Rapport du Projet de fin d’Année

Réalisé par :
Ayoub Oumaray
Spécialité: Génie Réseaux et Télécommunications

THEME:
ETUDE ET SECURISATION DE LA VOIX SUR IP

Encadré par : Entreprise : RADEEMA

 Mr. Marouane Rahaoui

 Remerciements

Je tiens à remercier dans un premier temps Mme  Nadia EL HILALI directrice de la

RADEEMA qui a eu la bienveillance de nous accorder ce stage au sein de son
établissement.
Je remercie tout particulièrement Mr Marouane Rahaoui pour l’aide et les conseils
concernant les missions évoquées dans ce rapport, qu’ils m’a apportés lors des
différents suivis, pour l’expérience enrichissante et pleine d’intérêt qu’ils m’ont fait
vivre au sein de la RADEEMA. ainsi que pour son accueil et la confiance qu’il m’a
accordé dès mon arrivée dans l’entreprise et sachant répondre à toutes mes
interrogations ; sans oublier sa participation au cheminement de ce rapport.

1
 Sommaire
Introduction......................................................................................................................................................................... 4
Chapitre 1: Présentation du cadre du projet :..................................................................................................................5
1. Introduction :.............................................................................................................................................5
2. Présentation générale de la RADEEMA :................................................................................................5
3. Cadre juridique :.......................................................................................................................................5
4. Métiers :.....................................................................................................................................................6
5. L’organisation de la RADEEMA :...........................................................................................................7
5.1. Organigramme RADEEMA :.....................................................................................................7
5.2. Département Système d’information :........................................................................................8
6. Présentation du projet :............................................................................................................................9
7. Les infrastrctures existantes :...................................................................................................................9
Chapitre 2 : L’étude du Voix Sur IP :.............................................................................................................................13
1. Introduction :...........................................................................................................................................13
2. Définition :...............................................................................................................................................13
3. Principe de fonctionnement de la VOIP :..............................................................................................14
3.1. Mode de fonctionnement :.........................................................................................................14
3.2. Principaux Codecs utilisés :.......................................................................................................15
4. Les protocoles utilisés par la VOIP :.....................................................................................................16
4.1. Les protocoles de transport de la voix :...................................................................................16
4.1.1. Protocole RTP :......................................................................................................................16
4.1.2. Protocole RTCP :....................................................................................................................16
4.2. Les protocoles de signalisation :................................................................................................17
4.2.1. Le protocole H.323 :...............................................................................................................17
4.2.2. Protocole SIP :........................................................................................................................20
5. Etude de la sécurisation de la voix sur IP :............................................................................................26
5.1. Les attaques sur le protocole VOIP :........................................................................................27
5.2. Les solutions de la sécurité :.....................................................................................................31
Conclusion :..........................................................................................................................................................34

2
Chapitre 3 : Outil Asterisk :.............................................................................................................................................35
Introduction :........................................................................................................................................................35
1. L’architecture du réseau :.......................................................................................................................36
2. Mise en place du réseau Asterisk :.........................................................................................................37
Chapitre 4 : Réalisation :..................................................................................................................................................39
 Configuration d’Asterisk :......................................................................................................................39
 Configuration du Softphone Zoiper :.....................................................................................................42
 Attaque contre la VOIP :........................................................................................................................43
 Solutions pour la sécurisation :...............................................................................................................47
Conclusion :..........................................................................................................................................................55
Conclusion......................................................................................................................................................................... 56

3
 Introduction
La VoIP constitue actuellement l’évolution la plus importante dans le domaine des nouvelles
technologies. Avant 1970, la transmission de la voix s’effectuait de façon analogique sur des
réseaux dédiés à la téléphonie. La technologie utilisée était la technologie électromécanique.
Dans les années 80, une première évolution majeure a été le passage à la transmission
numérique. Actuellement, toutes ces technologies sont devenues trop archaïques et ne peuvent
plus satisfaire les besoins de l’utilisateur. Disposant d’une très grande facilité de manipulation,
la VoIP est pour ainsi dire à la portée de tous. En effet, bien que cette nouvelle technologie soit
beaucoup convoitée en raison des plusieurs avantages qu’elle offre, elle présente des failles qui
nécessitent une nette amélioration afin de garantir le meilleur résultat pour le client.
Notamment, que ce soit au niveau des serveurs de la VoIP ou de ses clients, quelques mises au
point s’imposent. Pour bien entrer dans le vif du sujet, il faut connaitre et approfondir ce que
secrète vraiment la VoIP. Dans ce sens, la connaissance des différents protocoles utilisés par
cette dernière est fondamentale. Optimiser la qualité du service fait partie des points importants
en terme d’utilisation de la VoIP. Afin de trouver les éventuelles solutions face aux problèmes
rencontrés, il est nécessaire de bien définir ce que la VoIP exige en termes de qualité de service
(QoS) ; de bien connaître les attaques contre la VoIP ainsi que les vulnérabilités de son
infrastructure.

4
Chapitre 1: Présentation du cadre du projet :

1. Introduction :

Dans le cadre de la formation en génie réseaux et télécommunications au sein de l’Ecole

Nationale des Sciences Appliquées, j’ai effectué mon stage PFA au sein de la Société
RADEEMA, ce stage va me permettre de me mettre en pratique les connaissances théoriques
dans un projet réel. Dans ce premier chapitre, nous présentons le cadre général de notre projet,
l'environnement de travail à savoir l'organisme d'accueil (RADEEMA). Nous exposons ensuite
une description de notre projet en précisant son contexte et son objectif .

2. Présentation générale de la RADEEMA :

Le Régie Autonome de Distribution d’Eau et d’Electricité de Marrakech (RADEEMA) assure la

distribution de l’eau potable, de l’électricité et du service d’assainissement liquide dans la ville
de Marrakech sur un territoire de plus de 24000 ha et une population dépassant 1000000
d’habitants. C’est une Régie Communale à assise territoriale qui est investie de la mission de
service public à caractère industriel et commercial, caractérisée par les principes de continuité
de service, d’adaptabilité aux évolutions technologiques, économiques et sociales, ainsi que par
l’égalité des usagers.

3. Cadre juridique :

L’assise juridique de cet établissement publique à caractère communal, doté de la Personnalité

civile et de l’autonomie financière repose principalement sur :

- Le Dahir n° 1-59-315 du 23 juin 1960 concernant les collectivités locales ;

5
 - Le décret n° 2-64-394 du 29 septembre 1964 relatif aux régies communales dotées de la
personnalité civile et de l’autonomie financière ;
- Le règlement intérieur en date du 31 décembre 1970;
- Le Dahir n° 1-03-195 du 11 novembre 2003 portant promulgation de la loi n° 69-00
relative au contrôle financier de l’Etat sur les entreprises publiques et autres organismes ;
-
- Le Dahir n° 1-02-124 du 13 juin 2002 portant promulgation de la loi n° 62-99 formant
code des juridictions financières ;
- Le règlement des marchés de la RADEEMA ;
- Les Cahiers des charges d’exploitation des services de distribution d’eau et d’électricité
et de l’assainissement liquide;
- Le statut du personnel des entreprises de production, transport et distribution
d’électricité ;
- Le décret du 1èr Ministre 2-89-61 du 10 rabie II 1410 (10 Novembre 1989) fixant les
règles applicable à la comptabilité des établissements publics, BO N° 4023 de 6 jomadah
I 1410 (6 décembre 1989).

