Vous êtes sur la page 1sur 47

Mmoire de fin de cycle Technologue

Prsent par par

Damien FONDRONNIER

VoIP : Optimisation et scurisation dune plate-forme dInterconnexion

Version du document : Date de la soutenance : Composition du Jury :

2.5 Mercredi 26 Juillet 2006 Prsident Matre de stage : Mr. Ren-Louis Nicolas : Mr. Kerloch Tuteur de formation : Mr Olivier Aushitzky

Signature de Mr. Nicolas

Signature de Mr. Kerloch

Signature de Mr. Aushitzky

Evolution du Document

Date 11/04/06 30/05/06 31/05/06 1/06/06 3/06/06

Vers. 1.0 1.1 1.2 1.3 1.4

Dsignation des modifications apportes Cration du document + remerciements Prsentation de lentreprise

Auteur Damien Fondronnier Damien Fondronnier

MAJ titre, cration de Annexe, dbut de Damien Fondronnier prsentation du document Ajout logo intechinfo Damien Fondronnier Ajout de Abstract , continuation de Damien Fondronnier prsentation du document, nouveau logo Questo Continuation prsentation de lentreprise Damien Fondronnier Dtail du Sommaire, glossaire, plan pour le Damien Fondronnier V, Abstract Dessin de linstallation, dbut de rdaction de Damien Fondronnier mise en oeuvre Amlioration de prsentation du document Restructuration du sommaire Damien Fondronnier Damien Fondronnier

5/06/06 6/06/06 11/06/06 12/06/06 14/06/06 19/06/06

1.5 1.6 1.7 1.8 1.9 2.0

Ajout dune partie dans qualit de service Damien Fondronnier et mise jour du dessin. Passage en Times New Roman pour lcriture du document, insertion dun nouveau schma et de captures dcran des passerelles, rdaction de A, B et une partie de C Rdaction de SipAssure Mise jour du sommaire Test Damien Fondronnier Damien Fondronnier Damien Fondronnier

20/06/06 22/06/06 25/06/06 28/06/06 20/07/06

2.1 2.2 2.3 2.4 2.5

Procdure dinstallation, mise jour des Damien Fondronnier chapitres Finalisation du mmoire Damien Fondronnier

Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs.

2 47

Remerciements
Je profite de la rdaction de ce document pour remercier la socit Questo et lensemble de son personnel avec lequel jai eu le plaisir de travailler pendant toute la dure de ce stage et qui ma permis de bnficier de conditions de travail trs agrables et propices au bon droulement de ma mission. Je tiens remercier tout particulirement mon matre de stage, M. Didier Kerloch pour la confiance quil ma accorde tout au long de cette mission. En tant que suprieur hirarchique mais surtout matre de stage, il a trs largement contribu faire de cette mission, une exprience trs enrichissante professionnellement et humainement. En acceptant de partager son exprience, son temps et son point de vue sur mes problmatiques mais aussi ses relations dans le milieu professionnel de la VoiP, il ma donn la chance dvoluer, professionnellement, intellectuellement et humainement. Je tiens remercier M. Olivier Aushistzky, mon tuteur de formation qui ma suivi pendant toute la dure de ma formation au sein dIntechInfo pour me donner son point de vue sur la meilleur faon dagir face lvolution des projets et de leurs problmatiques. Je tiens galement remercier : Les enseignants IntechInfo pour lenseignement prodigu pendant mes annes dtude, Mais aussi les nombreux contacts franais ou trangers rencontrs tout au long de ce stage et des divers salons (Cebit) et forums de sites Internet tels que la socit PePLink (Mlle Maggie Cheng) et la socit Borderware.

Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs.

3 47

Sommaire
Evolution du Document .............................................................................. 2 Remerciements.......................................................................................... 3 1 Prsentation gnrale ............................................................................. 6 1.1 1.2 1.3 1.4 2 Introduction...................................................................................... 7 Lentreprise Questo ......................................................................... 8 Le projet .......................................................................................... 9 Abstract ......................................................................................... 11

Ralisation du projet ............................................................................. 13 2.1 Les besoins et les moyens ............................................................ 14 2.1.1 2.1.2 La plate-forme tlphonique : le cur du projet.........................14 La scurit ...................................................................................15 a) Les risques et les diffrents moyens de scurit VoIP sur le march .........................................................................................15 b) La solution retenue dans le projet : Borderware SipAssure ..16 La qualit de service (QoS) ........................................................17 a) Le besoin en qualit de service et en bande passante ............17 b) Prsentation de lexistant sur le march. ...............................17 c) La solution retenue dans notre projet : PepLink Balance 20017

2.1.3

2.2 2.3

Planification ................................................................................... 19 Mise en oeuvre .............................................................................. 20 2.3.1 2.3.2 2.3.3 2.3.4 Choix du matriel........................................................................20 Installation du serveur Asterisk ..................................................20 Configuration des passerelles .....................................................21 Configuration du serveur ............................................................25 Scurit : SipAssure de Borderware ...........................................29 QoS : PePLink Load Balance 200 ..............................................34 Tests de linstallation au niveau scurit ....................................35 a) Processus................................................................................35 b) Outils de tests ........................................................................36 Tests de linstallation au niveau continuit de service ...............40
4 47

2.4

Scurit et Qualit de Service (QoS) ............................................ 29 2.4.1 2.4.2 2.4.3

2.4.4

Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs.

2.5 3

Conclusion..................................................................................... 41

Annexes .................................................................................................. 42 3.1 Glossaire ....................................................................................... 43

Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs.

5 47

1 Prsentation gnrale

Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs.

