.pdf
 
Cebit
CebitCebit
Cebit
 
rapportfinal
rapportfinalrapportfinal
rapportfinal
 
rapport final djoukwe kepngue donald
rapport final djoukwe kepngue donaldrapport final djoukwe kepngue donald
rapport final djoukwe kepngue donald
 
soutenance_aux_BTS_2022-2023.pdf
soutenance_aux_BTS_2022-2023.pdfsoutenance_aux_BTS_2022-2023.pdf
soutenance_aux_BTS_2022-2023.pdf
 
Rapport version finale kouakou aboua pokou alexis
Rapport version finale kouakou aboua pokou alexis Rapport version finale kouakou aboua pokou alexis
Rapport version finale kouakou aboua pokou alexis
 
PFE Swap INWI 2G 3G LTE
PFE Swap INWI 2G 3G LTEPFE Swap INWI 2G 3G LTE
PFE Swap INWI 2G 3G LTE
 
Mabrouk PréSenatation De La Va Rcm 2010 2011 3éMe AnnéE
Mabrouk PréSenatation De La Va Rcm 2010 2011  3éMe AnnéEMabrouk PréSenatation De La Va Rcm 2010 2011  3éMe AnnéE
Mabrouk PréSenatation De La Va Rcm 2010 2011 3éMe AnnéE
 
Projet Planing Network
Projet Planing NetworkProjet Planing Network
Projet Planing Network
 
httpswww.ummto.dzdspacebitstreamhandleummto13205Amrouche20M..pdfsequence=1&is...
httpswww.ummto.dzdspacebitstreamhandleummto13205Amrouche20M..pdfsequence=1&is...httpswww.ummto.dzdspacebitstreamhandleummto13205Amrouche20M..pdfsequence=1&is...
httpswww.ummto.dzdspacebitstreamhandleummto13205Amrouche20M..pdfsequence=1&is...
 

Memoire karamoko mss

  • 1. Ministère de l’Enseignement République de Côte d’Ivoire Supérieur et de la Recherche Scientifique Union – Discipline - Travail Institut National Polytechnique Félix HOUPHOUET BOIGNY Ecole Supérieure d’Industrie N° d’ordre : 06/11/ESI ING TLC /2010 G G 2EE 2 Génie Electrique & Electronique MEMOIRE DE FIN DE CYCLE Pour l’obtention du Diplôme d’ingénieur de conception en télécommunications et réseaux Sécurisation des Réseaux NGN : Cas de ORANGE Côte D’Ivoire ( OC I ) Période de stage : 06 Avril – 05 Juillet 2010 Présenté par KARAMOKO MAMADOU Elève ingénieur en télécommunications et réseaux Encadreur Pédagogique Maître de Stage Professeur HABA Cissé Théodore M. N’DA Jean Marie Dominique Enseignant Chercheur à l’INPHB de Chargé de projet au service Yamoussoukro Core Network & Platform ORANGE-CI
  • 2. Ministère de l’Enseignement République de Côte d’Ivoire Supérieur et de la Recherche Scientifique Union – Discipline - Travail Institut National Polytechnique Félix HOUPHOUET BOIGNY Ecole Supérieure d’Industrie N° d’ordre : 06/11/ESI ING TLC /2010 G G 2EE 2 Génie Electrique & Electronique MEMOIRE DE FIN DE CYCLE Pour l’obtention du Diplôme d’ingénieur de conception en télécommunications et réseaux Sécurisation des Réseaux NGN : Cas de ORANGE Côte D’Ivoire ( OC I ) Période de stage : 06 Avril – 05 Juillet 2010 Présenté par KARAMOKO MAMADOU Elève ingénieur en télécommunications et réseaux Encadreur Pédagogique Maître de Stage Professeur HABA Cissé Théodore M. N’DA Jean Marie Dominique Enseignant Chercheur à l’INPHB de Chargé de projet au service Yamoussoukro Core Network & Platform ORANGE-CI
  • 3. Mémoire de fin de cycle Sécurisation des réseaux NGN : Cas de Orange-CI (OCI) INTRODUCTION Un réseau peut être vu comme un ensemble de ressources mises en place pour offrir des services. C’est l’évolution des services et des trafics offerts qui a piloté, dans les dernières années, l’évolution technologique permettant d’augmenter la capacité et les fonctionnalités des ressources des opérateurs de téléphonie mobile. Les réseaux de la prochaine génération (NGN ou Next Generation Networks en anglais), avec leur architecture répartie, exploitent pleinement des technologies de pointe pour offrir de nouveaux services sophistiqués et augmenter les recettes des opérateurs tout en réduisant leurs dépenses d’investissement et leurs coûts d’exploitation [2]. Un point essentiel dans l’augmentation de l’offre de services concerne la capacité à regrouper l’ensemble des services dont le client a besoin et de les lui offrir, si possible de manière fidèle. Dans cette situation, le terme "sécurité" est largement utilisé pour caractériser le niveau de confiance dans un réseau. De la sécurité découle la nécessité de disposer d'architectures, de réseaux, d'équipements et de techniques permettant de répondre aux besoins des consommateurs, en ce qui concerne les services proposés. Depuis la première phase de migration de son réseau cœur vers le NGN, ORANGE-CI n’a cessé de déployer de gros investissements en vue d’effectuer une migration totale. Cependant après cette migration totale il faudra mettre en place une politique de sécurisation fiable permettant d'optimiser la distribution de l'intelligence de bout en bout de son réseau NGN. C’est justement ce travail qui nous a été confié et qui consiste en fait en la mise en place d’une technique de sécurisation du réseau NGN de ORANGE-CI. Il renferme l’étude des différentes techniques de sécurisation des réseaux NGN, la proposition d’une politique de sécurité du réseau NGN de ORANGE-CI et l’architecture du réseau NGN cible sécurisée. Le travail s’articulera autour de trois grands axes. Tout d’abord une approche technique de la notion de sécurité dans les réseaux NGN. Ensuite, avec l’analyse du réseau existant, nous passerons au choix de la sécurisation puis nous proposerons une architecture prenant en compte la sécurité du réseau cible. Mais avant d’aborder le travail proprement dit, nous allons présenter le cadre et le contexte de notre stage. Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux 1
  • 4. Mémoire de fin de cycle Sécurisation des réseaux NGN : Cas de Orange-CI (OCI) CHAPITRE 1 : CADRE ET CONTEXTE DU STAGE Nous allons décrire l’environnement de travail dans lequel nous avons évolué durant nos trois mois de stage, puis nous présenterons le thème étudié, et la méthodologie de travail adoptée. Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux 2
  • 5. Mémoire de fin de cycle Sécurisation des réseaux NGN : Cas de Orange-CI (OCI) I.1.CADRE DU STAGE Notre stage s’est déroulé du 06 Avril au 05 Juillet 2010 au sein de l’équipe Core Network & Platform de ORANGE-CI. I.1.1 Création de ORANGE-CI [14] Orange CI a été créée sous l’appellation, Société Ivoirienne de Mobile (SIM) et sous la marque Ivoiris. Elle est détenue à 85% par France Télécom et à 15% par le groupe COMAFRIQUE. Ses activités commerciales ont débuté le 28 octobre 1996. Suite à la création de la holding de droit français, Orange SA, France Télécom décide de dénommer « Orange » toutes ses filiales mobiles, dans lesquelles elle est majoritaire, afin de leur faire bénéficier de l’expertise commerciale et de la notoriété dont jouit la marque. C’est ainsi que le 18 mars 2002, la Société Ivoirienne de Mobile change de dénomination sociale et commerciale et devient Orange Côte d’Ivoire SA (OCI SA). Conformément à la politique du groupe, le statut de franchise d’Orange Côte d’Ivoire SA se traduit le 29 mai 2002 par l’adoption de la marque, de ses valeurs et de sa vision du futur. Elle est à cette date, la première représentation de la marque Orange en Afrique. Orange Côte d'Ivoire, société anonyme au capital de 4,136 milliards, a pour siège l'immeuble "le Quartz" situé sur le Boulevard Valery Giscard d'Estaing à Abidjan. Le Groupe France Telecom a initié depuis 2004, une synergie entre ses filiales en Côte d’Ivoire : Orange CI (OCI) et Côte d’Ivoire Telecom (CIT). Les activités du Groupe en Côte d’Ivoire concernent les télécommunications à travers les univers fixe-mobile-internet. Le numéro de licence d’orange est de 01/CEL/2/96/ATCI ; elle a été accordée le 02 Avril 1996 et court jusqu’au 02 Avril 2016. I.1.2 Missions Les résultats probants obtenus par la qualité des services, des produits et l’accueil client ont fait d’Orange CI, l’opérateur de référence en Côte d’ Ivoire. Elle s’est donné pour objectifs de : Fournir des services spécialisés aux abonnées Satisfaire les besoins de la clientèle Permettre une communication fiable à des tarifs moindres Elle souhaite que chaque client puisse communiquer et interagir, à tout moment, de n’importe où et de la manière qu’il souhaite. Aussi, elle ambitionne de devenir la première Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux 3
