Académique Documents
Professionnel Documents
Culture Documents
Thème
- Mr MESSADIA Nadir
2019/2020
Résumé :
La voix sur IP (VoIP) est un terme utilisé pour les communications vocales via le protocole
Internet. Le but de ce PFE est de mettre en place une plateforme de téléphonie basée sur la VoIP (voix sur
IP) qui permet d'établir des communications vocales aisément et gratuitement en toute sécurité, en interne
(au niveau du même site) ou en externe (avec les autres sites).
Nous exposons en premier lieu les notions de base essentielles pour la compréhension du déroulement de
cette technologie ainsi que sa sécurisation; enuite nous installons la solution dans une infrastructure
réseau sécurisée, en préparant un environnement pour les tests de communication à effectuer.
Mots clés : VOIP, SIP, Réseaux, Téléphonie, Appel vocal, Téléphone logiciel, Télécommunication
Abstract
Voice over IP (VoIP) is a term used for voice communications via Internet Protocol. The purpose
of this project is to set up a telephony platform based on VoIP (VoIP) that allows you to establish voice
communications easily, securely, and free. Internally or externally.
First, we set out the basics essential for understanding the flow of this technology and its security. We
then install the solution in a secure network infrastructure, preparing an environment for the tests of
communication.
κΨϠϣ
ΖϧήΘϧϻϝϮϛϮΗϭήΑ ήΒϋΔϴΗϮμϟΕϻΎμΗϼϟϡΪΨΘδϳϠτμϣϮϫΖϧήΘϧϻϝϮϛϮΗϭήΑήΒϋΕϮμϟ
˯ήΟϹέΎΒΘΧΔΌϴΑ ˯ΎθϧϞΟϦϣϞΤϟΖϴΒΜΘΑϡϮϘϧϢΛˬΎϴΟϮϟϮϨϜΘϟϩάϫϢϬϔϟΔϳέϭήπϟΕΎϴγΎγϷϝϮΣΔϳήψϧΔγέΪΑϡϮϘϧϦΤϧϻϭ
ϝΎμΗϻΕέΎΒΘΧ
Nous rendons grâce à Dieu tout puissant qui nous a donné la force de la volonté
d’accomplir et de réaliser ce mémoire nous exprimons notre totale reconnaissance a tout
ceux qui nous ont prêté main forte tout au long de la réalisation de ce travail nos
remercîment sont adressés tout particulièrement :
Nous tenons à exprimer nos sincères remerciements à notre chef département et nos
professeurs
Nous adressant un remerciement particulier à nos familles et chers amis respectifs pour
l'encouragement au cours de la réalisation de ce mémoire
A mes tres cheres parents pour votre soutien morale tout au long de mon chemin qui n'était pas de repos, a
votre patience , à votre sagesse et à votre devouement que ce travail soit le temoignage de mon affection et
de ma reconnaissance.
A mes freres MOHANDSAID et HAKIM mes deux anges gardiens presents quand tout va bien et quand
tout va mal ,qui ne cessent de me taquiner jour et nuit.
A la mémoire de mon oncle maternel SAID que dieu garde son âme dans son vaste paradis.
A la memoir de mon ami AMINE que dieu garde son âme dans son vaste paradis.
A ma grande famille mes oncles (MORAD, LAKHDER, BRAHIM, HAMID,AMEUR) et mes tantes
(WARDA, DAHBIA, ATTIKA, ZAHIA, NACERA) et a mes 40 cousins (LYDIA, LYNDA, SARAH,
RAMI, YASMINE, LYLIA, KAHINA,31,3(16(.285$ ….).
A mon Binome IKRAM qui était la source de motivation le booste et la lumiere de ce projet merci pour
tous ce qu'on a apprit et bien sur a notre chocolat chaud .
A mes amis le groupe d'ABDELHAK citant AMEL, MARIA, MANEL, IBRA, ELBOUDJ, OUISSEM, HOUDA,
ISLAM, OUSSAMA, MOHAMED, NAWEL, REDOUAN,LOTFI, et YASMINE, pour les moments de folies et de
travail passés avec eux et bien sur leur soutien tout au long de mes 5 ans passées avec eux .
A mes autres amis ( LES SMistes et LES SNVistes) GHADA pour son delire, ELHADI pour son soutien morale,
YOUCEF pour son intelligence, LILOU pour ses pattes, NADIR pour son humour farfeulu , HOUSSAM pour ses
belles photos et RYAD pour son encouragement.
A mes collegues amies et sœurs (LES 4 MOUSQUETTAIRES) DJAZIA BILINDA et HANAN ces dernieres etaient
là durant chaque seconde passée de ma vie je vous remercie d'etre presentes et de continuer a exister dans ma vie.
A ma cherie adoré FELLA ma boulle d'energie je te remerci de venir a chaque fois quand ça va pas bien et me
preparer des pattes a 2h du matin.
A ma tres chere ami que j'ai connue recement HANYA (WIDHAN) mais qui était presente jour et nuit merci pour ton
soutien morale et intellectuelle tu etais un booste durant toute l'année et celle d'avant.
A mes amis que j'ai recemment connue durant mon stage pratique a la CNR tata RACHIDA et YACINE pour le thé
du matin, MEHDI, NADIR, et mes cheres encadrant que je ne cesserai de remercier pour leur acceuil chaleureux et
leur proffesionalisme.
A mes collegues de la GYMNASTIQUE ,mes ATHLETES adorés (ZIAD, HICHEM, ISHAK..) et mes
CONCURANTS .
A lahmissa GRINGOO pour ton soutien et ton aide durant mes 8 dernieres années.
Ma chère mère, pour l'éducation et le grand amour dont elle m'a entouré depuis ma naissance, pour sa
patience, et ses sacrifices.
Mon cher père, pour son soutien, et ses sacrifices depuis ma naissance.
Moi-même, pour les nuits blanches que j'ai fait en réalisant ce travail, pour mes sacrifices, ma patience, et
tous les moments où j'étais aussi forte pour continuer jusqu’à la fin.
Mon cher frère Chaker, qui était toujours à mes côtés, pour ses encouragements, son soutien, et sa grande
patience et compréhension dans mes moments de pression et de stresse.
L'âme de ma grand-mère, pour tout l'amour et la tendresse qu'elle ma donner, pour ses prières qui me
protègent jusqu’aujourd'hui.
Toute ma famille, mes tantes Nima et Bahia qui m'ont entouré d'amour, de tendresse, et de prières depuis
ma naissance, mon oncle Mahmoud et mon grande père pour leur soutien.
Tous mes professeurs, pour tout ce qu'ils m'ont appris, ce qui m'a permis de réaliser ce travail.
À Mr Abbas, Mr Rahmani, qui étaient ma motivation pour aimer l'informatique.
Mes promoteurs : Mr Benrejdal et Mr Messadia, pour tous leurs efforts, leur professionnalisme, leur
modestie, le partage de leurs expériences, et leur encadrement qui a permis la réussite de ce travail.
0U%HQKDVVLQ6DOLPSRXUUROHLPSRUWDQWGDQVPRQVWDJHSUDWLTXHDLQVLTXHODUHXVVLWHGHFHWUDYDLO
HWDXVervice de formation de la CNR : Mme %RXURXELRachida et Mr Rechache Yassine, pour leur
motivation et bonne énergie chaque matin.
Mon binôme, Ania, pour toute l'énergie positive qu'elle a partagé avec moi, pour sa bonne humeur, sa
patience, et tous ses efforts.
Mr Fateh Nour-Eddine, pour tout l'aide qu'il m'a donné afin de réussir ce travail, pour sa patience, et sa
générosité.
Manel, Amira,et toutes les personnes qui étaient a mes côtés durant mes années universitaires.
Les filles du groupe "Be Educated", pour votre amour, votre soutien, et vos prières. Vous êtes une source
de joie, de force, et de motivation.
A toutes les personnes qui m'ont soutenu, A moi-même.