6 47

1.1 Introduction
La facturation sur les rseaux tlphoniques commuts se fait en fonction de le la distance. Do des prix levs pour loprateur qui les rpercute sur lutilisateur lors des appels ltranger. Le dveloppement des rseaux informatiques permet de faire circuler des donnes mais aussi, maintenant de la voix et donc de la tlphonie sur IP (VoiP). Lintrt principal de la technologie VoiP est que la facturation sur les rseaux informatiques, quelque soit la distance, a un cot fixe, ce qui permet de rduire considrablement les budgets tlphoniques longues distances. Questo, socit dans laquelle jai effectu mon stage, offre, dans le cadre de ses activits de service auprs des oprateurs, un service de terminaison dappels qui a pour but dacheminer les appels vers des correspondants travers le rseau Internet. Questo a plac des passerelles dans le monde entier afin de diminuer les cots des appels longues distances En sappuyant sur lexprience de Questo, ce mmoire a pour but de prsenter lapport dune plate-forme centralise dans les terminaisons dappels et les bnfices dune telle technologie. Avec lexplosion de la tlphonie sur IP, la scurit est, pour les fournisseurs de service tlphoniques et tous les utilisateurs, un lment essentiel au bon fonctionnement. Cest pour cela que nous avons tudis plus particulirement cette problmatique de scurit et par lintermdiaire du dpartement distribution de Questo, retenu le produit de scurit : SipFirewall. Par ailleurs, avec lobjectif de limiter les cots de la solution tout en tant conscient de limportance de la taille de la bande passante dans les services VoiP, nous avons tudi lintrt dutiliser des ADSL grand public plutt que des lignes Internet prives (type Olane) et un outil dagrgation de liens aDSL. Cet outil, lui aussi, fut choisi parmi les produits distribus par Questo. Il sagit du PepLink Balancer 300. Lintrt de ce produit est double, non seulement agrger les liens aDSL mais aussi sparer et prioriser les flux. Fournir un tel service ncessite la protection de linfrastructure ainsi quune garantie sur la qualit de service. Dans un premier temps, nous prsenterons lexistant et les problmes de gestion engendrs par cette dernire. Chaque client vient se connecter directement sur les passerelles quil souhaite utiliser en fonction de la destination de lappel. Dans un second temps, nous verrons lintrt de la solution et en quoi elle amliore lexistant. Nous tudierons Asterisk, son dploiement sur un serveur Linux et les passerelles Teles avec lesquelles nous avons travaill. Nous verrons ensuite lintgration doutils de qualit de service et de scurit tels que PePLink Balance 200 et Borderware SipAssure. Nous prsenterons ces outils et tudierons la plus-value quils apportent.

Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs.

7 47

1.2 Lentreprise Questo


Questo, fonde en 2002, est initialement un fournisseur de technologies et de services de ToIP, pour les oprateurs et les entreprises. Questo dveloppe et met en uvre une architecture technique dinterconnexions et de routage VoIP, alliant fonctionnalits avances et hautes performances. En croissance soutenue depuis sa cration et tirant profit de ses comptences pratiques du domaine des rseaux IP haut dbit et de la ToIP, Questo cre fin 2005 une Business Unit Distribution IT . Elle oriente principalement ses recherches vers les solutions innovantes doptimisation des performances IT par limportation et la distribution dquipement forte valeur ajoute. Questo reprsente et distribue en France de nouveaux quipementiers IT dont les gammes proposent des appliances innovantes de QoS et Scurit en environnement VoIP. Lactivit de distribution de Questo sorganise autour de deux axes : La scurit avec des produits comme IPScan de ViaScope, Compumatica et SipAssure La qualit de service avec des produits tels que la gamme PePLink Balance et leur produit principal : la gamme de switchs et outils de supervision WildBand La clientle de Questo est essentiellement compose de grands comptes tels que des banques et oprateurs tlphoniques. Dans le cadre de lactivit distribution, Questo a lanc, courant Mai 2006 un site de ventes en ligne de produits VoiP : http://voip-direct.fr

Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs.

8 47

1.3 Le projet
Le but de ce projet est de mettre en place une plate-forme de redirections dappels SIP, dassurer la scurisation du trafic, de garantir une qualit de service. Redirection dappels : La plate-forme doit recevoir des appels en SIP (SIP est un protocole utilis en voix sur IP permettant de transfrer de la voix, de la vido ou des donnes travers un rseau.) et les rediriger vers les passerelles correspondantes. Le systme choisit pour effectuer le routage des appels SIP est le systme Asterisk. Scurisation : Etant donn que ce serveur reoit du trafic venant dinternet, il est important de mettre en place une politique de scurisation des flux traiter, pour cela, il fut dcid dutiliser un produit dun des partenaires de la socit Questo dans sa branche distribution, la socit canadienne Borderware et son SIP firewall appel SipAssure. Qualit de service : Dans le but de garantir une bonne qualit de service nos utilisateurs, il fut dcid lutilisation dun produit de QoS permettant lquilibre de charge, la prioritisation des flux et lagrgation des liens ADSL. Ce produit sappel PePLink Balance 200 dun autre partenaire de Questo.

Schma Gnral

Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs.

9 47

Infrastructure VoIP utile au projet : Plate-forme Questo

Note : GW = Gateway = Passerelle

Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs.

10 47

1.4 Abstract
The goal of this project is to build a SIP routing plate-form, to secure it and to provide the best of Services Quality. Calls routing: This platform has to receive and manage SIP calls (SIP is one of most important VoIP protocol allowing voice, video and data transfer over Internet network) and route these calls toward different gateways. Asterisk system has been selected as the main core of this routing platform. Security: VoIP traffic will cross over public Internet network; the major issue is to choose a safety policy. To do this, we have decided to use one of partners products of Questo: SIP Firewall SIPAssure from the Canadian firm Borderware. Quality of Service : One of our goals is to have a good quality of service for our future users. Then, we decided to use a QoS product with load balancing, prioritization and aDSL link aggregation functionalities. This product is PePLink Balance 200, from one of Questos partners. General Overview

Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs.

11 47

VoIP Infrastructure : Questo Plateform

Note : GW = Gateway = Passerelle

Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs.

12 47

2 Ralisation du projet

Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs.

