Vous êtes sur la page 1sur 64

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

MEMOIRE DE PROJET DE FIN DETUDES


PourlobtentiondudiplmedIngnieurdEtat En GnieRseauxetSystmes

EtudeetmiseenuvreduservicepiloteToIPde RENATER
Ralis:Groupementd'IntrtPublicRseauNationaldeTlcommunicationspourla Technologie,l'EnseignementetlaRecherche

Ralispar
MrMohamedElMahdiBOUMEZZOUGH

Soutenule:4fvrier2009devantleJury:
Mme.R.ALASSALI Mr.S.MUYAL Mr.B.TUY Mr.N.IDBOUFKER Mr.L.GOUJDAMI ProfesseurlENSAdeMarrakech(Prsidente) IngnieurquipeSIPA(servicesIPAvancsetprospective)(Encadrant) ResponsabledelquipeSIPA(Encadrant) ProfesseurlENSAdeMarrakech(Encadrant) ProfesseurlENSAdeMarrakech(Examinateur)

Anne2008/2009
ENSA-Marrakech 2008/2009

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Remerciements
Au terme de ce travail, je tiens exprimer ma profonde gratitude et mes sincres remerciementsmestuteursdestageauGIPRENATERM.SimonMUYALetM.BernardTUY pourtoutletempsquilsmontconsacr,leurdirectivesprcieuses,etpourlaqualitdeleur suividuranttoutelapriodedemonstage. JetiensaussiremerciervivementledirecteurduGIPRENATER,M.DanyVandromme quiaacceptdemaccueillirenstageauseindesonorganisme. JevoudrairemerciergalementtoutlepersonnelduGIPRENATERpoursagentillesseet sonsoutiennotammentMmeEmilieCamisard. MesprofondsremerciementsvontmonencadrantlENSAM.NoureddineIDBOUFKER quiaacceptdencadrermestravauxdurantces4moisdestage. Mesplusvifsremerciementssadressentaussitoutlecadreprofessoraletadministratif delENSAdeMarrakech. Mes remerciements vont enfin toute personne qui a contribu de prs ou de loin llaborationdecetravail.

ENSA-Marrakech 2008/2009

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER


) ( IP . . . . .SIP . . : - 4 .

: SIP


9002/8002 ENSA-Marrakech

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Rsum
LatlphoniesurIP(ToIP)estunetechnologiequis'imposeprogressivementdanstous lessecteurs,elleconsistefairetransiterlescommunicationstlphoniquesparlerseau IP. Aujourdhui, cette technologie est de plus en plus dploye au sein des universits et laboratoires de recherche connects au Rseau National de tlcommunications pour la Technologie lEnseignement et la Recherche (RENATER) qui est le rseau acadmique franais. Afin dinterconnecter les systmes de tlphonie mis en place par les tablissements connects, RENATER, une maquette exprimentale d'interconnexion des sites a t dploye.Cettemaquettereposesurunserveurderoutagedappelintersitequiutilisele protocoleSIP(SessionInitiationProtocol).Cestdanscecontextequejairalismonstage defindtudes. Aprs ltude du fonctionnement de cette maquette et un inventaire de ltat de lart dansledomainedelaToIP,ladeuximephaseconsistelamiseenplacedunservicepilote deroutagedappelspourlacommunautRENATER. Lesobjectifsdemonprojetdefintudetaient: Etude des volutions possibles de la maquette pour la mise en place du service pilote. Etudeetmiseenplacedunesolutiondesupervisionduservicepilote. Etudeetmiseenplacedunesolutiondecomptabilisationdappels. Scurisationduservicepilote. Ce mmoire est donc laboutissement de 4 mois de travail au sein de lquipe SIPA (ServicesIPAvancsetprospective)duGIPRENATER.

Motscls:ToIP,SIP,supervision,comptabilisationdappels,scurit

ENSA-Marrakech 2008/2009

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Abstract
The telephony over IP (ToIP) is becoming a new trend in technology widely used nowadays in almost all business sectors. Its concepts rely on transiting the telephone communications through the IP network. Today, this technology is implemented inside a number of universities and research laboratories connected to the National telecommunications Network for Technology, Education and Research (RENATER) which is theFrenchacademicnetwork. Inordertointerconnectthetelephonesystemsalreadyinstalledintheseacademicsites, anexperimentaltestbedhasbeensuccessfullyimplemented.Thistestbedisbasedonacall routingserverusingSIPprotocol. Aftercheckingthistestbedfunctionsandpreparingastateoftheartonitstechnologies, asecondstepconsistedtoimplementaphonecallroutingpilotserviceforthe(RENATER) community.Basedonthiscontext,Iachievedmyinternshipgraduation. Themainobjectivesofmyinternshipwere: tostudypossibleevolutionsofthecurrenttestbedtodeploythepilotservice tostudyandimplementasolutionformonitoringthecurrentpilotservice tostudyandimplementacallingaccountingsystem Securingthepilotservice This report is the result of 4 months of the work I achieved inside the SIPA team (IP advancedservicesandprospective)ofGIPRENATER. Keywords:ToIP,SIP,supervision,accounting,security.

ENSA-Marrakech 2008/2009

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Tabledesmatires
Remerciements .......................................................................................................................... 2 3 ........................................................................................................................................... Rsum....................................................................................................................................... 4 Abstract ...................................................................................................................................... 5 Tabledesmatires ..................................................................................................................... 6 ListedesFigures ......................................................................................................................... 8 ListedesTableaux ...................................................................................................................... 9 GlossairedesAcronymes ......................................................................................................... 10 CHAPITREI:Contextedetravail .............................................................................................. 14 Introduction........................................................................................................................ 14 1. GIPRENATER ................................................................................................................ 14 2. RseauRENATER .......................................................................................................... 15 3. EquipeSIPA................................................................................................................... 17 4. Prsentationdustage .................................................................................................. 17 4.1 CadreetObjectifsdustage .......................................................................................... 17 4.2 Planificationduprojetdestage ................................................................................... 18 Conclusion .......................................................................................................................... 18 CHAPITREII:EtatdelartdesprotocolesassocislaToIP ................................................... 20 Introduction........................................................................................................................ 20 1. ProtocoleslislaToIP................................................................................................ 20 2.1 Signalisation ................................................................................................................. 21 2.1.1 SIP(SessionInitiationProtocol) ........................................................................... 22 2.2 Transport ...................................................................................................................... 26 2. StandardENUM............................................................................................................ 27 3. ProblmatiqueToIPaveclesNATetlesparefeux ...................................................... 28 3.1 ProblmedeNAT ......................................................................................................... 29 3.2 Problmedeparefeux................................................................................................. 29 3.3 SolutionsdetraversesdesNATetdesparefeux ...................................................... 31 3.3.1 Passerelledelacoucheapplication(ALG) ........................................................... 32 3.3.2 STUN ..................................................................................................................... 32 3.3.3 TURN..................................................................................................................... 33 3.3.4 ICE......................................................................................................................... 33 3.3.5 Rsumdessolutions........................................................................................... 34 4. ToIPetlascuritdescommunicationsvoix ............................................................... 34 4.1 VulnrabilitsdelaToIP............................................................................................... 35 4.2 ExemplesdattaquessurlinfrastructureToIP............................................................. 35 4.3 SolutionsdescuritdelaToIP ................................................................................... 36 5. LaToIPetIPv6 .............................................................................................................. 36 Conclusion .......................................................................................................................... 37

ENSA-Marrakech 2008/2009

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

CHAPITREIII:DesignetingnierieToIP................................................................................... 39 Introduction........................................................................................................................ 39 A. Prsentationdelexistant ............................................................................................ 39 1. DescriptiondelamaquetteToIPdeRENATER............................................................. 39 1.1 Architecturedelamaquette ........................................................................................ 39 1.2 Principedefonctionnement ........................................................................................ 40 2. Prsentationd'OpenSER .............................................................................................. 42 B. Travaileffectu............................................................................................................. 43 1. volutionsdelaplateformederoutaged'appelsOpenSER ....................................... 43 1.1 Objectifs ....................................................................................................................... 43 1.2 Etude ............................................................................................................................ 43 1.3 Evolutions ..................................................................................................................... 44 2. Miseenplaced'unesolutiondesupervision............................................................... 44 2.1 Objectifs ....................................................................................................................... 44 2.2 Etude ............................................................................................................................ 44 2.3 SolutionNagios............................................................................................................. 45 3. MiseenplacedunesolutiondeComptabilisationdappels ....................................... 48 3.1 Objectifs ....................................................................................................................... 48 3.2 Etude ............................................................................................................................ 48 3.3 Miseenplace ............................................................................................................... 48 3.4 Dveloppementd'uneinterfaceweb .......................................................................... 51 3. ScurisationdupiloteToIP........................................................................................... 53 4. Gestiondel'accessibilitdessites ............................................................................... 54 5. Testsdevalidation........................................................................................................ 55 Conclusion .......................................................................................................................... 56 Conclusiongnrale ................................................................................................................. 57 Rfrencesbibliographiques.................................................................................................... 58 ANNEXES................................................................................................................................... 59
ENSA-Marrakech 2008/2009

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

ListedesFigures
Figure1:organigrammeRENATER .......................................................................................... 15 Figure2:architecturedurseauRENATER ............................................................................. 16 Figure3:servicesRENATER ..................................................................................................... 16 Figure4:domainesdecomptencedelquipeSIPA............................................................. 17 Figure5:planningdedroulementdustage .......................................................................... 18 Figure6:pileSIP ..................................................................................................................... 22 Figure7:architectureSIP ........................................................................................................ 23 Figure8:exempledunecommunicationSIP.......................................................................... 26 Figure9:principedefonctionnementdENUM ...................................................................... 27 Figure10:exempledutilisationdENUM ............................................................................... 28 Figure11:problmedeNATavecSIP ..................................................................................... 29 Figure12:problmedufirewallaveclaToIP.......................................................................... 30 Figure13:messageINVITE ...................................................................................................... 31 Figure14:message200OK ..................................................................................................... 31 Figure15:techniquedelapasserelledapplication................................................................ 32 Figure16:principedefonctionnementduprotocoleSTUN................................................... 33 Figure17:principedefonctionnementduprotocoleTURN................................................... 33 Figure18:maquetteexprimentaleToIPdeRENATER .......................................................... 40 Figure19:principedefonctionnementdelamaquette......................................................... 41 Figure20:principedefonctionnementduserveurOpenSER................................................. 41 Figure21:composantesdOpenSER ....................................................................................... 42 Figure22:architecturedebasedeNagios.............................................................................. 45 Figure23:interfacedeltatdesservicessuperviss............................................................. 46 Figure24:interfacedutempsderponseduservicePing..................................................... 47 Figure25:interfacedeltatduserviceSIPdeserveurKamailiodansle temps.................... 47 Figure26:architecturedelasolutionmiseenplacepourlasupervision .............................. 47 Figure27:principedefonctionnementdeFreeRADIUSavecKamailio.................................. 49 Figure28:principedefonctionnementdemoduleACCavecMySQL .................................... 50 Figure29:organigrammedelasolutiondecomptabilisationdappels.................................. 50 Figure30:architecturedelasolutiondecomptabilisationdesappels .................................. 51 Figure31:lapagedaccueildelapplication ........................................................................... 52 Figure32:ecrandesdtailsdesappels................................................................................... 52 Figure33:ecrandenombredesappelsparjour .................................................................... 52 Figure34:ecranderecherchersurlesappels ........................................................................ 53 Figure35:organigrammedelasolutiondescurisationduservicepilote ........................... 54