  • 6. Mémoire de fin de cycle Sécurisation des réseaux NGN : Cas de Orange-CI (OCI) marque globale de téléphonie mobile. C'est-à-dire être premier dans les services, dans la qualité, dans l’innovation et ainsi être le premier choix. I.1.3 L’organigramme Pour atteindre ces différents objectifs, OCIT a axé sa politique de gestion sur une organisation composée de plusieurs directions, départements et services. DIRECTION GENERAL DG Direction financière Direction des Moyens Direction Commerciale Direction Marketing et de (DF) Généraux (DMG) (DC) la Communication (DMC) (DMC) Direction Juridique et de Direction du Réseau et du Direction de l’Audit et de la Direction des la réglementation (DJR) Système d’information Ressources Humaines Qualité (DAQ) (DRSI) (DRH) Direction des études et Développement (DED) Direction Adjointe Réseau structurant (DARS) Service CoreNetwork et Platform (CN&PF) Figure 1 : Organigramme simplifié d’Orange Côte d’Ivoire Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux 4
  • 7. Mémoire de fin de cycle Sécurisation des réseaux NGN : Cas de Orange-CI (OCI) I.2. CONTEXTE DU STAGE I.2.1 Le service Core Network & platform (CN&PF) Notre projet de fin d’études au sein de ORANGE-CI, a été supervisé par le service Core Network & Platform (CN&PF). Elle regroupe toutes les activités d’études et de développement. Les fonctions de ce service sont : Réaliser les études Définir les Roadmap IT et Network Elaborer le budget de CAPEX Etre à l’écoute des besoins des directions d’OCIT et trouver la meilleure solution technique pour y répondre Assurer l’ingénierie et la gestion de projets lors de la mise en œuvre de : L’évolution du réseau par l’ajout de nouveaux équipements dans le cœur réseau L’extension de capacité des équipements du cœur réseau De nouvelles fonctionnalités Assurer la gestion des projets de la DED I.2.2 Présentation du thème de l’étude La volonté de passage à une architecture NGN au niveau du cœur de réseau de ORANGE-CI, s’inscrit avant tout dans une logique d’optimisation du trafic du fait de la commutation de paquet et d’évolution vers le concept « tout IP » du réseau existant. Le passage à la phase 3 de la migration vers le NGN prévu pour fin juin 2010 de ORANGE-CI se caractérise par l’ajout de nouveaux équipements NGN dans le réseau cœur et une augmentation des capacités des serveurs existants en termes d’abonnés. Par ailleurs avec cette évolution, il paraît nécessaire d’identifier les faiblesses potentielles du réseau NGN et de proposer une architecture sécurisée du réseau cible. C'est la raison pour laquelle l’on doit définir dans un premier temps une politique de sécurité, dont la mise en œuvre se fait selon les étapes suivantes : Identifier les besoins en termes de sécurité, les risques pesant sur les équipements et les conséquences. Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux 5
  • 8. Mémoire de fin de cycle Sécurisation des réseaux NGN : Cas de Orange-CI (OCI) Proposer une architecture qui prend en compte la haute disponibilité du réseau pour améliorer la QoS. Afin d’anticiper en terme de sécurisation totale du réseau NGN cible, le thème « SECURISATION DES RESEAUX NGN : CAS DE ORANGE-CI » nous a été confié. I.2.3 Intérêt du thème de l’étude La stratégie de migration de ORANGE-CI vers le NGN consiste en l’ajout de nouveaux équipements dans le réseau cœur et l’augmentation des charges au niveau des équipements existants. Cela soulève un certain nombre d’interrogations : les équipements ajoutés sont-ils capables de prendre la charge du réseau ? Si oui jusqu'à quel niveau ? Le réseau est-il disponible en cas de dysfonctionnement au niveau d’un nœud ? C’est entre autre, dans ce paysage disparate de questions que ce travail vient à point nommé, afin de permettre à ORANGE-CI de réduire les risques d’indisponibilités considérables du réseau. I.2.4 Méthodologie du travail La méthode de travail a consisté à relever les risques afférents aux réseaux NGN, les techniques utilisées pour aboutir à une sécurisation, le choix et la mise en œuvre d’une solution qui tienne compte du réseau NGN cible de ORANGE-CI. Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux 6
  • 9. Mémoire de fin de cycle Sécurisation des réseaux NGN : Cas de Orange-CI (OCI) CHAPITRE 2 : CONCEPT DE SECURITE DANS LES RESEAUX NGN Ici, nous allons présenter les caractéristiques des réseaux de nouvelles générations (NGN), puis procéder à l’étude prospective des concepts nouveaux des réseaux NGN. Après cette étude globale des réseaux NGN, nous décrirons les limites essentielles en termes de non garantie de la sécurité et aborderons les politiques de sécurisation liées aux NGN. Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux 7
  • 10. Mémoire de fin de cycle Sécurisation des réseaux NGN : Cas de Orange-CI (OCI) II.1. GENERALITES SUR LE RESEAU NGN II.1.1 Présentation du réseau NGN Les NGN1 sont des réseaux en mode paquet capable d'assurer des services de télécommunications et d'utiliser de multiples technologies de transport à large bande à qualité de service imposée et dans lesquels les fonctions liées aux services sont indépendantes des technologies liées au transport[1]. Afin de s’adapter aux grandes tendances qui sont la recherche de souplesse d’évolution de réseau, la distribution de l’intelligence dans le réseau, et l’ouverture à des services tiers, les NGN sont basés sur une évolution progressive vers le « tout IP » et sont modélisés en couches indépendantes dialoguant via des interfaces ouvertes et normalisées. La couche « Accès », qui permet l’accès de l’utilisateur aux services via des supports de transmission et de collecte divers : câble, cuivre, fibre optique, boucle locale radio, xDSL, réseaux mobiles. La couche « Transport », qui gère l’acheminement du trafic vers sa destination. En bordure du réseau de transport, des « Media Gateways » et des « Signalling Gateways» gèrent respectivement la conversion des flux de données et de signalisation aux interfaces avec les autres ensembles réseau ou les réseaux tiers interconnectés. La couche « Contrôle », qui se compose de serveurs dits « Softswitch » gérant d’une part les mécanismes de contrôle d’appel (pilotage de la couche transport, gestion des adresses), et d’autre part l’accès aux services (profils d’abonnés, accès aux plateformes de services à valeur ajoutée). La couche « Services », qui regroupe les plates-formes d’exécution de services et de diffusion de contenus. Elle communique avec la couche contrôle du cœur de réseau via des interfaces ouvertes et normalisées, indépendantes de la nature du réseau d’accès utilisé. Les services et contenus eux-mêmes sont par ailleurs développés avec des langages convergents et unifiés. La figure suivante présente le principe général d'architecture d'un réseau NGN. 1 Il existe globalement deux types de réseau NGN : le NGN Téléphonie et le NGN Multimédia. Les NGN Téléphonie sont des architectures de réseau offrant uniquement les services de téléphonie. Le NGN Multimédia est une architecture offrant les services multimédia (messagerie vocale/vidéo, conférence audio/vidéo, Ring-back tone voix/vidéo) puisque l'usager a un terminal IP multimédia. Dans ce mémoire nous n’aborderons que le NGN Téléphonie qui est adopté par ORANGE-CI. Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux 8
  • 11. Mémoire de fin de cycle Sécurisation des réseaux NGN : Cas de Orange-CI (OCI) Paramètre NGN Couche Service (Opérateur et tiers) Interfaces ouvertes Et normalisées Réseau cœur Couche Contrôle Interfaces ouvertes Et normalisées Couche Transport (Mode paquet) Connexe au Réseau d’Accès NGN Multiples Terminaux Figure 2 : Principe général d’architecture d’un réseau NGN II.1.2. Les familles de protocoles d’un réseau NGN [2] La convergence des réseaux voix/données ainsi que le fait d’utiliser un réseau en mode paquet pour transporter des flux multimédia, ayant des contraintes de « temps réel », a nécessité l’adaptation de la couche contrôle. En effet ces réseaux en mode paquet étaient généralement utilisés comme réseau de transport mais n’offraient pas de services permettant la gestion des appels et des communications multimédia. Cette évolution a conduit à l’apparition de nouveaux protocoles, principalement concernant la gestion des flux multimédia, au sein de la couche Contrôle. II.1.2.1 Les protocoles de contrôle d’appel Les protocoles de contrôle d’appel permettant l’établissement, généralement à l’initiative d’un utilisateur, d’une communication entre deux terminaux ou entre un terminal et un serveur. Les principaux sont : Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux 9