La Régie est administrée par un Conseil d’Administration présidé par le Wali de la ville de
Marrakechet un comité de Direction. L’ensemble des services de la RADEEMA sont gérés par
un Directeur Général.

Le Conseil d’Administration est composé des élus et des représentants des Ministères de
l’Intérieur et de l’Economie et Finances.

4. Métiers :

La Radeema est chargée d’assurer à l’intérieur de son périmètre d’action les services publics de
distribution d’eau et d’électricité ainsi que la gestion du service d’assainissement liquide.
Le périmètre d’intervention de la régie représente environ 658 km² et couvre la ville de
Marrakech et une partie des communes rurales avoisinantes..
Assainissement Eau Potable Eléctricité
Population Abonnées Population Abonnées Population Abonnées
domestiques domestiques domestiques
991 083 313610 991 083 313 610 965 237 277 998

6
La RADEEMA assure les missions suivantes:
- La distribution d’eau potable et d’énergie électrique conformément aux dispositions des
cahiers de charges et des normes vigueur
- Le service d’assainissement liquide conformément aux dispositions des cahiers de cahiers
de charges et des normes en vigueur
- Le traitement des eaux usées colléctées notamment dans l’objectif de permettre une
réutilisation des eaux usées aux fins d’irrigation des espaces verts
- L’exploitation et l’entretien des réseaux, des équipement et des ouvrages
- La réalisation des études et des travaux d’infrastructure, de renouvellement et d’extension
- La réalisation des branchements et des raccordements
- L’organisation et la gestion des services publics d’eau, d’électricité et d’assainissement
sur les plans technique, administratif , comptable et commercial.

5. L’organisation de la RADEEMA :

Il existe quatre directions à la RADEEMA, qui sont les suivants :

- Direction Ingénierie & Investissements

- Direction Exploitation
- Direction Clientèle
- Direction Administrative & Financière

5.1. Organigramme RADEEMA :

7
5.2. Département Système d’information :

8
 6. Présentation du projet :

Le projet consiste à la mise en place d’une plateforme de téléphonie sur IP sécurisé basée sur un
serveur SIP open source. Cette plateforme sera exploitée pour gérer les différentes
communications téléphoniques.

7. Les infrastrctures existantes :

 Dans le cadre du plan d’action 2022, le DSI a mis en place des indicateurs de
performances por mesrer la qualité et la disponibilité de l’infrastructure réseau et télécom
de la régie.

Pour cela, le service réseau et télécoms vieille à :

- La disponibilité permanente des connexions entre le siège (Datacentre principal) et

les agences.
- La disponibilité permanente des connexions entre le site Kechich (Datacentre de
secours) et les agences.
- La disponibilité permanente des connexions entre la RADEEMA et ses partenaires.
- La disponibilité de l’infrastructure téléphonique.
- La disponibilité des accès Internet.
- La disponibilité de l’accès au réseau local du siège er des agences.

9
 Architecture réseau informatique

 Dans un souci de performance et de fiabilité, la RADEEMA a généralisé la solution

d’interconnexion sans fils pour tous les sites distants. Cette nouvelle solution permet
d’avoir un haute disponibilité de donnée et de bénéficier d’une qualité de service
supérieurs.

10
 Architecture de la solution d’interconnexion sans fils

 Le service réseau et télécommunication vieille aussi à la disponibilité de la plateforme

téléphonique au niveau du siège et les agences.

11
 Architecture de la téléphonie sur IP

CONCLUSION :

Dans ce chapitre nous avons présenté la société RADEEMA et le projet à mener, dans le
chapitre suivant on va présenter les différents concepts théoriques sur lesquels se base notre
projet.

12
Chapitre 2 : L’étude du Voix Sur IP :

1. Introduction :

La Voix sur IP (en anglais, Voice over IP ou VoIP) est le nom d'une nouvelle technologie de
télécommunication vocale en pleine émergence qui transforme la téléphonie. Cette technologie
marque un tournant dans le monde de la communication en permettant de transmettre de la voix
sur un réseau numérique et sur Internet. L'objectif de la Voix sur IP est d'appliquer à la voix le
même traitement que les autres types de données circulant sur Internet. Grâce au protocole IP,
des paquets de données, constitués de la voix numérisée, y sont transportés. En effet, à force de
transférer des fichiers d'information en temps de plus en plus réel, les utilisateurs d'Internet en
vinrent à transférer de la voix, en temps suffisamment réel pour faire une compétition au
téléphone.

Dans cette banalisation des données voix, deux contraintes majeures sont présentes : transmettre
ces paquets dans le bon ordre et le faire dans un délai raisonnable. La téléphonie IP et la
téléphonie mobile, deux technologies appelées à se généraliser au cours des prochaines années,
auront un impact majeur sur la façon dont les gens communiquent, au bureau comme à la
maison. Les fonctions offertes par VoIP ne se limitent pas à la transmission de la voix. Grâce à
VoIP, il est possible d’émettre et de recevoir les messages vocaux ; les emails ; le fax ; de créer
un répondeur automatique ; d’assister à une conférence audio et/ou vidéo ; etc.

2. Définition :

C’est un terme qui désigne les protocoles, les logiciels et le matériel qui permettent la
transmission de médias temps réel sous la forme de paquets. La voix sur IP, ou VoIP (Voice
over IP), utilise le modèle de commutation de paquets. La voix est soumise à des traitements
spécifiques afin qu’elle peut être envoyée sur un réseau IP, elle est digitalisée, compressée
puis envoyée au récepteur par paquets de données. Les données reçues par la destination sont
décompressées et converties en voix audible.

13
 3. Principe de fonctionnement de la VOIP :

3.1. Mode de fonctionnement :

La voix pour qu’elle soit transmise sur le réseau IP, elle aboutisse un certain nombre de
traitements physiques dans un ordre chronologique bien précis.

 Conversion analogique-Numérique (Numérisation) : cette étape consiste à capturer

des points à intervalles de temps réguliers de la voix acquise, cette durée est fixée selon
la fréquence d'échantillonnage choisie. Chacun de ses échantillons est ensuite codé par
un chiffre.
 La compression : le signal numérique ainsi formé, est compressé selon l’un des formats
des codecs et le principal but de la compression est de minimiser l’utilisation de la
bande passante.
 L’encapsulation : pour se convertir en des paquets, les données ainsi obtenues doivent
être enrichies par des entêtes avant d’être expédier sur le réseau IP.

14
Côté destination, les paquets reçus sont décompressés; en utilisant le même format du codec
qu’à l’émission; puis converties en un signal analogique en utilisant un Convertisseur N/A
(Numérique/Analogique).

