Rapport TOIP Final2

Projet de Fin dEtudes
Etude et mise en uvre du service pilote ToIP de RENATER
MEMOIRE DE PROJET DE FIN DETUDES

PourlobtentiondudiplmedIngnieurdEtat En GnieRseauxetSystmes
EtudeetmiseenuvreduservicepiloteToIPde RENATER
Ralis:Groupementd'IntrtPublicRseauNationaldeTlcommunicationspourla Technologie,l'EnseignementetlaRecherche
Ralispar
MrMohamedElMahdiBOUMEZZOUGH
Soutenule:4fvrier2009devantleJury:
Mme.R.ALASSALI Mr.S.MUYAL Mr.B.TUY Mr.N.IDBOUFKER Mr.L.GOUJDAMI ProfesseurlENSAdeMarrakech(Prsidente) IngnieurquipeSIPA(servicesIPAvancsetprospective)(Encadrant) ResponsabledelquipeSIPA(Encadrant) ProfesseurlENSAdeMarrakech(Encadrant) ProfesseurlENSAdeMarrakech(Examinateur)
Anne2008/2009
ENSA-Marrakech 2008/2009
Remerciements
Au terme de ce travail, je tiens exprimer ma profonde gratitude et mes sincres remerciementsmestuteursdestageauGIPRENATERM.SimonMUYALetM.BernardTUY pourtoutletempsquilsmontconsacr,leurdirectivesprcieuses,etpourlaqualitdeleur suividuranttoutelapriodedemonstage. Je tiens aussi remercier vivement le directeur du GIP RENATER, M. Dany Vandromme quiaacceptdemaccueillirenstageauseindesonorganisme. Je voudrai remercier galement tout le personnel du GIP RENATER pour sa gentillesse et sonsoutiennotammentMmeEmilieCamisard. MesprofondsremerciementsvontmonencadrantlENSAM.NoureddineIDBOUFKER quiaacceptdencadrermestravauxdurantces4moisdestage. Mesplusvifsremerciementssadressentaussitoutlecadreprofessoraletadministratif delENSAdeMarrakech. Mes remerciements vont enfin toute personne qui a contribu de prs ou de loin llaborationdecetravail.

) ( IP . . . . .SIP . . : - 4 .
: SIP

Rsum
La tlphonie sur IP (ToIP) est une technologie qui s'impose progressivement dans tous les secteurs, elle consiste faire transiter les communications tlphoniques par le rseau IP. Aujourdhui, cette technologie est de plus en plus dploye au sein des universits et laboratoires de recherche connects au Rseau National de tlcommunications pour la Technologie lEnseignement et la Recherche (RENATER) qui est le rseau acadmique franais. Afin dinterconnecter les systmes de tlphonie mis en place par les tablissements connects, RENATER, une maquette exprimentale d'interconnexion des sites a t dploye. Cette maquette repose sur un serveur de routage dappel intersite qui utilise le protocole SIP (Session Initiation Protocol). Cest dans ce contexte que jai ralis mon stage defindtudes. Aprs ltude du fonctionnement de cette maquette et un inventaire de ltat de lart dansledomainedelaToIP,ladeuximephaseconsistelamiseenplacedunservicepilote deroutagedappelspourlacommunautRENATER. Lesobjectifsdemonprojetdefintudetaient: Ce mmoire est donc laboutissement de 4 mois de travail au sein de lquipe SIPA (ServicesIPAvancsetprospective)duGIPRENATER.

Etude des volutions possibles de la maquette pour la mise en place du service pilote. Etudeetmiseenplacedunesolutiondesupervisionduservicepilote. Etudeetmiseenplacedunesolutiondecomptabilisationdappels. Scurisationduservicepilote.
Motscls:ToIP,SIP,supervision,comptabilisationdappels,scurit
Abstract
The telephony over IP (ToIP) is becoming a new trend in technology widely used nowadays in almost all business sectors. Its concepts rely on transiting the telephone communications through the IP network. Today, this technology is implemented inside a number of universities and research laboratories connected to the National telecommunications Network for Technology, Education and Research (RENATER) which is theFrenchacademicnetwork. Inordertointerconnectthetelephonesystemsalreadyinstalledintheseacademicsites, an experimental testbed has been successfully implemented. This testbed is based on a call routingserverusingSIPprotocol. Aftercheckingthistestbedfunctionsandpreparingastateoftheartonitstechnologies, a second step consisted to implement a phone call routing pilot service for the (RENATER) community.Basedonthiscontext,Iachievedmyinternshipgraduation. Themainobjectivesofmyinternshipwere: tostudypossibleevolutionsofthecurrenttestbedtodeploythepilotservice tostudyandimplementasolutionformonitoringthecurrentpilotservice tostudyandimplementacallingaccountingsystem Securingthepilotservice This report is the result of 4 months of the work I achieved inside the SIPA team (IP advancedservicesandprospective)ofGIPRENATER. Keywords:ToIP,SIP,supervision,accounting,security.
Tabledesmatires
Remerciements .......................................................................................................................... 2 ........................................................................................................................................... 3 Rsum ....................................................................................................................................... 4 Abstract ...................................................................................................................................... 5 Tabledesmatires ..................................................................................................................... 6 ListedesFigures ......................................................................................................................... 8 ListedesTableaux ...................................................................................................................... 9 GlossairedesAcronymes ......................................................................................................... 10 CHAPITREI:Contextedetravail .............................................................................................. 14 Introduction........................................................................................................................ 14 1. GIPRENATER ................................................................................................................ 14 2. RseauRENATER .......................................................................................................... 15 3. EquipeSIPA................................................................................................................... 17 4. Prsentationdustage .................................................................................................. 17 4.1 CadreetObjectifsdustage .......................................................................................... 17 4.2 Planificationduprojetdestage ................................................................................... 18 Conclusion .......................................................................................................................... 18 CHAPITREII:EtatdelartdesprotocolesassocislaToIP ................................................... 20 Introduction........................................................................................................................ 20 1. ProtocoleslislaToIP ................................................................................................ 20 2.1 Signalisation ................................................................................................................. 21 2.1.1 SIP(SessionInitiationProtocol) ........................................................................... 22 2.2 Transport ...................................................................................................................... 26 2. StandardENUM ............................................................................................................ 27 3. ProblmatiqueToIPaveclesNATetlesparefeux ...................................................... 28 3.1 ProblmedeNAT ......................................................................................................... 29 3.2 Problmedeparefeux................................................................................................. 29 3.3 SolutionsdetraversesdesNATetdesparefeux ...................................................... 31 3.3.1 Passerelledelacoucheapplication(ALG) ........................................................... 32 3.3.2 STUN ..................................................................................................................... 32 3.3.3 TURN..................................................................................................................... 33 3.3.4 ICE ......................................................................................................................... 33 3.3.5 Rsumdessolutions ........................................................................................... 34 4. ToIPetlascuritdescommunicationsvoix ............................................................... 34 4.1 VulnrabilitsdelaToIP ............................................................................................... 35 4.2 ExemplesdattaquessurlinfrastructureToIP ............................................................. 35 4.3 SolutionsdescuritdelaToIP ................................................................................... 36 5. LaToIPetIPv6 .............................................................................................................. 36 Conclusion .......................................................................................................................... 37
CHAPITREIII:DesignetingnierieToIP ................................................................................... 39 Introduction........................................................................................................................ 39 A. Prsentationdelexistant ............................................................................................ 39 1. DescriptiondelamaquetteToIPdeRENATER............................................................. 39 1.1 Architecturedelamaquette ........................................................................................ 39 1.2 Principedefonctionnement ........................................................................................ 40 2. Prsentationd'OpenSER .............................................................................................. 42 B. Travaileffectu............................................................................................................. 43 1. volutionsdelaplateformederoutaged'appelsOpenSER ....................................... 43 1.1 Objectifs ....................................................................................................................... 43 1.2 Etude ............................................................................................................................ 43 1.3 Evolutions ..................................................................................................................... 44 2. Miseenplaced'unesolutiondesupervision ............................................................... 44 2.1 Objectifs ....................................................................................................................... 44 2.2 Etude ............................................................................................................................ 44 2.3 SolutionNagios............................................................................................................. 45 3. MiseenplacedunesolutiondeComptabilisationdappels ....................................... 48 3.1 Objectifs ....................................................................................................................... 48 3.2 Etude ............................................................................................................................ 48 3.3 Miseenplace ............................................................................................................... 48 3.4 Dveloppementd'uneinterfaceweb .......................................................................... 51 3. ScurisationdupiloteToIP........................................................................................... 53 4. Gestiondel'accessibilitdessites ............................................................................... 54 5. Testsdevalidation........................................................................................................ 55 Conclusion .......................................................................................................................... 56 Conclusiongnrale ................................................................................................................. 57 Rfrencesbibliographiques .................................................................................................... 58 ANNEXES................................................................................................................................... 59
ListedesFigures
Figure1:organigrammeRENATER .......................................................................................... 15 Figure2:architecturedurseauRENATER ............................................................................. 16 Figure3:servicesRENATER ..................................................................................................... 16 Figure4:domainesdecomptencedelquipeSIPA ............................................................. 17 Figure5:planningdedroulementdustage .......................................................................... 18 Figure6:pileSIP ..................................................................................................................... 22 Figure7:architectureSIP ........................................................................................................ 23 Figure8:exempledunecommunicationSIP .......................................................................... 26 Figure9:principedefonctionnementdENUM ...................................................................... 27 Figure10:exempledutilisationdENUM ............................................................................... 28 Figure11:problmedeNATavecSIP ..................................................................................... 29 Figure12:problmedufirewallaveclaToIP .......................................................................... 30 Figure13:messageINVITE ...................................................................................................... 31 Figure14:message200OK ..................................................................................................... 31 Figure15:techniquedelapasserelledapplication................................................................ 32 Figure16:principedefonctionnementduprotocoleSTUN ................................................... 33 Figure17:principedefonctionnementduprotocoleTURN................................................... 33 Figure18:maquetteexprimentaleToIPdeRENATER .......................................................... 40 Figure19:principedefonctionnementdelamaquette ......................................................... 41 Figure20:principedefonctionnementduserveurOpenSER................................................. 41 Figure21:composantesdOpenSER ....................................................................................... 42 Figure22:architecturedebasedeNagios .............................................................................. 45 Figure23:interfacedeltatdesservicessuperviss ............................................................. 46 Figure24:interfacedutempsderponseduservicePing ..................................................... 47 Figure25:interfacedeltatduserviceSIPdeserveurKamailiodansle temps.................... 47 Figure26:architecturedelasolutionmiseenplacepourlasupervision .............................. 47 Figure27:principedefonctionnementdeFreeRADIUSavecKamailio .................................. 49 Figure28:principedefonctionnementdemoduleACCavecMySQL .................................... 50 Figure29:organigrammedelasolutiondecomptabilisationdappels.................................. 50 Figure30:architecturedelasolutiondecomptabilisationdesappels .................................. 51 Figure31:lapagedaccueildelapplication ........................................................................... 52 Figure32:ecrandesdtailsdesappels................................................................................... 52 Figure33:ecrandenombredesappelsparjour .................................................................... 52 Figure34:ecranderecherchersurlesappels ........................................................................ 53 Figure35:organigrammedelasolutiondescurisationduservicepilote ........................... 54
ListedesTableaux
Tableau1:comparatifdunormeSIPetH323 ......................................................................... 21 Tableau2:rsumdessolutionsdetraverseslesNATetlesparefeux............................... 34 Tableau3:rsumdesrsultatsdecomparaisonentreKamailioetOpenSIPS ..................... 43 Tableau4:lesrsultatsdestestsdelagestiondesmessagesderreur ................................. 55 Tableau5:lesrsultatsdestestsdevalidation ...................................................................... 55
GlossairedesAcronymes