  • 12. Mémoire de fin de cycle Sécurisation des réseaux NGN : Cas de Orange-CI (OCI) II.1.2.1.1 Le protocole historique : H.323 Développé par l’Union Internationale des Télécommunications (UIT-T), le protocole H.323 est le protocole de contrôle d’appel sur IP le plus ancien. Nous observons une mutation de la norme H.323 vers les NGN. La version 4 de H.323 permet une dissociation des couches Transport et Contrôle : c’est une mutation de la norme H.323 vers les NGN. Cela apporte au protocole H.323 la capacité d’être utilisable sur des réseaux opérateurs, alors qu’il avait été conçu à l’origine pour des réseaux locaux. Il assure la gestion de la qualité de service de bout en bout grâce à l’utilisation des protocoles RTP et RTCP. Les protocoles RTP et RTCP garantissent la qualité des communications multimédia en mode paquets (gestion et contrôle des flux temps réel). Pouvant être mis en œuvre au dessus d’IP ou d’ATM. En outre il apporte des services supplémentaires qui ont été normalisés : les appels en attente (H.450.4) le « parquage d’appels » (H.450.5) le signal d’appel (H.450.6) le service d’identification (H.450.8) le renvoi d’appel (H.450.9) la tarification d’appel (H.450.10) le service d’intrusion (H.450.11) Il est établi que la signalisation des appels et la synchronisation (H.225) se passent entre MSC-Server; par contre le protocole utilisé pour l’échange des capacités entre les terminaux, la négociation de canal et le contrôle de flux média entre les terminaux H.323 (H.245) peut s’effectuer entre MGW ou MSC-Server. Il établi la correspondance entre les messages ISUP et H.323 pour les appels IP-RTC et RTCIP. II.1.2.1.2 Le protocole SIP-T : Session Initiation Protocol for Telephone Défini par le RFC 3261, l’Internet Draft SIP-T (SIP pour la téléphonie) de l’IETF définit la gestion de la téléphonie par le protocole SIP ainsi que l’interconnexion avec le RTC. Cependant uniquement avec le protocole SS7/ISUP. SIP-T préconise : L’encapsulation des messages ISUP à l’intérieur de messages SIP, permettant la transmission de façon transparente de la signalisation ISUP dans le cas de transit par un réseau IP. Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux 10
  • 13. Mémoire de fin de cycle Sécurisation des réseaux NGN : Cas de Orange-CI (OCI) Le renseignement de l’en-tête du message SIP par les informations contenues dans le message ISUP, permettant d’acheminer le message correctement à travers le réseau IP et de terminer les appels sur un terminal SIP. C’est un protocole de signalisation pour l’établissement d’appel et de conférences temps réel sur des réseaux IP. Il utilise aussi les protocoles RTP et RTCP pour gérer la qualité de service de bout en bout. II.1.2.1.3 Le protocole BICC : Bearer Independant Call control [12] Le 3GPP suggère l'utilisation du protocole BICC défini par l'ITU-T. Le protocole BICC est une extension du protocole ISUP pour permettre la commande d'appel et de services téléphoniques sur un réseau de transport IP ou ATM. Le protocole BICC a pour objectif la gestion de la communication entre serveurs d'appel, indépendamment du type de support, permettant aux opérateurs de réaliser une migration de leurs réseaux RTC/RNIS/GSM vers des réseaux en mode paquet. Il encapsule les messages ISUP à l’intérieur de messages IP. Le protocole BICC est donc (ou sera à court terme) compatible aussi bien avec les protocoles de contrôle d’appel SIP et H.323 qu’avec un transport en mode IP ou ATM. Cependant au vu des tendances à moyen/long terme concernant le choix du protocole de contrôle d’appel (plutôt SIP au détriment de H.323) et au vu du support important de BICC dans le domaine télécoms, le choix du protocole de signalisation entre serveurs d’appel NGN se fera vraisemblablement entre BICC et SIP-T. II.1.2.2 Les protocoles de commande de Media Gateway Les protocoles de commande de Media Gateway sont issus de la séparation entre les couches Transport et Contrôle et permettent au Softswitch ou Media Gateway Controller de gérer les passerelles de transport ou Media Gateway. MGCP (Media Gateway Control Protocol) de l’IETF et H.248/MEGACO, développé conjointement par l’UIT et l’IETF, sont actuellement les protocoles prédominants. II.1.2.2.1 Le protocole historique : MGCP [12] Le Media Gateway Control Protocol (MGCP, RFC 2705), protocole défini par l’IETF, a été conçu pour des réseaux de téléphonie IP utilisant des passerelles VoIP. Il gère la communication entre les Media Gateway et les Media Gateway Controller. Ce protocole traite la signalisation et le contrôle des appels, d’une part, et les flux média d’autre part. Les différents éléments qui utilisent MGCP sont : Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux 11
  • 14. Mémoire de fin de cycle Sécurisation des réseaux NGN : Cas de Orange-CI (OCI) La Signalling Gateway qui réalise l’interface entre le réseau de téléphonie (Signalisation SS7) et le réseau IP. Elle termine les connexions des couches basses de SS7 et transmet les messages ISUP à la MGC. Le Media Gateway Controller (MGC) ou Call Agent qui opère l’enregistrement, la gestion et les contrôles des ressources des Media Gateway. Elle coordonne l’établissement, le contrôle et la fin des flux média qui transitent par la Media Gateway. La Media Gateway (MG) qui est le point d’entrée ou de sortie des flux média à l’interface avec les réseaux IP et téléphoniques. Elle effectue la conversion des médias entre le mode circuit (téléphonique) en le mode paquet (IP). II.1.2.2.2 Le protocole alternatif : MEGACO/H.248 Le groupe de travail MEGACO (MEdia GAteway COntrol) a été constitué en 1998 pour compléter les travaux sur le protocole MGCP au sein de l’IETF. Depuis 1999, l’UIT et l’IETF travaillent conjointement sur le développement du protocole MEGACO/H.248 ; c’est un standard permettant la communication entre les Media Gateway Controller (MGC) et les Media Gateway (MG). Il est dérivé de MGCP et possède des améliorations par rapport à celui-ci : Support de services multimédia et de vidéoconférence. Possibilité d’utiliser UDP ou TCP. Utilise le codage en mode texte ou binaire. II.1.2.3 Le Protocole de signalisation sur IP La signalisation SIGTRAN permet l’adaptation et le transport de la signalisation SS7 sur les réseaux IP. Il est aussi appelé SCTP par abus de langage. Il définit le protocole de contrôle entre : Les Signalling Gateways (SG), qui reçoivent la signalisation SS7 sur TDM, et la convertissent en SS7 sur IP. Les MSC-Servers, qui interprètent la signalisation SS7 sur IP. Et les « signalling points » du réseau IP (serveurs de contrôle d’appel). Les couches d’adaptation définies par SIGTRAN ont toutes des objectifs communs : Le transport des protocoles de signalisation des couches supérieures, basé sur un protocole de transport fiable sur IP qui est le protocole SCTP. Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux 12
  • 15. Mémoire de fin de cycle Sécurisation des réseaux NGN : Cas de Orange-CI (OCI) La garantie d’une offre de services équivalente à celle proposée par les interfaces des réseaux TDM. La transparence du transport de la signalisation2 sur un réseau IP : l’utilisateur final ne se rend pas compte de la nature du réseau de transport. La possibilité de pouvoir supprimer dès que possible les couches basses du protocole SS7. La figure 3 montre la pile de protocoles de la signalisation SIGTRAN telle que définie par le RFC 2719. Figure 3: Pile de protocole SIGTRAN II.1.3 Les Entités fonctionnelles du cœur du réseau NGN Les réseaux mobiles dont l’essentiel du trafic est la voix sont longtemps restés en marge de l’évolution de la commutation jusqu’à ce que l’on ait la possibilité de transporter la voix sous forme paquets. En effet, Mise sous forme paquet, la voix peut transiter par un réseau utilisé pour [1]: Remplacer uniquement le réseau d’accès jusqu’au commutateur. Remplacer uniquement le cœur du réseau. Remplacer les deux derniers. Remplacer l’ensemble du réseau, voire construire un nouveau réseau. 2 La signalisation est l’ensemble des informations de service nécessaires à l’établissement et au déroulement d’une communication sur un réseau (prise en ligne, mise en attente, libération…) Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux 13