3.2. Principaux Codecs utilisés :

Le mot codec vient de 'codeur-décodeur' et désigne un procédé capable de compresser ou de

décompresser un signal, analogique ou numérique, en un format de données. Les codecs
encodent des flux ou des signaux pour la transmission, le stockage ou le cryptage de données.
D'un autre côté, ils décodent ces flux ou signaux pour édition ou visionnage. La finalité
d’utiliser un codec est de diminuer l’utilisation de la bande passante lors du traitement d’un
nombre important de données. Il existe une multitude de codecs, mais ils peuvent être divisés
en deux grandes familles suivant leur manière de compresser les données.

 La compression non-destructive : permet de retrouver le signal initial tel qu'il était

avant le codage,
 La compression destructive : prend en compte les caractéristiques des données à
compresser et peut retirer les informations les moins importantes du signal.

Codec Débit Binaire (Kbits/s)

G.711 64
G.726 32
G.728 16
G.729 8
G.722.1 6.3
G.723.1 5.3

Le choix du codec dépend essentiellement de la QoS (Quality of Service) souhaitée et la

capacité de la bande passante du réseau. Il existe aussi, le mécanisme VDA (Voice Detection
Activity) qui détecte les silences produits lors d'une communication téléphonique.
L’utilisation de ce mécanisme permet de réduire l’occupation de la bande passante jusqu’à
50%.

15
 4. Les protocoles utilisés par la VOIP :

Les protocoles de la Voix sur IP sont divisés en deux parties, ils existent des protocoles pour
la signalisation et l’établissement de connexions entre les entités VoIP et des protocoles pour
le transport des flux multimédia.

4.1. Les protocoles de transport de la voix :

Il y a de nombreux protocoles de couches inférieures à celle qui contient l'information voix

parmi lesquels TCP (Transmission Control Protocol), UDP (User Datagramme Protocol) et RTP
(Real Time Protocol), RTCP (Real Time Control Protocol)

4.1.1. Protocole RTP :

Le protocole RTP (Real Time Transport Protocol) sert au transport de l'information à

proprement parler. Il assure le synchronisme des paquets lors de l'entrée sur le réseau ainsi
qu'au moment de la sortie. Ce protocole se situe au niveau transport du modèle de référence afin
de lutter contre les gènes du réseau. RTP possède plusieurs fonctions et fournit des mécanismes
de contrôle élaboré. Il permet tout d'abord de réaliser un séquencement des paquets par le biais
d'un système de numérotation. Grâce à des paquets numérotés, il devient très facile d'identifier
ceux qui ont été perdus lors de la transmission (si un numéro est manquant dans la séquence, on
sait alors qu'il y a eu perte). Cette séquence de paquets est déterminante dans la reconstitution
de la voix. L'avantage de détecter la perte d'un paquet permet dans certains cas de reconstituer
le paquet manquant en réalisant une synthèse des paquets qui précèdent et succèdent. RTP
effectue également une identification du corps des paquets, afin de savoir ce que chaque paquet
transporte. Ici aussi, en cas de perte, on peut envisager une recomposition du message perdu.
Identifier la source de la transmission est également une fonction assurée par RTP.

4.1.2. Protocole RTCP :

Cependant, pour assurer ses fonctions, RTP se base sur un autre protocole, RTCP (Real-Time
Control Protocol), afin de transporter des informations complémentaires et nécessaires à la
gestion d'une session. Ainsi, RTCP permet de gérer les rapports de qualité de service (QoS)
renvoyés par le destinataire d'une communication à l'émetteur afin de connaître le nombre de
paquets perdus ainsi que d'autres informations comme le temps nécessaire pour effectuer un
aller-retour. En consultant ces rapports, l'émetteur est alors capable de répondre à une contrainte
de temps obligatoire, notamment en termes de réduction de temps aller-retour, par le biais d'une
meilleure compression afin de garantir la qualité de service. RTCP fournit également une
meilleure synchronisation des25médias, un mécanisme d'identification (numéro de téléphone,
16
nom d'un destinataire...) et de contrôle de session (arrivée ou départ d'une personne au sein
d'une conférence audio...). Ces informations sont envoyées de manière cyclique par les
utilisateurs en communication.

4.2. Les protocoles de signalisation :

H.323 et SIP fournissent tous deux des fonctionnalités pour l'établissement, la gestion et la
terminaison des appels. Ces protocoles permettent entre autres la négociation du codec à utiliser
dans le codage des données vocales et les mécanismes de livraison (par exemple RTP sur
UDP/IP) pour les deux protocoles. Les sous-sections suivantes détaillent l'établissement et la
gestion des appels dans les deux protocoles)

4.2.1. Le protocole H.323 :

La recommandation H.323 a été spécifiée par l’ITU-T en 1996 dans le cadre de fournir des
communications audio, vidéo et de données sur les réseaux IP. H.323 est utilisé pour aboutir à
l’établissement d’une connexion multimédia sur un réseau IP et il présente un ensemble de trois
protocoles (H.225 RAS, H.225 Call Signaling et H.245).

 Les principaux acteurs du protocole H.323 :

Les composants H.323 sont regroupés dans des zones. Une zone comme est illustrée dans la
figure 1-2, comprend un ensemble de terminaux, passerelles (gateways) et ponts de conférence
(Mulitpoint Control Unit, MCU) qui sont gérés par un seul portier (GateKeeper, GK).

17
- Terminals : comprennent l'équipement d'E/S vidéo, l'équipement d'E/S audio, les
applications de données utilisateur et les interfaces utilisateur de contrôle du système.
Les terminaux peuvent être utilisés pour une communication multimédia
bidirectionnelle en temps réel. Un terminal H.323 peut être soit un PC personnel, soit
un appareil autonome, exécutant un H.323 et des applications multimédias. Il prend en

- charge la communication audio, vidéo et de données. Un terminal H.323 joue un rôle

clé dans la téléphonie IP en raison de son service de base de communications audio.
L'interfonctionnement avec d'autres réseaux multimédias est l'objectif principal de
H.323.
- Gateway : connectent les réseaux H.323 à d'autres réseaux, y compris les systèmes
PSTN, ISDN, H.320, etc. la connectivité de réseaux dissemblables est obtenue par
traduire les protocoles d'établissement et de libération des appels, conversion de
format multimédia entre différents réseaux
- GateKeeper (GK) : sont utilisés pour le contrôle d'admission et l'Adress Resolution.
Un GateKeeper peut autoriser le passage d'appels directement entre les end-points ou
il peut acheminer l'appel signalant par lui-même. Un GateKeeper est également
responsable pour les services de contrôle de bande, de comptabilité et de facturation.
Un GateKeeper unique gère un ensemble de Terminaux, Passerelles et MCU formant
une zone. Une zone est une association logique de ces composants et peut s'étendre
sur plusieurs LAN
- Multipoint Control Unit (MCU) : sont responsables de la gestion du multipoint
conférences de trois terminaux H.323 ou plus. Une conférence point à point à deux
terminaux peut être étendue à une conférence multipoint. Le MCU se compose d'un
contrôleur multipoint obligatoire (MC) et d'un processeur multipoint facultatif (MP).
MC : prend en charge la négociation des capacités avec tous les terminaux afin
d'assurer un niveau commun de communications. Il peut également contrôler les
ressources dans l'opération de multidiffusion.
MP : est le processeur central des flux voix, vidéo et données pour une
conférence multipoint.