13 47

2.1 Les besoins et les moyens


2.1.1 La plate-forme tlphonique : le cur du projet Pour acheminer les communications tlphoniques sur IP, les fournisseurs daccs Internet et tlphoniques, envoient directement leur flux tlphonique sur les passerelles VoIP/RTC. Pour automatiser ces transferts, il fut dcid la mise en place dune plate-forme centralisant les connexions et les flux. Le choix sest orient vers loutil tlphonique Linux : Asterisk. En effet, Asterisk permet de transformer un PC en IPBX (standard tlphonique IP). Cr par Digium, cest un outil en plein dveloppement et en pleine croissance grce son entreprise fondatrice mais aussi toute la communaut Open Source et aux utilisateurs. Asterisk est devenu, en peu de temps, incontournable dans le milieu de la tlphonie. On le retrouve aussi bien chez les oprateurs nouvelles gnrations (Centrex par exemple) que dans les entreprises pour le remplacement dun PABX ou dun autocommutateur RTC. Les raisons dun tel succs : les possibilits offertes, sa flexibilit et lintelligence avec laquelle il a t conu. Le rle quaura Asterisk dans notre projet est la rception dappels provenant de lextrieur (oprateurs tlphoniques) et le routage de ces appels vers les passerelles. Rle du serveur Asterisk

Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs.

14 47

2.1.2 La scurit a) Les risques et les diffrents moyens de scurit VoIP sur le march Les risques La VoiP, dont le dveloppement est exponentiel, est de plus en plus convoite par les hackeurs et autres pirates informatiques. Ces derniers produisent diffrents types dattaques. Outre les divers virus, et attaques spcifiques aux rseaux IP, la VoiP connat ses propres attaques. Et cest contre ces dernires que nous allons protger notre serveur VoiP. La scurit dun rseau VoiP sappuie sur deux types de scurits : La scurit traditionnelle des rseaux informatiques (firewall, antivirus, etc), La scurit spcifique VoiP. Scurit SIP SIP : Session Initiation Protocol, est un protocole de contrle dappels qui permet notamment dtablir des communications de tlphonie sur IP. Tout comme le http, SIP a merg comme protocole dominant pour les sessions dans les communications temps rels bases sur Internet le protocole IP. SIP supporte les applications de communications vocales (voix sur ip, messageries instantanes, video confrence, etc), avec tous les avantages que procuraient le http pour le service Web et SMTP pour les services e-mails. Les diffrentes menaces auxquelles un serveur SIP est confront sont : Attaque par message mal form Attaque par Buffer Overflow Attaque par dni de service (DoS) Injection de paquets RTP non authentiques dans un flux RTP existant Labus et le SPAM SIP Usurpation didentit Dtournement de sessions et redirection Ecoute des appels Bombardement de boite vocal (Voicemail bombing) Le produit de scurisation SIPAssure est conu pour protger les applications bases sur SIP contre ces menaces.

Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs.

15 47

Les diffrents outils de scurit sur le march Lexprience dmontre que pour protger la VoIP, les outils de protection des rseaux informatiques ne suffisent pas. Pour cela il a t dvelopp des outils spcifiques au niveau logiciel et au niveau hardware. Il existe deux technologies, lune est trs rpandue : le SBC et une autre en train de se dvelopper : le concept de Sip Firewall. SBC : Le SBC est un dispositif intelligent de session VoiP qui contrle les appels admis au rseau en bordure de ce dernier et optionnellement (en fonction du matriel) et excute un ensemble de fonctions de contrles dappels pour facilit le chargement des agents dappels dans le rseau. Prsentation dun des produits leader du march des SBC, le NeoXBC de Neotip NeoXBC est un Session Border Controller dimensionn pour les oprateurs, combinant hautes performances et haute disponibilit. Il inclut un un P-CSCF (Proxy Call Session Control Function), un C-BGF (Core Border Gateway Function) et un PDF (service Policy Decision Function), en ligne avec larchitecture IMS dfinie par 3GPP. NeoXBC est galement dot de fonctionnalits qui permettent la transition de SIP IETF vers les architectures IMS de nouvelle gnration. SIP Firewall : Le SipFirewall est un outil rseau filtrant les informations SIP et vrifie leur intgrit et leur authenticit (est ce que la personne qui envoie ce paquet est bien la personne quelle prtend tre ? est ce que le message transmis est bien celui qui est attendu ? ..). b) La solution retenue dans le projet : Borderware SipAssure SIPAssure scurise en temps rel les applications lies la Voix sur IP (VoIP), la messagerie instantane (IM) et la vidoconfrence. SIPAssure, produit de la socit Borderware, est un quipement de scurit fiable et de haute performance qui gre les flux SIP et autres mdia relatifs entre les rseaux scuriss et non scuriss. SIPAssure protge le systme dinformations de lentrepris e contre labus et la rupture de service provenant dattaques malveillantes internes et/ou externes, contre linterfrence cause par la rception massive de-mails vocaux non dsirs et toute autre activit relative. Chaque systme SIPAssure alimente en temps rel une base de donnes mondiale des attaques et incidents. Ce qui permet une mise jour des rgles de scurit au niveau mondial des sites o sont dploys des solutions de scurit BorderWare Cest cette solution que nous avons retenue pour notre projet car il sagit dun outil avec un trs bon rapport qualit/prix par rapport notre besoin.

Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs.

16 47

2.1.3 La qualit de service (QoS) a) Le besoin en qualit de service et en bande passante Acheminer la tlphonie sur les rseaux informatiques ncessite une augmentation de la consommation de bande passante. Avant, la bande passante tait rserve aux transmissions de donnes. La tlphonie a toujours t, pour les entreprises, un lment essentiel. Maintenant, avec la VoiP, maintenir une bande passante de taille suffisante pour supporter la tlphonie et les donnes est un besoin essentiel pour Questo, tout comme pour les clients de Questo tels que les oprateurs de type Centrex (oprateurs privs de VoiP). Dans le cadre de notre projet, grer la QoS est important vu le nombre important de connexions sur le serveur grer et logiquement, identique au nombre de connexions vers les passerelles. b) Prsentation de lexistant sur le march. Dans le domaine de la QoS sur les rseaux informatiques et VoiP, loffre est trs htrogne. Les solutions prsentes sur le march taient jusque-l trs gnralistes et peu nombreuses car spcifiques la VoiP. Mais compte tenu de la croissance du march VoIp, de plus en plus de produits nouveaux sont apparus rcemment. Cest pour cela que nous pouvons lister quelques produits concurrents notre PePLink : D-Link DI-LB604 : 2 Wan/4 Lan, QoS, Load Balancer BeWan SECURE L/LX XINCOM Dual-Wan

c) La solution retenue dans notre projet : PepLink Balance 200 PepLink Balance est un load-balancer (quilibrage de charge), prioritiseur de flux et fait de lagrgation de liens. Il embarque galement un systme de haute disponibilit (VRRP pour Virtual Router Redundancy Protocol) et peut se dployer de manire totalement invisible pour le reste du rseau. Lautre fonctionnalit, trs apprcie et qui constitue sa principale plus value sur lexistant est sa capacit agrger des liens ADSL. Cette fonctionnalit permet une rduction importante des cots sur la bande passante Internet. Exemple : une ligne xDSL Olane par France Tlcom cote en moyenne 400 500/mois. Un aDSL grand publique cote en moyenne 20, dont en souscrivant 3 aDSL, laccs Internet cote 60/mois. Lautre intrt de cette fonctionnalit, et non des moindre, est la continuit de service que procure cette agrgation de liens. En effet, en cas de coupure dun des liens Internet le produit est capable de rediriger les flux vers les autres liens.
Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs. 17 47