  • 16. Mémoire de fin de cycle Sécurisation des réseaux NGN : Cas de Orange-CI (OCI) Des changements plus profonds peuvent avoir lieu dans l’architecture du réseau. Un commutateur téléphonique est constitué de deux parties principales. Une partie matérielle (hardware) qui se charge de l’acheminement des octets de voix entre la source et la destination. Une partie logicielle (software) qui se charge de gérer la signalisation et les services. Les deux parties sont historiquement logées dans le même équipement appelé MSC. Le concept de séparation de la signalisation et la commutation permet de centraliser la partie intelligente dans un serveur (appelé MSC-Serveur, ou encore MGC : Mediagateway Controller) qui contrôlera les divers dispositifs responsables du transcodage (appelés MGW : Mediagateway) qui eux ne peuvent pas être centralisés ; ils peuvent se trouver à chaque point d’interconnexion entre la partie radio BSS ou le réseau RTC et le réseau paquets. En effet, le MSC server contrôle une ou plusieurs MGW. De plus, la fonction réalisée par la MGW, c'est- à-dire l’acheminent des flux, peut être fournie par un réseau en mode paquet, ce qui mène vers la convergence voix-données. C’est ce type d’architecture que les NGN proposent. L’association physique du MSC server et la MGW forme logiquement le MSC. Le MSC server peut implémenter des services autres que les services de voix, on a donc une évolution naturelle vers la convergence des services.En effet, les clients accèdent au MSC server, pour demander l’accès aux services. Par exemple quand un client demande une communication vers un correspondant au MSC server, ce dernier lui indique l’adresse destinataire dans le réseau de paquets et la source émet les paquets transportant la voix vers cette destination. Les flux d’informations, la voix notamment, sont véhiculés directement sur le réseau de paquets (IP) de bout en bout. La figure 4 nous donne une architecture claire du commutateur dans le réseau NGN. MSC Protocole ISUP vers RTC Protocole BICC ou SIP-T vers MSC server MSC server Signalisation BSSAP/RANAP Protocole de contrôle MEGACO/H.248 BSS/UTRAN Media Media Réseau IP ou Circuits de paroles ATM ou canaux AAL2/ATM MGW Figure 4: Architecture de la commutation NGN Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux 14
  • 17. Mémoire de fin de cycle Sécurisation des réseaux NGN : Cas de Orange-CI (OCI) II.1.3.1 Le MSC server Le MSC server [13] est un serveur d’appel qui contient l’intelligence liée au contrôle de l’appel et pour ce faire possède un modèle d’appel complet. Il est associé à un VLR afin de prendre en compte les données des usagers mobiles. Le MSC server identifie les usagers, détermine le niveau de service pour chaque usager et achemine de trafic. Par ailleurs, il fournit toutes les informations permettant la taxation des appels et la mesure des performances du réseau. Aussi, le MSC server s’interface aux serveurs d’applications. Le MSC server peut jouer les rôles suivants : II.1.3.1.1 Le GMSC server Si un réseau établi un appel vers un PLMN qui ne communique pas avec le HLR, l’appel sera routé vers un MSC. Ce MSC sera en mesure d’interroger le HLR approprié afin d'obtenir un numéro de MSRN et par la suite router l’appel vers le MSC où l’abonné est localisé. Ce MSC qui est appelé Gateway MSC (GMSC) [5]. Le GMSC server sera responsable des fonctions de contrôle d’appel et de gestion de la mobilité par rapport à un GMSC. . Un transcodage de la parole doit aussi avoir lieu au niveau de la MGW pour convertir la parole reçue et qui est encodée à l'aide du codec G.711 en parole encodée en utilisant le codec AMR (UMTS) ou à l'aide du codec GSM, avant de router le trafic audio à l'autre MGW qui interface les nœuds BSC et RNC. II.1.3.1.2 Le TMSC server [5] Dans les applications, une structure en couche est utilisée dans les réseaux de grande étendue. Étant un office de liaison, le TMSC server assure les fonctions suivantes : Analyse du routage Acheminement des appels intra réseau II.1.3.2 La Media Gateway (MGW) [13] La Media Gateway reçoit un trafic de parole du BSC ou du RNC et le route sur un réseau IP ou ATM. L'interface Iu-CS (Interface entre RNC et MSC) ou l'interface A (Interface entre BSC et MSC) se connecte dorénavant sur l'entité MGW afin que le trafic audio puisse être transporté sur IP ou ATM. Une fois la connexion établie, la MGW convertira les signaux audio transportés dans les circuits de parole (terminaison circuit) en paquets IP qui seront Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux 15
  • 18. Mémoire de fin de cycle Sécurisation des réseaux NGN : Cas de Orange-CI (OCI) transportés dans le réseau IP (terminaison IP) ou en cellules ATM dans le cas d’un transport ATM. II.1.4 Architecture du réseau NGN Les principales caractéristiques des réseaux NGN sont l’utilisation d’un unique réseau de transport en mode paquet (IP, ATM,…) ainsi que la séparation des couches de transport des flux et de contrôle des communications, qui sont implémentées dans un même équipement pour un commutateur traditionnel. Ces grands principes et concernant les équipements actifs du cœur de réseau NGN Téléphonie se déclinent techniquement comme suit [2] : Remplacement des commutateurs traditionnels par deux équipements distincts : D’une part des serveurs de contrôle d’appel dits Softswitch ou Media Gateway Controller (correspondant schématiquement aux ressources processeur et mémoire des commutateurs voix traditionnels). D’autre part des équipements de médiation et de routage dits Media Gateway (correspondant schématiquement aux cartes d’interfaces et de signalisation et aux matrices de commutation des commutateurs voix traditionnels), qui s’appuient sur le réseau de transport mutualisé NGN. Apparition de nouveaux protocoles de contrôle d’appel et de signalisation entre ces équipements (de serveur à serveur, et de serveur à Media Gateway). La figure 5 [15] présente la structure physique d’un réseau NGN Téléphonie. Les équipements existants (exemple : commutateur d’accès téléphonique ou BTS/BSC du réseau GSM) sont reliés à une couche de transport IP ou ATM par le biais de Media Gateway (couche transport). L’établissement des canaux de communication IP ou ATM entre les Media Gateway est la responsabilité du MSC server appartenant à la couche contrôle. Dans l’architecture NGN Téléphonie, le protocole de contrôle tel que MGCP ou MEGACO ne fait que décrire les interactions entre le MSC server et la MGW. Si un MSC server doit contrôler une MGW qui est sous la responsabilité d’un autre MSC server, il est nécessaire que les MSC server communiquent en s’échangeant de la signalisation. Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux 16
  • 19. Mémoire de fin de cycle Sécurisation des réseaux NGN : Cas de Orange-CI (OCI) SCP Application INAP SIP MSC server Contrôle MSC server BICC BSSAP ISUP BSC/Node B BACKBONE MGW IP MGW Transport RTCP/PLMN MGW Adaptation Class 5 BSC/Node B Switch Accès Trafic Signalisation Commande MGW : H.248 Figure 5: Architecture d'un réseau NGN Téléphonie Conclusion La séparation des fonctions Transport et Contrôle du cœur de réseau est très déterminant dans le réseau NGN. En effet, la notion de réseau de transport, au sens NGN, est plus large qu’au sens traditionnel. Elle inclut, en complément des liaisons physiques et de l’infrastructure « passive » de transport, l’apparition des fonctions Media Gateway et Signalling Gateway, qui effectuent la conversion et l’acheminement du trafic et de la signalisation sous le contrôle des serveurs d’appel. Dans un monde dominé par le service temps réel, la nouvelle génération d’équipements NGN qui est largement orientée autour de l’IP peut présenter des limites en termes de capacité de tolérance aux pannes. L'objectif de la partie suivante est justement l’évaluation des risques dans les réseaux NGN. Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux 17