Ikram MANSOURI
1. Table des matières
Introduction générale .......................................................................................................... 1
&KDSLWUHEnvironnement de Stage et Problématique
1.1. Présentation de l’Organisme d’accueil....................................................... 2
1.2. Missions de la CNR..................................................................................... 3
1.3. Les objectifs fixés par le DG de la CNR..................................................... 3
1.4. Organisation de la CNR.............................................................................. 4
1.4.1. Le siège de la CNR .............................................................................................. 5
1.4.. Les missions de la Direction de l’Informatique et de l’Organisation ..................... 6
1.4.3. Les missions de la Sous-direction de l’Exploitation :.............................................. 7
1.5. Les objectifs du projet : .............................................................................. 7
1.6. Problématique :........................................................................................... 7
1.6.1. Pourquoi cette solution :...................................................................................... 8
1.7. Méthode de gestion de projet : La méthode adaptative (APF).................. 8
1.8. Diagramme de Gantt : ................................................................................ 9
&KDSLWUHDpfinition des 1otions de 5pseau
2.1. TCP / IP..................................................................................................... 10
2.1.1. Définition :.......................................................................................................... 10
2.1.2. Architecture du TCP/IP ...................................................................................... 11
2.1.3. Le modèle TCP/IP :............................................................................................. 11
2.1.. Equipements du réseau informatique : ................................................................. 14
2.2. Le Routage : .............................................................................................. 15
2.2.1. Types de routage :................................................................................................ 15
2.3. LHV FLUHZDOOV .................................................................................... 16
2.3.1. Définition :............................................................................................................ 16
2.3.2. Le rôle d'un Firewall : ........................................................................................... 16
2.3.. L'emplacement d'un Firewall.................................................................................. 16
2.3.. Les types de filtrage : ........................................................................................... 17
2.3. Les modèles des Firewalls :................................................................................... 17
2.3.. La journalisation au niveau du Firewall :.............................................................. 18
2.4. Les Réseaux Privés Virtuels (VPN) :........................................................ 18
2.4.1. Définition de VPN : ............................................................................................. 18
2.4.2. Avantages et limites : ............................................................................................ 19
2.4.3. Les Types de VPN : ................................................................................................ 19
&KDSLWUHVOIX SUR IP
3.1. Définition :................................................................................................. 23
3.2. Architecture : ............................................................................................ 23
3.3. Eléments de base de la VoIP :................................................................... 24
3.3.1. Bande Passante : ................................................................................................... 24
3.3.2. Qualité de service :................................................................................................ 24
3.3.3. Routage :............................................................................................................... 24
3.3.4. Codage :................................................................................................................ 25
3.4. Protocoles de la VoIP :.............................................................................. 25
3.4.1. Les protocoles de transport :.................................................................................. 25
3.4.. Les protocoles de signalisation :............................................................................ 26
3.4.. Comparaison entre H 323 et SIP : .......................................................................... 27
3.5. Scenario de communication : ................................................................... 28
3.6. Solutions Open source : ............................................................................ 29
&KDSLWUHCRQFHSWLRQ
4.1. Choix de la solution Open-source :.......................................................... 30
4.2. Définitions des éléments/équipements à utiliser : ................................... 32
4.2.1. Plan d'adressage ................................................................................................... 32
4.2.2. IPBX (CALL MANAGER) :................................................................................ 32
4.2.3. Les Firewalls :...................................................................................................... 32
4.2.4. VPN :.................................................................................................................. 33
4.3. Architecture globale : ............................................................................... 33
4.4. Modélisation UML :.................................................................................. 34
4.4.1. Diagramme de cas d’utilisation : ......................................................................... 34
4.4.2. Diagramme de classes : ........................................................................................ 35
4.4.3. Diagramme d'activités :........................................................................................ 35
4.5. Configuration des équipements :.............................................................. 37
4.6. Mesures de sécurité et gestion des risques : ............................................. 38
4.6.1. Les risques identifiés et les mesures de sécurité proposées : ................................. 39
4.7. Scenario de communication : ................................................................... 41
&KDSLWUH,PSpPHQWDWLRQ
5.1. Environnement de travail :....................................................................... 43
5.1.1.Environnement matériel : ............................................................................................ 43
5.1.2.Environnement logiciel : ........................................................................................... 43
5.2. Plan de l'implémentation de la solution : ................................................. 44
5.3. Installation et Configuration d’ELASTIX :............................................ 45
5.4. Etapes à suivre pour la gestion des comptes : ......................................... 48
5.5. Configuration des équipements :.............................................................. 51
5.5.1. Configuration des softphones ............................................................................ 51
5.5.2.Configuration des Firewalls ............................................................................... 52
5.5.3.Configuration du VPN et routage........................................................................ 54
5.5.4. Configuration des Trunks................................................................................... 55
5.6. Configuration des Smartphones (Mobile VoIP) : ................................... 56
5.7. Configuration des IP Phone (Hardware / Matériel) : 57
5.8. Test de communication :........................................................................... 59
5.9. Tests d'ecoute de trafic et securisation de la solution :............................ 61
Conclusion générale..............................................................................................................68
Bibliographie ......................................................................................................................
7.
$QQH[H$ ............................................................................................................................
$QQH[H%............................................................................................................................
Introduction générale
Introduction générale
La voix sur IP est une technologie permettant de transmettre et recevoir les données vocales en
utilisant le protocole Internet, elle est utilisée avec différentes architectures et exige des outils précis et
des protocoles spécialisés définissant son fonctionnement.
Au titre de notre stage au sein la direction générale de la Caisse Nationale des Retraites (CNR),
nous avons proposé la mise en place d'une solution Voix sur IP open-source au niveau de l'ensemble de
ses agences et au siège central ; afin de répondre aux besoins de la société qui se résument
principalement en la mise en place d'une plateforme de téléphonie qui permet aux employés de
communiquer aisément et gratuitement au sein du même local ou entre agences, et d'une manière
sécurisée.
Le deuxième et le troisième chapitre comporteront une étude des concepts théoriques nécessaires pour la
compréhension des notions de notre projet, à savoir le modèle TCP-IP, les Firewalls, le routage, le VPN
et la voix sur IP.
Le quatrième chapitre présentera la conception générale de notre projet, y compris les définitions et
configurations de base, l'architecture, la modélisation UML, ainsi que la gestion des risques.
Dans le dernier chapitre intitulé "Implémentation", on décrira d’une façon détaillée la mise en place de
notre solution VoIP, ainsi que les tests nécessaires.
ϭ
Chapitre 1 Environnement de stage et problématique
Chapitre 1
Environnement de Stage et Problématique
Afin de mener à bien un projet informatique au sein d’une entreprise, il est nécessaire de bien la
connaitre, de comprendre son organisation interne et externe et d’identifier les éléments de son
environnement et leurs degrés d’influence. Il est également nécessaire de comprendre sa raison sociale
ainsi que le métier qu’elle exerce, d’identifier les différents processus métiers à impliquer dans le projet et
de bien cerner son cadre de travail.
Ainsi, il est important de faire une étude globale sur l’entreprise afin d’identifier ses forces et ses
faiblesses, de comprendre réellement la problématique posée du point de vue organisationnel, métier et
technique afin de pouvoir proposer la solution la plus adéquate.
A travers ce chapitre, nous allons présenter une synthèse sur l’existant organisationnel, informatique et
décisionnel actuel de la CNR.
Avant 1985, huit différentes caisses coexistaient en Algérie, dont le rôle de chacune était d’assurer la
gestion d’un régime de retraite particulier. Il s’agissait de :
La CNR représente actuellement la fusion de ces huit caisses. Elle est chargée de gérer les différences
sectorielles des retraites existantes en assurant un régime national de retraite unique, qui offre les mêmes
avantages à tous les employés quel que soit leur secteur d’activité.
Le rôle principal de la CNR est la gestion des pensions des retraités et de leurs ayants-droit, et ce
jusqu’à l’extinction de leurs droits.
Elle s’engage à assurer, chaque mois, le versement des pensions et allocations de retraites à tous ses
pensionnaires à l'échelle nationale. C'est pourquoi elle se doit d’assurer un contrôle et un suivi du
recouvrement de toutes les cotisations destinées au financement des pensions de retraite, et de garantir un
équilibre entre cotisations et prestations.
La CNR veille en plus à la bonne circulation de l’information au profit des bénéficiaires et des employés,
afin de les tenir au courant de toute l’actualité et des éventuels changements.
D'après le DG de la CNR :
" Le recours aux technologies de l’information et de la communication (TIC) apparait comme une
solution idoine à même de satisfaire les besoins des différents partenaires.
Il est à noter que les TIC jouent un rôle fondamental pour la CNR en permettant la gestion de grandes
quantités d’information et la communication avec les assurés sociaux, d’une part, et entre les
organismes, d’autre part, et ce, dans le cadre de la mise en œuvre de l’entraide administrative"
ϯ
Chapitre 1 Environnement de stage et problématique
1- Veiller sur le bon fonctionnement de l’outil informatique, système d’exploitation et réseau dans les
agences relevant du CCR.
2- Un développement continu de la qualité des prestations de services ainsi que la modernisation de ses
infrastructures et de leur fonctionnement.
3- Mettre en forme une nouvelle formule de communication donnant à chaque utilisateur les moyens de
fournir, de recevoir, d’accéder et de partager des informations et ce, dans les meilleurs délais et
conditions possibles.
4- Mise en place au niveau des agences CNR locales de wilaya de cellules d’accueil du citoyen, de la
communication et de l’écoute sociale.
5- Ouverture de structures d’accueil, d’orientation et d’information en direction des assurés sociaux.
6- Automatiser l’établissement des relevés de carrière des assurés sociaux, et de réduire, de manière
significative, le délai de liquidation du dossier de retrait.
L’organisation de la CNR repose sur une large déconcentration, car bien que les agences assurent
le paiement de leurs retraités, elles n’ont pas les capacités juridiques totales et ne sont également pas
dotées de la totale autonomie financière.