 Pile de protocole H323 :

18
Certaines des fonctionnalités et concepts clés de la pile de protocoles H.323 sont décrits ci-
dessous :

- La portée de H.323 n'inclut pas l'équipement de capture audio/vidéo. On suppose que

les flux numériques audio et vidéo sont disponibles pour le terminal H.323 pour
traitement.
- Le protocole de transport en temps réel (RTP) et le protocole de contrôle associé- le
protocole de contrôle en temps réel (RTCP) - sont utilisés pour la livraison opportune
et ordonnée des flux audio et vidéo. RTP/RTCP est une tâche d'ingénierie
InternetRecommandation Force (IETF) qui fournit le cadrage logique, la numérotation
des séquences, l'horodatage, la distinction de la charge utile (par exemple, entre
l'audio et la vidéo et entre différents codecs) et l'identification de la source. Il peut
également fournir une détection et une correction d'erreur de base. Notez que la
couche RTP est au-dessus de la couche transport du réseau sous-jacent.
- La pile de protocoles H.323 s'exécute au-dessus des couches transport et réseau. Si le
réseau sous-jacent est basé sur IP (qui est le réseau le plus courant), les paquets audio,
vidéo et H.225.0 RAS utilisent le protocole UDP (user datagram protocol) non fiable
pour le transport tandis que les données et le contrôle (H.245 et H.245 et H.245. 225.0
Call Signaling) les paquets sont transportés à l'aide du TCP (protocole de contrôle de
transmission) fiable.
-
 Transaction H.323 :
19
Comme montre la figure ci-dessous, une communication H.323 se déroule en cinq phases :

1- L’établissement d'appel.

2- L’échange de capacité.

3- réservation éventuelle de la bande passante à travers le protocole RSVP (Ressource

réservation Protocol), l’établissement de la communication audio-visuelle.

4- L’invocation éventuelle de services en phase d'appel (par exemple, transfert d'appel,

changement de bande passante, etc.).

5- Enfin la libération de l'appel.

4.2.2. Protocole SIP :

SIP est un protocole de couche application léger conçu pour gérer et établir des sessions
multimédia telles que la visioconférence, les appels vocaux et le partage de données via des

20
demandes et des réponses. Il est de plus en plus apprécié par rapport au H.323 dans
l'environnement VoIP. Les trois avantages du SIP sont :

- Il utilise le schéma d'adressage URL (Uniform Resource Locators), qui est

indépendant de l'emplacement physique. L'adressage peut être un numéro de
téléphone, une adresse IP ou une adresse e-mail. Les messages sont très similaires à
ceux utilisés par Internet (HTTP).· Il permet plusieurs sessions multimédias au cours
d'un appel. Cela signifie que les utilisateurs peuvent partager un jeu, un message
instantané (IM) et parler en même temps.
- Il s'agit d'un protocole « léger » et facilement évolutif.

En comparant de manière approfondie les performances de ces deux protocoles. On a conclut

que même si H.323 et SIP offrent des fonctionnalités similaires, SIP est un meilleur candidat
pour VoIP en termes de simplicité, d'extensibilité et d'évolutivité. Étant donné que SIP n'est
qu'un protocole de signalisation de la couche application, de nombreux mécanismes de sécurité
sont facultatifs et peu d'attention a été accordée aux fonctionnalités de sécurité SIP.

 Les fonctions SIP :

SIP a des fonctions multiples :

 Fixation d’un compte SIP : un compte SIP identifiable par un nom unique et associé à
un serveur SIP d’adresse fixe, sera attribué à un utilisateur SIP pour qu’il soit toujours
joignable.

 Changement des caractéristiques durant une session : un utilisateur SIP peut modifier
les caractéristiques d’une session active, par exemple il peut changer la configuration de
la session de « voice-only » en « voice video ».

 Gestion des participants : dans une session déjà active, de nouveaux participants
peuvent joindre cette session directement, en étant transférés ou en étant mis en attente, 
Adressage : chaque utilisateur dispose d’un compte SIP unique.

 Les composants SIP :

Dans un système SIP, on trouve deux types de composants, les Users Agents (UA) et les
serveurs SIP:

 UA : c’est l’utilisateur final, il peut être soit un Softphone (logiciel s’exécutant sur un
ordinateur qui offre à ce dernier les fonctionnalités d’un téléphone IP) soit un Hardphone. L’UA

21
est la combinaison d’agent d’utilisateur client (UAC : User Agent Client) et d’agent
d’utilisateur serveur (UAS : User Agent Server) :

UAC : est une entité qui envoie des requêtes SIP,

UAS : entité qui génère des réponses aux requêtes SIP. Ces réponses peuvent être
une acceptation, un refus ou une redirection de la requête reçue.

 Les Serveurs SIP : Il existe une multitude de serveurs SIP :

RG (le Registrar): il reçoit les requêtes REGISTER envoyées des UA pour faire
leurs inscriptions, après une éventuelle mobilité,

Proxy SIP : encore appelé serveur mandataire, le proxy est utilisé lorsque les deux
UA ne connaissent pas leurs emplacements. Il effectue des requêtes pour le compte
des UAC, il les route afin de les acheminer à une entité plus proche de destination.
Et pour ce faire il interroge la base de données (URI<->Adresse IP) stockée dans le
Registrar,

RS (Redirect Server) : il aide à localiser les UA SIP en fournissant une adresse

alternative à laquelle l’utilisateur appelé peut être joint,

LS (Location Server) : est un serveur qui fournit la position actuelle d’un

utilisateur SIP. Les informations mémorisées dans le LS sont utilisées par le RS ou
le Proxy SIP. Le LS peut être basé sur un serveur LDAP ou une base de données.

 Les requêtes SIP (messages) et les réponses :

- Les requêtes :

Les échanges entre un terminal appelant et un terminal appelé se font par l'intermédiaire de
requêtes :

Invite : Cette requête indique que l'application (ou utilisateur) correspondante à l'Url SIP
spécifié est invité à participer à une session. Le corps du message décrit cette session (Par
ex : média supportés par l’appelant). En cas de réponse favorable, l'invité doit spécifier
les médias qu'il supporte.

Ack : Cette requête permet de confirmer que le terminal appelant a bien reçu une réponse
définitive à une requête Invite.

22
 Options : Un proxy server en mesure de contacter l'UAS (terminal)appelé, doit répondre
à une requête Options en précisant ses capacités à contacter le même terminal.

Bye : Cette requête est utilisée par le terminal de l'appelé afin de signaler qu'il souhaite
mettre un terme à la session.

Cancel : Cette requête est envoyée par un terminal ou un proxys erver à fin d'annuler une
requête non validée par une réponse finale comme, par exemple, si une machine ayant été
invitée à participer à une session, et ayant accepté l'invitation ne reçoit pas de requête
Ack, alors elle émet une requête Cancel.