  • 20. Mémoire de fin de cycle Sécurisation des réseaux NGN : Cas de Orange-CI (OCI) II.2. LES FAILLES DU RESEAU NGN II.2.1 Evaluation des risques La problématique de la sécurité est très présente dans les réseaux NGN. En effet les services téléphoniques ont de fortes contraintes temps réel, exigences renforcées dans le cas de services interactifs (communications multimédia). Pour offrir les services temps réels sur des réseaux en mode cœur paquet tels que les NGN, des paramètres quantifiables, directement liés à la qualité de service de bout en bout, sont utilisés: Le temps de latence, qui correspond au temps écoulé entre le moment où le serveur d’appel établit la connexion entre un appel émis et le moment où le destinataire final le reçoit. La gigue qui est la variation du temps de latence des paquets émis pour une même « conversation ». La perte de paquets qui représente l’information n’arrivant pas à destination dans un délai compatible avec les flux temps réel. Elle se matérialise par la mauvaise qualité d’écoute et une perte considérable des appels. Dans le réseau NGN Téléphonie la séparation des fonctions Transport et Contrôle du cœur de réseau se caractérise par l’introduction de deux équipements distincts : MSC server et la MGW. Ces équipements sont hébergés et sous contrôle permanent de l’opérateur. Ils doivent êtres protégés par diverses mesures, par exemple: sécurisation physique des infrastructures existantes, durcissement des systèmes visant à réduire les vulnérabilités et à diminuer les risques opérationnels. La gestion de la qualité de service par la seule couche transport, basée sur les MSC servers et les MGW, n’offre pas de garantie de qualité de service ni de gestion de la qualité de service de bout en bout. Les risques de dysfonctionnement se caractérisent par une congestion au niveau des équipements NGN. On distingue : la congestion globale et partielle du réseau. II.2.2 La Congestion globale du réseau [1] La congestion globale est caractérisée par une interruption considérable de tous les services. Ce dysfonctionnement généralisé est causée par une défaillance matérielle ou une surcharge au niveau du MSC server qui gère l’essentiel du trafic. Chez les opérateurs, les situations suivantes peuvent se présenter : Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux 18
  • 21. Mémoire de fin de cycle Sécurisation des réseaux NGN : Cas de Orange-CI (OCI) Toutes les MGW sont hors de contrôle, par exemple la perte de tous les liens entre un MSC server et toutes les MGW qu’il contrôle. Tous les trafics gérés par un MSC server sont interrompus, par exemple l’échec des MOC (appels entrants), des MTC (appels sortants), des handovers et des mises à jour de localisation. La perte énorme des données des MSC servers et des MGW La congestion globale du réseau introduit la charge des MSC servers dans le réseau. II.2.3 La Congestion partielle du réseau [1] Lorsqu’une MGW est congestionnée, l’essentiel du trafic qu’elle gère est perdu. On parle de congestion partielle quand certains trafics sont momentanément interrompus. Dans ce cas : Certaines MGW sont hors de contrôle. Les trafics gérés par une MGW sont interrompus, par exemple l’échec des MOC (appels entrants), des MTC (appels sortants). La congestion partielle du réseau introduit la charge des MGW dans le réseau. Conclusion Les réseaux NGN présentent de nombreuses limites car un facteur clé de la téléphonie est prépondérant, c’est celui lié à la notion du « temps réel » et donc la disponibilité. Puisqu’il est impossible d’empêcher totalement les pannes matérielles, il est nécessaire de prévoir les moyens et mesures permettant d’éviter ou de rétablir en temps réel tout incident. La partie suivante aborde la politique de sécurisation des réseaux de façon générale. II.3. POLITIQUES DE SECURISATION DES RESEAUX II.3.1 La haute disponibilité [7] La haute disponibilité désigne une architecture réseau, ou un service, disposant d'un taux de disponibilité convenable. On entend par disponible le fait d'être accessible et rendre le service demandé. La disponibilité est aujourd'hui un enjeu très important et qu'en cas d'indisponibilité, les répercussions en termes de coûts et de production peuvent avoir un effet catastrophique. Par exemple une disponibilité de 99 % indique que le service ne sera pas disponible pendant Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux 19
  • 22. Mémoire de fin de cycle Sécurisation des réseaux NGN : Cas de Orange-CI (OCI) 3,65 jours par an maximum (un tableau en dessous est fourni pour les différents taux de disponibilité). On atteint la haute disponibilité à partir de 99,9 %. La haute disponibilité nécessite donc une architecture adaptée. Le tableau suivant montre la durée d’indisponibilité du réseau en fonction du taux de disponibilité. Tableau 1: Durée d’indisponibilité par taux de disponibilité Taux de disponibilité Durée d’indisponibilité 97 % 11 Jours 98 % 7 Jours 99 % 3 Jours et 15 Heures 99,9 % 8 Heures et 48 Minutes 99,99 % 53 Minutes 99,999 % 5 Minutes 99,9999 % 32 secondes Il est nécessaire par exemple d'alimenter les composants par une alimentation stabilisée, d'installer une climatisation efficace afin de maintenir les conditions d'utilisations optimum et minimiser les risques de coupures et donc d'arrêt des équipements du réseau cœur. Les risques d'incendies doivent aussi être pris en compte ainsi que la protection des câbles. Ces précautions de base sont des critères à prendre en compte des le début de l'installation des équipements. Ces précautions d'ordre externe à l'architecture sont très importantes mais ne suffisent pas à garantir une haute disponibilité. Afin de pouvoir l'atteindre, il est nécessaire de mettre en place une architecture matérielle complémentaire par la redondance des matériels. La sécurisation des données est aussi une solution indispensable pour mettre en place la haute disponibilité sur le long terme. II.3.1.1 La redondance matérielle La redondance est comme son nom l'indique une duplication partielle ou totale des ressources du réseau. Il existe plusieurs types de redondance : La redondance symétrique La redondance asymétrique La redondance évolutive La redondance modulaire Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux 20
  • 23. Mémoire de fin de cycle Sécurisation des réseaux NGN : Cas de Orange-CI (OCI) La redondance symétrique repose sur le principe de dupliquer deux choses semblables à l'identique point par point. La redondance asymétrique permet de basculer d'un type de matériel à un autre, il n'est pas forcément identique mais assure les mêmes fonctionnalités avec si possible des performances similaires. La redondance évolutive est comparable à l'asymétrique mais on isole le système défaillant lors d'une panne pour utiliser une autre partie du système. La redondance modulaire est une technique qui permet de dévier une panne d'un système sur un autre. Dans tous les cas on ne parle de redondance seulement que si les composants exercent les mêmes fonctions et ce sans dépendre les uns des autres. Leur influence mutuelle se limite en général à se répartir la charge de travail ou des données. Des interactions comme la consommation électrique ou la dissipation de chaleur existent quand même. Certains composants effectuent des contrôles sur l'activité de leur voisin afin de se substituer à celui ci s'ils sont manifestement hors d'usage, ou relancer le service si cela est possible. Dans le cas de systèmes complexes, on peut dupliquer différents sous-ensemble. On travail successivement sur chaque sous-ensemble en commençant par ceux jugés les moins fiables ou étant le plus critique. Une fois dupliqué on se concentre sur le prochain sous- ensemble jugé le plus sensible ou fragile et ainsi de suite. On poursuivra ce processus jusqu'à avoir atteint le niveau de capacité, de performance et de fiabilité requis et aussi tant que le surcoût de l'installation est jugé rentable. II.3.1.2 La sécurisation des données La mise en place d'une architecture redondante ne permet que de s'assurer de la disponibilité des données mais elle ne permet pas de se protéger contre les mauvaises interactions entre équipements ou contre des catastrophes naturelles (incendie, inondations, tremblement de terre). Il est nécessaire de sécuriser les données et donc de prévoir des mécanismes de sauvegardes afin de garantir la pérennité de celles ci. Cette fonction est double car elle permet d'archiver en même temps ces données. Il existe plusieurs types de sauvegarde, voici les principaux :  Sauvegarde totale  Sauvegarde différentielle  Sauvegarde incrémentale Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux 21