La CNR est organisée en plusieurs structures hiérarchiques afin de permettre une meilleure
gestion, un bon suivi et contrôle de ses activités au niveau national. Elle est composée de :
ϰ
Chapitre 1 Environnement de stage et problématique
Le siège de la caisse est administré par un conseil d’administration et dirigé par le directeur général.
ϱ
Chapitre 1 Environnement de stage et problématique
Directeur Général
Secrétariat
Concevoir des méthodes d’Organisation en vue d’homogénéiser les procédures et les imprimés et de
les mettre en œuvre ;
Concevoir des logiciels en fonction des objectifs arrêtés ;
élaborer et de diffuser des manuels d’utilisation des divers logiciels conçus ;
Organiser l’activité des centres régionaux de traitement informatique et des agences et de veiller à
leur fonctionnement selon les normes préalablement définies ;
Organiser l’assistance nécessaire pour l’utilisation des matériels informatiques, en direction de
l’ensemble des utilisateurs (services centraux, agences locales…) ;
Assurer l’adaptation des applications informatiques en fonction de l’évolution de la législation et de
la règlementation ;
Définir et de mettre en œuvre des procédures de sécurité du système d’information (SI) et des
équipements ;
Administrer le réseau informatique ;
Collecter, de centraliser et de traiter les données et les informations statistiques.
ϲ
Chapitre 1 Environnement de stage et problématique
Réaliser des travaux liés au mandatement des échéances, à la gestion des prestations, financière,
comptable et administrative (exploitation informatique) ;
Organiser l’assistance nécessaire pour l’utilisation des matériels informatiques, en direction de
l’ensemble des utilisateurs (services centraux, agences locales…) ;
Veiller à la maintenance des matériels au niveau des centres de traitement informatique ;
Définir et mettre en œuvre une politique de maintenance.
1.6. Problématique :
La CNR utilise depuis sa création la téléphonie traditionnelle pour la communication interne (dans la
même agence) et externe (entre les agences), l'utilisation d'un tel moyen de communication pour une très
grande entreprise comme la CNR est déconseillé pour des raisons économiques et technologiques :
x Le volume d’appels locaux, régionaux et à longue distance est très élevé, et donc les factures
d'appels sont à grand chiffre.
x Les lignes téléphoniques sont loués au près d'un opérateur téléphonique : l'ouverture de
chaque ligne entraine des frais d'installation, chaque ligne fait l'objet d'un abonnement,
taxation, frais qui varient selon le lieu.
x Les frais de maintenance
x Le coût de la bande passante est très élevé et sa capacité globale est limitée.
Pour cela, et dans le cadre des objectifs cités par le DG et l'avancement technologique du domaine
de la VOIP, la CNR a décidé de faire une migration totale vers cette technologie, afin de résoudre les
problèmes cités précédemment. Les menaces sur la sécurité des communications poseront ainsi un
problème dans le cas de la migration vers la téléphonie IP.
ϳ
Chapitre 1 Environnement de stage et problématique
En analysant la situation on propose une solution pour cette problématique, qui est la mise en
place d'une plateforme de téléphonie VoIP au niveau de siège centrale et au niveau des agences, en
utilisant des tunnels VPN qui permettent une interconnexion directe et sécurisée entre les sites de la CNR.
La voix sur IP (VoIP) peut faciliter des tâches et fournir des services qu’il serait difficile ou
coûteux de mettre en œuvre en utilisant le réseau RTC traditionnel :
Plus d’un appel téléphonique peut être transmis sur la même ligne téléphonique haut-débit. De cette
manière, la voix sur IP peut faciliter l’ajout de lignes téléphoniques à l’entreprise, sans avoir besoin
de lignes téléphoniques matérielles supplémentaires.
Les fonctionnalités qui sont habituellement facturées par les sociétés de télécom, tels que le transfert
d’appel, l’ID d’appelant ou la composition automatique, sont simples avec la technologie de la voix
sur IP.
Les communications unifiées sont sécurisées avec la technologie de la VoIP car elle permet
l’intégration avec d’autres services disponibles sur Internet tels que la conversation vidéo, la
messagerie instantanée, etc.
La journalisation (monitoring) est très facile avec la VOIP, sans devoir passer par l'opérateur
téléphonique.
La méthode adaptative (Adaptive Project Framework) est une méthode de gestion de projet conçue
pour maximiser la valeur ajoutée dans les limites de contraintes de temps et de couts définies par le client,
grâce à l'ajustement du périmètre de projet à chaque itération.
Chaque itération doit être vérifiée et valider par le client avant de passer à la itération suivante.
Au sein de notre projet, la démarche de la méthode adaptative est appliquée comme suit (à noter
que chaque chapitre représente une itération) :
ϴ
Chapitre 1 Environnement de stage et problématique
Le diagramme de Gantt est un des outils de gestion de projet, il permet de gerer le deroulement
des taches de projet selon le temps et d'estimer la duree de chaque tache. La figure suivante represente le
diagramme de Gantt de notre projet :
Dans ce chapitre nous avons présenté l'environnement de stage ainsi que ses besoins et ses
objectifs, ce qui nous a menés à poser une problématique et proposer une solution adéquate qui est
l'implémentation de la VoIP. Nous avons par la suite présenté la méthode de gestion de notre projet, ainsi
que le diagramme de Gantt.
Dans le prochain chapitre, on présentera une étude théorique sur les notions de base de la VoIP.
ϵ
Chapitre 2 'pILQLWLRQGHVQRWLRQVGH5pVHDX
Chapitre 2
2. DpILQLWLRQ GHV 1RWLRQV GH RpVHDX
Ce chapitre est dédié aux personnes n'ayant pas des prés-requit sur des notions de réseau.
Pour qu'une information circule dans un réseau ou passe d'un réseau à un autre, elle doit passer
par un modèle de communication appelé le modèle TCP/IP qui définit des standards d'émission et
de réception de données entre deux machines. L'acheminement de ces données est réalisé par un
processus appelé ROUTAGE.
Pour sécuriser l'acheminement, on utilise des outils appelés les FIREWALLS qui filtrent les
données avant d'autoriser leur acheminement, une fois l'accès est autorisé, les données se
transmettent via un tunnel privé appelé le tunnel VPN (Virtual Private Network), ce qui assure leur
transmission en toute sécurité.
Dans ce chapitre nous allons étudier les notions de base dans la transmission et la réception de
données dans un réseau informatique. En commençant dans la première partie par définir le modèle
TCP-IP, ses différentes couches, la notion d'adressage, ainsi que quelques équipements nécessaires.
On étudie dans les trois parties restantes les autres notions d'acheminement de données : le routage,
les firewalls, et le VPN, en représentant leur utilité, leurs différents types, ainsi que leurs
fonctionnalités.
ϭϬ
Chapitre 2 'pILQLWLRQGHVQRWLRQVGH5pVHDX
Il existe deux types d'adresses ; l'adresse Mac (Physique) est l’identifiant unique stocké
dans une carte réseau (elle est parfois appelée adresse Ethernet) et l'adresse IP (Logique) qui est
donnée à un périphérique, permettant de l'identifier et de trouver son emplacement sur le réseau. Il
existe deux versions d'adresses IP : la version V4 et la version V6, notant que la version utilisée par
la CNR, notamment dans notre projet, est la version IPV4.
L'adresse IPv4 peut être représentée sur 32 bits sous forme Binaire (0,1) ou Décimale [0-255].
¾ La partie réseau : identifie le réseau auquel les hôtes appartiennent. Elle est unique dans
l'inter réseau.
¾ La partie hôte : Identifiant unique spécifiant chaque machine dans le réseau.
Un sous-réseau est une subdivision logique d'un réseau en plusieurs parties de taille
inferieure ce qui permet une meilleure utilisation de l'adresse réseau, pour mieux comprendre le
rôle du sous réseau, consultez cette référence. (2)
Cette couche regroupe les couches (physique et liaison de données) du modèle OSI, basée
sur des trames, elle permet à un hôte d’envoyer des paquets IP sur le réseau.
ϭϭ
Chapitre 2 'pILQLWLRQGHVQRWLRQVGH5pVHDX
L’implémentation de cette couche est libre et dépend de la technologie utilisée sur le réseau local,
comme par exemple ETHERNET. Elle contient toutes les spécificités concernant la transmission
des données sur ce réseau :
La couche Internet gère la circulation des paquets à travers le réseau en assurant leur
routage , ses protocoles les plus importants sont : (2)
Datagramme :
L'unité de base des paquets de données circulantes sur Internet, gérées par le protocole IP,
qui assure l'acheminement des datagrammes à travers un ensemble de réseaux interconnectés, en
gérant des adresses IP. Le protocole IP traite les datagrammes IP Indépendamment les uns des
autres.
