Vous êtes sur la page 1sur 21

MISE EN PLACE DUN TRUNK SIP ET SA SECURISATION SOMMAIRE

1. PRESENTATION DU SUJET.2 2. LE PROTOCOLE SIP..3 2.1. Fonctionnement du protocole SIP...3 2.2. Avantages et inconvnients .6 3. PRESENTATION DU VPN.6 3.1. Principe et types de VPN 7 3.2. Avantages et inconvnients de VPN.....8 4. Mise en place du Trunk SIP et Scurisation..8 4.1. Configuration d'Asterisk11 4.2. Trunk SIP..12 4.3. Scurisation du Trunk SIP.18

1er juillet 2012

Mise en place dun Trunk SIP et sa scurisation

1. PRESENTATION DU SUJET
Depuis quelques temps, le secteur des tlcommunications traditionnel a connu un certain nombre de bouleversement avec notamment le passage de lanalogique (RTC) au numrique (2G+,3G). Ce passage a aussi permis une association des tlcommunications linformatique dont un des exemples est la VOIP. La VoIP (Voice over Internet Protocol) est une solution de convergence voix et donn applicables au domaine des tlcommunications qui permet de raliser la ToIP (Telephony over Internet Protocol). La ToIP est un ensemble de techniques qui permettent la mise en place des services tlphoniques sur un rseau IP. La mise en place de la ToIP se fait par le biais de certains protocoles comme SIP (Session Internet Protocol) qui sappui sur le protocole de transport RTP/RTCP ( Real Time Protocol/ Real Time Control Protocol). Le protocole SIP permet de crer des liens de signalisation entre deux tlphones mais galement entre deux serveurs de tlphonie IP. La liaison entre deux serveur est appel TRUNK SIP. Cependant, lutilisation du protocole SIP est sujette certains problmes comme ceux de scurit surtout pour les liaisons serveurs. Ainsi pour assure la scurit des communications bass sur ce lien de signalisation, on fait appel certain comme des VPN. Le rseau priv virtuel (Virtual Private Network) est une extension des rseaux locaux et prserve la scurit logique que l'on peut avoir l'intrieur d'un rseau local. On parle de VPN lorsqu'un organisme interconnecte ses sites via une infrastructure partage avec d'autres organismes. Il existe deux types de telles infrastructures partages : les publiques comme l'Internet et les infrastructures ddies que mettent en place les oprateurs pour offrir des services de VPN aux entreprises . Pour essayer de mettre exergue ce problme de scurit li au protocole SIP, nous avions simul une liaison entre serveurs SIP et lavions scuris grce une solution VPN open source.

Gilles BOUKAKA SAMBA Master 1 Rseaux Tlcoms/ISI-Sngal

Page 2

1er juillet 2012

Mise en place dun Trunk SIP et sa scurisation

2. LE PROTOCOLE SIP
Session Initiation Protocol (dont l'abrviation est SIP) est un protocole normalis et standardis par l'IETF pour ouvrir, maintenir, modifier et terminer des sessions multimdia. Il prend en charge de l'authentification et la localisation des multiples participants. Il se charge galement de la ngociation sur les types de mdia utilisables par les diffrents participants en encapsulant des messages SDP (Session Description Protocol). SIP ne transporte pas les donnes changes durant la session comme la voix ou la vido. SIP tant indpendant de la transmission des donnes, tout type de donnes et de protocoles peut tre utilis pour cet change. Cependant le protocole RTP (Real-time Transport Protocol) assure le plus souvent les sessions audio et vido. SIP remplace progressivement H.323.