- Les réponses de ces requêtes SIP:

Suite au traitement de la requête reçue de la part d’un UAC, l’UAS envoie une réponse sous
forme d’un code d’état, indiquant à l’UAC la façon avec laquelle sa requête a été traitée. Ces
codes sont découpés en 6 catégories qui sont décrites dans le tableau :

 Transaction SIP :

On distingue également 3 modes précis d’ouverture de sessions avec SIP que l’on va détailler :

Direct Signaling:

Le mode point à point est donc une communication simple entre deux sans passer par une
passerelle.

23
Contrairement au direct signalling, utilise
une passerelle (proxy server) pour
réaliser une communication entre
deux éléments.

Proxy statefull
signalling :

Un serveur proxy avec état garde une

trace de chaque demande et réponse
qu'il reçoit. Il peut utiliser les informations
stockées à l'avenir, si nécessaire. Il peut
retransmettre la demande s'il ne reçoit
pas de réponse de l'autre côté.

- Les proxys avec état se souviennent de la demande après qu'elle a été transmise, afin
qu'ils puissent associer la réponse à un état interne. En d'autres termes, les proxys avec
état maintiennent l'état de la transaction. Stateful implique l'état de la transaction, pas
l'état de l'appel.
- Les serveurs proxy avec état ne s'adaptent pas autant que les serveurs sans état.
- Les proxys avec état peuvent bifurquer et fournir des services que les proxys sans état
ne peuvent pas (renvoi d'appel occupé, par exemple).

24
 Proxy stateless signalling :

Un serveur proxy sans état transmet simplement le message qu'il reçoit. Ce type de serveur ne
stocke aucune information sur l'appel ou la transaction.

- Les proxys sans état oublient la demande SIP une fois qu'elle a été transmise.
- Les proxys sans état évoluent très bien et peuvent être très rapides. Ils sont bons pour
les cœurs de réseau.

25
  Architecture de SIP :

Contrairement à H.323, largement fondé sur une architecture physique, le protocole SIP
s’appuie sur une architecture purement logicielle. L’architecture de SIP s’articule
principalement autour des cinq entités suivantes :

Terminal utilisateur.

Serveur d’enregistrement.

Serveur de localisation.

Serveur de redirection.

Serveur proxy.

5. Etude de la sécurisation de la voix sur IP :

Comme tout autre système basé sur IP, les systèmes VoIP sont sensibles à une variété d'attaques
Les attaques VoIP les plus courantes sont : l'écoute clandestine, l'attaque par déni de service
basée sur le flooding (les attaques DoS les plus courantes sont : l'inondation UDP et TCP SYN
Flooding), l'attaque par fragmentation de paquets (par exemple le ping of death), RTP insertion
26
attack, Fuzzing/Malfored message DoS attack (qui peut être utilisé pour trouver une faille dans
le système cible et provoquer un DoS sur un entité VoIP), Spam sur téléphonie Internet (SIPT) (
Même si ce type d'attaque est encore très rare, de nombreux chercheurs ont publié des travaux
dans ce domaine), et Voice Phishing (Vishing) (Vishing est généralement utilisé dans les
stratagèmes d'usurpation d'identité tels que l'usurpation astucieuse d'entités hautement fiables
(banques), pour obtenir les informations personnelles et financières d'autres utilisateurs).

5.1. Les attaques sur le protocole VOIP :

Les protocoles de la VoIP utilisent UDP et TCP comme moyen de transport et par conséquent
sont aussi vulnérables à toutes les attaques contre ces protocoles, telles le détournement de
session (TCP) (session Hijacking) et la mystification (UDP) (Spoofing), etc. Les types
d’attaques les plus fréquentes contre un system VoIP sont :

 DENIS DE SERVICE :

DoS est causé partout ce qui empêche la prestation du service. Un DoS peut être le résultat
d'une bande passante indisponible ou de composants VoIP indisponibles. De nombreux
éléments peuvent provoquer un DoS, notamment :un réseau encombré à un niveau tel qu'il ne
peut pas fournir la bande passante nécessaire pour prendre en charge l'application ; serveurs
incapables de gérer le trafic ; des services externes peuvent être en cours d'exécution et réduire
les ressources disponibles pour le serveur ; des programmes malveillants tels que des virus et
des chevaux de Troie ; d'autres programmes malveillants dans le but de provoquer un DoS ; ou
activité de piratage. En usurpant l'identité du point final, un attaquant peut provoquer un DoS
dans les réseaux VoIP basés sur SIP en envoyant un message "ANNULER" ou "BYE" à l'une
des parties communicantes et mettre fin à l'appel. Étant donné que SIP est basé sur UDP, l'envoi
d'un message ICMP usurpé "port inaccessible" à l'appelant peut également entraîner un DoS. Si
l'authentification HTTP est utilisée, les agents utilisateurs et les serveurs proxy doivent
contester les requêtes douteuses avec un seul 401 (non autorisé) ou 407 (authentification proxy
requise), renonçant à l'algorithme de retransmission de réponse normal, et se comportant ainsi
sans état vis-à-vis des requêtes non authentifiées. La retransmission de la réponse d'état 401
(non autorisé) ou 407 (authentification proxy requise) amplifie le problème d'un attaquant

utilisant une valeur de champ d'en-tête falsifiée (telle que Via) pour diriger le trafic vers un
tiers.

Les attaques par déni de service peuvent se réaliser à plusieurs niveaux :

- DoS dans la couche réseau.

27
- DoS dans la couche transport.
- DoS dans la couche application.

DoS : couche réseau

 IP Flooding : l’attaquant envoie un nombre très important de paquets IP vers une même
destination (station victime). La station victime se sature et devienne incapable de traiter
les paquets IP légitimes. «Teardrop» et «Ping of death» sont les attaques les plus connus
de l’IP Flooding.

DoS : couche transport

 UDP Flooding : a le même principe que l’IP Flooding, mais ce sont des requêtes UDP
qui sont envoyées en masse vers la victime. Le trafic UDP étant prioritaire sur le trafic
TCP, ce type d'attaque peut vite troubler et saturer le trafic transitant sur le réseau. Les
équipements SIP fonctionnent au dessus du protocole UDP, ce qui en fait d’elles des
cibles. Les entités VoIP peuvent être facilement paralysées grâce à des paquets UDP
Flooding visant l’écoute du port SIP (5060).

DoS : couche Application

SIP Flooding : Une attaque par Flooding de messages SIP se produit lorsqu'un
attaquant envoie un grand nombre de requêtes INVITE ou REGISTER avec des adresses
IP source usurpées. Il convient de souligner que même s'il existe de nombreux autres
types de requêtes SIP, INVITE et REGISTER sont les messages prédominants utilisés
par SIP, et ils nécessitent plus de traitement au niveau des composants SIP que toutes les
autres requêtes. Ainsi, les systèmes VoIP basés sur SIP sont particulièrement vulnérables
aux attaques par inondation utilisant ces requêtes.