A
ALG
ApplicationLayerGateway
C
CDR CGI CRIHAN
CallDetailRecord CommonGatewayInterface CentredeRessourcesInformatiquesdeHauteNormandie
D
DNS DoS
DomainNameSystem DenialofService
E
ENUM
tElephoneNUmberMapping
G
GNU GPL
GNUisnotUnix GeneralPublicLicence
H
HTTP
HyperTextTransferProtocol
I
ICE IETF INRIA IP IPBX IPsec IPv6
InteractiveConnectivityEstablishment InternetEngineeringTaskForce InstitutNationaldeRechercheenInformatiqueetenAutomatique InternetProtocol InternetProtocolPrivateBrancheXchange InternetProtocolSecurity InternetProtocolversion6
L
L2VPN
Layer2VirtualPrivateNetworks
M
MGCP
MediaGatewayControlProtocol 10
N
NAT
NetworkAddressTranslation
P
PHP PNP
PHP:HypertextPreprocessor PNPisNOTPerfparse
R
RADIUS RFC RTC RTCP RTP
RemoteAuthenticationDialInUserService RequestForComment Rseautlphoniquecommut RealTimeControlProtocol RealTimetransportProtocol
S
SCCP SDP SER SIP SIPS SRTP SSH STUN
SkinnyClientControlProtocol SessionDescriptionProtocol SIPExpressRouter SessionInitiationProtocol SessionInitiationProtocolSecure SecureRealtimeTransportProtocol SecureShell SimpleTraversalofUDPTroughNAT
T
ToIP TURN
TelephonyoverInternetProtocol TraversalUsingRelayNAT
U
UAC UAS UDP UITT
UserAgentClient UserAgentServer UserDatagramProtocol UnionInternationaledesTlcommunicationsnormalisationdes Tlcommunications
V
VLAN VoIP
VirtualLocalAreaNetwork VoiceoverInternetProtocol
11
Introductiongnrale
La tlphonie sur IP constitue actuellement une des plus importantes volutions dans le domaine des Tlcommunications. Il y a quelques annes, la transmission de la voix sur le rseau tlphonique classique ou RTC constituait lexclusivit des tlcommunications. Aujourdhui, la donne a chang. La transmission de la voix via les rseaux IP constitue une nouvellevolutionmajeurecomparablelaprcdente.Audeldelanouveauttechnique, la possibilit de fusion des rseaux IP et tlphoniques entrane non seulement une diminution de la logistique ncessaire la gestion des deux rseaux, mais aussi une baisse importante des cots de communication ainsi que la possibilit de mise en place de nouveauxservicesutilisantsimultanmentlavoixetlesdonnes. Le travail prsent dans cerapportentre dans le cadre demon projet de fin dtudes en cycle dingnieur, option Gnie Rseaux et Systmes, lEcole Nationale des Sciences Appliques de Marrakech. Je lai effectu au groupement d'Intrt public RENATER (GIP RENATER)Paris.LesujettaitlamiseenuvreduservicepiloteToIPdeRENATER. Aulongdecerapport,jevaisrsumermonstageen4chapitresprincipaux. Le 1er chapitre prsentera lorganisme daccueil et le sujet du stage de fin dtudes et sesobjectifs. Le 2me chapitre donnera un aperu global sur les protocoles associs la tlphonie surIP. Le 3me chapitre sera consacr la prsentation de la maquette exprimentale ToIP existante. Le dernier chapitre prsentera le travail effectu pendant le stage, savoir la mise en place du service pilote et des solutions qui permettent de comptabiliser les appels, de superviseretscuriserceservice. Jefiniraicerapportparuneconclusiongnraleetdesperspectives.
12