Lintrt pour lutilisateur du PePLink est la facilit dadministration et de paramtrage par linterface Web Manga de PePLink. Notre choix sest port sur cette gamme de produits pour tous les avantages techniques cits prcdemment mais aussi pour le rapport qualit/ prix (un Balance 200 cote moins de 1 000).

Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs.

18 47

2.2 Planification
La planification ne fut pas fige par des dates prdtermines. Juste une logique de construction du projet fut exige pour la russite. Nous allons donc parler, ici, non pas en date mais en tapes. 1re tape : Analyse du sujet, explication du besoin 2me tape : Etude technique des divers outils notre disposition 3me tape : Choix des matriels 4me tape : Choix de la machine de test 5me tape : Configuration de la machine de test 6me tape : Intgration de la machine de tests avec les outils de scurit et Qos 7me tape : Test de la machine de test avec loutil de scurit puis loutil de QoS 8me tape : Intgration de ce serveur avec les outils de scurit 9me tape : Test de lensemble 10 me tape : Mise en production de lensemble

Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs.

19 47

2.3 Mise en oeuvre


2.3.1 Choix du matriel

Deux types de serveurs furent utiliss pendant le projet. Pendant toute la phase de conception de la solution, un ancien AMD K4 2 450 Mhz (avec 256mo de SDRAM 133mhz et 20 Go de disque dur) fut utilis dans un rle de bta-test . Lintrt dutiliser un bta-test est, comme son nom lindique, de monter une maquette de la solution et de la tester. C'est--dire de gnrer toutes les situations possibles et de pousser le serveur dans ses limites afin de les analyser.

2.3.2 Installation du serveur Asterisk Linstallation commence par linstallation du systme dexploitation : Linux Dbian rc3.11. Pour cette procdure, nous nous sommes appuy sur les procdures du site asteriskFrance.net : http://www.asterisk-france.net/tiki/tikiindex.php?page=Installer+Asterisk+sur+une+DEDIBOX+OS+DEBIAN Linstallation se fait en plusieurs tapes : Installation standard de Dbian et ses sources Mise jour du /etc/apt/sources.list
deb ftp://ftp.minet.net/debian/ stable main deb-src ftp://ftp.fr.debian.org/debian/ stable main deb http://security.debian.org/ stable/updates main deb http://debian.peen.net asterisk/ deb http://www.backports.org/debian/ sarge-backports main

Compilation du kernel 2.6.8, un des derniers kernel pour dbian Installation dAsterisk partir des sources de digium : http://ftp.digium.com/pub/asterisk/releases/asterisk-1.2.9.tar.gz Configuration des fichiers de configurations sip.conf et extension.conf Test du fonctionnement du service tlphonique.
Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs. 20 47

2.3.3 Configuration des passerelles

Les passerelles sont des TELES qui sappuient sur des systmes dexploitation Microsoft DOS. Pour ladministrer, nous utilisons une console dadministration appele Gate Manager.

TELES Gateway : page de loutil client Gate Manager

Cette interface est la page principale de loutil dadministration des passerelles. Sur cette page, nous pouvons voir la session ouverte (utilisateur damien) ainsi que les passerelles auxquelles lutilisateur a accs.

Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs.

21 47

TELES Gateway : Edition de connexion

La connexion sur la passerelle se fait via cette interface aprs avoir double-cliqu sur son nom sur la page principale. Nous y trouvons son nom, son IP, le modle et la dernire fois quune personne sest connecte dessus.

Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs.

22 47

TELES Gateway : Page principale

Une fois connect la passerelle, nous arrivons sur une page o les informations gnrales concernant la machine (ressources utilises, Os, version, etc...) saffichent. A gauche, un menu contient les informations suivantes : Versions : ce sont les versions des fichiers .exe de la passerelle. Dans notre contexte, il sagit des versions 6.11, Connexions : cest la page principale que nous utilisons pour superviser lactivit des passerelles. Pour des raisons de confidentialit et conserver lanonymat des utilisateurs, jai volontairement censur les numros de tlphone.

Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs.

23 47

TELES Gateway : Page connexion de loutil Gate Manager

Explication des principales colonnes : La partie de gauche nous informe sur le prfixe utilis (20801), le maximum de lignes disponibles dans la passerelle prise en exemple (40 lignes). Au moment o la capture a t effectue, 34 lignes taient disponibles mais 26 rellement en fonctionnement. Sur la partie centrale, les informations concernant les appels en cours sont :

B-C : B-Channel : le canal de communication en ente utilis. Calling Number : le numro de tlphone de lentre avec lentte du client utilisant AZ0164663213 Caller Number : le numro de lappel et le prfixe. Exemple, pour un appel vers un numro Hong Kong qui a lindicatif 852, nous aurons 2080185262346178 Service : laction que la passerelle effectue. Certaines passerelles utilisant le mme soft peuvent envoyer et recevoir des SMS (comme certains tlphones/ Fax).

Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs.

24 47

Status : Alerting : Lorsque le tlphone de lappel sonne, Connecting : Lorsque lappelant est en train de se connecter lappel, Connected : Lorsque lappelant et lappel sont connects,

Charges : Surtaxe applique avec des critres pr-dtermins, Ctrl (35) / Ctrl Address (40) : il sagit du nombre de canaux maximaux et du nombre de canaux rellement utiliss, Connection time : dure de lappel en cours, Link Port/ B-chan. : Ligne de sortie utilise.