ENSA-Marrakech 2008/2009

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

ListedesTableaux
Tableau1:comparatifdunormeSIPetH323 ......................................................................... 21 Tableau2:rsumdessolutionsdetraverseslesNATetlesparefeux............................... 34 Tableau3:rsumdesrsultatsdecomparaisonentreKamailioetOpenSIPS ..................... 43 Tableau4:lesrsultatsdestestsdelagestiondesmessagesderreur ................................. 55 Tableau5:lesrsultatsdestestsdevalidation ...................................................................... 55

ENSA-Marrakech 2008/2009

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

GlossairedesAcronymes

A
ALG

ApplicationLayerGateway

C
CDR CGI CRIHAN

CallDetailRecord CommonGatewayInterface CentredeRessourcesInformatiquesdeHauteNormandie

D
DNS DoS

DomainNameSystem DenialofService

E
ENUM

tElephoneNUmberMapping

G
GNU GPL

GNUisnotUnix GeneralPublicLicence

H
HTTP

HyperTextTransferProtocol

I
ICE IETF INRIA IP IPBX IPsec IPv6

InteractiveConnectivityEstablishment InternetEngineeringTaskForce InstitutNationaldeRechercheenInformatiqueetenAutomatique InternetProtocol InternetProtocolPrivateBrancheXchange InternetProtocolSecurity InternetProtocolversion6

L
L2VPN

Layer2VirtualPrivateNetworks

M
MGCP

MediaGatewayControlProtocol 10

ENSA-Marrakech 2008/2009

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

N
NAT

NetworkAddressTranslation

P
PHP PNP

PHP:HypertextPreprocessor PNPisNOTPerfparse

R
RADIUS RFC RTC RTCP RTP

RemoteAuthenticationDialInUserService RequestForComment Rseautlphoniquecommut RealTimeControlProtocol RealTimetransportProtocol

S
SCCP SDP SER SIP SIPS SRTP SSH STUN

SkinnyClientControlProtocol SessionDescriptionProtocol SIPExpressRouter SessionInitiationProtocol SessionInitiationProtocolSecure SecureRealtimeTransportProtocol SecureShell SimpleTraversalofUDPTroughNAT

T
ToIP TURN

TelephonyoverInternetProtocol TraversalUsingRelayNAT

U
UAC UAS UDP UITT

UserAgentClient UserAgentServer UserDatagramProtocol UnionInternationaledesTlcommunicationsnormalisationdes Tlcommunications

V
VLAN VoIP

VirtualLocalAreaNetwork VoiceoverInternetProtocol

ENSA-Marrakech 2008/2009

11

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Introductiongnrale
LatlphoniesurIPconstitueactuellementunedesplusimportantesvolutionsdansle domainedesTlcommunications.Ilyaquelquesannes,latransmissiondelavoixsurle rseau tlphonique classique ou RTC constituait lexclusivit des tlcommunications. Aujourdhui,ladonneachang.LatransmissiondelavoixvialesrseauxIPconstitueune nouvellevolutionmajeurecomparablelaprcdente.Audeldelanouveauttechnique, la possibilit de fusion des rseaux IP et tlphoniques entrane non seulement une diminutiondelalogistiquencessairelagestiondesdeuxrseaux,maisaussiunebaisse importante des cots de communication ainsi que la possibilit de mise en place de nouveauxservicesutilisantsimultanmentlavoixetlesdonnes. Letravailprsentdanscerapportentredanslecadredemonprojetdefindtudesen cycle dingnieur, option Gnie Rseaux et Systmes, lEcole Nationale des Sciences Appliques de Marrakech. Je lai effectu au groupement d'Intrt public RENATER (GIP RENATER)Paris.LesujettaitlamiseenuvreduservicepiloteToIPdeRENATER. Aulongdecerapport,jevaisrsumermonstageen4chapitresprincipaux. Le 1er chapitre prsentera lorganisme daccueil et le sujet du stage de fin dtudes et sesobjectifs. Le 2me chapitre donnera un aperu global sur les protocoles associs la tlphonie surIP. Le 3me chapitre sera consacr la prsentation de la maquette exprimentale ToIP existante. Le dernier chapitre prsentera le travail effectu pendant le stage, savoir la mise en place du service pilote et des solutions qui permettent de comptabiliser les appels, de superviseretscuriserceservice. Jefiniraicerapportparuneconclusiongnraleetdesperspectives.

ENSA-Marrakech 2008/2009

12

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER




ENSA-Marrakech 2008/2009

13

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

CHAPITREI:Contextedetravail

Introduction

Ce chapitre prsente dune manire gnrale le contexte de travail et les objectifs de monprojetdefindtudes. Je vais commencer par une prsentation du groupement dintrt public RENATER comme tant lorganisme daccueil, aprs je vais prsenter le rseau RENATER (Rseau National de Tlcommunications pour la Technologie, l'Enseignement et la Recherche). Ensuite,jevaisprsenterSIPA(ServicesIPAvancsetprospective)quiestlquipequejai intgre pendant mon stage. Enfin je vais donner une description de mon projet de fin dtudes,etsesobjectifs.

1. GIPRENATER
Cre en 1993, Le GIP RENATER runit de grands organismes de recherche et d'enseignement, ainsi que le ministre en charge de lenseignement suprieur et de la recherche,pourdvelopperetfairefonctionnerlerseauRENATER[1]. GIP (groupement d'Intrt public) est un organisme but non lucratif, runissant des administrationsdel'Etatetdesorganismespublicspouruneactivitdfinie:danslecasdu GIPRENATERils'agitdurseauRENATER. LeGIPRENATERestlematred'ouvragedelapartiecommunedeRENATER,constitue de son pine dorsale RENATER, des liaisons internationales, de ses actions pilotes, et du serviceSFINX,quiestunGIX(GlobalInterneteXchange),pointd'changedetraficInternet entre prestataires de services Internet, ou oprateurs de tlcommunications qui veulent changerdutraficIP,sanstransitetsanspasserpardesinfrastructuresinternationales. Le GIP RENATER est galement le coordinateur technique et oprationnel global de l'ensemble du rseau RENATER y compris ses lments rgionaux. Il reprsente le rseau RENATERauprsdesinstitutionsfranaisesettrangres,etnotammentauprsdesautres rseauxdelaRecherche.
ENSA-Marrakech 2008/2009

14

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Le directeur du GIP RENATER est M. Dany Vandromme, professeur des universits ; L'quipe du GIP RENATER comprend aujourd'hui environ 30 personnes: ingnieurs, techniciensetpersonnelsadministratifsrpartisentreParis,MontpellieretRennes.

Figure1:organigrammeRENATER

2. RseauRENATER
RENATER a t cr dans les annes 1990 dans le but de fdrer et dorganiser les infrastructuresdetlcommunicationspourlEducation,laRechercheetlEnseignement[1]. Aujourdhui plus de 1000 tablissements ayant une activit dans les domaines de la Recherche, la Technologie et lEnseignement sont raccords RENATER. Ce rseau leur permet de communiquer entre eux, daccder aux centres de recherche et aux tablissementsdenseignementdumondeentieretlInternet[1]. Le rseau RENATER est constitu dune infrastructure nationale reliant des points de prsenceenrgionetdanslesDOMTOMainsiquedesliaisonsinternationales,etunnud dchangeentreprestatairesdeserviceInternetappelSFINX(ServiceforFrenchInternet eXchange).
ENSA-Marrakech 2008/2009

15

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

LafigurecidessousdcritlarchitectureglobaledurseauRENATER:

Figure2:architecturedurseauRENATER

RENATERproposesescommunautsunlargeventaildeservices[1]:

Figure3:servicesRENATER

ENSA-Marrakech 2008/2009

16

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

3. EquipeSIPA
GIPRENATERcomprenduncertainnombredquipe,SIPAenfaitpartie.LquipeSIPA (ServicesIPAvancsetprospective)aunemissiondeveilletechnologique.Sadmarcheest avant tout exprimentale pour valider les nouveaux protocoles et leurs usages dans des applicationsouservicesmergents. Le schmacidessous, prsente lesdiffrents domaines dans lesquels lquipe SIPA est investie.

Figure4:domainesdecomptencedelquipeSIPA

4. Prsentationdustage

4.1 CadreetObjectifsdustage
La tlphonie sur IP (ToIP) est un service qui est de plus en plus dploy au sein des universits et laboratoires de recherche connects au rseau RENATER. Une maquette exprimentale reliant quelques sites a t mise en place. Cette maquette repose sur le protocoleSIPetlerouteurdappelsSIPOpenSER.Lamaquettepermetlinterconnexiondes IPBXdessitesetleroutagedappelsintersite.AuseindelquipeSIPA,lobjectifprincipal du stagetait la mise en place dun service pilote de ToIP en se basant sur la maquette exprimentaleexistante. Lapremirepartiedustageconsistetudierlesvolutionspossiblesdecettemaquette pour la mise en place dun service pilote de routage dappels au profit des usagers de RENATER,ladeuximepartiedustageconcerneltudeetlamiseenplacedunesolution desupervisionduservicederoutagedappels,latroisimepartiedustageconcerneltude etlamiseenplacedunesolutiondecomptabilisationdesappels,etlaquatrimepartiedu stageconsistelascurisationdurouteurdappels.