13
CHAPITREI:Contextedetravail
Introduction
Ce chapitre prsente dune manire gnrale le contexte de travail et les objectifs de monprojetdefindtudes. Je vais commencer par une prsentation du groupement dintrt public RENATER comme tant lorganisme daccueil, aprs je vais prsenter le rseau RENATER (Rseau National de Tlcommunications pour la Technologie, l'Enseignement et la Recherche). Ensuite, je vais prsenter SIPA (Services IP Avancs et prospective) qui est lquipe que jai intgre pendant mon stage. Enfin je vais donner une description de mon projet de fin dtudes,etsesobjectifs.
1. GIPRENATER
Cre en 1993, Le GIP RENATER runit de grands organismes de recherche et d'enseignement, ainsi que le ministre en charge de lenseignement suprieur et de la recherche,pourdvelopperetfairefonctionnerlerseauRENATER[1]. GIP (groupement d'Intrt public) est un organisme but non lucratif, runissant des administrationsdel'Etatetdesorganismespublicspouruneactivitdfinie:danslecasdu GIPRENATERils'agitdurseauRENATER. Le GIP RENATER est le matre d'ouvrage de la partie commune de RENATER, constitue de son pine dorsale RENATER, des liaisons internationales, de ses actions pilotes, et du service SFINX, qui est un GIX (Global Internet eXchange), point d'change de trafic Internet entre prestataires de services Internet, ou oprateurs de tlcommunications qui veulent changerdutraficIP,sanstransitetsanspasserpardesinfrastructuresinternationales. Le GIP RENATER est galement le coordinateur technique et oprationnel global de l'ensemble du rseau RENATER y compris ses lments rgionaux. Il reprsente le rseau RENATER auprs des institutions franaises et trangres, et notamment auprs des autres rseauxdelaRecherche.
14
Le directeur du GIP RENATER est M. Dany Vandromme, professeur des universits ; L'quipe du GIP RENATER comprend aujourd'hui environ 30 personnes: ingnieurs, techniciensetpersonnelsadministratifsrpartisentreParis,MontpellieretRennes.
Figure1:organigrammeRENATER
2. RseauRENATER
RENATER a t cr dans les annes 1990 dans le but de fdrer et dorganiser les infrastructuresdetlcommunicationspourlEducation,laRechercheetlEnseignement[1]. Aujourdhui plus de 1000 tablissements ayant une activit dans les domaines de la Recherche, la Technologie et lEnseignement sont raccords RENATER. Ce rseau leur permet de communiquer entre eux, daccder aux centres de recherche et aux tablissementsdenseignementdumondeentieretlInternet[1]. Le rseau RENATER est constitu dune infrastructure nationale reliant des points de prsenceenrgionetdanslesDOMTOMainsiquedesliaisonsinternationales,etunnud dchange entre prestataires de service Internet appel SFINX (Service for French Internet eXchange).
15
LafigurecidessousdcritlarchitectureglobaledurseauRENATER:
Figure2:architecturedurseauRENATER
RENATERproposesescommunautsunlargeventaildeservices[1]:
Figure3:servicesRENATER
16
3. EquipeSIPA
GIP RENATER comprend un certain nombre dquipe, SIPA en fait partie. Lquipe SIPA (ServicesIPAvancsetprospective)aunemissiondeveilletechnologique.Sadmarcheest avant tout exprimentale pour valider les nouveaux protocoles et leurs usages dans des applicationsouservicesmergents. Le schma cidessous, prsente les diffrents domaines dans lesquels lquipe SIPA est investie.
Figure4:domainesdecomptencedelquipeSIPA
4. Prsentationdustage
4.1 CadreetObjectifsdustage
La tlphonie sur IP (ToIP) est un service qui est de plus en plus dploy au sein des universits et laboratoires de recherche connects au rseau RENATER. Une maquette exprimentale reliant quelques sites a t mise en place. Cette maquette repose sur le protocole SIP et le routeur dappels SIP OpenSER. La maquette permet linterconnexion des IPBX des sites et le routage dappels intersite. Au sein de lquipe SIPA, lobjectif principal du stagetait la mise en place dun service pilote de ToIP en se basant sur la maquette exprimentaleexistante. Lapremirepartiedustageconsistetudierlesvolutionspossiblesdecettemaquette pour la mise en place dun service pilote de routage dappels au profit des usagers de RENATER, la deuxime partie du stage concerne ltude et la mise en place dune solution desupervisionduservicederoutagedappels,latroisimepartiedustageconcerneltude et la mise en place dune solution de comptabilisation des appels, et la quatrime partie du stageconsistelascurisationdurouteurdappels.
17
4.2 Planificationduprojetdestage
La planification est parmi les phases davant projet les plus importantes. Elle consiste dterminer et ordonnancer les tches du projet et estimer leurs charges respectives. Parmi les outils de planification de projet, jai utilis le diagramme de GANTT, cest un outil qui permet de planifier le projet et de rendre plus simple le suivi de son avancement. Ce diagramme permet aussi de visualiser lenchainement et la dure des diffrentes tches durantlestagecommeilestillustrparlafigurequisuit:
Figure5:planningdedroulementdustage
Conclusion
Ce chapitre introductif a t consacr essentiellement la prsentation de lenvironnement dans lequel mon projet de fin dtudes a t effectu. Elle a aussi mis laccentsurlaprsentationducontextedemonprojet,sesobjectifsetsaplanification.
18
19
CHAPITREII:EtatdelartdesprotocolesToIP
Introduction
La tlphonie sur IPestune technologie decommunicationvocale en pleinemergence. Elle fait partie d'un tournant dans le monde de la communication. En effet, la convergence du triple play (voix, donnes et vido) fait partie des enjeux principaux des acteurs de la tlcommunicationaujourd'hui. La ToIP possde actuellement une vritable opportunit conomiques pour les entreprises telles quela diminution du cot en infrastructure, de la facture de tlphone. Elle permet lintgration de nombreux services. La tlphonie sur IP est base sur des standards ouverts: elle permet donc linteraction avec les quipements tlphoniques standards. Toutefois, les aspects techniques sousjacents cette nouvelle technologie ne sont pas toujours bien matriss. Les problmes dus au NAT, les parefeux, la scurit, etc. sontdesproblmesquirestentencoredominer. Ce chapitre est consacr ltude des protocoles associs la tlphonie sur IP. Cette tude va me permettre par la suite de mener bien le projet. Pour cela, je commence tout dabordparprsenterlesprincipauxprotocolesdesignalisationetdetransportdelaToIPet leprotocoleENUMdontlusageestencoreincertainauseindesoprateursdeToIP.Jetraite ensuitelesproblmespossparlesNATetlesparefeuxdansunearchitecturedeToIPetles exemples de solutions pour rsoudre ces problmes. Je prsente ensuite les vulnrabilits spcifiques la ToIP et les mcanismes de scurit. Je termine en prsentant ltat de lart dudploiementduprotocoleIPv6danslaToIP.
1. ProtocoleslislaToIP
La tlphonie sur IP ou ToIP (Telephony over IP) est un service de tlphonie qui transporte les flux voix des communications tlphoniques sur un rseau IP. A la diffrence de la VoIP o lon ne fait qutablir une communication voix, la ToIP intgre lensemble desservicesassocislatlphonie:doubleappel,messagerie,renvoiedappel,FAX,etc. Afin de rendre possibles les communications ToIP, les solutions proposes dopent la coucheIPpardesmcanismessupplmentairesncessairespourapporterlaQOSncessaire aufluxvoixdetypestempsrel,enplusdelintelligencencessairelexcutiondeservices. Aceteffet,ilexistedeuxtypesdeprotocolesprincipauxutilissdanslaToIP: Protocolesdesignalisation Protocolesdetransport
20
2.1 Signalisation
La signalisation correspond la gestion des sessions de communication (ouverture, fermeture, etc.). Le protocole de signalisation permet de vhiculer un certain nombre dinformationsnotamment: Plusieurs normes et protocoles ont t dvelopps pour la signalisation ToIP, quelques uns sont propritaires et dautres sont des standards. Ainsi, les principales propositions disponiblespourl'tablissementdeconnexionsenToIPsont: SIP (Session Initiation Protocol) qui est un standard IETF (Internet Engineering Task Force)dcritdansleRFC3261. H323 englobe un ensemble de protocoles de communication dvelopps par lUITT (Union Internationale des Tlcommunications secteur de la normalisation des Tlcommunications). MGCP(MediaGatewayControlProtocol)standardisparlIETF(RFC3435). SCCP(SkinnyClientControlProtocol)estunprotocolepropritaireCISCO. AujourdhuileplusrpandudentreeuxestleSIP,ceprotocoleestlargementdployet utilisauseindeRENATER.LetableauquisuitdresseunlgercomparatifentrelanormeSIP etH323. Nombredchangespour tablirlaconnexion Maintenanceduprotocole Simple(textecomme HTTP) Ouvertdenouvelles fonctions Oui Complexe SIP 35Allerretour H323 67Allerretour Le type de demande (enregistrement dun utilisateur, invitation une session multimdia,annulationd'unappel,rponseunerequte,etc.). Ledestinataired'unappel. Lmetteur. Lecheminsuiviparlemessage.
Evolution
Multicast
Ajoutdextensions propritaires Oui
Tableau1:comparatifdunormeSIPetH323
21
2.1.1 SIP(SessionInitiationProtocol)
Introduction