Aprs la fentre Connection , nous trouvons la fentre statistic qui nous donne en temps rel des informations sur le nombre dappels passs par chacune des lignes, le temps total, et dautres paramtres tels que le nombre de fois quelles nont pas rpondues. Ce qui permet de faire des statistiques mesures en % afin de connatre la productivit de chacune. Port status : sur cet onglet nous trouvons des informations sur chacune des 40 lignes disponibles. Le rpertoire Directory est un lment important ladministrateur des passerelles car cest partir dici o il est possible de configurer la passerelle. Nous y retrouvons les fichiers de configurations, les logs et autres scripts. Les deux fichiers que nous avons utiliss sont le PABX.cfg et le TIB.cfg 2.3.4 Configuration du serveur Aprs avoir dcrit la mise en place du serveur et linstallation des diffrents paquets comme expliqu prcdemment, nous passons donc la configuration dAsterisk. Astrisk dispose, pour chaque fonctionnalit, dun fichier de configuration. Sous Debian, nous retrouvons les fichiers de configurations dans /etc/asterisk/. Dans le cadre de notre projet, les fichiers de configurations furent : Extensions.conf : est le fichier de configuration contenant le Dial plan, les controles et oprations lies la numrotation de numros par les utilisateurs. Ce fichier structure le Diaplan en petits sous-Dialplan ayant des droits dappels ou dactions les un sur les autres. SIP.conf : Dans SIP.conf, on positionne les clients qui se connecteront en utilisant le protocole SIP. Chaque client sera dfini par un label, nous utilisons par dult lextension. Comme pour chaque fichier de configuration, une section initiale est globale, ensuite viennent toutes les sections variables. Le fichier
Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs. 25 47

sip.conf est similaire iax.conf pour les tlphones ou softphones utilisant le protocole SIP. Asterisk.conf : sert dfinir les emplacements des diffrents fichiers et modules utiliss, dans la majorit des cas l'dition de ce fichier n'est utile uniquement pour personnalisation :
[global] astetcdir => /etc/asterisk astmoddir => /usr/lib/asterisk/modules astvarlibdir => /var/lib/asterisk astagidir => /usr/share/asterisk/agi-bin astspooldir => /var/spool/asterisk astrundir => /var/run/asterisk astlogdir => /var/log/asterisk

Deux configurations furent associes et mises en place : Une pour le routage vers les passerelles, Chaque passerelle, en fonction de critre prdfinis se voit dterminer une route dans le fichier extensons.conf. Pour crer cette route de sortie, nous allons utiliser un trunk , ces routes peuvent soit tre utiliss comme route de sortie soit dans le cadre de la cration dune interconnexion. Ce trunk est capable de faire passer plusieurs connexions en mme temps. Pour la constitution des routes, nous avons dcid de respecter les indicatifs internationaux pour diriger les appels vers les bonnes passerelles.
[globals] TRUNK=SIP/IP_gw1 ; IP_gw -> Passerelle pour les appels Hong Kong TRUNK2=SIP/IP_gw2 ; IP_gw2 -> Passerelle pour les appels en Core TRUNK3=SIP/IP_gw3 ; IP_gw3 -> passerelle pour les USA [trunklan] exten => _852XXXXXXXX,1,Dial(${TRUNK}/${EXTEN:${REUNKMSD}}) ; lintrt de lexemple ci-dessous, sert dmontrer lintelligence dAsterisk dans sa gestion des appels. ignorepath => 2 ; Dans cet exemple, 2 est un numro compos avant lindicatif international mais ne sera pas envoy vers la passerelle. exten => _282XXXXXXXX,1,Dial(${TRUNK2}/${EXTEN:${REUNKMSD}})

Exemple : Une route pour un appel vers HongKong Exten => _852XXXXXXXX,1, Dial(SIP/{EXTEN :1}@adresseIP-passerelle) Une route pour un appel en Core Exten => _82 XXXXXXXXXX ; fixe en Core Exten => _82 XXXXXXXXX, mobile en Core
Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs. 26 47

Exten => _82 XXXXXXXXX fax en Core Les X sont les chiffres taps par lutilisateur quasterisk prendra comme numro dappel SIP.conf Le Sip.conf fut utilis seulement en phase de tests pour simuler le trafic entre deux points dAsterisk. Pour ces phases de test, le serveur et les flux vers les passerelles en sortie et les clients en entres peuvent tre modliss comme une interconnexion.

[general] context=default bindport=5060 is 5060) bindaddr=0.0.0.0 all) srvlookup=yes calls

; Default context for incoming calls ; UDP Port to bind to (SIP standard port ; IP address to bind to (0.0.0.0 binds to ; Enable DNS SRV lookups on outbound

externalip=157.159.80.54 ;IP public du serveur localnet=10.4.111.0/255.255.0.0 ;Rseau local du serveur [100] username=100 ; Nom de l'utilisateur password=0000 ; Mot de passe type=peer ; Peer-> il ne peut que mettre des appels, User -> il ne peut que recevoir friend-> il est bidirectionnel nat=yes ; yes -> On autorise le passage du NAT host=dynamic ; Dynamic-> autorise l'utilisateur se connecter quelque soit son adresse IP context=local ; Context, dans quel partie du dialplan se trouve d'utilisateur [101] username=101 password=0000 type=peer nat=yes host=dynamic context=local [102] username=102 password=0000 type=peer nat=yes host=dynamic ;context=default context=local [103]
Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs. 27 47

username=103 password=0000 type=peer nat=yes host=dynamic context=local

Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs.