  • 24. Mémoire de fin de cycle Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)  Sauvegarde à delta La sauvegarde totale (en anglais on parle de full backup) réalise une copie conforme des données à sauvegarder sur un support séparé. Ce qui peut poser des problèmes en cas de gros volume en terme de lenteur et donc de disponibilité si les données sont modifiées en cours de sauvegarde. Elle permet toutefois d'obtenir une image fidèle des données à un instant t. La sauvegarde différentielle (en anglais on parle de differential backup) se focalise uniquement sur les données modifiées depuis la dernière sauvegarde complète. Par rapport à la sauvegarde incrémentale (vu après), ce type de sauvegarde est plus lent et aussi plus coûteux en espace de stockage mais elle est plus fiable car seule la sauvegarde complète est nécessaire pour reconstituer les données sauvegardées. La sauvegarde incrémentale (en anglais on parle d’incremental backup) copie tous les éléments modifiés depuis la dernière sauvegarde. Plus performante qu'une sauvegarde totale car elle ne sauvegarde que les éléments modifiés avec un espace de stockage plus faible mais nécessite en contrepartie de posséder les sauvegardes précédentes pour reconstituer la sauvegarde complète. La sauvegarde à delta (en anglais delta backup) est une sauvegarde incrémentale sur des éléments de données à granularité plus fine, c'est à dire au niveau de chaque bloc de données. II.3.2 Mode de reprise après sinistre II.3.2.1 La réplication Dans cette technique deux (ou plus) serveurs (1 et 2) assurent le même service mais seul le serveur 1 est actif. Le serveur 2 (passif) est une parfaite copie en temps réel du serveur 1. Ainsi, en cas d'interruption, le serveur 2 est prêt à remplacer le serveur 1. Il faut s'assurer que la somme des ressources passives est égale aux ressources actives (ex. pour deux serveurs actifs et un passif les serveurs actifs ne doivent pas dépasser une charge de 50%) pour éviter les débordements. Cependant cette solution demande une grande quantité de ressources "inutilisées" en fonctionnement normal. II.3.2.2 La répartition des charges Elle est aussi appelé l'équilibrage de charge (Load Balancing en anglais). Ce processus consiste à distribuer le trafic sur un ensemble de machines [5]. L'objectif est de : Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux 22
  • 25. Mémoire de fin de cycle Sécurisation des réseaux NGN : Cas de Orange-CI (OCI) Lisser le trafic réseau et ainsi mieux répartir la charge globale sur les différents équipements) Pouvoir assurer la disponibilité des équipements en envoyant des données adaptées aux équipements. Seuls ceux pouvant répondre à la demande seront sollicités, on gagne aussi en temps de réponse. II.3.2.3 Le mode dégradé La fonctionnalité en mode dégradé est de permettre le fonctionnement des installations de manière partielle ou ralentie. C'est tenter de fournir le service jugé indispensable, en manquant de ressources complètes ou fiables. Une organisation particulière permet de poursuivre l'exploitation des services jugés indispensables tout en préparant le dépannage. Conclusion La haute disponibilité du réseau est indispensable mais difficile à atteindre. Elle nécessite de mettre en œuvre une architecture prenant en compte la redondance des équipements et la sécurité des données. Dans la partie suivante nous verrons en quoi consiste la sécurisation des réseaux NGN II.4. LES TECHNIQUES DE SECURISATION DANS LES RESEAUX NGN La sécurité dans un réseau NGN consiste à garantir l’accès aux services et aux ressources afin de permettre la disponibilité totale du réseau. Dans cette partie, nous décrivons les mécanismes de sécurité habituels, utilisés pour assurer la redondance en cas de problème. L’ensemble de ces mécanismes représente ce que l’on est en droit d’attendre d’une architecture de réseau NGN sécurisée. II.4.1 Le MGW Load sharing [4] II.4.1.1 Description du mode Dans ce mode, un BSC/RNC peut être connecté à plusieurs MGW afin de sécuriser l’accès aux services à travers les MGW. Les MGW s’échangent des ressources de telle sorte que lorsqu’une MGW est défaillante, la charge du trafic du BSC/RNC est gérée automatiquement par un autre sans interruption du trafic. Le schéma ci-dessous montre le principe : Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux 23
  • 26. Mémoire de fin de cycle Sécurisation des réseaux NGN : Cas de Orange-CI (OCI) MSC server MGW 1 MGW 2 BSC RNC BTS Node B Figure 6: Architecture mode MGW Load sharing II.4.1.2 Avantages et inconvénients Cette technique est moins coûteuse et assure une redondance des MGW. Par contre elle se limite à la sécurité des MGW et donc évite la congestion partielle. Le risque de congestion globale est important car les MSC servers ne sont pas redondants. II.4.2 Le Dual Homing [5] Cette technique basée sur la réplication permet de mettre en place une politique de gestion de la sécurité des MGW. Dans cette technique, le MSC server fonctionnant dans le réseau (appelé MSC server actif) peut être configuré avec un second MSC server backup (appelé MSC server standby). Dans les conditions normales le MSC server actif opère la signalisation et offre les autres services. Quand celui-ci est défaillant, le MSC server standby utilise des liens de relai de charges existants entre les deux MSC server pour détecter les failles sur le MSC server actif afin de prendre le contrôle des MGW. Cette technique comprend quatre modes de connexion des MSC Servers. Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux 24
  • 27. Mémoire de fin de cycle Sécurisation des réseaux NGN : Cas de Orange-CI (OCI) II.4.2.1 Le mode 1+1 backup (master/slave) II.4.2.1.1 Description du mode Dans ce mode un MSC server est configuré en actif ou master et l’autre s’interconnecte en backup aux MGW du master. Seul le master est actif et en cas de surcharge ou de chute du master, le second appelé slave prend immédiatement le contrôle de toutes les MGW. Le schéma suivant est une illustration de ce mode MSC server MSC server Master Slave MGW 1 MGW 4 Lien de contrôle actif MGW 2 MGW 3 Lien de contrôle standby Région A Région B Lien de relai Figure 7: Architecture mode 1+1 backup (master/slave) II.4.2.1.2 Avantages et inconvénients Cette technique est très facile à déployer. Elle permet un fonctionnement du réseau en mode dégradé. Elle peut être efficace si le trafic est moins dense. Néanmoins, en cas de dysfonctionnement d’un MSC-Server, il faut que le second soit capable de supporter toutes les charges du réseau ; ce qui ne résout pas forcement le problème car les charges sont sur un autre MSC server qui risque de se congestionner à son tour. II.4.2.2 Le mode 1+1 backup avec assistance mutuelle (Load sharing) II.4.2.2.1 Description du mode Dans ce mode chaque MSC server est configuré en actif et en standby. Chacun des MSC servers contrôle ses MGW, mais en cas de congestion ou de chute de l’un, les MGW Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux 25
  • 28. Mémoire de fin de cycle Sécurisation des réseaux NGN : Cas de Orange-CI (OCI) sont automatiquement gérés par l’autre en plus de ses MGW. La figure 8 nous montre ce mode MSC server MSC server Actif et Actif et Standby Standby MGW 1 MGW 2 MGW 3 MGW 4 Région A Région B Lien de contrôle actif Lien de contrôle standby Lien de relai Figure 8: Architecture mode 1+1 avec assistance mutuelle (Load sharing) II.4.2.2.2 Avantages et inconvénients Cette technique assure une mutualisation des charges du réseau donc présente une bonne tolérance aux pannes. Elle permet ainsi de réduire les risques de congestion globale du réseau. En revanche, elle ne prend en compte que la défaillance d’un MSC-Server. Donc si une MGW chute les trafics gérés par celle-ci sont interrompus ; ce qui n’évite pas la congestion partielle du réseau. II.4.2.3 Le mode N+1 backup (master/slave) II.4.2.3.1 Description du mode Ce mode présente un système avec N MSC server actifs et un MSC Server supplémentaire configuré en standby pour la sécurité de contrôle des MGW. En cas de surcharge ou de chute d’un MSC server actif, le standby prend immédiatement le contrôle de ses MGW. L’architecture montre un mode backup avec N=2 Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux 26