ENSA-Marrakech 2008/2009

17

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

4.2 Planificationduprojetdestage
Laplanificationestparmilesphasesdavantprojetlesplusimportantes.Elleconsiste dterminer et ordonnancer les tches du projet et estimer leurs charges respectives. Parmilesoutilsdeplanificationdeprojet,jaiutilislediagrammedeGANTT,cestunoutil qui permet de planifier le projet et de rendre plus simple le suivi de son avancement. Ce diagramme permet aussi de visualiser lenchainement et la dure des diffrentes tches durantlestagecommeilestillustrparlafigurequisuit:

Figure5:planningdedroulementdustage

Conclusion
Ce chapitre introductif a t consacr essentiellement la prsentation de lenvironnement dans lequel mon projet de fin dtudes a t effectu. Elle a aussi mis laccentsurlaprsentationducontextedemonprojet,sesobjectifsetsaplanification.
ENSA-Marrakech 2008/2009

18

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

ENSA-Marrakech 2008/2009

19

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

CHAPITREII:EtatdelartdesprotocolesToIP

Introduction
LatlphoniesurIPestunetechnologiedecommunicationvocaleenpleinemergence. Ellefaitpartied'untournantdanslemondedelacommunication.Eneffet,laconvergence du triple play (voix, donnes et vido) fait partie des enjeux principaux des acteurs de la tlcommunicationaujourd'hui. La ToIP possde actuellement une vritable opportunit conomiques pour les entreprises telles quela diminution du cot en infrastructure, de la facture de tlphone. Elle permet lintgration de nombreux services. La tlphonie sur IP est base sur des standards ouverts: elle permet donc linteraction avec les quipements tlphoniques standards. Toutefois, les aspects techniques sousjacents cette nouvelle technologie ne sontpastoujoursbienmatriss.LesproblmesdusauNAT,lesparefeux,lascurit,etc. sontdesproblmesquirestentencoredominer. CechapitreestconsacrltudedesprotocolesassocislatlphoniesurIP.Cette tudevamepermettreparlasuitedemenerbienleprojet.Pourcela,jecommencetout dabordparprsenterlesprincipauxprotocolesdesignalisationetdetransportdelaToIPet leprotocoleENUMdontlusageestencoreincertainauseindesoprateursdeToIP.Jetraite ensuitelesproblmespossparlesNATetlesparefeuxdansunearchitecturedeToIPetles exemples de solutions pour rsoudre ces problmes. Je prsente ensuite les vulnrabilits spcifiqueslaToIPetlesmcanismesdescurit.Jetermineenprsentantltatdelart dudploiementduprotocoleIPv6danslaToIP.

1. ProtocoleslislaToIP
La tlphonie sur IP ou ToIP (Telephony over IP) est un service de tlphonie qui transportelesfluxvoixdescommunicationstlphoniquessurunrseauIP.Aladiffrence delaVoIPolonnefaitqutablirunecommunicationvoix,laToIPintgrelensemble desservicesassocislatlphonie:doubleappel,messagerie,renvoiedappel,FAX,etc. Afin de rendre possibles les communications ToIP, les solutions proposes dopent la coucheIPpardesmcanismessupplmentairesncessairespourapporterlaQOSncessaire aufluxvoixdetypestempsrel,enplusdelintelligencencessairelexcutiondeservices. Aceteffet,ilexistedeuxtypesdeprotocolesprincipauxutilissdanslaToIP: Protocolesdesignalisation Protocolesdetransport

ENSA-Marrakech 2008/2009

20

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

2.1 Signalisation
La signalisation correspond la gestion des sessions de communication (ouverture, fermeture, etc.). Le protocole de signalisation permet de vhiculer un certain nombre dinformationsnotamment: Le type de demande (enregistrement dun utilisateur, invitation une session multimdia,annulationd'unappel,rponseunerequte,etc.). Ledestinataired'unappel. Lmetteur. Lecheminsuiviparlemessage. PlusieursnormesetprotocolesonttdveloppspourlasignalisationToIP,quelques uns sont propritaires et dautres sont des standards. Ainsi, les principales propositions disponiblespourl'tablissementdeconnexionsenToIPsont: SIP (Session Initiation Protocol) qui est un standard IETF (Internet Engineering Task Force)dcritdansleRFC3261. H323englobeunensembledeprotocolesdecommunicationdveloppsparlUITT (Union Internationale des Tlcommunications secteur de la normalisation des Tlcommunications). MGCP(MediaGatewayControlProtocol)standardisparlIETF(RFC3435). SCCP(SkinnyClientControlProtocol)estunprotocolepropritaireCISCO. AujourdhuileplusrpandudentreeuxestleSIP,ceprotocoleestlargementdployet utilisauseindeRENATER.LetableauquisuitdresseunlgercomparatifentrelanormeSIP etH323. Nombredchangespour tablirlaconnexion Maintenanceduprotocole Simple(textecomme HTTP) Ouvertdenouvelles fonctions Oui Complexe SIP 35Allerretour H323 67Allerretour

Evolution

Multicast

Ajoutdextensions propritaires Oui

Tableau1:comparatifdunormeSIPetH323

ENSA-Marrakech 2008/2009

21

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

2.1.1 SIP(SessionInitiationProtocol)

Introduction
Le protocole SIP (Session Initialisation Protocol) a t initi par le groupe MMUSIC (MultipartyMultimediaSessionControl)[RFC2543]etdsormaisreprisetmaintenuparle Groupe SIP de lIETF [RFC 3261]. SIP est un protocole de signalisation appartenant la couche application du modle OSI. Il a t conu pour louverture, le maintient et la terminaison de sessions de communications interactives entre des utilisateurs. De telles sessions permettent de raliser de laudio, de lenseignement distance et de la voix (tlphonie)surIPessentiellement.Pourlouverturedunesession,unutilisateurmetune invitation transportant un descripteur de session permettant aux utilisateurs souhaitant communiquerdengociersurlesalgorithmesetcodecsutiliser.SIPpermetaussiderelier des stations mobilesen transmettant ou redirigeant les requtes versla position courante delastationappele.Enfin,SIPestindpendantdumdiumutilisetaussiduprotocolede transportdescouchesbasses.

Architectureprotocolaire

SIP est un protocole indpendant des couches de transport, il appartient aux couches applications du modle OSI. Le SIP gre la signalisation et ltablissement des sessions interactivesdecommunicationmultimdiasetmultipartites.Ilestaussibassurleconcept Client / Serveur pour le contrle dappels et des services multimdias. Conu selon un modledetypeIP,ilesthautementextensibleetassezsimpleenconceptionarchitecturale, desortequilpeutservirdebaselacrationdapplicationsetdeservices.Ilestbassurle protocoleHTTPetpeututiliserUDPouTCP[8].

Figure6:pileSIP

ArchitectureduneplateformeSIP

SIPestunprotocolesimpleetflexibleorientmessages.Lesprincipauxcomposantsdun systmebassurSIPsont:
ENSA-Marrakech 2008/2009

22

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

TerminalSIP(UserAgentClientouUAC):PeuttreaussibienunSoftPhone(logiciel) quunHardPhone(tlphoneIP).LesUACsontcapablesdmettreetderecevoirde lasignalisationSIP. ProxyServer:encoreappelserveurmandataireauquelestreliunterminalfixeou mobile,agitcommeserveurenversleclientetcommeclientenverslesautresUAS. RedirectServer:Ceserveurpermetderedirigerlesappelsverslapositioncourante dun utilisateur. Il ralise simplement une association dadresses vers une ou plusieursnouvellesadresses. Location Server: Il fournit la position courante des utilisateurs dont la communication traverse les serveurs mandataire et de redirection auxquels il est rattach. Registrar Server: Ce serveur reoit et accepte les inscriptions des utilisateurs (adresseIP,port,login).

Figure7:architectureSIP

StructuredesmessagesSIP
LesmessagesSIPsontcaractrissparunelignededbut,plusieursenttesetlecorps dumessage[8].

LesenttesdesmessagesSIP
Lesenttesontpourrledefournirdesinformationssurlemessageetdepermettrele traitementdumessage.Aceteffet,leprotocoleSIPestdotduncertainnombredentte dont la structure dpend de la nature et du rle de chaque entte. La structure gnrale dun entte est articule autour de plusieurs champs et chaque champ obit un format gnral:nom_du_champ:valeur_du_champ.Lestypesdentteutilissparlesmessagesdu protocoleSIPsontaunombredequatre:
ENSA-Marrakech 2008/2009

23

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Lenttegnral
Ilesttoujoursprsentetcontientlesinformationsdebasepermettantletraitementdu message. Iladeschampsobligatoiressuivants: Via : il identifie lentit de relais. En effet, chaque entit qui met ou relaye un messageSIPinsresonidentitafindeprvenirlesbouclesetindiquerlecheminde rponse. From:ilidentifielinitiateurdelarequte. To:ilidentifieledestinatairedelarequte. CallId:cestlidentificateuruniquedelasession. Cseq:ilidentifielasquencedunappel:parexempleplusieursmessagesinvite avecdeCseqdiffrents. Lenttederequte Cet entte est non toujours utilis. Il contient des informations supplmentaires destinationduserveurSIPpermettantletraitementdelarequteparceluici. Lenttederponse Cet entte est non toujours utilis tout comme lentte de requte. Il contient des informations supplmentaires ajoutes par le serveur SIP permettant le traitement de la rponse.

Lenttedentit
Cet entte est toujours utilis. Son rle est de dfinir le type et le format des informationscontenuesdanslesmessages.