28 47

2.4 Scurit et Qualit de Service (QoS)


2.4.1 Scurit : SipAssure de Borderware

Comme expliqu prcdemment, la VoiP est devenue une nouvelle source dattaques potentielles et, pour les oprateurs comme pour les fournisseurs, avoir une plate-forme scurise est devenue un lment indispensable au bon fonctionnement du service. Cest pour cela que nous avons choisi loutil de scurit SipAssure. SipFirewall protge contre les attaques suivantes : SIP SPAM/SPLIT Attaques sans identit et usurpation didentit Ecoute clandestines des sessions : Ecoute tlphonique des utilisateurs Bombardement des boites vocales Utilisations frauduleuses Session Hijacking : vol de sessions Attaques des listes des utilisateurs Attaques sur lutilisateur final Attaques par dni de service : Attaque typiquement rseau qui a pour but, par lintermdiaire dun envoi de paquets rpts de manire intensive, de crer lengorgement du rseau et de provoquer la chute des quipements connects sur ce rseau. Le SipFirewall sappuie sur un Unix propritaire Borderware qui sadministre de deux faons : La premire, basique, en connectant directement un clavier et un cran sur lappareil, permet de paramtrer les interfaces rseaux Wan1 et Wan2 qui serviront dentre/sortie pour le routeur. La seconde, via une interface Web, permet de superviser, de configurer les rgles du firewall, deffectuer du reporting. Les bases de connaissances sur lesquelles sappuient le firewall sont des bases centralises Toronto, le sige de Borderware. SipAssure se base sur des rgles de filtrage et une gestion des postes autoriss et non autoriss. Ceux non autoriss sont alors envoys en liste noire (black list).

Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs.

29 47

3500 tentatives par minute 11h

Statistiques: le jour: 3 hackers identifis

La semaine: 13 hackers identifier Et 39741 dtects paquets malforms

Etat du systeme et de la session en cours

Lgende: Enregistrement tous les messages invite


Fnetre SIPAssure : Page principale, Supervision de lactivit avec explications

2eme attaque dont 1500 SIP / Invite

Ceci est lcran dactivit pendant nos phases de test sur environ une journe, de 10h 15h. On notera une pointe dactivit vers 11h montant jusqu 3 000 tentatives/ minutes. Et une augmentation des sessions jusqu 1 500 sessions.

Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs.

30 47

Fentre SIPAssure : Informations sur lIPBX

Sur cette fentre, nous pouvons voir quil sagit de la page de configuration de lIPBX dans le Firewall. Avec le port SIP et les ports pour le protocole RTP.

Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs.

31 47

Fentre SIPAssure : Rgles anti-Spam

Pour dtecter les hackers des utilisateurs ritrant leurs tentatives plusieurs reprises, nous avons cr des rgles de protection. Par exemple, pour la rgle nomme attaque, il est crit que si 10 appels sont reus en 10 secondes quelque soit lutilisateur, alors il sera bloqu en le mettant dans la black-list pendant 60 secondes. Sur le bouton Add a Rule, nous pouvons crer des rgles plus ou moins dures.

Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs.

32 47

Rgles de filtrage du SIPAssure

SipAssure gre de plusieurs manires les comptes des utilisateurs de lIPBX, il est possible denregistrer les comptes dans une base de donnes ou directement en enregistrant les utilisateurs.

Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs.

33 47

2.4.2 QoS : PePLink Load Balance 200 Pour assurer de la qualit de service, nous avons choisi le PePLink Balance 200. Le PePLink Balance 200, produit par la socit Hong Kongaise PePLinK, est un outil hardware multiples fonctions : Equilibrage de charge (par une logique de poids) Prioritisation des flux (VoIP ERP) Agrgation de liens Internet aDSL Peut se dployer en mode transparent (drop in mode) Supporte la VoIP, SIP et Vonage Offre de la QoS pour VoIP Permet la haute disponibilit des services Intgre un firewall dit statefull Par ailleurs, le PePLink est un outil simple dutilisation car son administration se fait via une page Web et ne ncessite pas un redmarrage aprs mise jour ou modification de la configuration

Page daccueil de linterface PePLink MANGA

Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs.

34 47

Paramtrage des poids sur quun des liens Wan dans le cadre de la prioritisation

2.4.3 Tests de linstallation au niveau scurit a) Processus Le processus de test consiste dterminer un plan daction pour tester lefficacit de la plateforme et des outils utiliser. Aprs une recherche doutils, nous avons dcids de baser notre test sur deux types de menaces : le dni de service et lusurpation didentit. Quelle que soit lattaque teste, la mthodologie de test est la mme. Modlisation de linfrastructure sous forme de maquette Sans quipement de scurit : nous mettons en place la plateforme sans outils de protections. Attaques de la maquette avec les outils choisis Constatation des effets des attaques sur linfrastructure Mise en place des outils de scurit Mmes attaques que prcdemment Constatation de lutilit de loutil de scurit Mise en place de loutil de scurit dans linfrastructure
Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs. 35 47

De nouveau, simulation des attaques avec serveur et passerelles en production. b) Outils de tests Pour la simulation de lusurpation didentit, nous avons utilis un outil appel SiVus. Il sagit dun scanner de vulnrabilit VoIP. SiVus est lun des scanners de vulnrabilit les plus connus et les plus fiables supportant le protocole SIP. Ce scanner propose un grand nombre de fonctionnalits qui permettent de mesurer la scurit dun composant SIP. Ce scanner disponible sur le site http://www.voipsecurity.org/, peut tre utilis par des dveloppeurs, des administrateurs rseaux, des designers de rseaux, des managers et des consultants Pour la simulation des attaques de dni de service, nous allons utilis un outil appel SIPp : SIPp est un outil de test opensource et gnrateur de traffic pour le protocole SIP. Il permet de simuler des scnarios dappels et de connecter ou dconnecter plusieurs appels avec les mthodes INVITE et BYE. c) Tests Afin de sassurer de lefficacit du SIPAssure, nous avons mis en place une maquette de test afin de simuler les attaques les plus rpandues en VoIP tels que les dnis de service (faire tomber le serveur afin que ce dernier ne rponde plus aux utilisateurs) et lusurpation didentit.

Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs.

36 47

Maquette de test dattaques avec le SIPAssure

Le dni de service La simulation a t la suivante : test sans appareil de scurit. Avec loutil SIPP, nous avons bombard le serveur de requtes SIPP. La commande est la suivante : sipp sn uac adresseIP-serveur

Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs.

37 47

SIPP : Capture dcran de SIPP via PUTTY aprs avoir excuter le script de bombardement .