Le protocole SIP (Session Initialisation Protocol) a t initi par le groupe MMUSIC (Multiparty Multimedia Session Control) [RFC 2543] et dsormais repris et maintenu par le Groupe SIP de lIETF [RFC 3261]. SIP est un protocole de signalisation appartenant la couche application du modle OSI. Il a t conu pour louverture, le maintient et la terminaison de sessions de communications interactives entre des utilisateurs. De telles sessions permettent de raliser de laudio, de lenseignement distance et de la voix (tlphonie) sur IP essentiellement. Pour louverture dune session, un utilisateur met une invitation transportant un descripteur de session permettant aux utilisateurs souhaitant communiquer de ngocier sur les algorithmes et codecs utiliser. SIP permet aussi de relier des stations mobiles en transmettant ou redirigeant les requtes vers la position courante de la station appele. Enfin, SIP est indpendant du mdium utilis et aussi du protocole de transportdescouchesbasses.
Architectureprotocolaire
SIP est un protocole indpendant des couches de transport, il appartient aux couches applications du modle OSI. Le SIP gre la signalisation et ltablissement des sessions interactives de communication multimdias et multipartites. Il est aussi bas sur le concept Client / Serveur pour le contrle dappels et des services multimdias. Conu selon un modle de type IP, il est hautementextensibleet assez simple en conception architecturale, de sorte quil peut servir de base la cration dapplications et de services. Il est bas sur le protocoleHTTPetpeututiliserUDPouTCP[8].
Figure6:pileSIP
ArchitectureduneplateformeSIP
SIPestunprotocolesimpleetflexibleorientmessages.Lesprincipauxcomposantsdun systmebassurSIPsont:
22
TerminalSIP(UserAgentClientouUAC):PeuttreaussibienunSoftPhone(logiciel) quun HardPhone (tlphone IP). Les UAC sont capables dmettre et de recevoir de lasignalisationSIP. Proxy Server: encore appel serveur mandataire auquelest reli un terminal fixeou mobile,agitcommeserveurenversleclientetcommeclientenverslesautresUAS. Redirect Server: Ce serveur permet de rediriger les appels vers la position courante dun utilisateur. Il ralise simplement une association dadresses vers une ou plusieursnouvellesadresses. Location Server: Il fournit la position courante des utilisateurs dont la communication traverse les serveurs mandataire et de redirection auxquels il est rattach. Registrar Server: Ce serveur reoit et accepte les inscriptions des utilisateurs (adresseIP,port,login).
Figure7:architectureSIP
StructuredesmessagesSIP
Les messages SIP sont caractriss par une ligne de dbut, plusieurs enttes et le corps dumessage[8].
LesenttesdesmessagesSIP
Les enttes ont pour rle de fournir des informations sur le message et de permettre le traitement du message. A cet effet, le protocole SIP est dot dun certain nombre dentte dont la structure dpend de la nature et du rle de chaque entte. La structure gnrale dun entte est articule autour de plusieurs champs et chaque champ obit un format gnral:nom_du_champ:valeur_du_champ.Lestypesdentteutilissparlesmessagesdu protocoleSIPsontaunombredequatre:
23
; Lenttegnral
Il est toujours prsent et contient les informations de base permettant le traitement du message. Iladeschampsobligatoiressuivants: Via : il identifie lentit de relais. En effet, chaque entit qui met ou relaye un message SIP insre son identit afin de prvenir les boucles et indiquer le chemin de rponse. From:ilidentifielinitiateurdelarequte. To:ilidentifieledestinatairedelarequte. CallId:cestlidentificateuruniquedelasession. Cseq : il identifie la squence dun appel : par exemple plusieurs messages invite avecdeCseqdiffrents. ; Lenttederequte Cet entte est non toujours utilis. Il contient des informations supplmentaires destinationduserveurSIPpermettantletraitementdelarequteparceluici. ; Lenttederponse Cet entte est non toujours utilis tout comme lentte de requte. Il contient des informations supplmentaires ajoutes par le serveur SIP permettant le traitement de la rponse.
; Lenttedentit
Cet entte est toujours utilis. Son rle est de dfinir le type et le format des informationscontenuesdanslesmessages.
Lecorpsdumessage
Il fournit suffisamment dinformations pour permettre la participation une session multimdia.Cesinformationssont:lecodec,destination(adresseIPetportUDP),nomdela session, etc. Le message du corps est cod conformment au protocole SDP (Session DescriptionProtocol).SDPestsansdouteleprotocoleleplusimportantdelarchitectureSIP, SDPafaitlobjetdelaproposition denormeRFC2327.Cestunprotocoledontlobjectifest dtablirundescripteurdesessionsmultimdiaouvrir,ilportelesinformationssuivantes: ; AdressesdedestinationSIP://UserX@ensa.ac.ma. ; AlgorithmesdecodageAudioetVido. ; TypedetraficRTP.
24
RequtesetRponsesSIP
SIP est un protocole de type client serveur. A cet effet, les changes entre un terminal appelantetunterminalappelsefontparlintermdiairederequtesetrponseSIP. VoiciunelisteexhaustivedesrequtesSIP: INVITE: Cette requte indique que lapplication (ou utilisateur) correspondante lUrlSIPspcifiestinviteparticiperunesession. ACK: Cette requte permet de confirmer que le terminal appelant a bien reu une rponsedfinitiveunerequteINVITE. BYE:Cetterequteestutiliseparleterminaldelappelpoursignalerquilsouhaite mettreuntermelasession. CANCEL Cette requte est envoye par un terminal ou un serveur mandataire afin dannulerunerequtenonvalideparunerponsefinale. REGISTER Cette mthode est utilise par le client pour enregistrer ladresse liste danslechampTOparleserveurauquelilestreli. OPTIONS Un serveur mandataire en mesure de contacter le terminal appel, doit rpondre une requte OPTIONS en prcisant ses capacits contacter le mme terminal. A ces requtes sont associes des rponses qui sont dans le mme format que celles du protocoleHTTP.Voicilesplusimportantesdentreelles: 1XXmessagesdinformations(100essai,180sonnerie,183encours) 2XXsuccsdelarequte(200OK) 3XXRedirectiondelappel,lademandedoittredirigeailleurs 4XXErreurduclient(Larequtecontientunesyntaxeerrone) 5XXErreurduserveur(leserveurnapasrussitraiterunerequtecorrecte) 6XXEchecgnral(606requtenonacceptableparaucunserveur)
Fonctionnement
SIPintervientauxdiffrentesphasesdelappel: Localisationduterminaldelinterlocuteur.
25
Analyseduprofiletdesressourcesdudestinataire. Ngociation du type de mdia (voix, audio, vido) et des paramtres de communication. Disponibilit du correspondant, dtermine si le poste appel souhaite communiquer,etautoriselappelantlecontacter. Etablissement et suivi de lappel, avertit les parties appelant et appel de la demande douverture de session, gestion du transfert et de la fermeture des appels. Gestiondefonctionsvolues:retourderreurs, LeschmasuivantillustrelescnariodunecommunicationSIP.
Figure8:exempledunecommunicationSIP
2.2 Transport
Lors dune communication ToIP, une fois la phase de signalisation ralise, la phase de communicationestinitie.Danscettephase,unprotocoledetransportpermetdacheminer les donnes voix entre plusieurs utilisateurs vu que la couche TCP propose un transport fiable mais lent, et la couche UDP un transport rapide mais non fiable. La communaut IETF a mis en place un nouveau couple de protocole RTP (RealTime transport Protocol) et RTCP
26
(RealTime Control Protocol) pour apporter la fiabilit lUDP tout en exploitant sa rapidit. RTP et RTCP sont les deux protocoles qui sont principalement utiliss pour le transport de flux mdia sur le rseau IP. RTP permet de transporter les donnes entre plusieurs utilisateursen plus de la gestion temps relle des sessions. Tandis que, RTCP est utilis pour transmettrergulirementdespaquetsdecontrle,quicontiennentdiversesstatistiques,ce quipermetdevrifierlaqualitdetransmission.
2. StandardENUM
La fourniture grande chelle du service ToIP suppose lidentification aise des terminaux IP connects au rseau dsireux accder ce service. Cette identification est basiquementfaitetraverslesadressesIP.AfindtendrelespossibilitsdadressagelUITT atravaillsurlestandardENUM. ENUM (tElephone NUmber Mapping) est un protocole dfini par lIETF dans le RFC 3761[11]permettant d'utiliser un numro de tlphone (E.1641) comme cl de recherche dansleDNSpourtrouverlamaniredejoindreunepersonne(parexemple:ndetlphone mobile, n de fax, adresse de tlphonie IP, adresse email, adresse de messagerie instantane,etc.) Le principe dENUM repose sur la cration dun nom de domaine Internet pour chaque numrodetlphoneduplandenumrotationinternationalE.164.Lescoordonnesqueles utilisateurs souhaitent publier pour leur propre numro de tlphone sont ensuite "stockes"danslesystmedesnomsdedomaineInternet(DNS)etainsirenduesaccessibles demanireglobalepourtous. VoiciunschmaexpliquantleprincipedefonctionnementdENUM:
Figure9:principedefonctionnementdENUM
E.164 est le nom de la norme de lUIT qui standardise les numros de tlphone au niveau mondial.
27
Dans ce schma le numro +33666664444 est transform en nom de domaine en l'inversant (comme on fait pour trouver un nom de domaine partir d'une adresse IP), cela donnerait4.4.4.4.6.6.6.6.6.3.3.e164.arpa.OncherchealorslesenregistrementsNAPTR2pour ce nom de domaine. Dans cet exemple, le titulaire du numro de tlphone +33666664444 peut tre joint en SIP en utilisant lURI sip:boumezzough@renater.fr et par courrier lectroniquenasamehdi@gmail.com. Lavantage dENUM serait de joindre une personne avec un seul numro sur diffrents services de communication aussi travers ENUM une personne peut trs bien spcifier lordredeprfrencedesservicesetdesterminauxutiliser. LafigurecidessousprsenteunexempledutilisationdENUM.
Figure10:exempledutilisationdENUM
3. ProblmatiqueToIPaveclesNATetlesparefeux