2.1. FONCTIONNEMENT DU PROTOCOLE SIP


Le fonctionnement du protocole SIP repose gnralement sur trois fonctions: User Agent Registrar Proxy

User agent Un User agent est un outil ou quipement permettant de vhiculer diffrents types de messages comme la voix, des donnes. En tlphonie IP, le user agent peut tre un soft-phone (tlphone logiciel) ou un tlphone IP. En thorie, on peut tablir des sessions directement entre deux user agents, deux tlphones par exemple. Mais cela ncessite de connatre l'adresse IP du destinataire et ce nest pas idal avec lutilisation de SIP derrire un NAT. Pour pallier ce problme SIP utilise un registre : Registrar. Un navigateur peut tre considr comme un user agent pour la lecture des pages HTML. Registrar Le Registrar est un serveur qui gre les requtes REGISTER envoyes par les Users agents pour signaler leur emplacement courant. Ces requtes contiennent donc une adresse IP, associe une URI, qui seront stockes dans une base de donnes. Les URI SIP sont trs similaires dans leur forme des adresses email : sip:utilisateur@domaine.com. Gnralement, des mcanismes d'authentification permettent d'viter que quiconque puisse s'enregistrer avec n'importe quelle URI.
Gilles BOUKAKA SAMBA Master 1 Rseaux Tlcoms/ISI-Sngal Page 3

1er juillet 2012

Mise en place dun Trunk SIP et sa scurisation

Figure1 : Illustration de la fonction Registrar

Proxy SIP Un proxy SIP sert d'intermdiaire entre deux Users Agents qui ne connaissent pas leurs emplacements respectifs (adresse IP). En effet, l'association URI-Adresse IP a t stocke pralablement dans une base de donnes par un Registrar. Le Proxy peut donc interroger cette base de donnes pour diriger les messages vers le destinataire.

1. Envoi d'une requte INVITE au Proxy 2. Le Proxy interroge la base de donnes 3. La base de donnes renvoie l'adresse IP du destinataire 4. Le Proxy relaie le message au destinataire Figure 2 : Illustration de la fonction de proxy SIP
Gilles BOUKAKA SAMBA Master 1 Rseaux Tlcoms/ISI-Sngal Page 4

1er juillet 2012

Mise en place dun Trunk SIP et sa scurisation

Les changes entre le user agent (client) et le serveur (proxy SIP) sur les requtes et les rponses suivantes : Les requtes INVITE : envoy par le client pour demander une nouvelle session ; ACK : confirme l'tablissement de la session ; CANCEL : annule un INVITE en suspens ; BYE : termine une session en cours ; OPTIONS : pour rcuprer les capacits de gestion des usagers, sans ouvrir de session ; REGISTER : enregistrement auprs d'un serveur d'enregistrement. Les rponses 100 : Trying 200 : OK 404 : Not Found 180 : Ringing (spcifique SIP) 486 : Busy (spcifique SIP)

Figure 3 : Illustration de lutilisation des requtes et rponses


Gilles BOUKAKA SAMBA Master 1 Rseaux Tlcoms/ISI-Sngal Page 5

1er juillet 2012

Mise en place dun Trunk SIP et sa scurisation

Le Proxy se contente de relayer uniquement les messages SIP pour tablir, contrler et terminer la session. Une fois la session tablie, les donnes, par exemple un flux RTP pour la VoIP, ne transitent pas par le serveur Proxy. Elles sont changes directement entre les user agents.

2.2. Avantages et Inconvnients du protocole SIP


Comment tous les autres protocoles, lutilisation du protocole SIP prsente des avantages mais aussi des inconvnients parmi lesquels nous pouvons mentionns : Avantages SIP est un protocole de ouvert et standardis SIP peut tre intgration logique dautres standards comme Jabber ou lutilisation du mcanisme STUN pour contourner les problmes de NAT SIP est compatible P2P : dans les rseaux LAN SIP fonctionnement en mode P2P SIP est un protocole flexible, utilisable dans toutes les sessions multimdias SIP est interoprable avec les rseaux tlphoniques grands publics Inconvnients SIP est un protocole non scuris, login et mot de passe circule en clair SIP est incompatible dans les rseaux utilisant la translation dadresses SIP mal implment dans les users agents peut perturber ou gnrer un trafic superflu dans le rseau

3. PRESENTATION DU VPN
VPN (Virtual Private Network) est une technologie qui fournit une communication scurise travers un rseau non scuris. Il est bas sur la technique dite de tunneling qui consiste encapsuler len-tte du paquet et les donnes dun protocole lintrieur du champ de charge dun autre protocole. De c ette faon, le paquet encapsul peut traverser des rseaux sans tre identifi.