Lecorpsdumessage
Il fournit suffisamment dinformations pour permettre la participation une session multimdia.Cesinformationssont:lecodec,destination(adresseIPetportUDP),nomdela session, etc. Le message du corps est cod conformment au protocole SDP (Session DescriptionProtocol).SDPestsansdouteleprotocoleleplusimportantdelarchitectureSIP, SDPafaitlobjetdelapropositiondenormeRFC2327.Cestunprotocoledontlobjectifest dtablirundescripteurdesessionsmultimdiaouvrir,ilportelesinformationssuivantes: AdressesdedestinationSIP://UserX@ensa.ac.ma. AlgorithmesdecodageAudioetVido. TypedetraficRTP.
ENSA-Marrakech 2008/2009

24

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

RequtesetRponsesSIP
SIPestunprotocoledetypeclientserveur.Aceteffet,leschangesentreunterminal appelantetunterminalappelsefontparlintermdiairederequtesetrponseSIP. VoiciunelisteexhaustivedesrequtesSIP: INVITE: Cette requte indique que lapplication (ou utilisateur) correspondante lUrlSIPspcifiestinviteparticiperunesession. ACK: Cetterequte permet de confirmer que le terminal appelant a bien reu une rponsedfinitiveunerequteINVITE. BYE:Cetterequteestutiliseparleterminaldelappelpoursignalerquilsouhaite mettreuntermelasession. CANCELCetterequteestenvoyeparunterminalouunserveurmandataireafin dannulerunerequtenonvalideparunerponsefinale. REGISTERCettemthodeestutiliseparleclientpourenregistrerladresseliste danslechampTOparleserveurauquelilestreli. OPTIONSUnserveurmandataireenmesuredecontacterleterminalappel,doit rpondre une requte OPTIONS en prcisant ses capacits contacter le mme terminal. Acesrequtessontassociesdesrponsesquisontdanslemmeformatquecellesdu protocoleHTTP.Voicilesplusimportantesdentreelles: 1XXmessagesdinformations(100essai,180sonnerie,183encours) 2XXsuccsdelarequte(200OK) 3XXRedirectiondelappel,lademandedoittredirigeailleurs 4XXErreurduclient(Larequtecontientunesyntaxeerrone) 5XXErreurduserveur(leserveurnapasrussitraiterunerequtecorrecte) 6XXEchecgnral(606requtenonacceptableparaucunserveur)

Fonctionnement
SIPintervientauxdiffrentesphasesdelappel: Localisationduterminaldelinterlocuteur.
ENSA-Marrakech 2008/2009

25

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Analyseduprofiletdesressourcesdudestinataire. Ngociation du type de mdia (voix, audio, vido) et des paramtres de communication. Disponibilit du correspondant, dtermine si le poste appel souhaite communiquer,etautoriselappelantlecontacter. Etablissement et suivi de lappel, avertit les parties appelant et appel de la demande douverture de session, gestion du transfert et de la fermeture des appels. Gestiondefonctionsvolues:retourderreurs, LeschmasuivantillustrelescnariodunecommunicationSIP.

Figure8:exempledunecommunicationSIP

2.2 Transport
LorsdunecommunicationToIP,unefoislaphasedesignalisationralise,laphasede communicationestinitie.Danscettephase,unprotocoledetransportpermetdacheminer les donnes voix entre plusieurs utilisateurs vu que la couche TCP propose un transport fiablemaislent,etlacoucheUDPuntransportrapidemaisnonfiable.LacommunautIETF amisenplaceunnouveaucoupledeprotocoleRTP(RealTimetransportProtocol)etRTCP
ENSA-Marrakech 2008/2009

26

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

(RealTimeControlProtocol)pourapporterlafiabilitlUDPtoutenexploitantsarapidit. RTPetRTCPsontlesdeuxprotocolesquisont principalementutilisspourletransportde flux mdia sur le rseau IP. RTP permet de transporter les donnes entre plusieurs utilisateursenplusdelagestiontempsrelledessessions.Tandisque,RTCPestutilispour transmettrergulirementdespaquetsdecontrle,quicontiennentdiversesstatistiques,ce quipermetdevrifierlaqualitdetransmission.

2. StandardENUM
La fourniture grande chelle du service ToIP suppose lidentification aise des terminaux IP connects au rseau dsireux accder ce service. Cette identification est basiquementfaitetraverslesadressesIP.AfindtendrelespossibilitsdadressagelUITT atravaillsurlestandardENUM. ENUM (tElephone NUmber Mapping) est un protocole dfini par lIETF dans le RFC 3761[11]permettant d'utiliser un numro de tlphone (E.1641) comme cl de recherche dansleDNSpourtrouverlamaniredejoindreunepersonne(parexemple:ndetlphone mobile, n de fax, adresse de tlphonie IP, adresse email, adresse de messagerie instantane,etc.) LeprincipedENUMreposesurlacrationdunnomdedomaineInternetpourchaque numrodetlphoneduplandenumrotationinternationalE.164.Lescoordonnesqueles utilisateurs souhaitent publier pour leur propre numro de tlphone sont ensuite "stockes"danslesystmedesnomsdedomaineInternet(DNS)etainsirenduesaccessibles demanireglobalepourtous. VoiciunschmaexpliquantleprincipedefonctionnementdENUM:

Figure9:principedefonctionnementdENUM

E.164 est le nom de la norme de lUIT qui standardise les numros de tlphone au niveau mondial.

ENSA-Marrakech 2008/2009

27

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Dans ce schma le numro +33666664444 est transform en nom de domaine en l'inversant(commeonfaitpourtrouverunnomdedomainepartird'uneadresseIP),cela donnerait4.4.4.4.6.6.6.6.6.3.3.e164.arpa.OncherchealorslesenregistrementsNAPTR2pour cenomdedomaine.Danscetexemple,letitulairedunumrodetlphone+33666664444 peut tre joint en SIP en utilisant lURI sip:boumezzough@renater.fr et par courrier lectroniquenasamehdi@gmail.com. LavantagedENUMseraitdejoindreunepersonneavecunseulnumrosurdiffrents services de communication aussi travers ENUM une personne peut trs bien spcifier lordredeprfrencedesservicesetdesterminauxutiliser. LafigurecidessousprsenteunexempledutilisationdENUM.

Figure10:exempledutilisationdENUM

3. ProblmatiqueToIPaveclesNATetlesparefeux
DansunearchitectureToIP,lesNATetlesparefeuxreprsententunproblmepourles flux de signalisation et mdia. Lobjectif de ce paragraphe est de comprendre cette problmatique et de prsenter des exemples de solutions existantes pour rsoudre ce problme.
NAPTR record ou Name Authority Pointer record qui donne accs des rgles de rcriture de l'information, permettant des correspondances entre un nom de domaine et une ressource. Il est spcifi dans la RFC 3403.
ENSA-Marrakech 2008/2009 2

28

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

3.1 ProblmedeNAT
Le mcanisme NAT (Network Address Translation) est dfini dans le RFC 1631[12]. Le NAT permet de faire correspondre les adresses IP internes souvent non routables d'un domaine un ensemble d'adresses routables. Avec la ToIP, ce mcanisme reprsente un problmepourletransitdesfluxmultimdia. En effet, les informations utilises pour la signalisation ou la communication sont inclusesauniveau4etlescouchessuprieuresdumodleOSI,tandisquelesNATtravaillent surlacouche3. VoiciunschmaexpliquantleproblmedeNATaveclaToIP:

Figure11:problmedeNATavecSIP

Dans cet exemple, Mohamed ne pourra tablir de communication avec Anas tant donn que lIPBX narrive pas relayer les rponses SIP de Anas. En effet, lors de la traduction d'adresse effectue par le routeur NAT, seuls l'adresse et le numro de port contenusdansl'enttedupaquetIPsontmodifis.L'adresseetlenumrodeportcontenus danslecorpsdelarequteINVITEdumessageSIPnesontpasmodifis.Horscetteadresse estnonroutable.

3.2 Problmedeparefeux
Unparefeu(firewall)estunquipementpermettantdassurerlascuritdunsiteen filtrantletraficnondsir,ilpermetdefiltrerlespaquetsvenantdurseaupublic.
ENSA-Marrakech 2008/2009

29

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Le mode de fonctionnement de la plupart des parefeux pose un problme pour ltablissementdescommunicationsSIP. SIP, par son fonctionnement interne qui permet la localisation des utilisateurs au sein d'unrseauetlangociationdesparamtresdelasession(codecs,portRTP,etc.),posedes problmespourlesfluxmultimdiasquitraversentlesfirewalls.Eneffet,dansl'architecture deSIP,plusieursinformationscritiquestellesquel'adresseIPainsiqueleportutilisersont contenuesdanslesmessagesSIP. Laproblmatiqueengendreparl'utilisationdeSIPautraversdesparefeuxvientdufait queceuxcisontgnralementdploysenutilisantdespolitiquesdefiltragequirejettent touslespaquetsquineproviennentpasouquinesontpasdestinsuneadresseIPetun portdfinis.Cespolitiques,quisontgnralementstatiques,nepermettentpaslatraverse d'unfluxdedonnesdesprotocolescommeSIPquipeutngocierdesadressesIPetdes numrosduportinconnusparleparefeulorsdeltablissementdesession. Afin de bien comprendre la problmatique engendre par les parefeux pour les flux multimdias, voici le schma dun scnario d'tablissement de session et comment le firewallbloquelecontenumultimdia.

Figure12:problmedufirewallaveclaToIP

Dans cet exemple, l'utilisateur SIP mohamed@poste.site.fr invite l'utilisateur anas@ipbx.site2.frafindouvrirunesession.Mohamedenvoiedoncunerequted'invitation INVITE(figure8)contenantlesinformationsdelasessionouvrirAnas.Anasrpondavec le message 200 OK (figure 9) contenant des informations supplmentaires sur la session ouvrir. Commeonpeutleconstater,l'adresseainsiqueleportutiliserlorsdel'ouverturedela sessionaudiosontcontenusdanslecorpsdesmessagesINVITEetOK.Cesdeuxinformations servent l'tablissement du flux audio entre Mohamed et Anas. Dans notre exemple,
ENSA-Marrakech 2008/2009

30

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

MohamedetAnasutilisentrespectivementlesports3456et5004.Parconsquent,comme le firewall a des rgles de filtrage strictes et statiques, le contenu multimdia dAnas sera donctoutsimplementbloquparlefirewall.

Figure13:messageINVITE

Figure14:message200OK

3.3 SolutionsdetraversesdesNATetdesparefeux
AfindefairefaceauxproblmesqueposentlesparefeuxetlesNAT,plusieurssolutions onttproposesnotammentALG,STUN,TURNetICE.

ENSA-Marrakech 2008/2009

31

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

3.3.1 Passerelledelacoucheapplication(ALG)
Latechniquedelapasserelleapplicativeconsisterendreintelligentslesparefeux etlesrouteursNATafinqu'ilssoientenmesured'interprterunprotocolespcifique.Plutt que de vrifier uniquement lentte du paquet traiter, les passerelles ralisent une inspectioncompltedesdonnesdanslecorpsdupaquet.Lespasserellesagissentdoncen tantquerelaisspcialisspourunprotocoleprcis(SIPparexemple).

Figure15:techniquedelapasserelledapplication (source:http://www.newportnetworks.com/whitepapers/nattraversal4.html)

Leparefeux/routeurNATvadonclirelecontenucompletdupaquetpuisvamodifierles adresses IP et ports inscrits dans le paquet afin de pouvoir transmettre le paquet dans le rseaupublic.Suitecela,leparefeux/routeurNATouvriraunportdaccsafinquela communicationpuisseavoircorrectement.