Dans une architecture ToIP, les NAT et les parefeux reprsentent un problme pour les flux de signalisation et mdia. Lobjectif de ce paragraphe est de comprendre cette problmatique et de prsenter des exemples de solutions existantes pour rsoudre ce problme.
NAPTR record ou Name Authority Pointer record qui donne accs des rgles de rcriture de l'information, permettant des correspondances entre un nom de domaine et une ressource. Il est spcifi dans la RFC 3403.
ENSA-Marrakech 2008/2009 2
28
3.1 ProblmedeNAT
Le mcanisme NAT (Network Address Translation) est dfini dans le RFC 1631[12]. Le NAT permet de faire correspondre les adresses IP internes souvent non routables d'un domaine un ensemble d'adresses routables. Avec la ToIP, ce mcanisme reprsente un problmepourletransitdesfluxmultimdia. En effet, les informations utilises pour la signalisation ou la communication sont inclusesauniveau4etlescouchessuprieuresdumodleOSI,tandisquelesNATtravaillent surlacouche3. VoiciunschmaexpliquantleproblmedeNATaveclaToIP:
Figure11:problmedeNATavecSIP
Dans cet exemple, Mohamed ne pourra tablir de communication avec Anas tant donn que lIPBX narrive pas relayer les rponses SIP de Anas. En effet, lors de la traduction d'adresse effectue par le routeur NAT, seuls l'adresse et le numro de port contenus dans l'entte du paquet IP sont modifis. L'adresse et le numro de port contenus dans le corps de la requte INVITE du message SIP ne sont pas modifis. Hors cette adresse estnonroutable.
3.2 Problmedeparefeux
Un parefeu (firewall) est un quipement permettant dassurer la scurit dun site en filtrantletraficnondsir,ilpermetdefiltrerlespaquetsvenantdurseaupublic.
29
Le mode de fonctionnement de la plupart des parefeux pose un problme pour ltablissementdescommunicationsSIP. SIP, par son fonctionnement interne qui permet la localisation des utilisateurs au sein d'unrseauetlangociationdesparamtresdelasession(codecs,portRTP,etc.), posedes problmespourlesfluxmultimdiasquitraversentlesfirewalls.Eneffet,dansl'architecture de SIP, plusieurs informations critiques telles que l'adresse IP ainsi que le port utiliser sont contenuesdanslesmessagesSIP. Laproblmatiqueengendreparl'utilisationdeSIPautraversdesparefeuxvientdufait que ceuxci sont gnralement dploys en utilisant des politiques de filtrage qui rejettent tous les paquets qui ne proviennent pas ou qui ne sont pas destins une adresse IP et un portdfinis.Cespolitiques,quisontgnralementstatiques,nepermettentpaslatraverse d'un flux de donnes des protocoles comme SIP qui peut ngocier des adresses IP et des numrosduportinconnusparleparefeulorsdeltablissementdesession. Afin de bien comprendre la problmatique engendre par les parefeux pour les flux multimdias, voici le schma dun scnario d'tablissement de session et comment le firewallbloquelecontenumultimdia.
Figure12:problmedufirewallaveclaToIP
Dans cet exemple, l'utilisateur SIP mohamed@poste.site.fr invite l'utilisateur anas@ipbx.site2.frafindouvrirunesession.Mohamedenvoiedoncunerequted'invitation INVITE (figure 8) contenant les informations de la session ouvrir Anas. Anas rpond avec le message 200 OK (figure 9) contenant des informations supplmentaires sur la session ouvrir. Commeonpeutleconstater,l'adresseainsiqueleportutiliserlorsdel'ouverturedela sessionaudiosontcontenusdanslecorpsdesmessagesINVITEetOK.Cesdeuxinformations servent l'tablissement du flux audio entre Mohamed et Anas. Dans notre exemple,
30
Mohamed et Anas utilisent respectivement les ports 3456 et 5004. Par consquent, comme le firewall a des rgles de filtrage strictes et statiques, le contenu multimdia dAnas sera donctoutsimplementbloquparlefirewall.
Figure13:messageINVITE
Figure14:message200OK
3.3 SolutionsdetraversesdesNATetdesparefeux
Afin de faire face aux problmes que posent les parefeuxet les NAT, plusieurs solutions onttproposesnotammentALG,STUN,TURNetICE.
31
3.3.1 Passerelledelacoucheapplication(ALG)
La technique de la passerelle applicative consiste rendre intelligents les parefeux etlesrouteursNATafinqu'ilssoientenmesured'interprterunprotocolespcifique.Plutt que de vrifier uniquement lentte du paquet traiter, les passerelles ralisent une inspection complte des donnes dans le corps du paquet. Les passerelles agissent donc en tantquerelaisspcialisspourunprotocoleprcis(SIPparexemple).
Figure15:techniquedelapasserelledapplication (source:http://www.newportnetworks.com/whitepapers/nattraversal4.html)
Leparefeux/routeurNATvadonclirelecontenucompletdupaquetpuisvamodifierles adresses IP et ports inscrits dans le paquet afin de pouvoir transmettre le paquet dans le rseau public. Suite cela, le parefeux/routeur NAT ouvrira un port daccs afin que la communicationpuisseavoircorrectement.
3.3.2 STUN
STUN (Simple Traversal of UDP Through Network Address Translators) est un protocole nonc dans le RFC 3489 [13] et dvelopp par le groupe de travail de MIDCOM. Cette technique se distingue des techniques des passerelles de la couche application par son indpendancefaceauxprotocolesdecommunication. STUNpermetdetraverserlesrouteursNATenaffectantuneadresseIPetunnumrode port public un poste situ dans le rseau priv pour effectuer une communication de type UDP avec un rseau public. Pour ce faire, une srie de requtes un serveur STUN est effectueet les rponses du serveur servent caractriser ladresse IP et le numro de port d'unpostecommuniquer.
32
Combinant STUN des protocoles tel que SIP, plusieurs problmes relis aux routeurs NAT peuvent tre solutionns. Seul le cas o des routeurs NAT de type symtrique3 sont utilissnepeuttretraitenutilisantcettetechnique. LafiguresuivantedcritleprincipedefonctionnementduprotocoleSTUN.
Figure16:principedefonctionnementduprotocoleSTUN
3.3.3 TURN
TURN (Traversal Using Relay NAT) est un mcanisme en cours dveloppement et de standardisation auprs de lIETF agissant en tant que serveurs de relais. Il a t dvelopp afindepallierleslacunesduprotocoleSTUN. Ce protocole permet des clients qui sont dans des rseaux utilisant des routeurs NAT d'effectuerdesconnexionsentreeuxenpassantparunserveurderelais.
Figure17:principedefonctionnementduprotocoleTURN
3.3.4 ICE
ICE (Interactive Connectivity Establishment) est une technologie en cours de dveloppement par IETF qui consiste intgrer STUN et TURN au sein des clients SIP pour dterminertouteslesconnexionspossiblesentredeuxpostes.
Un NAT symtrique est celui dans lequel la translation dadresse est calcule en fonction de ladresse IP et port de la source et de celui du destinataire
3
33
3.3.5 Rsumdessolutions
Letableauquisuitrsumelesprincipes,avantagesetinconvnientsdessolutions prsentes: solution ALG principe FirewalletrouteurNAT intelligentscapablesde travaillerauniveau7 Inconvnients Tempsdelatence importantsdusau traitementcomplet etindividueldes paquets. Dterminelecouple Protocole ilnefonctionnepas (adresses,ports)publics standardis. aveclesNATs quondoitutiliserdansle Peudinfrastructure symtriques paquetSIPpourobtenirune :seul1serveurdoit rponse tredploypour effectuerles requtes. BassurSTUNpour Techniquesimple Modificationdes lchangedecls programmes LeserveurTURNsertde ncessairepourquils relaisentrelmetteuretle puissent rcepteur intgrerTURN intgreSTUNetTURNau Traversetoustypes Temps seindesclientsSIPpour deNAT dtablissementdun dterminertoutesles appellong. connexionspossiblesentre Modificationdes deuxpostes. serveursetclients pourledploiement.
Tableau2:rsumdessolutionsdetraverseslesNATetlesparefeux
Avantages Techniquesimple
STUN
TURN
ICE
4. ToIPetlascuritdescommunicationsvoix
La tlphonie sur IP, malgr ses trs nombreux avantages, notamment financiers, comportedesrisquesmajeursentermesdescuritdescommunicationsvoix.
34
4.1 VulnrabilitsdelaToIP
Un appel tlphonique ToIP se dcompose en deux phases: la signalisation qui permet dtablirlappel,etlaphasedetransportdesfluxdemediasquitransportentlavoix. Au cours de la phase de signalisation, les messages SIP cods en mode texte sont transmis de faon non chiffre dans le rseau, ce qui permet un pirate dcouter facilementlesmessagesSIPetdaccderauxinformationsdetransportdesfluxmdia. Enoutredurantletransportdesfluxvoix,leprotocoleRTPprsentegalementplusieurs vulnrabilits dues labsence dauthentification et de chiffrement. Par voie de consquence,plusieursattaquesToIPpeuventavoirlieu.
4.2 ExemplesdattaquessurlinfrastructureToIP
Il existe de nombreuses attaques possibles sur le rseau ToIP dont les plus rpandues, sont: Dnis de service(attaque DoS): lobjectif dune attaque DoS est de rendre un lment du rseau indisponible. Un exemple de ce type attaque est lenvoi illgitimesdepaquetsSIPBYE[17]. Ecouteclandestine:Lobjectifdecetteattaqueestd'couterletraficdesignalisation et/oudedonnes,enutilisantdesoutilsdcouterseautelsqueVOMIT(VoiceOver Misconfigured Internet Telephone), SiVuS (SIP Vulnerability Scanner), et WireShark [17]. Dtournement du trafic: lattaquant redirige son profit le trafic ToIP. Elle se base surlenvoidunmessagederedirectionindiquantquelappelsestdplacetdonne sapropreadressecommeadressederenvoie,decettefaontouslesappelsdestins alutilisateursonttransfrsalattaquant[17]. Usurpationdidentit:Cetypedattaqueconsisteusurperlidentitdelexpditeur dumessageSIPenmodifiantlidentitdelexpditeurdunmessage[17]. Vols de services: le pirate peut emprunter lidentit dun utilisateur et lutiliser pour faire passer des appels sur le rseau ToIP sans avoir payer le fournisseur de service [17].