Gilles BOUKAKA SAMBA Master 1 Rseaux Tlcoms/ISI-Sngal

Page 6

1er juillet 2012

Mise en place dun Trunk SIP et sa scurisation

Le tunneling est l'ensemble des processus d'encapsulation, de transmission et de dsencapsulation. Le VPN vise apporter certains lments essentiels dans la transmission de donnes : l'authentification (et donc l'identification) des interlocuteurs ; l'intgrit des donnes (le chiffrement vise les rendre inutilisables par quelqu'un d'autre que le destinataire) ; la confidentialit : les donnes ne peuvent pas tre vues dans un format lisible (utilisation dalgorithmes typiques de chiffrement symtrique: DES, 3DES, AES, Blowfish).

3.1. Principe et types de VPN


Le VPN consiste construire un chemin virtuel aprs avoir identifi lmetteur et le destinataire. Par la suite, la source chiffre les donnes et les achemine en empruntant ce chemin virtuel. Afin dassurer un accs ais et peu coteux aux intranets ou aux extranets dentreprise, les rseaux privs virtuels daccs simulent un priv, alors quils utilisent en ralit une infrastructure daccs partag (comme internet). Les donnes transmettre peuvent tre prises en charge par un protocole diffrent d'IP. Dans ce cas, le protocole de tunneling encapsule les donnes en ajoutant un entte. Selon le mode implment, trois utilisations de VPN sont souvent mis en exergue : VPN daccs : utilis pour permettre aux tltravailleurs daccder au rseau de leur entreprise. Lutilisateur se sert dune connexion Internet afin dtablir une liaison scurise.

Lintranet VPN : utilis pour relier deux ou plusieurs intranets dune mme entreprise entre eux. Cette technique est galement utilise pour relier des rseaux dentreprise, sans quil soit question dintranet

Gilles BOUKAKA SAMBA Master 1 Rseaux Tlcoms/ISI-Sngal

Page 7

1er juillet 2012

Mise en place dun Trunk SIP et sa scurisation

Lextranet VPN : utilise pour la communication entre une entreprise et ses partenaires.

3.2. Avantages et Inconvnients de VPN Avantages Matrise totale des changes de donnes utilisation du rseau public Internet mise en uvre moins leve quavec une liaison scurise. Inconvnients Ncessite une infrastructure logicielle souvent importante ncessit de respecter les rglementations en vigueur sur le chiffrement.

4. Mise en place du Trunk SIP et Scurisation


Un Trunk SIP ou Trunk IP , galement appel Compte SIP est un service fourni par un oprateur de tlphonie sur IP (ITSP), permettant aux entreprises qui ont une standard IP (PBX IP) d'utiliser la VoIP afin de faire transiter leurs appels entrants et/ou sortants, partir d'une connexion sur le rseau Internet Haut Dbit via le protocole SIP.
Gilles BOUKAKA SAMBA Master 1 Rseaux Tlcoms/ISI-Sngal Page 8

1er juillet 2012

Mise en place dun Trunk SIP et sa scurisation

Cette solution permet aux entreprises de tlphoner gratuitement entre sites distants de l'entreprise et vers l'extrieur des prix avantageux. Grce au Trunk SIP, l'entreprise peut souscrire la diffrence du rseau PSTN traditionnel, plusieurs oprateurs de VoIP SIP, comme par exemple un pour les appels entrants, et un pour les appels sortants. Il y a trois lments ncessaires une mise en place de Trunk SIP russis :

Un accs internet haut dbit de prfrence ddi la VoIP Un standard IP compatible SIP Un oprateur SIP

Figure 4 : Exemple de Trunk SIP vers un Oprateur SIP

Gilles BOUKAKA SAMBA Master 1 Rseaux Tlcoms/ISI-Sngal

Page 9

1er juillet 2012

Mise en place dun Trunk SIP et sa scurisation

Dans notre cas, nous navons pas doprateur SIP mais nous crons un e liaison entre nos deux PBX IP par cbles.