Il y a trois impacts majeurs résultant d'une attaque par inondation SIP :

- Epuisement de la mémoire : lorsqu'un serveur proxy SIP reçoit une requête SIP
(REGISTER ou INVITE), il doit copier chaque requête entrante dans ses tampons

internes pour pouvoir traiter le message. Ces messages seront au moins conservés
jusqu'à ce que le dernier message OK soit envoyé pour mettre fin à la prise de contact
d'établissement d'appel. En outre, le serveur conserve normalement une copie des
messages transférés pour un traitement ultérieur (par exemple, authentification
Digest). Dans certains cas, le serveur est configuré en tant que serveur avec état, qui
28
 devra conserver des informations sur la session tout au long de la durée de vie de la
session, par exemple lorsque le chemin de communication implique une traversée de
pare-feu ou NAT. La taille des messages SIP peut varier de centaines à des milliers
d'octets, et la prise de contact d'établissement d'appel dure normalement de 1 seconde
à quelques secondes si une interaction humaine est requise, ce qui rend le serveur
proxy vulnérable aux attaques par épuisement de la mémoire.
- Épuisement du processeur (CPU) : une fois les requêtes entrantes enregistrées, le
serveur proxy SIP traitera (authentification ou recherche d'adresse de destination, etc.)
les requêtes, générera et enverra des réponses. La ressource CPU peut devenir très
chargée si un grand nombre de requêtes sont inondées sur le serveur proxy SIP.
- Bande passante de lien : Les attaques par inondation SIP peuvent épuiser la bande
passante de liaison du serveur proxy SIP et provoquer un déni de service au niveau du
point d’accès vers le système VoIP.

« DoS CANCEL » : L’attaquant surveille l’activité du serveur SIP et attend qu’un appel
arrive pour un User Agent spécifique. Une fois que le dispositif de l’UA reçoit la requête
INVITE, l'attaquant envoie immédiatement une requête « CANCEL ». Cette requête
produit une erreur sur le dispositif de l’appelé et termine l'appel. Ce type d'attaque est
employé pour interrompre la communication.

 Le Sniffing :

Un reniflage (Sniffing) peut résulter un vol d'identité et la récupération des informations

confidentielles, aussi bien des informations sur les systèmes VoIP. Ces informations peuvent
être employées pour mettre en place une attaque contre d'autres systèmes ou données. L’IP
sniffing est une attaque passive, il est décrit comme le suivant,

1. L’intrus est placé sur un réseau.

2. l’intrus met sa station en mode écoute.

3. la station récupère l'ensemble du trafic échangé sur le réseau.

4. L’intrus utilise un analyseur de protocoles réseau à l’insu des administrateurs du

réseau.

 Attaque par écoute clandestine :

29
Cette attaque consiste à écouter et à décoder la conversation entre deux utilisateurs. Le principe
de l’écoute clandestine est montré dans la figure comme suit :

1. La détermination des adresses MAC des victimes (client-serveur) par l’attaquant.

2. L’attaquant envoie une requête ARP au client, pour l’informer du changement de

l’adresse MAC du serveur VoIP.

3. L’attaquant envoi une requête ARP au serveur, pour informer le changement de

l’adresse MAC du client.

4. Désactiver la vérification des adresses MAC sur la machine d’attaque afin que le trafic
puisse circuler entre les 2 victimes.

 Call Tracking :

Cette attaque se fait au niveau du réseau LAN/VPN et cible les terminaux (soft/hard phone).
Elle a pour but de connaître qui est en train de communiquer et quelle est la période de la
communication. L’attaquant doit récupérer les messages INVITE et BYE en écoutant le réseau

et peut ainsi savoir qui communique, à quelle heure, et pendant combien de temps. Pour
réaliser cette attaque, L’attaquant doit être capable d’écouter le réseau et récupérer les messages
INVITE et BYE..

30
 5.2. Les solutions de la sécurité :

Ci-dessous on va présenter les bonnes pratiques d’implémentation d’une solution de VoIP

 La protection physique

Il est conseillé que les équipements critiques de la VoIP (serveurs) soient dans une salle
informatique équipée et bien sécurisé par un système d’alarme, un anti-incendie, de la vidéo
surveillance, d’un accès par badge et d’un onduleur

 La protection des postes de travail pour les soft phones

La sécurisation d'un soft phone contre les codes malveillants et l'usurpation d'identité par
exemple par l’utilisation des mots de passe contenant plus de 10 chiffres.

 L’utilisation des pare-feu

Un pare-feu aide et assure le contrôle du trafic entrant et sortant du réseau, ce dernier permet de
réduire les attaques de déni de service en filtrant les ports et les appels à travers le réseau IP.

 Les mesures de sécurités

Les vulnérabilités existent au niveau applicatif, protocole et systèmes d’exploitation. Pour cela,
on a découpé la sécurisation aussi en trois niveaux :

Sécurité au niveau protocolaire

Sécurité au niveau applicatif
Sécurité au niveau système de l’exploitation.

 Les mesures de sécurité au niveau protocolaire

Consiste à implémenter les mesures de sécurité nécessaire pour combler les lacunes au niveau
protocolaire, prenant un exemple, les services de sécurités offertes par SRTP (version sécurisé
du protocole RTP)

La confidentialité des données RTP.

L’authentification et la vérification de l’intégrité des paquets RTP.

La protection contre le rejeu des paquets, chaque client SIP tient à jour une liste de tous
les indices des paquets reçus et bien authentifiés.
31
  Sécurité au niveau applicatif

Pour sécuriser le serveur, on recommande :

L’utilisation d’une version stable contenant les derniers mis à jours recommandés
par le fournisseur aussi bien la partie client et serveur.

La création d’un environnement de test dans lequel on va tester les mises à jour des
applications utilisé et ce avant de leurs installation dans un environnement de production.

A ne pas utiliser la configuration par défaut qui sert juste à établir des appels. Elle
ne contient aucune mesure de sécurité.

A ne pas installer les Soft phones dans le serveur. Pour notre application, la
sécurité c’est une étape primordiale, après des recherches, la société a choisi Snort
système de détection d'intrusion réseau ou NIDS, Snort permet de surveiller les données
de package envoyées et reçues via une interface réseau spécifique. Il permet aussi de
détecter les menaces ciblant les vulnérabilités de votre système à l'aide de technologies de
détection et d'analyse de protocole basées sur des signatures. Il existe plusieurs endroits
où nous pouvons mettre en place notre NIDS. Le schéma ci-dessous illustre un réseau
local ainsi que les trois positions que peut y prendre un IDS

32
En se basant sur la figure ci-dessous, nous pouvons mettre en place Snort

Juste avant le routeur internet

Ici, notre NIDS va détecter l'ensemble des attaques frontales provenant de l'extérieur, en
amont du firewall.

Dans le DMZ

Ici, notre NIDS est placé sur la DMZ (Zone dématérialisé), il détectera les attaques qui
n'ont pas été filtrées par le firewall et qui relèvent d'un certain niveau de compétence.

Avec les postes clients

Ici, notre NIDS va détecter les attaques internes, provenant du réseau local de
l'entreprise. Il peut être judicieux d'en placer un à cet endroit étant donné le fait que 80%
des attaques proviennent de l'intérieur.