35
4.3 SolutionsdescuritdelaToIP
LesmcanismesdescuritpropossdansunearchitectureToIPsont: La scurit de linfrastructure IP: Cest le premier niveau de scurit, car la scurit de linfrastructure ToIP est lie la scurit du rseau IP. Un exemple est la sparationlogiquedesrseauxDataetVoixpardesVLANs. Lauthentification: Lauthentification du tlphone IP par le serveur et lauthentification du serveur par le tlphone IP avant dautoriser un quelconque appel.Ilexistediffrentsmoyensdauthentificationtelsque:SIPS,IPsec. ; SIPS (Session Initiation Protocol Secure): est un mcanisme de scuritdfiniparRFC3261pourl'envoidemessagesSIPaudessusdu protocoledescurisationTLS(TransportLayerSecurity). IPsec (Internet Protocol Security): est un ensemble de protocoles (couche 3 du modle OSI) dfini par IETF (RFC 2401), permettant le transportscurisdesdonnessurunrseauIP[6].
Le chiffrement: cest un moyen efficace de protger les donnes. Plusieurs solutions peuvent tre utilises : le chiffrement des flux de signalisation avec SIPS, le chiffrementdesfluxvoixavecSRTP,dessolutionspropritaires. ; SRTP(Secure Realtime Transport Protocol): dfinit un profil de RTP, qui a pour but d'apporter le chiffrement, l'authentification et l'intgrit des messages, et la protection contre le replay de donnes RTP en unicast et multicast. SRTP a t conu par Cisco et Ericsson, et estratifiparl'IETFentantqueRFC3711.
5. LaToIPetIPv6
IPv6 est le protocole Internet de nouvelle gnration conu par l'IETF. Il permet principalement de disposer dun plus grand nombre d'adresses pour chaque lment du rseau. Il offre galement une plus grande facilit de configuration et amliore les mcanismes de gestion de la mobilit IP. Il intgre nativement la scurit, les classes de serviceetladiffusionmulticast. Le dploiement du protocole IPv6 pour le support de la ToIP va permettre dviter davoir recours aux NATs grce sa grande capacit dadressage et de simplifier ainsi larchitecture. Nanmoins, la mise en place de la ToIP en IPv6 nest pas encore rpandue parce que la plupart des quipements de ToIP ne supportent pas encore cette version du protocole IP. Voici des exemples de solutions ToIP qui supportent IPv6: Kamailio (routeur dappels),Linphone,KphoneetSJPhone(quisontdessoftphones,applicationslogicielles installersurunordinateur).
36
Conclusion
La tlphonie sur IP est une technologie qui utilise les rseaux informatiques comme supportde communication.LessolutionsToIPsontdeplus enplusbasessurdesstandards ouverts. Beaucoup de ces solutions utilisent SIP comme protocole de signalisation ToIP. Les principauxprotocolesutilisspourletransportdelavoixsont:RTPetRTCP.Etpourgarantir la compatibilit entre la ToIP et le rseau tlphonique classique, lIETF a travaill sur le standardENUM. Le dploiement de la technologie ToIP dans les rseaux actuels a provoqu lapparition des nouvelles problmatiques notamment au niveau des dispositifs de scurit tels que les parefeu et les routeurs NAT, ainsi que les vulnrabilits de ToIP en terme de scurit. Les problmes de NAT et de parefeux ont t solutionns en utilisant plusieurs techniques qui sont rsumes dans le tableau 2, tandis que de nombreux mcanismes de scurit ont t prsentsnotammentlascuritdelinfrastructureIP,lauthentification,etlechiffrement. Dans le chapitre qui suit, je vais prsenter la maquette exprimentale ToIP qui est la plateforme de travail que jai utilise initialement pendant mon stage. Par la suite, je vais prsenterletravaileffectupendantlestage.
37
38
CHAPITREIII:DesignetingnierieToIP
Introduction
La dmarche exprimentale est la mthode qui caractrise le travail de lquipe SIPA pourlamiseenproductiondesnouveauxservicesauprofitdelacommunautRENATER. Pour la mise en production dun service de routage dappels, une maquette exprimentale dinterconnexion de sites universitaires et centres de recherche, ayant dployunesolutiondeToIP,eninterne,atmiseenplaceparlquipeSIPA. Aujourdhui, la maquette exprimentale ToIP de RENATER prsente des limites, notamment les aspects de supervision ne sont pas implments, les statistiques sur les appels traits par le serveur de routage dappels OpenSER ne sont pas tablies, et les accs auserveurnesontpasscuriss. Dans les chapitres qui suivent, Nous commencerons tout dabord par voir un aperu sur la maquette exprimentale ToIP de RENATER, nous poursuivons ensuite par la prsentation desralisationspendantnotreprojetdefintudes.
A. Prsentationdelexistant
1. DescriptiondelamaquetteToIPdeRENATER
1.1 Architecturedelamaquette
La maquette exprimentale dinterconnexion des sites en ToIP repose sur le protocole SIP.Elleestcomposepar: Les IPBXs (Mitel, Cisco, Alcatel, Asterisk, etc.) mis en place aux niveaux des sites universitaires et les centres de recherche pour offrir le service de ToIP leurs usagers. Un routeur dappel IP qui est bas sur le routeur SIP OpenSER. Son rle est dassurer linterconnexiondesditsIPBXs,etleroutagedappelsintersite. Cettemaquettepermet: De centraliser tous les prfixes atteignables au niveau du plan dadressage et dacheminerlesappelsintersitesurlerseauRENATER. Doffrir une souplesse organisationnelle dans la gestion des prfixes pour les tablissements.
39
Actuellement la maquette de ToIP permet de mettre en relation une dizaine de sites : l'INRIA (3000 postes), les Universits de Normandie via le CRIHAN (4770 postes), les UniversitsdeLorraine(5910postes),l'universitdeMontpellierIII(900postes)ainsiquele GIPRENATER(50postesrpartisentrelessitesdeParisetMontpellier). La figure suivante illustre larchitecture de la maquette exprimentale ToIP de RENATER avecdesexemplesdessitesraccordslamaquette[16]:
Figure18:maquetteexprimentaleToIPdeRENATER
1.2 Principedefonctionnement
Le site souhaitant profiter du service ToIP afin d'acheminer ses appels destination d'autres sites ayantdroit RENATER, n'aura besoin de paramtrer son IPBX qu'une seule fois. Aumoinsdeuxroutesdevrontexister: UnerouteversRENATER Unerouteversl'oprateur Le serveur de routage dappels OpenSER assure la mise en relation entre les diffrents IPBXdessitesconnectslamaquette. L'utilisateur compose le numro de son correspondant. Si le numro n'est pas joignable en IP, le serveur OpenSER renvoie un message SIP, qui permet l'IPBX du site origine de basculer lappel sur la route suivante, le plus souvent son accs RTC (Rseau Tlphonique Commut). L'intrt principal de cette maquette est que le site n'aura pas besoin de
40
connaitrelesroutespourjoindrelensembledesIPBXdelacommunautRENATERetnaura doncpasmaintenirjourunetablederoutesverslessites. Leschmasuivantdcritleprincipedefonctionnementdelamaquette.
Figure19:principedefonctionnementdelamaquette
LorganigrammesuivantmontreleprincipedefonctionnementdOpenSER.
Figure20:principedefonctionnementduserveurOpenSER
41
2. Prsentationd'OpenSER
LerouteurdappelOpenSERconstituellmentcentraldelamaquette.Chaquerequte SIP INVITE d'tablissement de communication mise par un IPBX est traite par le proxy OpenSER. OpenSER est un logiciel libre, Il est une version hrite de SER (SIP Express Router), le code(enlicenceGPL)deSERatreprisparungroupededveloppeursduprojetlafinde l'anne2005pourconstituerunnouveaulogiciel. OpenSERprendenchargelesfonctions: Proxy server: il assure les fonctions de relayage des requtes et rponses SIP entre deuxUsersAgents. Registrar server: il gre les requtes REGISTER envoyes par les Users Agents pour signalerleuremplacementcourant. Location server: il permet de fournir les dtails demplacement courant dun utilisateur. Redirectserver:ilredirigelesUsersAgentsversunautreProxyserver. Application server: il fournit des services avancs pour les utilisateurs tels que servicedeprsence,messagerieinstantane,etc.
VoicicidessouslescomposantesdOpenSER:
Figure21:composantesdOpenSER
42
B. Travaileffectu
1. volutionsdelaplateformederoutaged'appelsOpenSER
1.1 Objectifs
Lobjectif est dinstaller un nouveau routeur dappels pour le service pilote en se basant surlestravauxeffectusjusquprsentsurlamaquetteexprimentaledeRENATER.
1.2 Etude
Dans cette tude, jai trouv que des versions plus rcentes que la version installe dOpenSER sont disponibles. Ces nouvelles versions contiennent des amliorations des fonctionnalits, et des corrections de bugs. Jai dcouvert que le projet OpenSER a chang son nom en Kamailio [2] et quun nouveau projet appel OpenSIPS [3] a t lanc sur la base dOpenSER. J'ai donc t amen faire une comparaison des deux projets. La comparaison propose est base sur les fonctionnalits, la taille de la communaut travaillantcetteversion,etladynamiquedechaqueprojet. Voici un tableau qui rsume les rsultats de la comparaison effectue le 20 septembre 2008. Critre rsultatsderechercheGoogle Derniremisejourdusite Nombredadministrateurduprojet Nombrededveloppeurs Licencedutilisation Laversionstable Laversionencoursdedveloppement Mailinglists Nombredemodules(fonctionnalits) Communaut Kamailio Kamailio+SIP 25400 20081002 5 27 GPL Kamailiov1.4.1 Kamailiov1.5.0 oui 86 active OpenSIPS OpenSIPS+SIP 16600 20080901 1 16 GPL OpenSIPS1.4.2 Oui 86 Moinsactive
Tableau3:rsumdesrsultatsdecomparaisonentreKamailioetOpenSIPS
A la lecture des rsultats de cette comparaison, notre choix sest port sur le projet Kamailio dans un premier temps. Cependant, nous suivons de prs lvolution du projet OpenSIPS.
43
1.3 Evolutions
La principale volution est la mise en place dun service pilote de routage dappels bas sur Kamailio pour la communaut RENATER, la version installe est Kamailio 1.4.1 (cf. ANNEXE1). La maquette exprimentale restera en place afin de permettre des nouveaux sites de faire des tests avant de se connecter au pilote. Elle permettra galement de valider des nouveauxservicesavantdelesmettreenproductionsurlepilote(IPv6,redondance,etc.). La migration des sites raccords la maquette vers le service pilote se fait aprs la validationdufonctionnementdelaToIPdusitesurlamaquetteexprimentale. Des amliorations ont aussi t introduites dans le fichier de configuration par rapport la configuration dOpenSER existante dans la maquette exprimentale notamment la prise enchargelesmessagesSIPOPTIONS.
2. Miseenplaced'unesolutiondesupervision
2.1 Objectifs
Lobjectifprincipaltaitdeproposerunesolutiondesupervisionquipermettede: Surveiller ltat du service de routage des appels tlphoniques dans le serveur Kamailio de RENATER et ses performances (la charge CPU, utilisation de la mmoire, utilisationdudisquedur). SuperviserltatdesIPBXdessitesdistantsinterconnectsauservicepilote. GrapherdansletempsltatduserveurKamailioetdesIPBXdessitesdistants. AvertirladministrateurdupiloteToIPencasdeproblme.
2.2 Etude
La plupart des solutions de supervision de ToIP qui existent sont des solutions commerciales. Parmi les logiciels libres permettant de superviser les services voix, Monit [6] permet de surveiller des services locaux installs sur une machine Linux/Unix. On peut utilisercetoutilpoursuperviserlerouteurSIP(Kamailio)deRENATERetlessitesdistantsqui utilisentdeslogicielsIPBX(Kamailio,OpenSIPS,Asterisk..),maiscettesolutionnepermetpas de superviser les sites distants qui utilisent des IPBX matriels comme (MITEL, CISCO) et nerpondpastousnosbesoins.
44
UneautresolutionestdutiliserloutilSIPpquipermetdegnrerdesappelsSIPavecun UAC4 et un UAS5 en ligne de commande en exploitant le rapport dappels labor par cet outil. Cette solution tait trop limite par rapport l'ampleur de nos besoins car dautres outils sont ncessaires pour vrifier ltat des liens et pour gnrer des graphiques. Cependant, loutil SIPp pourra tre utile pour tester les performances des communications entredeuxsites. LaderniresolutiontudieestlelogicieldesupervisionNagios[4],quisemblerpondre trs bien nos besoins grce sa modularit et les greffons disponibles pour SIP. Le choix s'estdoncportnaturellementsurNagios.
2.3 SolutionNagios