Lors d'une transmission, les données traversent les couches au niveau de la machine
émettrice. A chaque couche, le paquet de données reçoit une nouvelle information, il s'agit d'un en-
tête, un ensemble d'informations qui garantit la transmission.
Au niveau de la machine réceptrice, l'en-tête est lu, puis supprimé lors du passage dans chaque
couche ; ainsi, à la réception, le message est dans son état original.
ϭϮ
Chapitre 2 'pILQLWLRQGHVQRWLRQVGH5pVHDX
La couche transport assure une communication de bout en bout, en faisant abstraction des
machines intermédiaires entre l’émetteur et le destinataire ; elle s’occupe de réguler le flux de
données et assure un transport fiable (données transmises sans erreur et reçues dans l’ordre de leur
émission) dans le cas de TCP, ou non fiable dans le cas d'UDP.;ϮͿ
Le Protocole TCP : C'est un protocole fiable et orienté connexion, qui assure le contrôle et
l’acheminement sans erreurs des paquets envoyés, le TCP envoie le paquet et attends l'accusée de
réception (techniquement il trace son chemin, quand le récepteur est présent il envoie les paquets)
Notion de segment : C'est une unité de données d'une application regroupées par TCP, qui ne
forme qu'un seul datagramme de manière à ne pas charger inutilement le réseau.
Le Protocole UDP : C'est un protocole non fiable et sans connexion de service applicatif, dont
l’émission de messages applicatifs ne nécessite aucune connexion préalable. Donc L'arrivée des
messages ainsi que l’ordonnancement ne sont pas garantis.
Son utilisation présuppose que l'on n'a pas besoin ni du contrôle de flux, ni de la conservation de
l'ordre de remise des paquets. (1)
Les Ports :
Des identifications utilisés pour identifier les applications qui permettent la communication
entre les machines intermédiaire, un système de numéro a été mis en place afin de pouvoir associer
un type d'application a un type de données, chacune de ces dernières doit attribuer une adresse
unique sur la machine qui est le port.
Quelques ports standards : FTP21, TELNET23, SMTP25, TIME37, DNS53, HTTP 80, POP3 10.
La couche des programmes utilisateurs. Elle se situe au sommet des couches de protocoles
TCP/IP ; elle contient les applications réseaux utilisées dans la communication des couches
inférieures. Ces applications communiquent grâce aux protocoles TCP ou UDP de la couche
transport.
ϭϯ
Chapitre 2 'pILQLWLRQGHVQRWLRQVGH5pVHDX
Les applications sont de différents types, mais la plupart sont des services réseau qui fournit à
l'utilisateur une interface avec le système d'exploitation. (2)
Les protocoles de la couche Application : TELNET, FTP, SMTP, HTTP/HTTPS, DNS, DHCP,
SSH, POP, TFTF, BOOTP, IMAP.
ϭϰ
Chapitre 2 'pILQLWLRQGHVQRWLRQVGH5pVHDX
2.2. Le Routage :
La table de routage est mise à jour d'une façon dynamique suivant un algorithme bien précis
(Algorithme de routage). (3)
Le routage statique se produit lorsqu'un routeur utilise une entrée de routage configurée
d'une façon manuelle. Les informations sont mises à jour manuellement à chaque modification
topologique de l'inter réseau.
Ce type de routage assure la sécurité par le masquage de certaines parties de l'inter-réseau, et il est
moins surchargé. Cependant, l'absence de la mise à jour et de la configuration automatiques de la
table de routage est considérée comme limite pour ce type de routage.
Le routage dynamique est adapté aux réseaux de grandes tailles. Il consiste à alimenter
automatiquement la table de routage et permet la mise à jour régulière et automatique de cette table
en fonction d'algorithmes de routage qui sont chargés de découvrir l'entourage réseau du routeur.
ϭϱ
Chapitre 2 'pILQLWLRQGHVQRWLRQVGH5pVHDX
2.3. LHV)LUHZDOOV
2.3.1. Définition :
Les firewalls protègent principalement les hôtes du réseau local, et les serveurs Internet.
Le rôle d'un firewall est de fournir un niveau de sécurité d’accès à un service de base, par
autoriser un administrateur à contrôler les zones auxquelles un client peut accéder sur un réseau.
Cela par filtrer les hôtes afin de leur accorder ou de leur refuser l’accès à une section de réseau. (4)
Chaque machine d’un réseau local relié à internet est dotée d’une adresse IP qui permet son
identification sur le réseau (voir le chapitre TCP/IP). Seul l’en-tête IP d’une trame peut laisser des
traces lors de son passage, le rôle des firewalls est de filtrer les paquets de données en vérifiant les
entêtes des trames pour plus de details on vous invite a voire la référence . (5)
Le Firewall est positionné entre le LAN et le WAN en ajoutant un filtre jusqu'à la couche
application. (6)
ϭϲ
Chapitre 2 'pILQLWLRQGHVQRWLRQVGH5pVHDX
Il existe deux autres architectures possibles pour l'emplacement du Firewall, une architecture
plus simple sans filtre applicatif dans le cas où le client ne possède pas de serveur interne ouvert sur
l'extérieur, et une architecture DMZ qui permet de séparer les serveurs du reste de réseau.
Il existe trois types de filtrage : filtrage par paquets (Règles d'accès), filtrage web (Firewall
Stateful), et filtrage d'applications(Proxy).
Sont généralement des routeurs qui permettent d’accorder ou de refuser l’accès en fonctions
des éléments suivants : l’adresse source, l’adresse destination, le protocole, et le numéro de port.
c) Notion de confinement : empêcher les utilisateurs internes de sortir du domaine protégé sauf par
un point précis. (7)
L'UTM ou gestion unifiée des menaces, est une solution de sécurité tout-en-un. Une
Appliance UTM réunit le plus souvent des fonctions telles que logiciel antivirus, logiciel anti-
espions, protection anti spam, Firewall réseau, prévention et détection des intrusions, filtrage des
contenus et prévention des fuites. Certains produits proposent également des services de type
ϭϳ
Chapitre 2 'pILQLWLRQGHVQRWLRQVGH5pVHDX
acheminement à distance, conversion d'adresses réseau et prise en charge des réseaux privés virtuels
(VPN). (1)
Les Firewalls gardent l'historique de toutes les activités effectuées dans le réseau, cette
opération est appelée journalisation.
Généralement les firewalls écrivent d'une façon quotidienne toutes les transactions autorisée ou
bloquées dans un fichier Log. Le terme Log est diminutif de Logging, qui peut être traduit en
français par "journal". Le fichier Log a comme mission principale consiste à stocker un historique.
Cette opération nous permet par la suite de garder l'historique les appels VoIP reçus et émis.
Un VPN est un réseau privé qui utilise un réseau public comme backbone, et permet
seulement aux utilisateurs ou les groupes qui sont enregistrés dans ce VPN d'y accéder et de se
connecter entre eux, il se repose sur le protocole de tunneling qui permet la circulation des
informations de façon crypté de bout en bout
Le principe d'un VPN est d'être transparent pour les utilisateurs et pour les applications y ayant
accès. Il doit être capable de mettre en œuvre les fonctionnalités suivantes : (10)
ϭϴ
Chapitre 2 'pILQLWLRQGHVQRWLRQVGH5pVHDX
les achemine en empruntant ce chemin virtuel. L'encapsulation des données est effectuée en
rajoutant un entête permettant le routage des trames dans le tunnel.
Definition:
C'est un VPN de type site-to-site. Le terme IPsec (IP Security Protocol) désigne un ensemble
de mécanismes destinés à protéger le trafic au niveau d’IP (IPv4 ou IPv6).
Il offre plusieurs services de sécurité tel que l’intégrité en mode non-connecté, l’authentification de
l’origine des données, la protection contre le rejeu, et la confidentialité (confidentialité des données
et protection partielle contre l’analyse du trafic).
Ces services sont fournis au niveau de la couche IP, offrant donc une protection pour IP et tous les
protocoles de niveau supérieur.
Les sites utilisant ce VPN doivent être identifiés par des adresses publiques et fixes. (13)
ϭϵ
Chapitre 2 'pILQLWLRQGHVQRWLRQVGH5pVHDX
Architecture:
Ce protocole permet d’une part de s’assurer que les paquets échangés n’ont pas été altérés, et
d’autre part de garantir l’identité de l’expéditeur d’un paquet.
Le protocole ESP (Encapsulation Security Payload) permet quant à lui d’assurer la confidentialité,
l’intégrité, et l’authentification des données échangées une fois employé avec IKE. Il est possible
d’utiliser uniquement les fonctions d’intégrité et d’authentification sans chiffrement (ce qui peut
satisfaire la plupart des cas d’usage d’AH). (11)
ϮϬ
Chapitre 2 'pILQLWLRQGHVQRWLRQVGH5pVHDX
Phase 1 :
L'objectif principal de la phase 1 est la mise en place d'un canal chiffré sécurisé par
l'intermédiaire duquel deux pairs peuvent communiquer dans la phase 2 (les deux pairs échangent
des informations d'identification. Les périphériques se reconnaissent et communiquent pour définir
un ensemble commun de paramètres à utiliser).