3.3.2 STUN
STUN(SimpleTraversalofUDPThroughNetworkAddressTranslators)estunprotocole nonc dans le RFC 3489 [13] et dvelopp par le groupe de travail de MIDCOM. Cette technique se distingue des techniques des passerelles de la couche application par son indpendancefaceauxprotocolesdecommunication. STUNpermetdetraverserlesrouteursNATenaffectantuneadresseIPetunnumrode portpublicunpostesitudanslerseauprivpoureffectuerunecommunicationdetype UDP avec un rseau public. Pour ce faire, une srie de requtes un serveur STUN est effectueetlesrponsesduserveurserventcaractriserladresseIPetlenumrodeport d'unpostecommuniquer.
ENSA-Marrakech 2008/2009

32

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Combinant STUN des protocoles tel que SIP, plusieurs problmes relis aux routeurs NAT peuvent tre solutionns. Seul le cas o des routeurs NAT de type symtrique3 sont utilissnepeuttretraitenutilisantcettetechnique. LafiguresuivantedcritleprincipedefonctionnementduprotocoleSTUN.

Figure16:principedefonctionnementduprotocoleSTUN

3.3.3 TURN
TURN (Traversal Using Relay NAT) est un mcanisme en cours dveloppement et de standardisationauprsdelIETFagissantentantqueserveursderelais.Ilatdvelopp afindepallierleslacunesduprotocoleSTUN. CeprotocolepermetdesclientsquisontdansdesrseauxutilisantdesrouteursNAT d'effectuerdesconnexionsentreeuxenpassantparunserveurderelais.

Figure17:principedefonctionnementduprotocoleTURN

3.3.4 ICE
ICE (Interactive Connectivity Establishment) est une technologie en cours de dveloppementparIETFquiconsisteintgrerSTUNetTURNauseindesclientsSIPpour dterminertouteslesconnexionspossiblesentredeuxpostes.
Un NAT symtrique est celui dans lequel la translation dadresse est calcule en fonction de ladresse IP et port de la source et de celui du destinataire
ENSA-Marrakech 2008/2009
3

33

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

3.3.5 Rsumdessolutions
Letableauquisuitrsumelesprincipes,avantagesetinconvnientsdessolutions prsentes: solution ALG principe FirewalletrouteurNAT intelligentscapablesde travaillerauniveau7 Inconvnients Tempsdelatence importantsdusau traitementcomplet etindividueldes paquets. Dterminelecouple Protocole ilnefonctionnepas (adresses,ports)publics standardis. aveclesNATs quondoitutiliserdansle Peudinfrastructure symtriques paquetSIPpourobtenirune :seul1serveurdoit rponse tredploypour effectuerles requtes. BassurSTUNpour Techniquesimple Modificationdes lchangedecls programmes LeserveurTURNsertde ncessairepourquils relaisentrelmetteuretle puissent rcepteur intgrerTURN intgreSTUNetTURNau Traversetoustypes Temps seindesclientsSIPpour deNAT dtablissementdun dterminertoutesles appellong. connexionspossiblesentre Modificationdes deuxpostes. serveursetclients pourledploiement.
Tableau2:rsumdessolutionsdetraverseslesNATetlesparefeux

Avantages Techniquesimple

STUN

TURN

ICE

4. ToIPetlascuritdescommunicationsvoix
La tlphonie sur IP, malgr ses trs nombreux avantages, notamment financiers, comportedesrisquesmajeursentermesdescuritdescommunicationsvoix.
ENSA-Marrakech 2008/2009

34

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

4.1 VulnrabilitsdelaToIP
UnappeltlphoniqueToIPsedcomposeendeuxphases:lasignalisationquipermet dtablirlappel,etlaphasedetransportdesfluxdemediasquitransportentlavoix. Au cours de la phase de signalisation, les messages SIP cods en mode texte sont transmis de faon non chiffre dans le rseau, ce qui permet un pirate dcouter facilementlesmessagesSIPetdaccderauxinformationsdetransportdesfluxmdia. Enoutredurantletransportdesfluxvoix,leprotocoleRTPprsentegalementplusieurs vulnrabilits dues labsence dauthentification et de chiffrement. Par voie de consquence,plusieursattaquesToIPpeuventavoirlieu.

4.2 ExemplesdattaquessurlinfrastructureToIP
Il existe de nombreuses attaques possibles sur le rseau ToIP dont les plus rpandues, sont: Dnis de service(attaque DoS): lobjectif dune attaque DoS est de rendre un lment du rseau indisponible. Un exemple de ce type attaque est lenvoi illgitimesdepaquetsSIPBYE[17]. Ecouteclandestine:Lobjectifdecetteattaqueestd'couterletraficdesignalisation et/oudedonnes,enutilisantdesoutilsdcouterseautelsqueVOMIT(VoiceOver Misconfigured Internet Telephone), SiVuS (SIP Vulnerability Scanner), et WireShark [17]. Dtournementdutrafic:lattaquantredirigesonprofitletraficToIP.Ellesebase surlenvoidunmessagederedirectionindiquantquelappelsestdplacetdonne sapropreadressecommeadressederenvoie,decettefaontouslesappelsdestins alutilisateursonttransfrsalattaquant[17]. Usurpationdidentit:Cetypedattaqueconsisteusurperlidentitdelexpditeur dumessageSIPenmodifiantlidentitdelexpditeurdunmessage[17]. Volsdeservices:lepiratepeutemprunterlidentitdunutilisateuretlutiliserpour fairepasserdesappelssurlerseauToIPsansavoirpayerlefournisseurdeservice [17].
ENSA-Marrakech 2008/2009

35

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

4.3 SolutionsdescuritdelaToIP
LesmcanismesdescuritpropossdansunearchitectureToIPsont: LascuritdelinfrastructureIP:Cestlepremierniveaudescurit,carlascurit de linfrastructure ToIP est lie la scurit du rseau IP. Un exemple est la sparationlogiquedesrseauxDataetVoixpardesVLANs. Lauthentification: Lauthentification du tlphone IP par le serveur et lauthentification du serveur par le tlphone IP avant dautoriser un quelconque appel.Ilexistediffrentsmoyensdauthentificationtelsque:SIPS,IPsec. SIPS (Session Initiation Protocol Secure): est un mcanisme de scuritdfiniparRFC3261pourl'envoidemessagesSIPaudessusdu protocoledescurisationTLS(TransportLayerSecurity). IPsec (Internet Protocol Security): est un ensemble de protocoles (couche 3 du modle OSI) dfini par IETF (RFC 2401), permettant le transportscurisdesdonnessurunrseauIP[6]. Lechiffrement:cestunmoyenefficacedeprotgerlesdonnes.Plusieurssolutions peuvent tre utilises : le chiffrement des flux de signalisation avec SIPS, le chiffrementdesfluxvoixavecSRTP,dessolutionspropritaires. SRTP(Secure Realtime Transport Protocol): dfinit un profil de RTP, qui a pour but d'apporter le chiffrement, l'authentification et l'intgritdesmessages,etlaprotectioncontrelereplaydedonnes RTPenunicastetmulticast.SRTPatconuparCiscoetEricsson,et estratifiparl'IETFentantqueRFC3711.

5. LaToIPetIPv6
IPv6 est le protocole Internet de nouvelle gnration conu par l'IETF. Il permet principalement de disposer dun plus grand nombre d'adresses pour chaque lment du rseau. Il offre galement une plus grande facilit de configuration et amliore les mcanismes de gestion de la mobilit IP. Il intgre nativement la scurit, les classes de serviceetladiffusionmulticast. Le dploiement du protocole IPv6 pour le support de la ToIP va permettre dviter davoir recours aux NATs grce sa grande capacit dadressage et de simplifier ainsi larchitecture. Nanmoins, la mise en place de la ToIP en IPv6 nest pas encore rpandue parce que la plupart des quipements de ToIP ne supportent pas encore cette version du protocole IP. Voici des exemples de solutions ToIP qui supportent IPv6: Kamailio (routeur dappels),Linphone,KphoneetSJPhone(quisontdessoftphones,applicationslogicielles installersurunordinateur).
ENSA-Marrakech 2008/2009

36

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Conclusion
La tlphonie sur IP est une technologie qui utilise les rseaux informatiques comme supportdecommunication.LessolutionsToIPsontdeplusenplusbasessurdesstandards ouverts.BeaucoupdecessolutionsutilisentSIPcommeprotocoledesignalisationToIP.Les principauxprotocolesutilisspourletransportdelavoixsont:RTPetRTCP.Etpourgarantir la compatibilit entre la ToIP et le rseau tlphonique classique, lIETF a travaill sur le standardENUM. LedploiementdelatechnologieToIPdanslesrseauxactuelsaprovoqulapparition desnouvellesproblmatiquesnotammentauniveaudesdispositifsdescurittelsqueles parefeuetlesrouteursNAT,ainsiquelesvulnrabilitsdeToIPentermedescurit.Les problmesdeNATetdeparefeuxonttsolutionnsenutilisantplusieurstechniquesqui sontrsumesdansletableau2,tandisquedenombreuxmcanismesdescuritontt prsentsnotammentlascuritdelinfrastructureIP,lauthentification,etlechiffrement. Dans le chapitre qui suit, je vais prsenter la maquette exprimentale ToIP qui est la plateformedetravailquejaiutiliseinitialementpendantmonstage.Parlasuite,jevais prsenterletravaileffectupendantlestage.

ENSA-Marrakech 2008/2009

37

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

ENSA-Marrakech 2008/2009

38

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

CHAPITREIII:DesignetingnierieToIP

Introduction
La dmarche exprimentale est la mthode qui caractrise le travail de lquipe SIPA pourlamiseenproductiondesnouveauxservicesauprofitdelacommunautRENATER. Pour la mise en production dun service de routage dappels, une maquette exprimentale dinterconnexion de sites universitaires et centres de recherche, ayant dployunesolutiondeToIP,eninterne,atmiseenplaceparlquipeSIPA. Aujourdhui, la maquette exprimentale ToIP de RENATER prsente des limites, notamment les aspects de supervision ne sont pas implments, les statistiques sur les appelstraitsparleserveurderoutagedappelsOpenSERnesontpastablies,etlesaccs auserveurnesontpasscuriss. Dansleschapitresquisuivent,Nouscommenceronstoutdabordparvoirunaperusur lamaquetteexprimentaleToIPdeRENATER,nouspoursuivonsensuiteparlaprsentation desralisationspendantnotreprojetdefintudes.