Trunk

Serveur ip-pbx

Serveur master

Ct A

Ct B

Figure 5 : Exemple de notre Trunk SIP

Matriels, logiciels utiliss et adressage 5 ordinateurs dont deux avec 2 cartes rseaux Un commutateur Ubuntu (comme serveur PBX IP) Windows XP pour les clients Wireshark 3CX Phone Adresse rseau LAN serveur ip-pbx : 172.16.1.0/24 LAN serveur master : 10.10.10.0/24 Liaison entre serveur : 193.168.1.0/24

Gilles BOUKAKA SAMBA Master 1 Rseaux Tlcoms/ISI-Sngal

Page 10

1er juillet 2012

Mise en place dun Trunk SIP et sa scurisation

Sur chaque serveur, install Asterisk en utilisant soit lune des mthodes suivantes : $ apt-get install asterisk ou tlcharger le paquet Asterisk sur le site http://www.asterisk.org, au format tar.gz, dcompressez ce fichier et linstall suivant la mthode : $ ./configure $ make menuselect (optionnel si lon veut ajouter des fonctionnalits, cela ncessite une connexion Internet) $ make $ make install $ make samples $ make progdocs $ make config Il faut aussi installer Openswan sur chaque serveur. $ apt-get install openswan

4.1. Configuration dAsterisk


Asterisk comporte plusieurs fichiers ayant des fonctions bien dfinies. Pour cette exprience, nous avons utiliss trois fichiers : sip.conf : pour crer des comptes SIP extensions.conf : pour dfinir les procdures dappels ou le plan de numrotation ou dialplan voicemail.conf : pour la gestion de la messagerie vocale.

Pour crer un compte SIP, on dite le fichier /etc/asterisk/sip.conf en ajoutant les paramtres suivants : [400] type=friend
Gilles BOUKAKA SAMBA Master 1 Rseaux Tlcoms/ISI-Sngal Page 11

400=nom du compte

1er juillet 2012

Mise en place dun Trunk SIP et sa scurisation

secret=mot de passe context=nom du contexte (ce nom doit tre identique celui dfinie dans le dialplan) host=dynamic disallow=all allow=ulaw allow=ulaw allow=gsm On cre le dialplan de chaque utilisateur dans /etc/asterisk/extensions.conf en suivant cette forme : [nom du context] exten => numro de tlphone, priorit, application Pour activer la bote vocale, on dite le fichier /etc/asterisk/voicemail.conf en suivant la forme [default] numro de la bote vocale => mot de passe, numro de tlphone Aprs avoir cr vos utilisateurs vous pouvez faire les tests en configurations les softphones installs sur les machines clients.

4.2. Trunk SIP


Le serveur cot A est appel ip-pbx et son dialplan va de 2000 2999. Le serveur cot B est appel master (paterson) et son dialplan va de 5000 5999. Principe : Sur chaque serveur cre un compte pour identifier le serveur voisin Sur chaque serveur initial, ajout au dialplan une extension indiquant la plage dappel du voisin.

Gilles BOUKAKA SAMBA Master 1 Rseaux Tlcoms/ISI-Sngal

Page 12

1er juillet 2012

Mise en place dun Trunk SIP et sa scurisation

a- Compte SIP Sur le serveur ip-pbx

trunk_A_vers_B est le compte avec lequel serveur master va se connecter sur serveur ip-pbx. Sur serveur master

trunk_B_vers_A est le compte avec lequel serveur ip-pbx va se connecter sur serveur master (paterson).

Gilles BOUKAKA SAMBA Master 1 Rseaux Tlcoms/ISI-Sngal

Page 13

1er juillet 2012

Mise en place dun Trunk SIP et sa scurisation

Pour se connecter sur lautre serveur, il faut renseigner cette ligne : Sur serveur ip-pbx

Sur serveur master (paterson)

b- Dialplan
Sur le serveur ip-pbx

Trafic est le contexte quutilisent les clients LAN du serveur master. Sur le serveur master (paterson)

Service est le contexte quutilisent les clients du LAN serveur ip -pbx.