  • 29. Mémoire de fin de cycle Sécurisation des réseaux NGN : Cas de Orange-CI (OCI) MSC server Standby MSC server MSC server Actif Actif MGW 1 MGW 2 MGW 4 MGW 5 MGW 6 MGW 3 Région A Région B Région C Lien de contrôle actif Lien de contrôle standby Lien de relai Figure 9: Architecture mode N+1 backup (master/slave) II.4.2.3.2 Avantages et inconvénients Cette technique permet de sécuriser les MSC serveurs par l’ajout d’un serveur backup dans le réseau. Elle peut être efficace si tous les MSC serveurs ne chutent pas au même moment. Néanmoins sa mise en place nécessite qu’en cas de fonctionnement normal du réseau, un MSC server soit inutilisé dans le réseau, ce qui présente un coût considérable. Aussi, un inconvénient majeur réside dans la limite de gestion des charges du réseau en cas de congestion globale. II.4.2.4 Le mode N+1 backup avec assistance mutuelle (Load sharing) II.4.2.4.1 Description du mode Dans ce mode, N + 1 MSC server sont actifs et parmi eux un MSC Server est configuré en standby pour les autres. En cas de surcharge ou de chute d’un MSC server actif, le standby prend immédiatement le contrôle de ses MGW. Le standby permet le contrôle du trafic d’un MSC server à un instant donné mais ne peut gérer deux MSC servers au même instant. Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux 27
  • 30. Mémoire de fin de cycle Sécurisation des réseaux NGN : Cas de Orange-CI (OCI) MSC server Actif et MSC server MSC server Standby Actif Actif MGW 1 MGW 2 MGW 4 MGW 5 MGW 6 MGW 3 Région A Région B Région C Lien de contrôle actif Lien de contrôle standby Lien de relai Figure 10: Architecture mode N+1 avec assistance mutuelle (Load sharing) II.4.2.4.2 Avantages et inconvénients Cette technique permet d’avoir des ressources disponibles en cas de chute d’un MSC server. Le risque de surcharge du MSC server est minime, ce qui est bénéfique pour l’opérateur. Elle présente des avantages intéressants pour les réseaux en perpétuelle évolution car si chaque composant, à son tour, peut continuer à fonctionner lorsque l'un de ses sous- composants est en panne, alors le système entier pourra continuer à fonctionner. Mais comme dans les autres situations les MGW ne sont pas hors de danger. En effet la centralisation de la redondance au niveau des MSC servers reste l’inconvénient majeur. II.4.2.5 Le Virtual Server Cette technique appelée également Virtual Server Node, permet la gestion de tous les MSC servers actifs par le standby MSC server configuré sur le même MSC server. C’est un partitionnement logique du MSC server afin qu’il soit actif et standby au même instant. Chaque Virtual Server est identifié par un numéro et le Virtual Server 0 est utilisé par le MSC server en actif et les autres sont configurés en actifs ou en standby. Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux 28
  • 31. Mémoire de fin de cycle Sécurisation des réseaux NGN : Cas de Orange-CI (OCI) Les Virtual MSC servers permettent au MSC server de s’interconnecté à plusieurs MGW par des liens de contrôle standby et à plusieurs MSC servers par des liens de relais. Ils ont deux états : DESACTIVE : Le lien de contrôle standby est inactif et en cas de problème sur la MGW, le MSC server standby n’est pas sollicité. ACTIVE : Le lien de contrôle standby est actif et en cas de problème sur la MGW, le MSC server standby peut être sollicité pour éviter l’indisponibilité du réseau. La figure 11 est une illustration du Virtual Server MSC server Actif et Passif MSC server actif MSC server actif Virtual Server 0 Virtual Server 1 Virtual Server 2 MGW 1 MGW 3 MGW 2 Figure 11: Le principe du Virtual Server dans le Dual Homing II.4.3 Le MSC Pool Les méthodes de sécurisation dans les réseaux sont orientées aujourd’hui vers les applications distribuées d’autocorrection basée sur un modèle de partage de ressource. Cette structure distribuée protège le réseau entier d’un incident éventuel si toutefois le mécanisme de partage de ressource permet une distribution équitable des charges du réseau entier. Ainsi l'efficacité de réseau est maximisée. Considéré comme une technique de sécurisation évoluée du réseau cœur, le MSC Pool est basée sur le principe de réseau distribué. En effet il permet de relier plusieurs MSC pour Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux 29
  • 32. Mémoire de fin de cycle Sécurisation des réseaux NGN : Cas de Orange-CI (OCI) former un ensemble de MSC appelé MSC pool, dans lequel les équipements partagent des ressources. Le MSC pool est fondé sur deux principes essentiels [9]: La commutation en temps réel (Load Sharing): en cas de problème, la correction doit se faire automatiquement pour assurer la communication. La technique du MSC Pool s'assure que les services sur le MSC endommagé ou surchargé soient commutés immédiatement sur d'autres MSC. La distribution équitable des charges (Load Balancing): Etant donné que la capacité totale du réseau est équivalente à la capacité de tous les commutateurs dans le pool, la fonction de sécurisation du MSC Pool permet un partage équitable de toutes les charges dans le Pool. Ainsi toutes les MSC sont redondantes et la capacité du trafic est améliorée. Dans cette technique toutes les BSC/RNC sont connectés aux MSC de sorte à former une zone entièrement sécurisée appelée MSC pool area3. Tous les MSC dans un pool sont informés en temps réel de la charge de trafic supportée par leur voisin, ce qui favorise la distribution de charge. Les figures 12 et 13 montrent respectivement le principe général du MSC pool et un pool area constitué de cinq(5) LA (Location Area) [12]. Figure 12: Principe général du MSC pool 3 Un Pool Area est une collection de BSC/RNC géré par un ou plusieurs MSC partageant les charges de trafic. Tous les MSC relié à un pool area gèrent les LA (Location Area) qui s’y trouvent. Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux 30
  • 33. Mémoire de fin de cycle Sécurisation des réseaux NGN : Cas de Orange-CI (OCI) Figure 13: Pool Area avec cinq(5) Location Areas II.4.3.1 Concept du Roaming intra Pool [5] Dans le MSC pool les MSC s’échangent les informations des abonnés en activité les uns des autres. Afin de réduire les messages de signalisation concernant les mises à jour de localisation des MS/UE d’un MSC à un autre, le NRI (Network Identifier Ressource) est introduit dans le TMSI. En effet ce paramètre permet d’identifier un MSC qui gère un MS/UE. Quand un MS/UE s’enregistre dans le VLR d’un MSC qui se trouve dans un MSC pool pour une première fois, un TMSI4 contenant un NRI lui est alloué pour identifier un unique MSC. Lorsque le MS/UE initie une demande de service, le NRI est contenue dans la requête et le BSC/RNC l’utilise pour router la requête vers le même MSC. Avec le NRI toutes les requêtes du MS/UE dans un MSC pool area peuvent êtres routées vers le même MSC correspondant. Ce qui permet de conserver le MSC de départ même en cas de changement de paramètres de localisation du MS/UE. Le Roaming intra pool permet de réduire considérablement la charge de signalisation sur l’interface C/D. Un MSC dans un MSC pool est identifié par un seul NRI. La capacité en termes d’abonné augmente lorsque le MSC reçoit un nouveau NRI. Tous les NRI utilisé par les MSC dans le pool doivent êtres différents. Le NRI a une longueur configurable par l’opérateur entre 0 et 10 bits. 4 Le TMSI (Temporary Mobile Subscriber Identifer) est utilisé pour augmenter la confidentialité en évitant l’utilisation de l’IMSI sur l’interface air. Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux 31
  • 34. Mémoire de fin de cycle Sécurisation des réseaux NGN : Cas de Orange-CI (OCI) Dans la structure du TMSI le NRI commence à partir du 23ème octet et une valeur 0 pour le NRI signifie que le NRI n’est pas utilisé et le « MSC pool » n’est pas configuré dans le réseau. La figure 14 montre la structure du TMSI dans un MSC pool et NRI de longueur 10 bits. Bits 31–30 CS/PS service indicator Bit 29 VLR restart count Bits 23–14 NRI Other bits User IDs Figure 14: Structure du TMSI avec NRI II.4.3.1.1 La Fonction NNSF La fonction NNSF (NAS Node Selection Function) définie dans le 3GPP Intra Domain Connection of RAN Nodes to Multiple CN Nodes (TS 23.236) [10] est utilisée pour effectuer le roaming intra pool. En effet le BSC/RNC utilisé pour router la requête de mise à jour de localisation vers le MSC sélectionné utilise cette fonction. La fonction NNSF peut être configurée sur une MGW. Dans ce cas, la MGW est utilisée pour sélectionner le MSC server disponible pour effectuer le Load Balancing entre les MSC servers. Le principe de la fonction NNSF est décrit comme suit : Le MS/UE envoi une demande de mise à jour de localisation (Location Update Request) au NNSF node5 Le NNSF Node sélectionne un MSC disponible par un algorithme de routage prenant en compte la charge du trafic. Le MSC alloue un TMSI au MS/UE contenant le NRI. Le MSC choisi envoi une confirmation de mise à jour de localisation (Location Update Complete) au MS/UE avec le TMSI Le NNSF Node route effectue le routage vers le CN Node6 correspondant. 5 Le NNSF Node est une BSC/RNC qui supporte la fonction NNSF. 6 Le CN Node peut être un MSC (partie CS) ou un SGSN (partie PS). Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux 32