A. Prsentationdelexistant

1. DescriptiondelamaquetteToIPdeRENATER

1.1 Architecturedelamaquette
La maquette exprimentale dinterconnexion des sites en ToIP repose sur le protocole SIP.Elleestcomposepar: Les IPBXs (Mitel, Cisco, Alcatel, Asterisk, etc.) mis en place aux niveaux des sites universitaires et les centres de recherche pour offrir le service de ToIP leurs usagers. UnrouteurdappelIPquiestbassurlerouteurSIPOpenSER.Sonrleestdassurer linterconnexiondesditsIPBXs,etleroutagedappelsintersite. Cettemaquettepermet: De centraliser tous les prfixes atteignables au niveau du plan dadressage et dacheminerlesappelsintersitesurlerseauRENATER. Doffrir une souplesse organisationnelle dans la gestion des prfixes pour les tablissements.
ENSA-Marrakech 2008/2009

39

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Actuellement la maquette de ToIP permet de mettre en relation une dizaine de sites : l'INRIA (3000 postes), les Universits de Normandie via le CRIHAN (4770 postes), les UniversitsdeLorraine(5910postes),l'universitdeMontpellierIII(900postes)ainsiquele GIPRENATER(50postesrpartisentrelessitesdeParisetMontpellier). LafiguresuivanteillustrelarchitecturedelamaquetteexprimentaleToIPdeRENATER avecdesexemplesdessitesraccordslamaquette[16]:

Figure18:maquetteexprimentaleToIPdeRENATER

1.2 Principedefonctionnement
Le site souhaitant profiter du service ToIP afin d'acheminer ses appels destination d'autressitesayantdroitRENATER,n'aurabesoindeparamtrersonIPBXqu'uneseulefois. Aumoinsdeuxroutesdevrontexister: UnerouteversRENATER Unerouteversl'oprateur LeserveurderoutagedappelsOpenSERassurelamiseenrelationentrelesdiffrents IPBXdessitesconnectslamaquette. L'utilisateurcomposelenumrodesoncorrespondant.Silenumron'estpasjoignable en IP, le serveur OpenSER renvoie un message SIP, qui permet l'IPBX du site origine de basculerlappelsurlaroutesuivante,leplussouventsonaccsRTC(RseauTlphonique Commut). L'intrt principal de cette maquette est que le site n'aura pas besoin de
ENSA-Marrakech 2008/2009

40

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

connaitrelesroutespourjoindrelensembledesIPBXdelacommunautRENATERetnaura doncpasmaintenirjourunetablederoutesverslessites. Leschmasuivantdcritleprincipedefonctionnementdelamaquette.

Figure19:principedefonctionnementdelamaquette

LorganigrammesuivantmontreleprincipedefonctionnementdOpenSER.

Figure20:principedefonctionnementduserveurOpenSER
ENSA-Marrakech 2008/2009

41

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

2. Prsentationd'OpenSER
LerouteurdappelOpenSERconstituellmentcentraldelamaquette.Chaquerequte SIP INVITE d'tablissement de communication mise par un IPBX est traite par le proxy OpenSER. OpenSER est un logiciel libre, Il est une version hrite de SER (SIP Express Router), le code(enlicenceGPL)deSERatreprisparungroupededveloppeursduprojetlafinde l'anne2005pourconstituerunnouveaulogiciel. OpenSERprendenchargelesfonctions: Proxyserver:ilassurelesfonctionsderelayagedesrequtesetrponsesSIPentre deuxUsersAgents. Registrar server: il gre les requtes REGISTERenvoyes par les Users Agents pour signalerleuremplacementcourant. Location server: il permet de fournir les dtails demplacement courant dun utilisateur. Redirectserver:ilredirigelesUsersAgentsversunautreProxyserver. Application server: il fournit des services avancs pour les utilisateurs tels que servicedeprsence,messagerieinstantane,etc. VoicicidessouslescomposantesdOpenSER:

Figure21:composantesdOpenSER

ENSA-Marrakech 2008/2009

42

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

B. Travaileffectu
1. volutionsdelaplateformederoutaged'appelsOpenSER
1.1 Objectifs
Lobjectifestdinstallerunnouveaurouteurdappelspourleservicepiloteensebasant surlestravauxeffectusjusquprsentsurlamaquetteexprimentaledeRENATER.

1.2 Etude
Dans cette tude, jai trouv que des versions plus rcentes que la version installe dOpenSER sont disponibles. Ces nouvelles versions contiennent des amliorations des fonctionnalits,etdescorrectionsdebugs.JaidcouvertqueleprojetOpenSERachang sonnomenKamailio[2]etquunnouveauprojetappelOpenSIPS[3]atlancsurla base dOpenSER. J'ai donc t amen faire une comparaison des deux projets. La comparaison propose est base sur les fonctionnalits, la taille de la communaut travaillantcetteversion,etladynamiquedechaqueprojet. Voiciuntableauquirsumelesrsultatsdelacomparaisoneffectuele20septembre 2008. Critre rsultatsderechercheGoogle Derniremisejourdusite Nombredadministrateurduprojet Nombrededveloppeurs Licencedutilisation Laversionstable Laversionencoursdedveloppement Mailinglists Nombredemodules(fonctionnalits) Communaut Kamailio Kamailio+SIP 25400 20081002 5 27 GPL Kamailiov1.4.1 Kamailiov1.5.0 oui 86 active OpenSIPS OpenSIPS+SIP 16600 20080901 1 16 GPL OpenSIPS1.4.2 Oui 86 Moinsactive

Tableau3:rsumdesrsultatsdecomparaisonentreKamailioetOpenSIPS

A la lecture des rsultats de cette comparaison, notre choix sest port sur le projet Kamailio dans un premier temps. Cependant, nous suivons de prs lvolution du projet OpenSIPS.
ENSA-Marrakech 2008/2009

43

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

1.3 Evolutions
Laprincipalevolutionestlamiseenplacedunservicepilotederoutagedappelsbas sur Kamailio pour la communaut RENATER, la version installe est Kamailio 1.4.1 (cf. ANNEXE1). Lamaquetteexprimentaleresteraenplaceafindepermettredesnouveauxsitesde faire des tests avant de se connecter au pilote. Elle permettra galement de valider des nouveauxservicesavantdelesmettreenproductionsurlepilote(IPv6,redondance,etc.). La migration des sites raccords la maquette vers le service pilote se fait aprs la validationdufonctionnementdelaToIPdusitesurlamaquetteexprimentale. Desamliorationsontaussitintroduitesdanslefichierdeconfigurationparrapport la configuration dOpenSER existante dans la maquette exprimentale notamment la prise enchargelesmessagesSIPOPTIONS.

2. Miseenplaced'unesolutiondesupervision

2.1 Objectifs
Lobjectifprincipaltaitdeproposerunesolutiondesupervisionquipermettede: Surveiller ltat du service de routage des appels tlphoniques dans le serveur KamailiodeRENATERetsesperformances(lachargeCPU,utilisationdelammoire, utilisationdudisquedur). SuperviserltatdesIPBXdessitesdistantsinterconnectsauservicepilote. GrapherdansletempsltatduserveurKamailioetdesIPBXdessitesdistants. AvertirladministrateurdupiloteToIPencasdeproblme.

2.2 Etude
La plupart des solutions de supervision de ToIP qui existent sont des solutions commerciales.Parmileslogicielslibrespermettantdesuperviserlesservicesvoix,Monit[6] permet de surveiller des services locaux installs sur une machine Linux/Unix. On peut utilisercetoutilpoursuperviserlerouteurSIP(Kamailio)deRENATERetlessitesdistantsqui utilisentdeslogicielsIPBX(Kamailio,OpenSIPS,Asterisk..),maiscettesolutionnepermetpas desuperviserlessitesdistantsquiutilisentdesIPBXmatrielscomme(MITEL,CISCO)et nerpondpastousnosbesoins.

ENSA-Marrakech 2008/2009

44

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

UneautresolutionestdutiliserloutilSIPpquipermetdegnrerdesappelsSIPavecun UAC4 et un UAS5 en ligne de commande en exploitant le rapport dappels labor par cet outil.Cettesolutiontaittroplimiteparrapportl'ampleurdenosbesoinscardautres outils sont ncessaires pour vrifier ltat des liens et pour gnrer des graphiques. Cependant,loutilSIPppourratreutilepourtesterlesperformancesdescommunications entredeuxsites. LaderniresolutiontudieestlelogicieldesupervisionNagios[4],quisemblerpondre trsbiennosbesoinsgrcesamodularitetlesgreffonsdisponiblespourSIP.Lechoix s'estdoncportnaturellementsurNagios.

2.3 SolutionNagios
Nagiosestunlogiciellibredesupervisionderseau.IlestdisponiblesousLicenceGNU GPL, il permet de savoir tout moment le statut des htes et des services spcifis par l'administrateurrseau.Ilsechargegalementdel'envoid'alertessuiteunepanneouun dysfonctionnementdurseau. Nagioss'appuiesurunmoteurcritenCchargdel'ordonnancementdesvrifications, ainsiquelesactionsraliserlorsdeladtectiondunincident.Lesvrificationssontfaites laidedesgreffons(plugins)quipermettentauxutilisateursdedvelopperfacilementleurs propresvrificationsdesservices.Lesgreffonspeuventtredveloppsdansnimportequel langagedeprogrammation(C,shell,perl,).Letoutestcontrlabletraversunepageweb enCGIetaccessiblevian'importequelserveurHTTPcommeApache. Voiciunschmadtaillantl'architecturedebasedeNagios:

Figure22:architecturedebasedeNagios

4 5

Il initie la session Il rpond aux requtes

ENSA-Marrakech 2008/2009

45

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Linstallation de Nagios est ralise sur la distribution Debian Etch avec la commande aptgetdeLinux,quipermetdercuprerlesfichiersdeNagiosetdeprocderfacilement linstallationetlaconfigurationdecedernier.LaversioninstalleestNagios3.0.6.Nous avons aussi besoin dinstaller les plugins Nagios qui sont utiliss pour la supervision. La versioninstalleestnagiosplugins1.4.13. PoursuperviserlesperformancesdelamachineKamailio,jaiutilislepluginNRPEqui permetd'excuterdespluginsdistancesurlamachineKamailiopuisd'envoyerlesrsultats Nagios(cf.ANNEXE2). PoursurveillerleservicederoutagedesappelssurlerouteurSIP(Kamailio)deRENATER etlesIPBXdessitesdistants,jaiutilisleplugincheck_sipquinestpasfournienstandard aveclespluginsdeNagios. Pourtracerdesgraphiquespourlesdiffrentsservicessuperviss,jaiinstalllemodule PNP (l'acronyme de PNP est PNP is NOT Perfparse). Ce module permet de rcuprer les donnesrelativesauxperformancesdusystmeinterrogetd'injectercesvaleursdansdes bases rrdtool. Il est possible ainsi de gnrer des graphiques personnaliss intgrs linterfaceweb. JaiconfigurNagiospourquilavertisseladministrateurdupiloteToIPparemailencas deproblme. EnfinjaimisenplacelestyleNuvolapouramliorerl'interfacegraphiqueNagiosetla rendreplusagrable. Les figures cidessous prsentent une vue densemble des interfaces de la solution Nagiosmiseenplace:

Figure23:interfacedeltatdesservicessuperviss

ENSA-Marrakech 2008/2009

46

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Figure24:interfacedutempsderponseduservicePing

Figure25:interfacedeltatduserviceSIPdeserveurKamailiodansle temps

Durant la mise en place de toutes ces solutions, jai rencontr plusieurs problmes de configurationcausedumanquededocumentation.Unproblmeestposparlemodule PNPlorsdelaffichagedesgraphiquesduserviceSIP.Eneffet,PNPutilisedesmodlespour gnrer les graphiques. Le modle (template) du service SIP nest pas dfini, jai donc d crirenotrepropremodle.