33
Conclusion :
Il est évident que la VoIP est la solution la plus rentable pour effectuer des conversations.
Les différents protocoles qu’elle possède, constituent l’une des forces majeures de cette
technologie. Plusieurs facteurs déterminent la qualité du service offert par cette dernière
notamment l’écho, la latence, la gigue et les pertes de paquets. En raison de la grande
disponibilité qu’elle offre, la VoIP est victime de plusieurs attaques telles que le sniffing, le
suivi des appels, la gigue et l’écoute clandestine.

Dans le chapitre suivant, on présentera nos besoins et l’outil Asterisk.

34
Chapitre 3 : Outil Asterisk :

Introduction :
Asterisk est un open source framework pour la création d'applications de communication.
Asterisk transforme un ordinateur ordinaire en un serveur de communication. Asterisk
alimente les systèmes PBX IP, les passerelles VoIP, les serveurs de conférence et d'autres
solutions personnalisées. Il est utilisé par les petites entreprises, les grandes entreprises,
les centres d'appels, les opérateurs et les agences gouvernementales du monde entier.
Asterisk est gratuit et open source.

Conçu à l'origine pour Linux, Asterisk fonctionne également sur une variété de systèmes
d'exploitation différents, notamment FreeBSD, Mac OSX, CentOS et Solaris. Le logiciel
Asterisk comprend de nombreuses fonctionnalités disponibles dans les systèmes PBX
propriétaires :

▪ Messagerie vocale

▪ Conférence téléphonique

▪ Réponse vocale interactive (menus du téléphone)

▪ Distribution automatique des appels

Asterisk n'est pas un proxy SIP. Un proxy SIP gère le contrôle des appels au nom d'autres
agents utilisateurs (UA) et ne maintient généralement pas l'état pendant un appel et n'est
donc jamais le point de terminaison d'un appel. Asterisk, en tant que serveur, est un
registraire SIP et un serveur de localisation et agit également en tant que point de
terminaison d'agent utilisateur. Fondamentalement, il s'agit d'un logiciel de softphone
pour opérer un appel via Internet qui peut recevoir un message REGISTER et place les
informations qu'il reçoit dans ces demandes dans le service de localisation pour le
domaine qu'il gère.

S'il "contrôle" ou relaie un appel d'un téléphone SIP vers un autre téléphone SIP, il agit
simplement comme un agent utilisateur (UA) de point d'extrémité vers le segment d'appel
d'origine, puis crée un nouvel appel vers le téléphone récepteur. Par conséquent, il reste
"au milieu de l'appel", en maintenant l'état et en contrôlant, et éventuellement en pontant,
chaque point de terminaison distant.
35
Asterisk peut donc être décrit au mieux comme un "agent utilisateur back-to-back"
(B2BUA), qui est également compatible avec l'utilisation du terme "PBX". Asterisk est
une puissante passerelle multimédia.

1. L’architecture du réseau :

 Matériel requis :
- Machine serveur : Sur laquelle installé un système d’exploitation Linux Ubuntu et le
serveur de VoIP, « Asterisk ».
- Ordinateur avec un logiciel VoIP : machine sur laquelle on installe un système
d’exploitation Windows et un client Zoiper.
- Smartphone Android : Smartphone sur lequel nous avons installé l’application
Zoiper

36
 2. Mise en place du réseau Asterisk :

 Installation d’Asterisk

- Préparation à l’installation

En commençant par mettre à jour notre distribution. Pour cela on utilisera les
commandes suivantes :

sudo apt-get update

sudo apt-get upgrade

- Installation d’Asterisk

On tape la commande:

sudo apt-get install asterisk

Après l’installation on modifie ces paramètres pour que Asterisk démarre à l’allumage
de l’ordinateur

sudo nano /etc/default/asterisk

RUNASTERISK=yes

RUNASTSAFE=no

 Commandes utiles:

Pour se connecter à la CLI d'Asterisk : # asterisk –r

Une fois connecté à Asterisk via la console, plusieurs commandes utiles, internes à la console
sont disponibles :

- « help » : liste des commandes et aide associée ;

- « reload » : recharge tous les fichiers de configurations ;
- « restart now » : relance complètement et immédiatement Asterisk ;
- « sip reload » : recharge le fichier sip.conf ;
- « sip show peers » : voir le statut des peers SIP ;

37
 - « sip show channels » : permet de voir les canaux actifs ;
- « sip set debug » : permet de voir les messages SIP qui passent par le serveur ;
- « dialplan reload » : recharge le fichier extensions.conf ;
- « agent show » : voir le status des agents ;
- « agent logoff name » : déconnecter l’agent name ;
- « sip show users » : voir le statut des utilisateurs SIP.

 Configuration d’Asterisk :

Pour configurer notre serveur Asterisk nous allons modifier les fichiers suivants:

- Le fichier sip.conf : pour la configuration général d’Asterisk.

- Le fichier users.conf : pour la configuration des utilisateurs.
- Le fichier extensions.conf : pour la configuration du Dialplan.
- Le fichier voicemail.conf : pour la configuration de la boite vocale.

C’est fichiers se trouvent dans le dossier /etc/asterisk

38
Chapitre 4 : Réalisation :

 Configuration d’Asterisk :

Mettre tous les packages à jour

Installation d’Asterisk à l’aide

L’autorisation du démarrage du serveur à l’allumage d’ordinateur à l’aide de la

commande

sudo nano /etc/default/asterisk

RUNASTERISK=yes
39
 RUNASTSAFE=no

Configuration générale d’Asterisk à l’aide du fichier sip.conf pour configurer les logins et les
mots de passe, avec deux utilisateurs avec numéros de SIP 1000,2000

40
 Configuration du fichier extensions.conf pour router les appels vers un utilisateur ou sa
messagerie.

On ouvre le CLI à l’aide de la commande asterisk –r puis on affiche le statut des peers à l’aide
de la commande sip show peers

La colonne Host unspecified montre qu’aucune appareil n’est connectée.

41
  Configuration du Softphone Zoiper :
Un Softphone est un type de logiciel utilisé pour faire de la téléphonie par Internet depuis un ordinateur plutôt
qu'un téléphone. Chaque utilisateur a la possibilité de télécharger le Softphone (version Android ou version
Windows) suivant le terminal utilisé. La figure ci-dessous représente l’interface utilisateur du logiciel Zoiper.

Chaque utilisateur à des champs propre à savoir :

- Le champ Domain dans lequel on ajoute l’address IP du serveur Asterisk

- Le champ Username dans lequel on ajoute numéro d’identifiant du tel exemple

2000

- Le champ Password dans lequel on ajoute secret mot de passe

42
 La figure ci-dessous montre un test d’un appel réussi entre deux Softphone Zoiper qui
sont installés le premier sur Windows 11 et le deuxième sur Android.

L’utilisateur qui a une extension 2000 effectue un appel avec l’utilisateur qui a une
extension 1000, il suffit de composer le numéro de l’appelé, si la ligne est libre, une
sonnerie se déclenche chez le récepteur avec l’affichage du numéro de l’appelé.