Nagios est un logiciel libre de supervision de rseau. Il est disponible sous Licence GNU GPL, il permet de savoir tout moment le statut des htes et des services spcifis par l'administrateur rseau. Il se charge galement de l'envoi d'alertes suite une panne ou un dysfonctionnementdurseau. Nagios s'appuie sur un moteur crit en C charg de l'ordonnancement des vrifications, ainsi que les actions raliser lors de la dtection dun incident. Les vrifications sont faites laidedesgreffons(plugins)quipermettentauxutilisateursdedvelopperfacilementleurs propresvrificationsdesservices.Lesgreffonspeuventtredveloppsdansnimportequel langagedeprogrammation(C,shell,perl,).Letoutestcontrlabletraversunepageweb enCGIetaccessiblevian'importequelserveurHTTPcommeApache. Voiciunschmadtaillantl'architecturedebasedeNagios:
Figure22:architecturedebasedeNagios
4 5
Il initie la session Il rpond aux requtes
45
Linstallation de Nagios est ralise sur la distribution Debian Etch avec la commande aptgetdeLinux,quipermetdercuprerlesfichiersdeNagiosetdeprocderfacilement linstallation et la configuration de ce dernier. La version installe est Nagios 3.0.6. Nous avons aussi besoin dinstaller les plugins Nagios qui sont utiliss pour la supervision. La versioninstalleestnagiosplugins1.4.13. Pour superviser les performances de la machine Kamailio, jai utilis le plugin NRPE qui permetd'excuterdespluginsdistancesurlamachineKamailiopuisd'envoyerlesrsultats Nagios(cf.ANNEXE2). PoursurveillerleservicederoutagedesappelssurlerouteurSIP(Kamailio)deRENATER et les IPBX des sites distants, jai utilis le plugin check_sip qui nest pas fourni en standard aveclespluginsdeNagios. Pour tracer des graphiques pour les diffrents services superviss, jai install le module PNP (l'acronyme de PNP est PNP is NOT Perfparse). Ce module permet de rcuprer les donnes relatives aux performances du systme interrog et d'injecter ces valeurs dans des bases rrdtool. Il est possible ainsi de gnrer des graphiques personnaliss intgrs linterfaceweb. JaiconfigurNagiospourquilavertisseladministrateurdupiloteToIPparemailencas deproblme. Enfin jai mis en place le style Nuvola pour amliorer l'interface graphique Nagios et la rendreplusagrable. Les figures cidessous prsentent une vue densemble des interfaces de la solution Nagiosmiseenplace:
Figure23:interfacedeltatdesservicessuperviss
46
Figure24:interfacedutempsderponseduservicePing
Figure25:interfacedeltatduserviceSIPdeserveurKamailiodansle temps
Durant la mise en place de toutes ces solutions, jai rencontr plusieurs problmes de configuration cause du manque de documentation. Un problme est pos par le module PNP lors de laffichage des graphiques du service SIP. En effet, PNP utilise des modles pour gnrer les graphiques. Le modle (template) du service SIP nest pas dfini, jai donc d crirenotrepropremodle.
Figure26:architecturedelasolutionmiseenplacepourlasupervision
47
3. MiseenplacedunesolutiondeComptabilisationdappels
Le but de la mise en place dune solution de comptabilisation dappels est de pouvoir fournirdesstatistiquessurletauxdutilisationduservicederoutagedappelsdeRENATERet decollecterlesinformationsanalyserencasdeproblme.
3.1 Objectifs
Lobjet de cette partie de mon stage est dtudier et mettre en place une solution de comptabilisationdappelsquipermettede: EtablirdesstatistiquessurlesappelstraitsparleserveurKamailiodeRENATER. Suivrecesstatistiquesdansletemps. Agrger les statistiques par site pour avoir un suivi prcis de lusage du service pour chaquesite.
3.2 Etude
Aprs avoir effectu plusieurs recherches sur les solutions de comptabilisation dappels existantesquipeuventrpondrenosbesoins,jaitrouvquiilyadenombreusessolutions qui sont soit commercialises, soit trop complexes pour nos besoins. Notre tude est consacretroissolutions. Lapremireestdutiliserlesdonnesdufichierlogduserveurkamailio,cependantcette solutionnepermetpasdavoirunniveaudedtailssuffisantsurlappel. Une deuxime solution consiste utiliser le module ACC6 avec une base de donnes MySQL. Linconvnient de cette solution est la gnration dun enregistrement dans la base dedonnespourchaquerequteSIPreueparleserveurKamailio[7]. Une troisime solution tudie est dutiliser le module ACC avec un serveur RADIUS. Cest cette dernire solution qui a t adopte. En effet, elle va permettre davoir un seul enregistrementpourtoutelasessionSIP.
3.3 Miseenplace
RADIUS est un protocole qui intgre les notions dAAA (Authorization, Authentication and Accounting). La dernire version du protocole RADIUS est normalise par l'IETF dans deuxRFC:RFC2865(RADIUSauthentication)etRFC2866(RADIUSaccounting).
6
ACC est un module de Kamailio qui permet denregistrer les transactions SIP dans diffrentes bases de donns
48
NousavonschoisiFreeRADIUS[5]commeserveurRADIUSpourlafonctiondaccounting. Leprincipedecettefonctionsebasesurdeuxtypesdepaquetsprincipaux:AccountingStart etAccountingStop.Unesessionestdfinieparl'intervalleentreunStartetunStop. FreeRADIUS est un logiciel libre, il sagit dun des serveurs RADIUS les plus modulaires et riches en fonctionnalits. Les dtails de linstallation et la configuration sont expliqus en annexe3decerapport. Dans cette solution, le serveur Kamailio va mettre un paquet Accounting Start avec un identificateur de session au serveur FreeRADIUS lors de la rception dun message SIP INVITE. Quand le serveur Kamailio reoit le message SIP BYE de la mme session, il envoie unpaquetAccountingStopaveclemmeidentificateurdesession.LeserveurfreeRADIUSva envoyer alors un seul enregistrement la base de donnes MySQL qui contient la dure et touslesparamtresdelasession. Voiciunschmadcrivantleprincipedefonctionnementdecettesolution:
Figure27:principedefonctionnementdeFreeRADIUSavecKamailio
Lors des tests effectus pour valider cette solution, nous avons trouv que FreeRADIUS ne permet pas de gnrer les CDR pour les appels chous, ce qui est normal, tant donn que le message SIP BYE nest pas reu par Kamailio. Les sessions nayant pas reues de message SIP BYE sont comptabilises dans un fichier log FreeRADIUS. J'ai donc t amen mettre en place la solution du module ACC avec MySQL pour comptabiliser juste les appels chousdanslabasededonnes(cf.ANNEXE4).
49
VoiciunschmaillustrantleprincipedefonctionnementdelasolutionmoduleACCavec MySQL:
Figure28:principedefonctionnementdemoduleACCavecMySQL
Lasolutiondecomptabilisationdappelssecomposededeuxbriquesfonctionnelles: 1. ModuleACCavecFreeRADIUS 2. ModuleACCavecMySQL En effet, la gnration des CDRs relatifs une communication SIP dpend essentiellementdelarussitedesontraitement(existenceounondemessagesderreur). Lorganigrammequisuitrsumelessentieldecequiaprcd.
Figure29:organigrammedelasolutiondecomptabilisationdappels
50
Lafigurecidessousillustrelarchitecturedelasolutiondecomptabilisationdappels:
Figure30:architecturedelasolutiondecomptabilisationdesappels
3.4 Dveloppementd'uneinterfaceweb
Pour afficher les informations des appels stockes dans la base de donnes par FreeRADIUS,jaidveloppuneinterfacewebenPHPquipermet: Afficherlenombredesappelseffectusparchaquesite(figure24) Afficherlesdtailsdesappels(figure25) Afficher sous forme de graphes le nombre et la dure des appels effectus par mois etparanne(figure26) Effectuer des recherches sur les appels selon des critres(le site appelant, le site appel,ladatedappel)(figure27)
51
Voicilesprincipauxcransdelapplicationwebdveloppes:
Figure31:lapagedaccueildelapplication
Figure32:ecrandesdtailsdesappels
Figure33:ecrandenombredesappelsparjour
52
Figure34:ecranderecherchersurlesappels
3. ScurisationdupiloteToIP
Tout systme accessible via IP est une cible potentielle pour l'ensemble des menaces pesant sur les rseaux IP. Afin de limiter les accs et scuriser le serveur pilote ToIP, jai mis en place solution de scurit base sur loutil IPtables. Des filtres ont t configurs sur le routeur dappels de faon nautoriser que les IPBX des sites connects au pilote envoyer des requtes SIP sur le port 5060. Les flux du serveur de supervision Nagios et de comptabilisation dappel FreeRADIUS, ainsi que les flux pour ladministration du serveur distance(SSH)sontautorissgalement(cf.ANNEXE5). Lesrglesdefiltragesappliquerontdoncselonlescritressuivants: AdresseIPsource AdresseIPdedestination Protocoledecommunication Portsource Portdedestination LorganigrammesuivantrsumelasolutionpourscuriserleservicepiloteToIP.
53
Figure35:organigrammedelasolutiondescurisationduservicepilote
4. Gestiondel'accessibilitdessites
Lobjectif tait de grer les messages derreur SIP envoys par le serveur de routage dappels Kamailio, afin davoir un basculement rapide vers le rseau RTC en cas dinaccessibilit du site distant. Pour cela, des tests ont t raliss avec un des sites de lINSERM(InstitutNationaldelaSantetdelaRechercheMdicale). Le tableau suivant dcrit les rsultats des tests aprs les amliorations introduites dans lefichierdeconfigurationdeKamailio.
54
Tableau4:lesrsultatsdestestsdelagestiondesmessagesderreur
5. Testsdevalidation
Afin de valider les diffrentes solutions mises en place, des tests de validation ont t effectusaveclesiteINSERM. Letableaucidessousdonnelesrsultatsdestests. Ntest 1 2
Lasolution Ntest Description Rsultatattendu Rsultat
Description
Typedemessageerreur
Dsactiverlinterface Requestetimeout rseaudelIPBX ArrterleserviceSIPde Requestetimeout lIPBX
Rsultatde Tempsde basculement basculement OK 10s OK 10s
Lasolution de supervision Lasolution de Comptabilisa tiondappels
1 2 1
Dsactiverlinterface rseaudelIPBX ArrterleserviceSIPde lIPBX Effectuerunappelrussi
Nagiosretourneuntatde connectivitdiffrentdeOK Nagiosretourneuntatdu serviceSIPdiffrentOK Enregistrementajoutdansla basededonnescommeappel russi Enregistrementajoutdansla basededonnescommeappel chou
OK OK OK
Effectuerunappel chou (leservicenestpas disponible)
OK
La scurisation dupilote ToIP
Effectuerunappelvia lOpenSERdelamaquette
Appelrejetparlerouteur dappelsduservicepilote
OK
Tableau5:lesrsultatsdestestsdevalidation
55
Conclusion
Dans ce dernier chapitre, nous avons prsent la maquette exprimentale, la phase de ralisation de notre projet en prsentant les solutions mises en place, la dmarche de travail, le principe de fonctionnement de chaque solution, finalement, nous avons prsent lestestsdevalidationeffectus. Actuellement le service pilote ToIP est oprationnel, deux sites ont dj migr vers ce service qui sont GIP RENATER PARIS et GIP RENATER MONTPELLIER. Il est prvu aussi de migrerdautressitesdanslesjoursquiviennent.
56
Conclusiongnrale
LatlphoniesurIPconstitueincontestablementuneattractiondetaillelafoispourles quipementiers,lesoprateurs,lesentreprisesetlegrandpublic.Silesenjeuxconomiques justifient largement cette convoitise, il ne faut cependant pas ngliger les contraintes techniquessurmonter. Durant le prsent projet de fin dtudes, Il nous a t confi la mission, au sein de lquipe SIPA (Services IP Avancs et prospective) du GIP RENATER, dtudier et mettre en place le service pilote ToIP de RENATER. Pour cela, notre travail a t dcompos en cinq tapes majeures. La premire avait pour but dtudier les bases de la tlphonie sur IP. Le second travail consistait tudier les volutions possibles sur la maquette exprimentale mise en place par lquipe SIPA pour installer le service pilote ToIP. La troisimetape tait la mise en place dune solution de supervision du service pilote. La quatrime tape consistait mettre en place dune solution de comptabilisation dappels. Enfin, la dernire tape avait pour but de limiter les accs et scuriser le serveur pilote ToIP. Ce projet de fin dtudesadonnlieuuneplateformedeToIPbasesurunserveurderoutagedappelde type Kamailio et des solutions pour la supervision et la comptabilisation des sessions SIP VoIP. Llaboration de ce travail ma permis, dune part, dapprofondir les connaissances et le savoir faire acquis durant les annes de ma formation lENSA de Marrakech, et dautre part, de prparer mon intgration la vie professionnelle et de me se situer sur le march destlcommunications(rseaux,systmesdecommunication,services,...). Le travail que jai ralis pourrait tre complt et poursuivi sous diffrents aspects, notamment: Mise en place dune solution de redondance des serveurs impliqus dans le service pilote. Introduction dIPv6 dans les quipements du service pilote et avec les sites partenaires. Amliorationdesmcanismesdescuritmisenplace.