Figure26:architecturedelasolutionmiseenplacepourlasupervision
ENSA-Marrakech 2008/2009

47

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

3. MiseenplacedunesolutiondeComptabilisationdappels
Le but de la mise en place dune solution de comptabilisation dappels est de pouvoir fournirdesstatistiquessurletauxdutilisationduservicederoutagedappelsdeRENATERet decollecterlesinformationsanalyserencasdeproblme.

3.1 Objectifs
Lobjet de cette partie de mon stage est dtudier et mettre en place une solution de comptabilisationdappelsquipermettede: EtablirdesstatistiquessurlesappelstraitsparleserveurKamailiodeRENATER. Suivrecesstatistiquesdansletemps. Agrgerlesstatistiquesparsitepouravoirunsuiviprcisdelusageduservicepour chaquesite.

3.2 Etude
Aprsavoireffectuplusieursrecherchessurlessolutionsdecomptabilisationdappels existantesquipeuventrpondrenosbesoins,jaitrouvquiilyadenombreusessolutions qui sont soit commercialises, soit trop complexes pour nos besoins. Notre tude est consacretroissolutions. Lapremireestdutiliserlesdonnesdufichierlogduserveurkamailio,cependantcette solutionnepermetpasdavoirunniveaudedtailssuffisantsurlappel. Une deuxime solution consiste utiliser le module ACC6 avec une base de donnes MySQL.Linconvnientdecettesolutionestlagnrationdunenregistrementdanslabase dedonnespourchaquerequteSIPreueparleserveurKamailio[7]. Une troisime solution tudie est dutiliser le module ACC avec un serveur RADIUS. Cest cettedernire solution qui a t adopte. En effet, elle va permettre davoir un seul enregistrementpourtoutelasessionSIP.

3.3 Miseenplace
RADIUS est un protocole qui intgre les notions dAAA (Authorization, Authentication and Accounting). La dernire version du protocole RADIUS est normalise par l'IETF dans deuxRFC:RFC2865(RADIUSauthentication)etRFC2866(RADIUSaccounting).
6

ACC est un module de Kamailio qui permet denregistrer les transactions SIP dans diffrentes bases de donns

ENSA-Marrakech 2008/2009

48

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

NousavonschoisiFreeRADIUS[5]commeserveurRADIUSpourlafonctiondaccounting. Leprincipedecettefonctionsebasesurdeuxtypesdepaquetsprincipaux:AccountingStart etAccountingStop.Unesessionestdfinieparl'intervalleentreunStartetunStop. FreeRADIUSestunlogiciellibre,ilsagitdundesserveursRADIUSlesplusmodulaireset riches en fonctionnalits. Les dtails de linstallation et la configuration sont expliqus en annexe3decerapport. Danscettesolution,leserveurKamailiovamettreunpaquetAccountingStartavecun identificateur de session au serveur FreeRADIUS lors de la rception dun message SIP INVITE.QuandleserveurKamailioreoitlemessageSIPBYEdelammesession,ilenvoie unpaquetAccountingStopaveclemmeidentificateurdesession.LeserveurfreeRADIUSva envoyeralorsunseulenregistrementlabasededonnesMySQLquicontientladureet touslesparamtresdelasession. Voiciunschmadcrivantleprincipedefonctionnementdecettesolution:

Figure27:principedefonctionnementdeFreeRADIUSavecKamailio

Lorsdestestseffectuspourvalidercettesolution,nousavonstrouvqueFreeRADIUS nepermetpasdegnrerlesCDRpourlesappelschous,cequiestnormal,tantdonn que le message SIP BYE nest pas reu par Kamailio. Les sessions nayant pas reues de messageSIPBYEsontcomptabilisesdansunfichierlogFreeRADIUS.J'aidonctamen mettreenplacelasolutiondumoduleACCavecMySQLpourcomptabiliserjustelesappels chousdanslabasededonnes(cf.ANNEXE4).
ENSA-Marrakech 2008/2009

49

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

VoiciunschmaillustrantleprincipedefonctionnementdelasolutionmoduleACCavec MySQL:

Figure28:principedefonctionnementdemoduleACCavecMySQL

Lasolutiondecomptabilisationdappelssecomposededeuxbriquesfonctionnelles: 1. ModuleACCavecFreeRADIUS 2. ModuleACCavecMySQL En effet, la gnration des CDRs relatifs une communication SIP dpend essentiellementdelarussitedesontraitement(existenceounondemessagesderreur). Lorganigrammequisuitrsumelessentieldecequiaprcd.

Figure29:organigrammedelasolutiondecomptabilisationdappels

ENSA-Marrakech 2008/2009

50

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Lafigurecidessousillustrelarchitecturedelasolutiondecomptabilisationdappels:

Figure30:architecturedelasolutiondecomptabilisationdesappels

3.4 Dveloppementd'uneinterfaceweb
Pour afficher les informations des appels stockes dans la base de donnes par FreeRADIUS,jaidveloppuneinterfacewebenPHPquipermet: Afficherlenombredesappelseffectusparchaquesite(figure24) Afficherlesdtailsdesappels(figure25) Affichersousformedegrapheslenombreetladuredesappelseffectusparmois etparanne(figure26) Effectuer des recherches sur les appels selon des critres(le site appelant, le site appel,ladatedappel)(figure27)
ENSA-Marrakech 2008/2009

51

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Voicilesprincipauxcransdelapplicationwebdveloppes:

Figure31:lapagedaccueildelapplication

Figure32:ecrandesdtailsdesappels

Figure33:ecrandenombredesappelsparjour

ENSA-Marrakech 2008/2009

52

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Figure34:ecranderecherchersurlesappels

3. ScurisationdupiloteToIP
Tout systme accessible via IP est une cible potentielle pour l'ensemble des menaces pesantsurlesrseauxIP.AfindelimiterlesaccsetscuriserleserveurpiloteToIP,jaimis enplacesolutiondescuritbasesurloutilIPtables.Desfiltresonttconfigurssurle routeurdappelsdefaonnautoriserquelesIPBXdessitesconnectsaupiloteenvoyer des requtes SIP sur le port 5060. Les flux du serveur de supervision Nagios et de comptabilisation dappel FreeRADIUS, ainsi que les flux pour ladministration du serveur distance(SSH)sontautorissgalement(cf.ANNEXE5). Lesrglesdefiltragesappliquerontdoncselonlescritressuivants: AdresseIPsource AdresseIPdedestination Protocoledecommunication Portsource Portdedestination LorganigrammesuivantrsumelasolutionpourscuriserleservicepiloteToIP.

ENSA-Marrakech 2008/2009

53

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Figure35:organigrammedelasolutiondescurisationduservicepilote

4. Gestiondel'accessibilitdessites
Lobjectif tait de grer les messages derreur SIP envoys par le serveur de routage dappels Kamailio, afin davoir un basculement rapide vers le rseau RTC en cas dinaccessibilit du site distant. Pour cela, des tests ont t raliss avec un des sites de lINSERM(InstitutNationaldelaSantetdelaRechercheMdicale). Letableausuivantdcritlesrsultatsdestestsaprslesamliorationsintroduitesdans lefichierdeconfigurationdeKamailio.

ENSA-Marrakech 2008/2009

54

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Tableau4:lesrsultatsdestestsdelagestiondesmessagesderreur

5. Testsdevalidation
Afin de valider les diffrentes solutions mises en place, des tests de validation ont t effectusaveclesiteINSERM. Letableaucidessousdonnelesrsultatsdestests. Ntest 1 2
Lasolution Ntest Description Rsultatattendu Rsultat

Description

Typedemessageerreur

Dsactiverlinterface Requestetimeout rseaudelIPBX ArrterleserviceSIPde Requestetimeout lIPBX

Rsultatde Tempsde basculement basculement OK 10s OK 10s

Lasolution de supervision Lasolution de Comptabilisa tiondappels

1 2 1

Dsactiverlinterface rseaudelIPBX ArrterleserviceSIPde lIPBX Effectuerunappelrussi

Nagiosretourneuntatde connectivitdiffrentdeOK Nagiosretourneuntatdu serviceSIPdiffrentOK Enregistrementajoutdansla basededonnescommeappel russi Enregistrementajoutdansla basededonnescommeappel chou

OK OK OK

Effectuerunappel chou (leservicenestpas disponible)

OK

La scurisation dupilote ToIP

Effectuerunappelvia lOpenSERdelamaquette

Appelrejetparlerouteur dappelsduservicepilote

OK

Tableau5:lesrsultatsdestestsdevalidation

ENSA-Marrakech 2008/2009

55

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Conclusion
Danscedernierchapitre,nousavonsprsentlamaquetteexprimentale,laphasede ralisation de notre projet en prsentant les solutions mises en place, la dmarche de travail,leprincipedefonctionnementdechaquesolution,finalement,nousavonsprsent lestestsdevalidationeffectus. Actuellement le service pilote ToIP est oprationnel, deux sites ont dj migr vers ce service qui sont GIP RENATER PARIS et GIP RENATER MONTPELLIER. Il est prvu aussi de migrerdautressitesdanslesjoursquiviennent.