Lorsque la phase 1 se termine avec succès, les pairs passent rapidement à la phase 2 (les deux pairs
disposent d'une association de sécurité (SA) de phase 1.Cette SA est valable pour un certain laps de
temps).
Après l'expiration de la SA de phase 1, si les deux pairs doivent terminer à nouveau les
négociations de phase 2, ils doivent aussi reprendre la phase 1.
Phase 2 :
Après l'achèvement des négociations de phase 1 par les deux pairs IPsec, les négociations de
phase 2 débutent. Le but des négociations de Phase 2 est d'établir la SA de Phase 2 (parfois nommée
SA IPsec). Les SA IPsec sont un ensemble de spécifications de trafic qui indiquent au périphérique
le trafic à envoyer sur le VPN et la manière de le chiffrer et de l'authentifier. Dans les négociations
de phase 2, les deux pairs s'accordent sur un ensemble de paramètres de communication.
Les configurations de phase 1 et 2 doivent correspondre pour les périphériques situés aux
extrémités du tunnel. (14)
C'est un VPN de type site-to-site. Un DMVPN est une solution logicielle pour la
construction de réseaux privés virtuels (VPN) IPsec évolutifs.
Les nœuds d'un DMVPN sont des Spokes et un hub. Les Spokes sont connectés à un hub central
(voir la figure 13). Le hub doit avoir une adresse publique pour établir une communication
DMVPN.
Il permet un déploiement sans contact des VPN IPsec et améliore les performances du réseau en
réduisant la latence, tout en optimisant l'utilisation de la bande passante.(15)
Ϯϭ
Chapitre 2 'pILQLWLRQGHVQRWLRQVGH5pVHDX
C'est un VPN de type client-to-site qui permet aux utilisateurs d'établir une connexion
sécurisée au réseau internet depuis n'importe quel navigateur Web.
Il offre une session sécurisée du navigateur au serveur de l’application sachant que les navigateurs
internet passent facilement au SSL. Les navigateurs web possèdent déjà SSL de façon intégrée.
Les connexions SSL commencent par HTTPS au début de l’URL au lieu de HTTP.
Un client VPN est un logiciel basé sur une technologie qui permet l'établissement d'une
connexion sécurisée entre l'utilisateur et le serveur VPN. Certains clients VPN travaille en
background automatiquement, tandis que les autres ont des interfaces qui permettent l'interaction
avec l'utilisateur qui peut ainsi les configurer. Cependant, un client VPN est souvent une application
installée sur l'ordinateur, certaines organisations fournissent un dispositif (Hardware) préinstallé
avec le VPN software.
Dans le chapitre qui suit, on va étudier la technologie voix sur IP d'une façon profonde et détaillée.
ϮϮ
Chapitre 3 VOIX SUR IP
Chapitre
Chapitre
3
3.
VOIX SUR IP
La voix sur IP est la révolution de notre époque dans le domaine de la télécommunication ainsi
que celle de l'informatique. À partir des années 80, une première évolution majeure a été le passage à la
transmission numérique (TDM). La transmission de la voix sur les réseaux informatiques à commutation
de paquets IP constitue aujourd’hui une nouvelle évolution majeure comparable aux précédentes.
L’objectif de ce chapitre est l’étude de la technologie VoIP (Voix sur IP) et de ses différents aspects tel
que son architecture, ses éléments de base, ses protocoles, son principe de fonctionnement, ainsi que les
solutions open source disponibles.
3.1. Définition :
La VOIX sur IP (VoIP) est la transmission de la voix en utilisant le protocole TCP/IP, sur un réseau
public internet ou un réseau privé. Basée sur la commutation des paquets constituant la voix numérisée
sur un réseau IP vers une application (Call-Manager, SoftPhone) cette application, transforme les paquets
reçus vers la voix. (16)
3.2. Architecture :
Chaque norme a ensuite ses propres caractéristiques pour garantir la qualité de service.
Ϯϯ
Chapitre 3 VOIX SUR IP
x Le routeur : permet d'aiguiller les données et le routage des paquets entre deux réseaux.
x La passerelle (Gateway) : permet d'interfacer le réseau commuté et le réseau IP vers les autres
réseaux : réseaux téléphoniques, réseaux RNIS.
x Le PABX : le serveur contrôleur de la communication. C'est un commutateur qui assure la
communication via différents canaux de communication comme la voix sur IP et le réseau RTC.
Le IPBX ou PABX-IP est un PABX qui repose sur le protocole IP.
x Les Terminaux : Un élément logiciel ou matériel dont dispose l’utilisateur pour appeler et être
appelé.
¾ Le SoftPhone : Logiciel installé sur le PC de l'utilisateur permettant les appels VoIP.
¾ Le Hardphone : Téléphone IP qui utilise la technologie VoIP pour permettre des appels
téléphoniques sur un réseau IP.
C'est le débit binaire d'une voie de transmission exprimée en bits/seconde, elle est utilisée dans la
mesure de qualité des accès à un réseau Internet. (18)
La Qualité de Service (QoS) est la priorisation de certains services utilisant le réseau, comme la
téléphonie par VoIP ou la messagerie. Elle permet de classer les différents flux selon leur importance,
afin d'y assigner plus ou moins de bande passante.
En activant la QoS, on est en mesure de booster le débit de la ligne spécifiquement pour les services
VoIP. Les autres usages n’auront ainsi pas d’impact sur la qualité de communications ainsi d’une
connexion stable sur les lignes VoIP. (19)
3.3.3. Routage :
Comme on a vu dans le premier chapitre, le routage est la fonction exécutée dans chaque routeur
permettant d’acheminer un message vers sa destination en utilisant des informations d’acheminement qui
sont à sa disposition.
Ϯϰ
Chapitre 3 VOIX SUR IP
3.3.4. Codage :
Il est nécessaire d'encoder l'audio avant qu'il ne passe dans le réseau pour qu'il ne prend pas
beaucoup de place. Le codage et décodage de l'audio sont effectués par les codecs.
Un codec est basé sur un algorithme permettant de compresser et de décompresser un signal, de l'audio ou
de la vidéo, le plus souvent en temps réel, permet une réduction de la taille du fichier original. Le codec
numérise et compresse la voix de l'émetteur, ainsi les données numériques sont encapsulées dans des
paquets IP et acheminées vers le destinataire. A l'arrivés au destinataire, ce dernier grâce au même codec
décompresse et restitue le son. (20)
Exemples de codecs : G711 (Débit : 64Kbps), G726 (Débit : 32Kbps), G723 (Débit : 6,4Kbps), G729
(Débit : 8Kbps), GSM (Débit : 13Kbps).
Dans une architecture voix sur IP, nous trouvons principalement les protocoles de signalisation tel
que SIP, H323 et MGCP, ainsi que les protocoles de transport RTP et RTCP.
C'est un protocole de communication réseau qui permet de transporter des paquets de données
soumises à des contraintes de temps réel, tels que des flux média audio ou vidéo. Il envoie des données
au-dessus de TCP ou d'UDP.
Le rôle principal de RTP consiste à mettre en œuvre des numéros de séquence de paquets IP pour
reconstituer les informations de voix ou vidéo même si le réseau sous-jacent change l'ordre des paquets.
Ϯϱ
Chapitre 3 VOIX SUR IP
Le RTCP est un protocole de contrôle du média. Ce protocole permet aux parties participantes dans
une session d'échanger des rapports et des statistiques sur la qualité de service de la communication. (1)
Il existe trois protocoles de signalisation qui sont H.323, SIP, et MGCP. Ce dernier est de plus bas
niveau que H.323 et SIP ; pour cela nous allons définir et comparer les protocoles SIP et H323
uniquement.
H.323 :
Le H.323 est un protocole de communication englobant un ensemble de normes utilisées pour l’envoi de
données audio et vidéo sur internet.
Le protocole H.323 est utilisé pour l’interactivité en temps réel, notamment le visioconférence
(signalisation, enregistrement, contrôle d’admission, transport et encodage) (21)
Il se situe au niveau de la couche applicative et fonctionne selon une architecture client-serveur, le client
émettant des requêtes et le serveur exécutant en réponse les actions sollicitées par le client.
Ϯϲ
Chapitre 3 VOIX SUR IP
Le tableau ci-dessous représente la comparaison entre les deux protocoles H323 et SIP :
Ϯϳ
Chapitre 3 VOIX SUR IP
Apres comparaison entre les deux protocoles, en déduit que le protocole SIP est plus performant
que le protocole H323 et pour cela on va l'utiliser dans l'implémentation de notre solution.