Gilles BOUKAKA SAMBA Master 1 Rseaux Tlcoms/ISI-Sngal

Page 14

1er juillet 2012

Mise en place dun Trunk SIP et sa scurisation

Une fois configur, nous dmarrons Asterisk sur chaque serveur avec les commandes et vrifions que les serveurs sont connects lun lautre : $ asterisk $ asterisk r

Sur le serveur ip-pbx

Gilles BOUKAKA SAMBA Master 1 Rseaux Tlcoms/ISI-Sngal

Page 15

1er juillet 2012

Mise en place dun Trunk SIP et sa scurisation

Sur le serveur master

Si les serveurs sont connects, on alors configurer nos soft-phones puis passer les appels entre les deux LAN.

c- Ecoute de conversation
Pour linstant notre canal nest pas scuris.

Gilles BOUKAKA SAMBA Master 1 Rseaux Tlcoms/ISI-Sngal

Page 16

1er juillet 2012

Mise en place dun Trunk SIP et sa scurisation

Capture de paquets SIP faite sur une machine (espion) entre les serveurs

Capture de la voie en temps rel

Gilles BOUKAKA SAMBA Master 1 Rseaux Tlcoms/ISI-Sngal

Page 17

1er juillet 2012

Mise en place dun Trunk SIP et sa scurisation

4.3. Scurisation du Trunk SIP Pour la scurisation de notre Trunk SIP, nous utilisons Openswan pour une configuration de type rseau rseau. Une fois install, nous modifions sur chaque serveur le fichier /etc/sysctl.conf pour adapter ipsec IPV4.

Puis utiliser la commande : $ sysctl p /etc/sysctl.conf Sur chaque serveur, nous dmarrons ipsec :

Gilles BOUKAKA SAMBA Master 1 Rseaux Tlcoms/ISI-Sngal

Page 18

1er juillet 2012

Mise en place dun Trunk SIP et sa scurisation

Une fois dmarre, on gnre les cls avec la commande : $ ipsec newhostkey -output /etc/ipsec.secrets $ ipsec showhostkey -left (pour le ct gauche ou right pour la droite) Pour rcuprer la cl, on utilise la commande On dite ensuite le fichier de configuration de /etc/ipsec.conf pour dfinir les LAN inclus dans le VPN, le chemin entre les deux passerelles (serveurs) et en copiant les cls de chaque serveur. Les deux serveurs doivent avoir le mme fichier de configuration /etc/ipsec.conf renfermant les cls des serveurs. Sur le serveur master (mme chose que sur ip-pbx)

Aprs cela, on redmarre le service ipsec puis on tablit la connexion entre les deux passerelles.

Gilles BOUKAKA SAMBA Master 1 Rseaux Tlcoms/ISI-Sngal

Page 19

1er juillet 2012

Mise en place dun Trunk SIP et sa scurisation

Sur le serveur master

Sur le serveur ip-pbx

La dernire ligne indique que lassociation de scurit (SA) a t tablie par IPsec et que le VPN est activ en mode tunnel. Maintenant que la liaison entre les deux serveurs est scurit, vrifions si le trafic VoIP lest aussi.

Gilles BOUKAKA SAMBA Master 1 Rseaux Tlcoms/ISI-Sngal

Page 20

1er juillet 2012

Mise en place dun Trunk SIP et sa scurisation

Ecoute de la communication aprs lactivation du VPN

Nous navons pas de capture sur Wireshark alors quil y a un trafic SIP. Le trafic SIP est protg par le VPN que nous avons mis en place. Cette exprience nous avons permis de voir que le protocole SIP est un protocole standard de la tlphonie sur IP mais vulnrable du point de vue de la scurit des communications grs. Elle a t ralise grce des outils libres mais la scurisation des liaisons SIP peut tre plus renforce avec des solutions VPN payantes.

Gilles BOUKAKA SAMBA Master 1 Rseaux Tlcoms/ISI-Sngal

Page 21