ENSA-Marrakech 2008/2009

56

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Conclusiongnrale
LatlphoniesurIPconstitueincontestablementuneattractiondetaillelafoispourles quipementiers,lesoprateurs,lesentreprisesetlegrandpublic.Silesenjeuxconomiques justifient largement cette convoitise, il ne faut cependant pas ngliger les contraintes techniquessurmonter. Durant le prsent projet de fin dtudes, Il nous a t confi la mission, au sein de lquipeSIPA(ServicesIPAvancsetprospective)duGIPRENATER,dtudieretmettreen place le service pilote ToIP de RENATER. Pour cela, notre travail a t dcompos en cinq tapesmajeures.LapremireavaitpourbutdtudierlesbasesdelatlphoniesurIP.Le second travail consistait tudier les volutions possibles sur la maquette exprimentale miseenplaceparlquipeSIPApourinstallerleservicepiloteToIP.Latroisimetapetait la mise en place dune solution de supervision du service pilote. La quatrime tape consistaitmettreenplacedunesolutiondecomptabilisationdappels.Enfin,ladernire tapeavaitpourbutdelimiterlesaccsetscuriserleserveurpiloteToIP.Ceprojetdefin dtudesadonnlieuuneplateformedeToIPbasesurunserveurderoutagedappelde type Kamailio et des solutions pour la supervision et la comptabilisation des sessions SIP VoIP. Llaborationdecetravailmapermis,dunepart,dapprofondirlesconnaissancesetle savoir faire acquis durant les annes de ma formation lENSA de Marrakech, et dautre part,deprparermonintgrationlavieprofessionnelleetdemesesituersurlemarch destlcommunications(rseaux,systmesdecommunication,services,...). Le travail que jai ralis pourrait tre complt et poursuivi sous diffrents aspects, notamment: Miseenplacedunesolutionderedondancedesserveursimpliqusdansleservice pilote. Introduction dIPv6 dans les quipements du service pilote et avec les sites partenaires. Amliorationdesmcanismesdescuritmisenplace.


ENSA-Marrakech 2008/2009

57

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Rfrencesbibliographiques
[1].SiteofficieldeRENATER,http://www.renater.fr,janvier2009 [2].SiteofficieldeKamailio,http://www.kamailio.org,janvier2009 [3].SiteofficieldOpenSIPS,http://www.opensips.org,janvier2009 [4].SiteofficieldeNagios,http://www.nagios.org,janvier2009 [5].SiteofficieldeFreeRADIUS,http://freeradius.org,janvier2009 [6].Lencyclopdielibrewikipedia,http://fr.wikipedia.org/wiki/Accueil,janvier2009 [7].FlavioE.Goncalves,BuildingTelephonySystemswithOpenSER,PacktPublishing(April25, 2008) [8].N.IDBOUFKER, ArchitecturesProtocolairesVoIP:H.323etSIP, dcembre2008 [9].R.Sparks,M.Handley,E.Schooler,SIP:SessionInitiationProtocol,RFC3261,IETF,June 2002 [10].F.Andreasen,B.Foster,MediaGatewayControlProtocol(MGCP),RFC3435,IETF, January2003 [11].P.Faltstrom,M.Mealling, TheE.164toUniformResourceIdentifiers(URI)Dynamic DelegationDiscoverySystem(DDDS)Application(ENUM),RFC3761,IETF,April2004 [12].K.Egevang,P.Francis, TheIPNetworkAddressTranslator(NAT),RFC1631,IETF,May 1994 [13].J.Rosenberg,J.Weinberger,C.Huitema,R.Mahy,STUNSimpleTraversalofUser DatagramProtocol(UDP)ThroughNetworkAddressTranslators(NATs),RFC3489,IETF, March2003 [14].C.Rigney,S.Willens,A.Rubens,W.Simpson,RemoteAuthenticationDialInUserService (RADIUS),RFC2865,IETF,June2000 [15].C.Rigney,RADIUSAccounting,RFC2866,IETF,June2000

[16].RapportdugroupedetravailToIP,www.renater.fr/IMG/pdf/Compil_Doc_synth.pdf [17].BestPracticesforVoIPSIPSecurity,www.td.unige.ch/pdf/BP_VoIP_Security.pdf
ENSA-Marrakech 2008/2009

58

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

ANNEXES

ANNEXE1:ConfigurationKamailio
CeciestunextraitdufichierdeconfigurationduserveurKamailio: #######Rapportdesmodifications########## #cration16/12/2008 #RaccordementSITE1(Ville1etVille2)le17/12/2008 #testavecSITE2le24/12/2008 #######GlobalParameters######### debug=3 log_stderror=no log_facility=LOG_LOCAL0 fork=yes children=4 port=5060 listen=udp:193.*.*.* alias=*.renater.fr . #######ModulesSection######## #setmodulepath mpath="//usr/local/lib/kamailio/modules/" . ##########Blocdessitesraccordsauservicepilote####### ######################GIPRENATER################# . if(uri=~"sip:01539420[3,4,8,9][09]@.*"){ # 40 Postes route(2); }; .. #processtrafficfromInternettoSITE1 route[2]{ # log(1,"Inroute[2]"); rewritehostport("193.*.*.*:5060"); append_hf("Phint:ForwardedtoSITE1\r\n"); xlog("L_INFO","$rmfrom$futo$tu"); if(!t_relay()){ sl_reply_error(); }; exit; }

ENSA-Marrakech 2008/2009

59

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

ANNEXE2:exemplededfinitiondesservicespourlasupervision

UnexemplededfinitiondesservicessuperviserpourlamachineKamailio: definehost{ usegenerichost host_nameKamailio address193.*.*.* } defineservice{ host_nameKamailio service_descriptionSIP check_commandcheck_sip!sip:193.*.*.* usegenericservice action_urlhttp://193.*.*.*/pnp4nagios/index.php?host=Kamailio&srv=SIP } defineservice{ host_nameKamailio service_descriptionPING check_commandcheck_ping!100.0,20%!500.0,60% usegenericservice action_urlhttp://193.*.*.*/pnp4nagios/index.php?host=Kamailio&srv=PING } defineservice{ use genericservice host_nameKamailio service_descriptionDiskSpace check_commandcheck_nrpe!check_hda1 } #ChargeCPU defineservice{ use genericservice host_name Kamailio service_description CPULoad check_command check_nrpe!check_load }

ENSA-Marrakech 2008/2009

60

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

ANNEXE3:ConfigurationmoduleACCavecFreeRADIUS
InstallationFreeRADIUS

Laversioninstalle2.0.*: #aptgetinstallfreeradiusfreeradiusutils #aptgetinstallfreeradiusmysql

CrationetlaconfigurationdelabasededonnedefreeRADIUS

InstallationMysql #aptgetinstallmysqlserver #aptgetinstallmysqlclient

Crationdelabasededonnes dpkgicdrtool_6.6.10_all.deb mysqladminurootpcreateaccounting mysqlurootaccounting</var/www/CDRTool/setup/radius/OpenSIPs/radacct.mysql ConfigurationduserveurFreeRADIUS

Laconfigurationdelaconnexionlabasededonnes sql{ driver="rlm_sql_mysql" server="127.0.0.1" login="root" password="**********" radius_db="accounting" acct_table="radacct" sqltrace=no sqltracefile=${logdir}/sqltrace%Y%m%d.log num_sql_socks=25 connect_failure_retry_delay=60
ENSA-Marrakech 2008/2009

61

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Configuration du serveur kamailio comme client de FreeRDIUS dans le fichier /etc/freeradius/clients.conf client193.*.*.*{ secret=*********** shortname=siprouter1 nastype=other } Activermysqldanslefichier/etc/freeradius/radiusd.conf Accounting{ acct_unique detail sql unix radutmp } Ajouterledictionnairekamailiodanslefichier/etc/freeradius/dictionary

cp/var/www/CDRTool/setup/radius/OpenSIPs/dictionary.ser /etc/freeradius/dicotionary.kamailio $INCLUDE/usr/share/freeradius/dictionary $INCLUDE/etc/freeradius/dictionary.kamailio ConfigurationduclientfreeRADIUS(Kamailio) Ajouterledictionnairekamailiodanslefichier/etc/radiusclientng/dictionary #Thefilenamegivenhereshouldbeanabsolutepath. $INCLUDE/etc/radiusclientng/dictionary.radius AjouterladresseduserveurFreeRADIUSdanslefichier/etc/radiusclientng/servers #RADIUSservertouseforaccoutingrequests.AllthatI #saidforauthserverapplies,too. Acctserver 193.*.*.*
ENSA-Marrakech 2008/2009

62

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

Ajouterleslignessuivantesdansleficherdeconfigurationdekamailio(kamailio.cfg) modparam("acc","radius_config","/etc/radiusclientng/radiusclient.conf") modparam("acc","radius_flag",2) modparam("acc","radius_missed_flag",3) modparam("acc","radius_extra","UserName=$Au;\ CallingStationId=$from;\ CalledStationId=$to;\ SipTranslatedRequestURI=$ruri;\ SipRPid=$avp(s:rpid);\ SourceIP=$si;\ SourcePort=$sp;\ CanonicalURI=$avp(s:can_uri);\ BillingParty=$avp(s:billing_party);\ DivertReason=$avp(s:divert_reason);\ XRTPStat=$hdr(XRTPStat);\ Contact=$hdr(contact);\ Event=$hdr(event);\ ENUMTLD=$avp(s:enum_tld)")

ANNEXE4:ConfigurationmoduleACCavecMySQL
Ajouterleslignessuivantesdansleficherdeconfigurationdekamailio(kamailio.cfg)

modparam("acc","db_url","mysql://root:root@193.*.*.*/accounting") #flagtorecordtodb modparam("acc","db_flag",1) modparam("acc","db_missed_flag",2) #flagtologtosyslog modparam("acc","log_flag",1) modparam("acc","log_missed_flag",2) #useextraaccountingtorecordcallerandcalleeusername/domain #takethemfromFromURIandRURI modparam("acc","log_extra", "src_user=$fU;src_domain=$fd;dst_user=$rU;dst_domain=$rd") modparam("acc","db_extra", "src_user=$fU;src_domain=$fd;dst_user=$rU;dst_domain=$rd")
ENSA-Marrakech 2008/2009

63

Projet de Fin dEtudes

Etude et mise en uvre du service pilote ToIP de RENATER

ANNEXE5:ScriptsIPtables
################################################ # #Scriptfirewallstart # ################################################# #onrejettetouteslesconnectionsentrantes iptablestfilterPINPUTDROP #onautoriselamachinedesupervisionetaccounting iptablesAINPUTs193.*.*.*jACCEPT #onautoriselamachined'administration iptablesAINPUTs193.*.*.*jACCEPT #onautoriselesIPBXconnectsausitepilote #SITE1 iptablestfilterAINPUTs193.*.*.*pudpsport5060jACCEPT #SITE2 iptablestfilterAINPUTs195.*.*.*pudpsport5060jACCEPT echo"firewallstart"; ################################################ # #Scriptstopfirewall # ################################################# iptablestfilterPINPUTACCEPT echo"firewallstop";

ENSA-Marrakech 2008/2009

64