57
Rfrencesbibliographiques
[1].SiteofficieldeRENATER,http://www.renater.fr,janvier2009 [2].SiteofficieldeKamailio,http://www.kamailio.org,janvier2009 [3].SiteofficieldOpenSIPS,http://www.opensips.org,janvier2009 [4].SiteofficieldeNagios,http://www.nagios.org,janvier2009 [5].SiteofficieldeFreeRADIUS,http://freeradius.org,janvier2009 [6].Lencyclopdielibrewikipedia,http://fr.wikipedia.org/wiki/Accueil,janvier2009 [7].FlavioE.Goncalves,BuildingTelephonySystemswithOpenSER,PacktPublishing(April25, 2008) [8].N.IDBOUFKER, ArchitecturesProtocolairesVoIP:H.323etSIP, dcembre2008 [9].R.Sparks,M.Handley,E.Schooler,SIP:SessionInitiationProtocol,RFC3261,IETF,June 2002 [10].F.Andreasen,B.Foster,MediaGatewayControlProtocol(MGCP),RFC3435,IETF, January2003 [11].P.Faltstrom,M.Mealling, TheE.164toUniformResourceIdentifiers(URI)Dynamic DelegationDiscoverySystem(DDDS)Application(ENUM),RFC3761,IETF,April2004 [12].K.Egevang,P.Francis, TheIPNetworkAddressTranslator(NAT),RFC1631,IETF,May 1994 [13].J.Rosenberg,J.Weinberger,C.Huitema,R.Mahy,STUNSimpleTraversalofUser DatagramProtocol(UDP)ThroughNetworkAddressTranslators(NATs),RFC3489,IETF, March2003 [14].C.Rigney,S.Willens,A.Rubens,W.Simpson,RemoteAuthenticationDialInUserService (RADIUS),RFC2865,IETF,June2000 [15].C.Rigney,RADIUSAccounting,RFC2866,IETF,June2000
[16].RapportdugroupedetravailToIP,www.renater.fr/IMG/pdf/Compil_Doc_synth.pdf [17].BestPracticesforVoIPSIPSecurity,www.td.unige.ch/pdf/BP_VoIP_Security.pdf
58
ANNEXES
ANNEXE1:ConfigurationKamailio
CeciestunextraitdufichierdeconfigurationduserveurKamailio: #######Rapportdesmodifications########## #cration16/12/2008 #RaccordementSITE1(Ville1etVille2)le17/12/2008 #testavecSITE2le24/12/2008 #######GlobalParameters######### debug=3 log_stderror=no log_facility=LOG_LOCAL0 fork=yes children=4 port=5060 listen=udp:193.*.*.* alias=*.renater.fr . #######ModulesSection######## #setmodulepath mpath="//usr/local/lib/kamailio/modules/" . ##########Blocdessitesraccordsauservicepilote####### ######################GIPRENATER################# . if(uri=~"sip:01539420[3,4,8,9][09]@.*"){ # 40 Postes route(2); }; .. #processtrafficfromInternettoSITE1 route[2]{ # log(1,"Inroute[2]"); rewritehostport("193.*.*.*:5060"); append_hf("Phint:ForwardedtoSITE1\r\n"); xlog("L_INFO","$rmfrom$futo$tu"); if(!t_relay()){ sl_reply_error(); }; exit; }
59
ANNEXE2:exemplededfinitiondesservicespourlasupervision
UnexemplededfinitiondesservicessuperviserpourlamachineKamailio: definehost{ usegenerichost host_nameKamailio address193.*.*.* } defineservice{ host_nameKamailio service_descriptionSIP check_commandcheck_sip!sip:193.*.*.* usegenericservice action_urlhttp://193.*.*.*/pnp4nagios/index.php?host=Kamailio&srv=SIP } defineservice{ host_nameKamailio service_descriptionPING check_commandcheck_ping!100.0,20%!500.0,60% usegenericservice action_urlhttp://193.*.*.*/pnp4nagios/index.php?host=Kamailio&srv=PING } defineservice{ use genericservice host_nameKamailio service_descriptionDiskSpace check_commandcheck_nrpe!check_hda1 } #ChargeCPU defineservice{ use genericservice host_name Kamailio service_description CPULoad check_command check_nrpe!check_load }
60
ANNEXE3:ConfigurationmoduleACCavecFreeRADIUS
InstallationFreeRADIUS
Laversioninstalle2.0.*: #aptgetinstallfreeradiusfreeradiusutils #aptgetinstallfreeradiusmysql
CrationetlaconfigurationdelabasededonnedefreeRADIUS
InstallationMysql #aptgetinstallmysqlserver #aptgetinstallmysqlclient
Crationdelabasededonnes
dpkgicdrtool_6.6.10_all.deb mysqladminurootpcreateaccounting mysqlurootaccounting</var/www/CDRTool/setup/radius/OpenSIPs/radacct.mysql ConfigurationduserveurFreeRADIUS
Laconfigurationdelaconnexionlabasededonnes sql{ driver="rlm_sql_mysql" server="127.0.0.1" login="root" password="**********" radius_db="accounting" acct_table="radacct" sqltrace=no sqltracefile=${logdir}/sqltrace%Y%m%d.log num_sql_socks=25 connect_failure_retry_delay=60
61
Configuration du serveur kamailio comme client de FreeRDIUS dans le fichier /etc/freeradius/clients.conf
client193.*.*.*{ secret=*********** shortname=siprouter1 nastype=other } Activermysqldanslefichier/etc/freeradius/radiusd.conf Accounting{ acct_unique detail sql unix radutmp } Ajouterledictionnairekamailiodanslefichier/etc/freeradius/dictionary
cp/var/www/CDRTool/setup/radius/OpenSIPs/dictionary.ser /etc/freeradius/dicotionary.kamailio $INCLUDE/usr/share/freeradius/dictionary $INCLUDE/etc/freeradius/dictionary.kamailio ConfigurationduclientfreeRADIUS(Kamailio) Ajouterledictionnairekamailiodanslefichier/etc/radiusclientng/dictionary #Thefilenamegivenhereshouldbeanabsolutepath. $INCLUDE/etc/radiusclientng/dictionary.radius AjouterladresseduserveurFreeRADIUSdanslefichier/etc/radiusclientng/servers #RADIUSservertouseforaccoutingrequests.AllthatI #saidforauthserverapplies,too. Acctserver 193.*.*.*
62
Ajouterleslignessuivantesdansleficherdeconfigurationdekamailio(kamailio.cfg) modparam("acc","radius_config","/etc/radiusclientng/radiusclient.conf") modparam("acc","radius_flag",2) modparam("acc","radius_missed_flag",3) modparam("acc","radius_extra","UserName=$Au;\ CallingStationId=$from;\ CalledStationId=$to;\ SipTranslatedRequestURI=$ruri;\ SipRPid=$avp(s:rpid);\ SourceIP=$si;\ SourcePort=$sp;\ CanonicalURI=$avp(s:can_uri);\ BillingParty=$avp(s:billing_party);\ DivertReason=$avp(s:divert_reason);\ XRTPStat=$hdr(XRTPStat);\ Contact=$hdr(contact);\ Event=$hdr(event);\ ENUMTLD=$avp(s:enum_tld)")
ANNEXE4:ConfigurationmoduleACCavecMySQL
Ajouterleslignessuivantesdansleficherdeconfigurationdekamailio(kamailio.cfg)
modparam("acc","db_url","mysql://root:root@193.*.*.*/accounting") #flagtorecordtodb modparam("acc","db_flag",1) modparam("acc","db_missed_flag",2) #flagtologtosyslog modparam("acc","log_flag",1) modparam("acc","log_missed_flag",2) #useextraaccountingtorecordcallerandcalleeusername/domain #takethemfromFromURIandRURI modparam("acc","log_extra", "src_user=$fU;src_domain=$fd;dst_user=$rU;dst_domain=$rd") modparam("acc","db_extra", "src_user=$fU;src_domain=$fd;dst_user=$rU;dst_domain=$rd")
63
ANNEXE5:ScriptsIPtables
################################################ # #Scriptfirewallstart # ################################################# #onrejettetouteslesconnectionsentrantes iptablestfilterPINPUTDROP #onautoriselamachinedesupervisionetaccounting iptablesAINPUTs193.*.*.*jACCEPT #onautoriselamachined'administration iptablesAINPUTs193.*.*.*jACCEPT #onautoriselesIPBXconnectsausitepilote #SITE1 iptablestfilterAINPUTs193.*.*.*pudpsport5060jACCEPT #SITE2 iptablestfilterAINPUTs195.*.*.*pudpsport5060jACCEPT echo"firewallstart"; ################################################ # #Scriptstopfirewall # ################################################# iptablestfilterPINPUTACCEPT echo"firewallstop";
64

Rapport TOIP Final2

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Rapport TOIP Final2

Transféré par

Droits d'auteur :

Formats disponibles

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

MEMOIRE DE PROJET DE FIN DETUDES

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

CallDetailRecord CommonGatewayInterface CentredeRessourcesInformatiquesdeHauteNormandie

InteractiveConnectivityEstablishment InternetEngineeringTaskForce InstitutNationaldeRechercheenInformatiqueetenAutomatique InternetProtocol InternetProtocolPrivateBrancheXchange InternetProtocolSecurity InternetProtocolversion6

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

RemoteAuthenticationDialInUserService RequestForComment Rseautlphoniquecommut RealTimeControlProtocol RealTimetransportProtocol

SkinnyClientControlProtocol SessionDescriptionProtocol SIPExpressRouter SessionInitiationProtocol SessionInitiationProtocolSecure SecureRealtimeTransportProtocol SecureShell SimpleTraversalofUDPTroughNAT

UserAgentClient UserAgentServer UserDatagramProtocol UnionInternationaledesTlcommunicationsnormalisationdes Tlcommunications

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Ajoutdextensions propritaires Oui

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Projet de Fin dEtudes