Le scenario de communication suivant est basé sur le protocole SIP, plus précisément le
déroulement des messages SIP dans la communication : (19)
1. L'utilisateur qui désire initier une communication émet une requête INVITE au serveur.
2. Dès que le serveur reçoit la requête INVITE il vérifie la disponibilité du destinataire et achemine la
requête d'établissement de la communication à ce dernier.
En même temps, il notifie l'émetteur qu’il essaie d’établir un contact avec le destinataire.
3. Dès la réception de la requête INVITE par le destinataire, un message d’invitation s’affiche à son
écran lui indiquant le nom de l'utilisateur qui désire établir une communication. Un message d’état est
envoyé de manière automatique au serveur qui l’acheminera vers l'émetteur pour l’informer que le
destinataire a reçu son invitation avec succès. Un message RINGING est affiché à son écran.
4. Si le destinataire souhaite répondre à l'appel, un message OK sera envoyé au serveur qui l'achemine à
son tour à l'émetteur.
5. À la réception de la réponse OK par l'émetteur, un message d’acquittement ACK est envoyé au serveur
qui l'achemine vers le destinataire.
6. La communication est établie dès la réception des messages d’acquittement ACK. A cette étape les
paquets RTP/RTCP sont échangés entre les utilisateurs.
Ϯϴ
Chapitre 3 VOIX SUR IP
7. Si un utilisateur désire mettre fin à la communication, il envoie une requête BYE au serveur qui
l’achemine à son tour à l'autre utilisateur pour l'informer sur la fin de la communication. Ce dernier
confirme la fin de la communication par un message OK qui sera acheminé vers l'autre utilisateur.
Comme l'objectif de notre projet est de fournir un moyen de communication gratuit, on s'est basé
sur les solutions open-source. Ces derniers sont des softwares qui permettent d'utiliser la technologie
VoIP dans la communication. Plusieurs solutions open source sont disponibles gratuitement, mais diffère
en terme de performances et de stabilité. Le choix de la solution Open source la plus adaptée à notre
projet sera expliqué dans la conception.
Quelques solutions open-source : Asterisk, Elastix, Issabel, Kamailio, Kannel, Xivo... et d'autres.
La technologie voix sur IP est clairement la voie dominante de l'avenir. Dans ce chapitre on a vu
les éléments de base de la VoIP, son architecture, ses protocoles, son fonctionnement, et les solutions
open-source disponibles.
Apres avoir vu les généralités et les différentes notions principales sur les réseaux de
Télécommunication et la Voix IP, on va entamer la conception de notre solution en utilisant les notions
déjà acquises.
Ϯϵ
Chapitre 4 Conception
Chapitre
Chapitre
4.
44
4. CRQFHSWLRQ
La CNR veille à la bonne circulation de l’information au profit des bénéficiaires et des employés,
afin de les tenir au courant de toute l’actualité et des éventuels changements.
Notre projet consiste à implémenter une solution basée sur la voix IP dans le but de faciliter la
communication au niveau de la CNR.
La démarche qu'on va suivre durant la conception et la mise en place de notre projet est la suivante :
Nous allons commencer par définir les éléments nécessaires dans l'implémentation de la solution, et
proposer une architecture adéquate ainsi que la configuration des équipements a appliquer ; par la suite
nous allons modéliser notre solution en utilisant les diagrammes UML, et à la fin nous allons faire une
gestion de risques afin de décider les mesures de sécurité à mettre en place.
Apres discussion avec les maitres de stage, le choix des sites où notre solution va être
implémentée a été décidé comme suit :
Les raisons qui ont mené au choix des agences sont la disponibilité de matériel et la connexion de haut
débit dans ces dernières, ainsi que leur besoin de cette solution de communication.
L'objectif de ce projet est de mettre en place une solution Open-source qui assure des
communications fiables et gratuites entre les agences de la CNR tout en réduisant la surcharge sur la
bande passante et sur le call manager du siège central, les maitres de stage ont proposé deux systèmes
IPBX à utiliser (Asterisk et Elastix).
ϯϬ
Chapitre 4 Conception
Nous avons procedé à une étude sur les deux systèmes et le tableau suivant représente une comparaison
entre les fonctionnalités fournies par les deux solutions open-source Asterisk et Elastix. A noté
qu'Elastix est un IPBX basé sur Asterisk.
Asterisk Elastix
x Authentification des utilisateurs appelants En plus des fonctionnalités d'Asterisk, Elastix intègre les
x Transfert et filtrage des appels fonctionnalités suivantes :
x Service de messagerie vocale
x Journalisation des appels x Interface Web intégrée pour l'administration et l'utilisation
x Enregistrement des appels FreePBX
x Visioconference x Support de virtualisation (exécuter plusieurs machines virtuelles
x Repondreur vocal interactif Elastix dans le même serveur)
x Mise en attente d’appels x Interface de facturation intégrée.
x Interface d'aide intégrée.
x Rapports des appels entrants/sortants
x Serveur de messagerie instantanée intégré.
x Support Multilingue.
x Serveur Email intégré incluant le support multi domaines.
x Interface email basée web.
D'après cette comparaison, on a constaté qu'Elastix est la solution la plus adaptée aux objectifs de
notre projet afin de mettre en place un système VoIP qui répond aux besoins de la CNR.
Notre choix a été approuvé par les maitres de stage, qui ont confirmé les performances du système
ELASTIX et sa large utilisation additivement à sa stabilité dans le domaine de la télécommunication.
NB : Asterisk est codé en langage C, on propose à la CNR de former ses ingénieurs sur ce langage de
programmation afin de comprendre le code source et avoir la possibilité de développer d'autres fonctionnalités
ϯϭ
Chapitre 4 Conception
La première phase de notre conception sert à définir tous les équipements et les éléments jugés
nécessaires. Les définitions suivantes seront mises en place au niveau du siège central et au niveau des
deux agences :
Code Adresse LAN Adresse CALL POOL des postes Adresse Adresse
MANAGER FIRWALL Publique
Siege
99 99.99.99.0/24 99.99.99.100/24 99.99.99.99&
99.99.99.1- 99.99.99.254
99.99.99.101-
99.99.99.200. (199
postes)
Agence1
92 99.99.92.0/24 99.99.92.100/24 99.99.92.99&
99.99.92.1- 99.99.92.254 Fournie par
(BABAZZOUN) 99.99.92.101- ALGERIE
99.99.92.200. (199 TELECOM
postes)
Agence2 99.99.25.1 -
25 99.99.25.0/24 99.99.25.100/2 99.99.25.99& 99.99.25.254
(CONSTANTINE) 99.99.25.101-
99.99.25.200. (199
postes)
Tableau 4 : Plan d'adressage .
ϯϮ
Chapitre 4 Conception
Tableau 6 : FIREWALL
4.2.4. VPN :
x Type : site-to-site (IPsec) pour les machines (soft-Phone et IP-Phone) et client-to-site (SSL) pour
les smartphones (Mobile VoIP).
x Cryptage utilisé : Algorithme AES-128.
x Configuration : IPSec " Tableau 8 et 9 " page 47 et SSL "Figure 55" page 66.
ϯϯ
Chapitre 4 Conception
Dans cette partie, nous allons présenter la modélisation de notre système en utilisant les
diagrammes UML : diagramme de cas d'utilisation, diagramme de classes, et diagramme d'activité.
ϯϰ
Chapitre 4 Conception
Un diagramme de classe exprime la structure statique du système, Il décrit l’ensemble des classes
et leurs associations. La figure au-dessous représente le diagramme de classes global.
ϯϱ
Chapitre 4 Conception
La figure au-dessous représente les différentes options de gestion des contacts (extensions) et des
comptes utilisateurs : Ajout, modification, suppression.
ϯϲ
Chapitre 4 Conception
Pour l'implémentation de notre solution nous avons prévu les configurations suivantes qui seront
démontrées en détails dans le chapitre qui suit :
ϯϳ
Chapitre 4 Conception
Afin de mettre en place une solution sécurisée, on a proposé – après discussion avec les maitres de
stage et l'encadreur interne- une étude sur les différents risques qui peuvent impacter notre solution afin
de déterminer les mesures de sécurité à prendre.
ϯϴ
Chapitre 4 Conception
Risques identifiés :
x Surcharge de la bande passante suite à la mise sous tension du serveur IPBX et cela
depend du nombre de postes utilisant la solution (minimum 100 postes par site) et du taux
d'activite (periodes critiques).
x Perte des données transmises durant la communication au niveau du serveur IPBX.
x Interruption de la communication.
x Bugue et crashe du serveur IPBX.
x Non respect de l'hiérarchie.