 Attaque contre la VOIP :

Nous allons dans cette partie se concentrer sur l’écoute clandestine et l’identification des identités des clients sip
aussi leur mot de passe et l’attaque INVITE FLOOD à l’aide du logiciel open source nommé WIRESHARK et
en utilisant KALI LINUX.

- Ecoute Clandestine avec Wireshark :

On a utilisé Wireshark pour l’analyse des paquets réseaux et l’écoute des appels téléphonique via la voix sur IP.

La figure suivante présente des exemples des paquets capturés par Wireshark à savoir les adresses IP, les
numéros de ports, et d’autres informations.

43
La figure suivant présente des captures des trafics RTP.

44
L’outil Wireshark, permet d’écouter une communication entre deux clients Sip (Softphone) en décodant les
paquets RTP envoyés lors d’une communication en temps réel

Avec Wireshark, on a pu récupérer les paquets RTP et faire l’écoute de la conversation téléphonique établie
entre deux clients Sip comme l’indique la figure ci-dessous.

45
 - Cracker le mot de passe avec Kali Linux :
La figure ci-dessous montre un cas plus avancé qui consiste à afficher les mots de passe des clients SIP, on a
cracker le mot de passe en utilisant l’utilitaire svcrack.

- Invite Flood :

46
Invite flood est un outil qui permet d'effectuer un débordement de message SIP / SDP INVITE sur UDP / IP
pour effectuer une attaque DOS ( Deny of Service ). Cet outil est utilisé pour inonder une cible avec des
messages de demande INVITE, tant que cet outil continue d'inonder le PBX, il empêche les clients de passer
des appels téléphoniques

 Solutions pour la sécurisation :

- Secure RTP (SRTP)

On configure le fichier sip.conf on ajoute la caractéristique ‘encryption =true ‘ pour

implémenter le protocole SRTP.

Un paquet SRTP est généré par transformation d’un paquet RTP grâce à des mécanismes de
sécurité. Donc le protocole SRTP effectue une certaine mise en forme des paquets RTP avant
qu’ils ne soient sur le réseau. La figure suivante présente le format d’un paquet SRTP.
47
 - Outil tiers mis en œuvre pour empêcher les attaques par force brute :

Fail2Ban est un logiciel conçu pour protéger le système contre les attaques par force brute. Basé
sur les journaux du programme, fail2ban bloque l'accès pendant un certain temps pour une
adresse IP malveillante. Si cette adresse continue d'être sale même après le déblocage, elle peut
être bloquée pour toujours.

Installation de fail2ban :

sudo apt-get install fail2ban && sudo apt-get install iptables

sudo systemctl enable fail2ban

Spécifier les règles iptables pour les intrus :

nano /etc/fail2ban/jail.conf

48
 Quelques options dans jail.conf :

bantime - le temps pendant lequel l'IP sera bloquée si elle dépasse les paramètres ci-
dessus

maxretry - le nombre de requêtes infructueuses pendant le temps (paramètre findtime )

après lequel l'adresse IP sera bloquée

enabled - état de la section (on/off)

filtre - le nom du filtre de recherche par expressions régulières.

logpath - chemin d'accès à un fichier avec les journaux dans lequel fail2ban recherchera
les personnes essayant de pirater votre système

findtime - la période pendant laquelle les demandes infructueuses seront prises en

compte

action - action qui sera exécutée lorsque le paramètre maxretry sera atteint

fail2ban logs :

Fichier log Asterisk pour surveiller fail2ban 

nano /etc/asterisk/logger.conf

49
 Rechargez le système de journalisation :

sudo asterisk -rx "logger reload"

Rechargez le service :

sudo systemctl restart fail2ban

On essaye d’entrer un mot de passe incorrecte plus de 3 fois qui est cité en maxretry :

50
 Vérification :

sudo fail2ban-client status asterisk-iptables

L’ip-table asterisk montre qu’il y a que l’adresse IP 192 .168.1.7 a été banni après avoir
entré un mot de passe incorrecte 3 fois consécutif dans le temps findtime prédéfinie.

cat /var/log/fail2ban.log

La capture d’écran montre que l’utilisateur à l’adresse IP 192.168.1.7 a été banni à 19 :58

- Installation et configuration de Snort :

Snort est un système de détection d'intrusion, ce dernier permet d’analyser le trafic réseau de
type IP, il peut être configuré pour Fonctionner en quatre modes :

• Le mode sniffer, dans ce mode, SNORT lit les paquets circulant sur le réseau et les
affiche d’une façon continue sur l’écran ;
51
 • Le mode « packet logger », dans ce mode SNORT journalise le trafic réseau dans des
répertoires sur le disque

• Le mode détecteur d’intrusion réseau (NIDS), dans ce mode, SNORT analyse le trafic
du réseau, compare ce trafic à des règles déjà définies par l’utilisateur et établi des actions
à exécuter.

• Le mode Prévention des intrusions réseau (IPS), c’est SNORT-inline.

Installation Snort :

Installation des packages source :

52
 Démarage de snort

Détection des attaques avec Snort :

C’est le mode basic, il permet de lire et afficher à l’écran les paquets TCP/IP circulant sur le
réseau. La configuration du snort se réalise en tappant les comandes suivantes :

root@ubuntu:/home/ aida # snort –v

Cette commande permet d’exécuter et d’afficher les entêtes des paquets TCP/IP.

root@ubuntu:/home/ aida # snort –vd

Cette commande permet d’exécuter SNORT et d’afficher tout le paquet TCP/IP (entête et
données).

root@ubuntu:/home/ aida # snort –vde

Cette commande permet d’exécuter SNORT et d’afficher tout le paquet TCP/IP (entête et
données)

53
La commande : snort –v

La commande : snort –vd

54
 La commande : snort –vde

Conclusion :

A traves ce chapitre, on a mis en œuvre la conception abordée au niveau du chapitre précédant.

On a commencé par présenter l’environnement matériel et logiciel de travail, par la suite, on a
énuméré l'ensemble des taches réalisées en général et en détail

55
 Conclusion

La VoIP est la solution la plus rentable pour effectuer des conversations. Actuellement il est
évident que la VoIP va continuer à évoluer. La téléphonie IP est une bonne solution en matière
d’intégration, fiabilité et de coût. On a vu que la voix sur IP étant une nouvelle technologie de
communication, elle n’a pas encore de standard unique. Chaque standard possède ses propres
caractéristiques pour garantir une bonne qualité de service. En effet, le respect des contraintes
temporelles est le facteur le plus important lors du transport de la voix. Asterisk est ouvert à
tous, gratuit et simple d’utilisation. Asterisk a de quoi s’imposer. Ces vrais concurrents sont
plutôt les PBX Hardware. Qui sont chers mais performant et fiable. Les solutions libres peuvent
fournir les outils les plus performants et les mieux documentés sans procurer un même service
relationnel. Ce projet nous a permis de mettre en pratique nos connaissances théoriques
acquises.

Ce projet a été une expérience fructueuse qui nous a permis de mieux s’approcher du milieu
professionnel et d’enrichir nos acquis reçus en VoIP. Cette expérience nous a permis de bien
améliorer notre capacité d’analyse et de résolution de problème et ce avec les moyens de bord.

56