A partir de cet cran, il est possible daugmenter le nombre dappels la seconde. Le but est de saturer le serveur en le bombardant dappels. Lorsque la limite de saturation est atteinte, le serveur IPBX renvoie des informations de saturation de type nombre de canaux dpasss . Lors du test, leffet constat sur lIPBX fut limpossibilit aux utilisateurs de se connecter au serveur pour tablir les appels ou bien les utilisateurs dj connects nont plus la possibilit dmettre des appels. Avec le SIPAssure, les attaques simules par SIPp sont bloques. Le hacker lorigine des attaques est alors black list , c'est--dire que sil tente de nouveau une connexion, en attaque ou non, il sera automatiquement bloqu par le SIPAssure. Par ailleurs, SIPAssure, par une interconnexion aux serveurs Borderware, peut faire remonter linformation, ce qui permettra aux autres SIPAssure du monde entier de se prmunir contre les attaques de cet utilisateur.

Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs.

38 47

Lusurpation didentit Lusurpation didentit consiste, pour le hacker, mettre un appel en se faisant passer pour un utilisateur autoris sur le rseau. Pour simuler une attaque dusurpation didentit, avec laide dun outil de test de vulnrabilit SIP appel SiVuS, nous allons mettre un appel en nous faisons passer pour un utilisateur authentifier. Sur le tlphone de la personne appele saffiche le numro de son interlocuteur. Comme le test choisi sappuie juste sur le protocole SIP, nous navons pas fait passer de message mais bien entendu, lobjectif final dun pareil test est de faire passer de la donne, de la voix travers une session initialise en SIP.

SiVuS : cran pour personnaliser le paquet SIP envoyer

Pour bloquer ces attaques, nous avons utilis une des caractristiques du SIPAssure.
Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs. 39 47

Le SIPAssure voit le paquet arriv mais avant de le transmettre lIPBX, il est capable danalyser son contenu. Dans le cas prsent, il a t capable de voir quun paquet associ un numro de tlphone tait faux. 2.4.4 Tests de linstallation au niveau continuit de service

Les tests pour vrifier la qualit de service se firent par lobservation de la page de monitoring du PePLink Balance 200. Le but tait de vrifier que les paquets SIP/RTP passaient bien par le lien choisi et que la qualit de la voix tait prserve malgr laugmentation du trafic, typiquement lorsquun utilisateur du rseau tlcharge des fichiers sur Internet.

Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs.

40 47

2.5 Conclusion
Dans le cadre de ce projet, des lments totalement htrognes furent rassembls pour former une plate-forme cohrente rpondant au mieux aux diverses contraintes que pose le dploiement dun site central dans une infrastructure informatique. Dun cot lutilisation du systme Asterisk et de lautre la recherche, lanalyse puis lutilisation des deux quipements (PeLink Balance et BorderWare SIPAssure) permettent de comprendre lenjeu et limportance de la qualit de service et de la scurisation. Pour le serveur IPBX Asterisk, la difficult rsida en une approche prcise la fois conceptuelle et technique de la problmatique. La position du serveur comme point central de linstallation fit natre des contraintes de qualit de service et de scurit. Cest pour cela quil fut dcid de lui associer deux lments rpondant ces contraintes. Le choix des deux solutions, une fois dtermin, fut suivi dune priode de validation unitaire, par le biais de tests sur les quipements. Ce projet ma donc permis dacqurir la connaissance de nouvelles technologies, de mettre en uvre la mthodologie ncessaire la validation et aux tests dune architecture complexe. Larchitecture complte fut teste puis affine, mais au fur et mesure de lavancement du projet, de nouvelles contraintes sont apparues. En effet, malgr tous les avantages apports par Asterisk, ce dernier ntant pas naturellement un routeur dappels, reste moins performant que des outils spcialiss tels que SER (Sip Express Router). Indirectement, cette tude a eu des consquences inattendues. Elle permit de valider lefficacit et lintrt des solutions de QoS et de scurit, mises en uvre durant ce projet. confirmant ainsi le bien-fond du choix de ces technologies pour le dpartement distribution de Questo .

Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs.

41 47

3 Annexes

Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs.

42 47

3.1 Glossaire
Asterisk : Asterisk est un IPBX (serveur tlphonique sur IP), logiciel Opensource et rvolutionnaire qui peut tourner sur un banal PC fonctionnant avec Linux dans un systme de tlphonie dentreprise performant. Astrisk est aussi un ensemble doutils tlphoniques Opensource pour les applications tlphoniques et le suivi de la mont en charge du traitement des appels. Cest aussi une plate-forme dintgration pour une tlphonie informatise. Il peut tre utilis comme : PBX local et longue distance Service de boites vocales avec rpertoires Serveur de confrence Encryptions dappels tlphoniques ou fax Serveur de paquets voix Passerelle VoiP htrogne (H.323, SIP, MGCP, IAX) Systme de rponses interactives personnalises Translation de nombres Borderware : Fonde en 1994, Borderware technologies est spcialise dans les solutions de scurit pour les entreprises et les gouvernement. Borderware a plus de 8000 clients avec des systmes dploys rpondant des contraintes diffrentes IAX : IAX, pour Inter-Asterisk Exchange (IAX), est un protocole VoIP spcifique Asterisk et aux rseaux Asterisk. Il fournit une inter-operation transparente avec les firewalls NAT et PAT. Il supporte, place, reoit et transfre les appels et les enregistrements dappels. Il suffit juste de connecter un tlphone ou un autre serveur Asterisk quelque part sur Internet. Avec lIAX, les tlphones sont totalement portables. Ils pourront senregistrer avec leur propre PBX et installer instantanment des routes dappels appropries. LIAX prend extrmement peu de bande passante. Il prend 4 bytes compars aux 12 bytes pour les protocoles bass sur le RTP tels que le SIP et le H.323. Les messages contrls par IAX sont considrablement de petite taille. IAX supporte linternationalisation. Un PBX ou tlphone recevant une requte peut recevoir des informations sur le PBX fournissant des informations dans sa langue native.
Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs. 43 47

IAX supporte les authentifications pour les appels entrant et sortant. Asterisk fournit une fine gestion des appels et des accs. Des limites peuvent tre places sur seulement des portions spcifiques du dialplan pour la collection ou le cluster de PBX pouvant tre centraliss. Chaque PBX a seulement besoin de connatre ses extensions qui peuvent questionner le PBX central pour les informations demandes.