Mesures de securité :
x Redondance (actif/actif) : Mettre en œuvre une 2eme bande passante fonctionnelle sachant que la
première marche seul en cas de saturation, la migration partiel sera automatique à partir d'un seille
bien définie , cette dernière sera sollicité durant des périodes précises suivant la courbe statistique
en dessous :
Ϭ
Ϯ ϰ ϲ ϴ ϭϬ ϭϮ ϭϰ ϭϲ ϭϴ ϮϬ ϮϮ Ϯϰ Ϯϲ Ϯϴ ϯϬ
ĐŽƵƌďĞĚĞƐƚĂƵdžĚΖĂƉƉĞůƐĚƵƌĂŶƚůĞŵŽŝƐ
ϯϵ
Chapitre 4 Conception
La communication " le taux d'utilisation de la bande passante " durant la période critique (la période du
piaillements des retraités) et aussi par rapport aux heurs de travails comme le montre le tableau en
dessous est important ; cependant, la préparation du fonctionnement de la 2eme bande passante est
nécessaire pour la migration partielle .
ϰ͕ϱ
ϰ
ϯ͕ϱ
ϯ
Ϯ͕ϱ
ũŽƵƌĐƌŝƚŝƋƵĞ
Ϯ
ũŽƵƌŶŽƌŵĂůĞ
ϭ͕ϱ
ϭ
Ϭ͕ϱ
Ϭ
x Réplication des données et sauvegarde " reprise en cas de panne " disposition d'un second serveur
avec toutes les informations en cas de panne ; le deuxième prends le relai au bout de quelques
minutes du a la migration en utilisant la solution open source "HeartBeat".
x Pour ce qui est de la sauvegarde des fichiers logs , ça se fera automatiquement et régulièrement .
x Utilisation du principe de l'architecture en LoadBaalancing ; en augmentant la capacité de la
bande passante "ce qui est le cas dans notre entreprise ".
x Pour définir le taux de disponibilité de notre system, on utilisera l'équation du system en série vue
l'architecture de la figure "17" page"33".
x Definir des regles de communication suivant la hierarchie(droits d'appel) et les afficher a tous les
utilisateurs.
4.6.. Confidentialité :
Risques identifiés :
ϰϬ
Chapitre 4 Conception
Mesures de sécurité :
x Utilisation du VPN IPsec qui assure le chiffrement symétrique des données transmises
(l'algorithme AES-128).
x Générer un certificat SSL en activant le protocole HTTPS.
x Mettre en place un système détecteur d'Intrusions IDS (Intrusion Detection System).
4.6.. Integrité :
Risques identifiés :
Mesures de sécurité :
x Obligation de la définition des différents plans d'action nécessaires notamment PCA, PRA, PRS.
x Assurance que les fichiers log sont sauvegardés sur plusieurs supports securisés.
x Obligation de définition d'une politique de contrôle d'accès sur les fichiers log.
x Développement d'un outil d'alerte dans le cas de modification dans les fichiers log "principe des
block-chaine".
Dans cette partie, un exemple de scenario de communication entre deux utilisateurs UserA et
UserB des agences AG1 et AG2 respectivement, on veut établir une communication entre eux.
ϰϭ
Chapitre 4 Conception
x Un signale standard est envoyé par le Call Manager de l'AG2 (messagerie standard) pour dire
que l'utilisateur n'est pas disponible (soit occupé, ou SoftPhone NON allumé).
4.3. Dans le cas où un UserX d'une des agences essaye d'appeler un contact non autorisé dans les droits
d'appel, le Call Manager de cette agence bloque la demande en envoyant un message standard
("impossible de contacter cet utilisateur").
Le chapitre qui suit contient la partie technique dans notre projet, on va présenter la mise en œuvre de la
solution ainsi que les tests appliqués.
ϰϮ
Chapitre 5 Implémentation
Chapitre 5
5. IPSOpPHQWDWLRQ
Notre projet consiste à mettre en place une solution VoIP basée sur l'IPBX Elastix, en étudiant le
maximum de fonctionnalités offertes par ce dernier dans le cadre de la VoIP uniquement, sans aborder la
partie concernant la connexion avec un réseau analogique RTC.
Dans ce chapitre, nous allons présenter l'implémentation de notre solution selon les étapes suivantes :
L'installation et la configuration de l'IPBX au niveau du siège et de l'agence ; la création des extensions et
la configuration des SoftPhone ; l'interconnexion des IPBX par la configuration de routes et trunks et du
VPN et Firewalls ; ainsi la realisation des tests de communication et d'ecoute de trafic, et enfin la
securisation de l'IPBX.
Dans cette partie on présentera l'environnement matériel et logiciel ainsi que les outils utilisés.
ϰϯ
Chapitre 5 Implémentation
ϰϰ
Chapitre 5 Implémentation
L’installation se fera à partir d’une image ISO d'Elastix version 2.5 gravée sur un CD-ROM sur
tous les sites concerné (dans notre projet 3 sites sont concerné le SIEGE et deux agences BABAZZOUN
et CONSTANTINE).
5.3.2. Configuration :
x Continuer les autres étapes de configuration : Configuration linguistique et le choix de version des
adresses IP (IPV4 et IPV6).
x Définir l’adresse IP du PBX et le masque correspondant au réseau.
ϰϱ
Chapitre 5 Implémentation
ϰϲ
Chapitre 5 Implémentation
x L'installation a bien été effectuée, l'écran suivant s'affiche. On a introduit le login (root et mot de passe)
configuré dans les étapes précédentes, L'URL de l'interface web d'Elastix s'affiche :
Remarque : les étapes qui suit sont faites sur une autre machine car la machine ou a été installer
ELASTIX est désormais considérer comme un serveur qui va être déplacée vers le DATA CENTER.
x Saisir l'URL obtenu (l’adresse IP du serveur Elastix) dans un navigateur. S'authentifier autant
qu'administrateur :
x Dans l’onglet PBX, cliquer sur (Ajout Extension) et choisir l’option (périphérique SIP) ensuite
cliquer sur soumettre :
ϰϴ
Chapitre 5 Implémentation
x Introduire les informations de l’extension (Extension Utilisateur, Non Affiché (CID), numéro
d’alias du CID, Alias SIP) & modifier le paramétrage de (Temporisation sonnerie et activer l’attente
d’appel).
x Activer la boite vocale ensuite Introduire les mots de passes (personnel et celui de la boite vocale),
l’adresse courriel, et soumettre la demande d'ajout d'extension.
Même étape pour créer toutes les extensions du siège et de l'agence sur chaque site.
ϰϵ
Chapitre 5 Implémentation
Comme nous avons expliqué dans la conception, il y'a deux types d'utilisateurs de notre solution :
Administrateur et Utilisateur simple.
x Le compte Admin est créé obligatoirement lors de l'installation, Il possède la possibilité d'administrer
beaucoup d'autres fonctionnalités (voir l'Annexe)
x Le compte utilisateur permet seulement de voir les informations sur les appels personnels et consulter
l'annuaire téléphonique (figures 38/39)
Dans l'onglet "Utilisateurs" choisir l'option "créer un utilisateur". L'écran suivant s'affiche pour remplir
les informations du compte de type : extension
Une fois connecté autant qu'un simple utilisateur (extension), on aura accès aux pages suivantes :
ϱϬ
Chapitre 5 Implémentation
Journal
d'appel
ϱϭ
Chapitre 5 Implémentation
x Affichage du compte configuré puis cliquez sur le bouton droit de la souris puis sur (SIP Account
status) pour afficher l'état des comptes SIP du SoftPhone Vérifier que l’extension a bien été enregistrée
(REGISTRED) :
Le Même scenario se fera dans les SoftPhone de chaque machine utilisée pour la communication.
x Création des LAN du siège (99), de l'agence (92) ainsi celui de l'agence (25) :
x REGLE-FIREWALL Alger EST entrant et sortant : Constantine (25) et le siège (99) vers Alger
EST (92) et vice versa.
ϱϯ
Chapitre 5 Implémentation
Cette partie contient 2 Configurations ; la première est celle du routage, et la deuxième est celle
des tunnels VPN en utilisant l'IPsec.
On a pris pour exemple le siège(99) et l'agence (25), les mêmes étapes pour l'agence (92) :
ϱϰ
Chapitre 5 Implémentation
ϱϱ
Chapitre 5 Implémentation
Remarque : les mêmes étapes sont appliquées pour la création du Trunk et routes au niveau des deux
agences.
Apres ouverture d'un accès VPN par l'équipe de sécurité de la CNR, On a utilisé l'application
mobile FortiClient VPN :
Nb : A noter que le VPN utilisé dans la mobilité est de type SSL VPN.
ϱϲ
Chapitre 5 Implémentation
Pour qu'on puisse s'authentifier il est impératif de créer l'extension sur ELASTIX, puis modifier les
paramètres pour pouvoir établir la communication et autoriser tous les codecs (la liste des codecs dans
l'annexe A).
Les IP-Phones utilisés sont de marque "ZYCOO", ces derniers peuvent être configurés au niveau
d'un logiciel "ZYCOO" associé. Le logiciel est déjà installé sur l'ordinateur.