  • 35. Mémoire de fin de cycle Sécurisation des réseaux NGN : Cas de Orange-CI (OCI) La Figure 15 [16] suivante illustre l’utilisation du mécanisme de la fonction NNSF Figure 15: Mécanisme d’activation du NRI par le NNSF Le Pool area n’a aucune influence sur le routage, donc un BSC/RNC hors d’un Pool area peut utiliser le NNSF si toutefois le MSC qui le gère est dans un pool. Dans le MSC Pool, la fonction NNSF peur être implémentée sur le BSC/RNC ou la MGW mais pas les deux à la fois. Cela évite les upgrades lourds des nœuds réseaux (BSC/RNC, MGW). II.4.3.1.2 La fonction A-Flex Cette fonction permet aux BSC/RNC d’être connectés à plusieurs CN Node. Elle permet une sécurisation physique de la partie accès du réseau. Le principe de la fonction A- Flex est décrit comme suit : Un BSC/RNC peut être connecté à plusieurs MGW. Le MSC server sélectionne le circuit de la MGW correspondant basé sur des critères. Les BSC/RNC sont connectés à plusieurs MGW qui supportent la fonction A-Flex pour former un Pool Area. Ceci permet de former un MSC Pool sans mise à jour des BSC/RNC si toutefois la fonction NNSF est implémentée dans les MGW. II.4.3.1.3 Le Load Balancing Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux 33
  • 36. Mémoire de fin de cycle Sécurisation des réseaux NGN : Cas de Orange-CI (OCI) Quand un MS/UE demande un service en utilisant un TMSI, le BSC/RNC sélectionne le MSC server disponible pour le MS/UE selon sa table de correspondance entre NRI et MSC server dans le MSC Pool. Lorsque le MSC server sélectionné n'est pas disponible ou il n'existe pas de correspondance avec le NRI, le BSC/RNC suit le principe de l'équilibrage de charge ou Load Balancing. Il choisit un MSC server disponible pour servir le MS/UE en fonction de la capacité d’abonnés qu’il peut supporter dans le MSC Pool. Le MSC server sélectionné alloue un TMSI contenant son NRI au MS/UE pour pallier d’éventuels changements de MSC server. II.4.3.2 Le Virtual Media Gateway Une MGW est normalement connectée à un seul MSC server. Une MGW peut être scindée logiquement en plusieurs MGW appelés Virtual MGW (VMGW), qui sont reliés à plusieurs MSC servers. Chaque VMGW est identifié par un identifiant unique appelé VMGW ID. Le Virtual MGW permet également le partage de ressources dans le pool et réduit le les liens multiples entre MSC server et MGW. La figure 16 illustre de façon simple le concept de Virtual Media Gateway. MSC pool MSC server MSC server MSC server MSC server MGW A MGW B VMGW 1 VMGW 1 VMGW 2 VMGW 2 VMGW 3 VMGW 3 VMGW 4 VMGW 4 BSC/RNC BSC/RNC BSC/RNC BSC/RNC Figure 16: Concept du Virtual Media Gateway Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux 34
  • 37. Mémoire de fin de cycle Sécurisation des réseaux NGN : Cas de Orange-CI (OCI) II.4.3.3 Les caractéristiques de planification du MSC Pool [5] Les tableaux 2 et 3 montrent les caractéristiques pour la mise en place du MSC pool ; Tableau 2: Caractéristiques du MSC Pool Capacité supportée Connexion Valeur Capacité maximum supportée Nombre de MSC 32 par un MSC Pool servers Nombre de MGW 300 Nombre de RNC/BSC 128 Nombre de LA/cellules 30,000 Capacité maximum supportée Nombre de virtual 32 (Une MGW peut être connectée par une MGW MGW simultanément à 32 MSC servers) Nombre de RNC 50 connecté (mode IP/ATM) Nombre de BSC 50 connectée (mode TDM) Capacité maximum supportée Nombre de MSC 32 par un RNC servers connecté Nombre de MGW 5 connecté (mode IP/ATM) Capacité maximum supportée Nombre de MSC 32 par une BSC servers connecté Nombre de MGW 5 connectée (mode TDM) Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux 35
  • 38. Mémoire de fin de cycle Sécurisation des réseaux NGN : Cas de Orange-CI (OCI) Tableau 3: Planification des NRI Longueur NRI Nombre de NRIs Nombre maximum d’abonnés <=6 bits 1 3,200,000 7 bits 1 1,600,000 7 bits 2 3,200,000 8 bits 1 800,000 8 bits 2 1,600,000 8 bits 3 2,400,000 8 bits 4 3,200,000 9 bits 1 400,000 9 bits 2 800,000 9 bits 3 1,200,000 9 bits 4 1,600,000 9 bits 5 2,000,000 9 bits 6 2,400,000 9 bits 7 2,800,000 9 bits 8 3,200,000 10 bits N 20 x N x 10,000 II.4.3.4 Avantages et Inconvénient Le MSC pool présente de nombreux avantages dont : L’amélioration de la technique du Load Sharing L’augmentation de la disponibilité du réseau car lorsqu’un MSC est en défaut, tous le trafic qu’il gère est routé sur plusieurs MSC par un puissant algorithme de routage (NNSF ou A-Flex/Iu-Flex) La réduction de la signalisation dans le réseau cœur grâce au NRI. L’utilisation efficace des ressources du réseau Déploiement sans mise à jour des BSC/RAN La distribution de charge par la partie radio (BSS/RAN) Néanmoins le MSC pool est limité par : Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux 36
  • 39. Mémoire de fin de cycle Sécurisation des réseaux NGN : Cas de Orange-CI (OCI) Tous les MSC servers et les MGW sont interconnectés, ce qui nécessite un maillage important au niveau du cœur réseau NGN. Conclusion Dans un milieu très compétitif, les techniques d’amélioration de la qualité du réseau NGN deviennent de plus en plus puissantes. Plusieurs techniques sont utilisées pour atteindre la haute disponibilité du réseau. Mais toutes ces techniques ont leurs forces et faiblesses qu’il convient de souligner pour adopter la meilleure méthode qui prend en compte les capacités du réseau. Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux 37
  • 40. Mémoire de fin de cycle Sécurisation des réseaux NGN : Cas de Orange-CI (OCI) CHAPITRE 3 ETUDE DU RESEAU EXISTANT Cette partie se propose de présenter, d’entrée de jeu, l’essentiel des équipements NGN de ORANGE-CI. Suivra ensuite, la structure du réseau cœur. Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux 38
  • 41. Mémoire de fin de cycle Sécurisation des réseaux NGN : Cas de Orange-CI (OCI) III.1. PRESENTATION DES EQUIPEMENTS NGN DE ORANGE-CI Depuis la migration de son réseau cœur vers la plateforme NGN, l’opérateur ORANGE-CI s’est doté d’équipements NGN issus du constructeur Chinois HUAWEI. Dans la solution NGN de HUAWEI, la fonction de commutation du MSC est assurée par deux équipements distincts : le MSOFT X3000 qui joue le rôle de MSC server et l’UMG 8900 qui représente la MGW et qui est pilotée par le MSOFT X3000. Le MSOFT X3000 et l’UMG 8900 sont essentiellement les équipements de la commutation NGN dans le réseau cœur d’ORANGE-CI. III.1.1 La commutation NGN HUAWEI III.1.1.1 Le MSOFT X3000 [1] Le MSOFT X3000 (Mobile Softswitch X3000) fonctionne comme MSC-Server au niveau de la couche contrôle du réseau cœur dans les NGN. Il est compatible TDM, c'est-à- dire peut fournir la fonction MSC des réseaux TDM. Il supporte les protocoles CAP, CAMEL 1, 2, 3 et 4 et également à la fois les réseaux 2G et 3G ; et fait la signalisation SIGTRAN et SS7. Il est chargé de : La gestion de la Mobilité La gestion de la Sécurité La contrôle des Handovers Intra-MSC et Inter-MSC Le traitement des Appels : gestion de la mobilité, établissement, libération d'appel. Taxation : gestion des CDR et redirection vers le BC pour la taxation, communication avec l’IN ou l’IMS pour la taxation des services. La fonction de Point de Commutation de Service (SSP7) dans le cas des réseaux TDM : allocation, ordre de connexion et libération de canaux RTP ou de circuits de communication en cas d’utilisation TDM. Il contient aussi un VLR pour le contrôle des données relatives aux abonnés et les données relatives au CAMEL. Lors de la connexion avec la MGW, le MSOFTX3000 fonctionne comme contrôleur du MGW (MGCF). Il assure l’interconnexion entre l’IP multimedia subsystem (IMS) et le domaine CS. 7 Le SSP assure toutes les fonctions de base de la commutation pour le réseau mobile. Dans la solution Alcatel, la fonction de commutation du MSC est assurée par deux équipements distincts : le SSP (SSP : Service Switching Pont) et le RCP (Radio Commande Point). Le SSP est piloté par le RCP qui joue aussi le rôle de VLR. La solution Alcatel permet d’avoir un seul SSP et plusieurs RCP, ce qui permet à l’opérateur d’augmenter la capacité d’abonnés sans devoir ajouter de SSP. Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux 39