IPBX : PABX sur IP. Cc PABX /PBX ISP : Internet Service Provider: Anglais pour Fournisseur de service Internet. Linux : Linux est un noyau de systme d'exploitation de type UNIX, qui a pour logo Tux, un manchot. C'est probablement l'exemple le plus connu de dveloppement de logiciel libre. Le noyau Linux a t cr par Linus Torvalds et un grand nombre de dveloppeurs bnvoles. Il est publi sous la licence des logiciels libres GNU GPL. Logiciel libre / Open source : L'expression Open Source caractrise les logiciels dont le code source est visible, modifiable et librement re-distribuable sous certaines conditions, ces conditions peuvent tre plus ou moins strictes. La formulation de ces conditions constitue d'ailleurs le critre principal qui diffrencie le logiciel Open source du logiciel libre. Logs : En informatique, le concept d'historique des vnements ou de logins dsigne l'enregistrement squentiel dans un fichier ou une base de donnes de tous les vnements affectant un processus particulier (application, activit d'un rseau informatique...). Le fichier log, ou plus simplement le log, dsigne alors le fichier contenant ces enregistrements. NAT : Le terme barbare NAT reprsente les initiales de "Network Address Translation", ou "Traduction d'Adresse rticulaire" en franais. Mais il est souvent utilis pour reprsenter diffrents concepts que nous allons diffrencier, notamment NAT statique, NAT dynamique, PAT, IP masquerading... Si l'on s'en tient intrinsquement la dfinition du terme NAT, cela reprsente la modification des adresses IP dans l'en-tte d'un datagramme IP effectue par un routeur.
Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs. 44 47

PABX : Private Automatic Branch eXchange. Central tlphonique. Cc : PBX PBX : PBX est surtout utilis aux USA (PABX en France). Dans le monde de la tlphonie, cest un autocommutateur priv, utilis dans les entreprises, assurant les communications internes et le lien avec le rseau tlphonique commut global. Un autocommutateur est un central tlphonique. Les PBX savent grer les changes de donnes entre ordinateurs sans quil soit ncessaire dajouter quoi qu e ce soit au systme. PePLink : PePLink est une entreprise base a Hong Kong qui est spcialise dans la fabrication et la commercialisation de matriels rseaux. Les solutions PePLink sont intgres chez des fournisseurs de service, petites et moyennes entreprises, coles et municipalits. RTP : Le Real Time Protocol est un protocole qui fournit un moyen uniforme de transmettre sur IP des donnes soumises des contraintes de temps rel (audio, vido,). Le rle principal du RTP consiste mettre en uvre des numros de squence de paquets IP pour reconstituer les informations de voix ou vido mme si le rseau sous-jacent change lordre des paquets. Plus gnralement, RTP permet de : didentifier le type de linformation transporte, dajouter des marqueurs temporels et des numros de squence de linformation transporte, de contrler larrive destination des paquets. De plus, le RTP peut tre vhicul par des paquets multicast afin dacheminer des conversations vers des destinataires multiples. RTCP : Le protocole RTCP est bas sur des transmissions priodiques de paquets de contrle par tous les participants dans la session. Cest un protocole de contrle des flux RTP, permettant de vhiculer des informations basiques sur les participants dune session et sur la qualit de service. Trunk : Le Trunk, dans Asterisk, est le canal de communication cr lors de linterconnexion de deux passerelles ou deux IPBX.
Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs. 45 47

Shell : Un interprteur de commandes, souvent aussi dsign par l'anglicisme shell, est un logiciel faisant partie des composants de base d'un systme d'exploitation, dont le rle est de traiter des lignes de commande tapes au clavier. Ces commandes, une fois traites et interprtes, auront pour effet de raliser telle ou telle tche d'administration, ou bien de lancer l'excution d'un autre logiciel. Session Border Controler (SBC) : Le SBC est un dispositif intelligent de session VoiP qui contrle les appels admis au rseau en bordure de ce dernier et optionnellement (en fonction du matriel) et excute un ensemble de fonctions de contrles dappels pour facilit le chargement des agents dappels dans le rseau. SIP FIREWALL : Le Sip Firewall (pare-feu Sip) est un dispositif de scurit qui filtre les appels en analysant le contenu de ces derniers. Le pare-feu Sip permet de faciliter le passage du NAT par les appels. SIP : SIP pour Session Initiation Protocol est un protocole normalis et standardis par lIETF (dcrit par la RFC 3261) qui a t conu pour tablir, modifier et terminer des sessions multimdia. Il se charge de lauthentification et la localisation des multiples participants. Il se charge galement de la ngociation sur les types de mdia utilisables par les diffrents participants en encapsulant des messages SDP (Session Description Protocol). Sip ne transporte pas les donnes changes durant la session comme la voix ou la vido. SIP tant indpendant de la transmission des donnes, tout type de donnes et de protocoles peut tre utilis pour cet change. Cependant le protocole RTP (Realtime Transport Protocol) assure le plus souvent les sessions audio et vido. Larrive de SIP pousse de plus en plus H323 vers la retraite et simpose petit petit comme le standard des tlcommunications multimdias. On compare souvent les applications utilisant SIP avec Skype. Mais ce dernier, utilisant un format propritaire, ne permet pas linteroprabilit avec dautres rseaux de voix sur IP et ne fournit que des passerelles payantes vers la tlphonie standard (RTC pour Rseau Tlphonique Commut).

Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs.

46 47

VoIP : La VoiP (de langlais Voice over IP, en franais : voix sur rseau IP, parfois appele tlphonie IP ou tlphonie sur Internet), est une technique qui permet de communiquer par voix distante travers Internet ou par tous les rseaux sappuyant sur le protocole TCP/IP. Au contraire de la tlphonie classique (RTC) dpendant de centraux tlphoniques ddis, la voix sur IP permet le transport des conversations tlphoniques sur tout le rseau numrique ou analogique communiquant en TCP/IP (Ethernet, RNIS,PPP,etc)

Mmoire Technologue : VoIP - Optimisation et scurisation Damien Fondronnier juillet 2006 Toutes les marques et produits cits dans ce document sont dposs par leurs propritaires respectifs.

47 47