ϱϳ
Chapitre 5 Implémentation
Dans l'onglet SIP on introduit les informations du compte SIP associees a l'extension 99107
ϱϴ
Chapitre 5 Implémentation
Limiter le temps maximal de l'appel dans le cas où pas de réponse (32 secondes)
x Lancer l'application Eyebeam et former le numéro d'extension 99103 puis lancer l'appel :
x Communication en cours :
ϲϬ
Chapitre 5 Implémentation
L'objectif de ce test est de faire une écoute du réseau et de capturer le trafic qui transite entre le
poste client et le serveur Elastix. L’outil qui sera utilisé pour ce test est Wireshark.
Pour commencer, nous allons lancer l'application Wireshark, le premier écran qui s’affiche nous remonte
la liste de toutes les interfaces réseau configurées sur le poste client utilisé, nous devons choisir celle qui
est connectée avec le serveur Elastix (VMnet 1 dans notre cas).
ϲϭ
Chapitre 5 Implémentation
x Une fois l’interface réseau est sélectionnée / valider, l’outil Wireshark commence à capturer et afficher
tout le trafic réseau qui circule sur cette interface. Dans l'écran qui suit et pour filtrer le trafic réseau,
nous allons effectuer un filtre par l’adresse IP de destination (Serveur IPBX : 10.10.30.51).
x On s'authentifie maintenant sur l'interface d'Elastix (login), on remarque que les données du Login
s'affiche clairement sur Wireshark, ainsi une personne malveillante peut accéder à Elastix et
l'administrer.
Le protocole utilisé sur le serveur IPBX est vulnérable et ne répond pas aux mesures de sécurité
préconisé, l’utilisation du HTTPS est donc indispensable.
5.9.2. Sécurisation :
Nous allons effectuer les configurations nécessaires afin d’activer le protocole HTTPS afin de
remédier à la vulnérabilité détectée et assurer la confidentialité.
Comme pré requis, nous avons besoin de générer et signer un certificat SSL puis modifié la configuration
du serveur pour la prise en charge du chiffrement des communications via TLS.
Remarque : Les étapes de génération des certificats seront ajoutées à la fin de ce mémoire (Annexe B).
ϲϮ
Chapitre 5 Implémentation
Une fois la mise à jour du fichier ssl.conf est terminée, on utilise la commande suivante : service
httpd restart pour activer les modifications.
Notre serveur est actuellement configuré pour communiquer en https à l’aide des certificats SSL qu’on a
généré.
Pour confirmer cela on se connecte sur le serveur Elastix en utilisant le protocole HTTPS :
ϲϯ
Chapitre 5 Implémentation
L’URL d’accès est bien en HTTPS, et le site WEB du serveur nous retourne les informations du certificat
configuré.
Une fois que les certificats sont installés, nous allons relancer le même test du scénario 1 et
vérifier si la capture des données d’accès est toujours possible ou non.
Comme nous pouvons remarquer, Wireshark affiche l’utilisation du protocole TLS et du port tcp/443
(https), ce qui indique que le chiffrement des messages est activé.
Aussi, sur le détail des messages échangés, les informations récupérées / captées sont chiffrées, du coup,
il est impossible de savoir le login / mot de passe utilisé pour l’authentification sur le serveur Elastix.
ϲϰ
Chapitre 5 Implémentation
A traves ce chapitre, nous avons mis en œuvre la conception abordée au niveau du chapitre 4. On
a commencé par présenter l’environnement matériel et logiciel de travail, ainsi qu'un plan de travail
présentant l'ensemble de taches à réaliser dans l'implémentation de la solution.
On a présenté par la suite les étapes d'installation et de configuration du Serveur ELASTIX, des Firewalls
,des routes VPN et des outils de communication (les SoftPhones, les IP-phones, et les Smartphones).
Par la suite on a effectué les tests de communication en utilisant les SoftPhones et les smartphones (VoIP
Mobile) ; ainsi que les testes d'ecoute du trafic et la securisation du serveur Elastix.
La partie suivante represente notre proposition pour un plan de projet de l'implementation de la VoIP au
niveau de tous les sites de la CNR.
ϲϱ
Chapitre 5 Implémentation
Le périmètre de travail :
Il est impératif d'identifier le périmètre de travail afin d'implémenter la VoIP au niveau de tous les
sites de la CNR.
La CNR regroupe : 51 agences au niveau de 48 Wilayas, 5 CCR, et une Direction Générale.
Dans notre PFE on a implémenté la solution au niveau de la Direction générale et l'agence de
Constantine. Le nombre total de sites considérés par cette planification est 55 sites.
On suppose ainsi que l'effectif du personnel dans chaque site est : 100 employés.
En supposant que les sites n'ont pas des équipements en plus en stock, les ressources nécessaires
ainsi que les couts sont définis dans le tableau suivant (On a utilisé l'outil Microsoft Project pour la
gestion des ressources matérielles) :
En supposant que les sites ont déjà des onduleurs et des unités centrales dans le stock, le cout devient
comme suit :
ϲϲ
Chapitre 5 Implémentation
x Implémentation de la solution prendra trois semaines dans chaque site (avec une marge de temps
d'une semaine) ce qui implique un mois pour cette phase.
x On propose une formation de cinq jours pour le personnel (ingénieur).
x L'implémentation se fera en parallèle dans tous les sites.
x Durée de commande et d'achat du matériel prendra maximum 3 mois.
C. Qualité :
x Formation du personnel :
La formation se fera en ligne en utilisant la plateforme ZOOM (par précaution), guidée par les
ingénieurs de la direction générale. Chaque ingénieur recevra un support (le guide
d'implémentation) par courriel électronique de la CNR.
x Garantir la QoS :
La CNR est dotée d'une capacité importante de la bande passante (60 méga) ce qui permet de
garantir la qualité de service dans tous les sites. La CNR peut par la suite en cas de dégradation de
la qualité de service, de destiné une deuxième bande seulement à la VoIP.
x Assurer la Fiabilité :
En ce qui concerne la sécurité, on propose de mettre en place les outils de sécurisation proposés
précédemment dans la gestion des risques, et en perspectives (voir la conclusion générale).
ϲϳ
Conclusion Générale
6. Conclusion générale
La VoIP est une technologie de communication très avantageuse pour une entreprise qui veut
gérer ses communications en toute fiabilité, en éliminant les frais supplémentaires de la téléphonie.
Actuellement, la technologie de la VoIP ne cesse de s'étendre et d'évoluer, ce qui incite les entreprises à
faire une migration vers la téléphonie via le protocole Internet.
Notre solution permet d’assurer des communications gratuites entre des sites distants a travers la VoIP,
tout en implementant une infrastructure securisée basée sur les Reseaux Privés Virtuels (VPN).
Au titre de notre projet, nous avons commencé par étudier la strategie et les besoins de l'entreprise au
niveau de la télécommunication, et on a proposé une solution appropriée : Limplementation de la VoIP.
Par la suite, nous avons présenté l'état de l'art de ce projet, en rappelons les concepts théoriques
nécessaires de la VoIP en deux chapitres intitulés : "Definition des Notions de Reseaux" et "Voix sur IP".
Subséquemment, nous avons présenté une étude conceptuelle pour cette solution y compris son
architecture, ses configurations de base, sa modélisation, ainsi qu'une analyse de risques.
En dernière étape, nous avons installé et configurer le serveur IPBX Elastix tout en effectuant les
configurations nécessaires au niveau des Firewalls, de VPN, et des outils de communication (SoftPhones,
IP-Phones, et Smartphones). A la fin nous avons effectué les tests de communication en interne et en
externe (inter-agences), ainsi que la sécurisation du serveur Elastix.
Toutes les fonctionnalités attendues de cette solution ont été développées et validées, et les objectifs de ce
projet (cités dans le Chapitre 01) ont été atteints. Néanmoins, notre projet pourra être amélioré par l’ajout
d’autres fonctionnalités comme :
Ͳ Renforcer la sécurité des fichiers logs en développant un outil de contrôle d'accès avec le concept
de Blockchaines.
Ͳ Automatiser la création de comptes utilisateurs (extentions) : lier la base de donnée de l'entreprise
avec celle du serveur Elastix (en utilisant l'Active Directory).
Ͳ Développer le module "Call-center" sur Elastix afin de mettre la solution VoIP à la disposition des
centres d'appel de la CNR.
Ͳ Développer une application mobile en utilisant le WebRTC (Communication Web en temps réel)
ϲϴ
Conclusion Générale
Parmi les contraintes rencontrées durant la réalisation de ce projet, le travail à distance à cause de la
situation sanitaire actuelle (COVID-19) qui avait un impact majeur sur le déroulement des taches.
La maitrise des notions des Réseaux et Télécommunication représentait une autre contrainte pour nous
car c'est un module qu'on n'a pas étudié profondément durant notre cursus.
Finalement, ce projet était une occasion de découvrir un domaine très intéressant qui ne cesse de s'éttendre
et de se développer.
ϲϵ
% LEOLRJUDSKLH
7.
9. Les systèmes pare-feu (firewall). Avignon : IUT de La Rochelle La Rochelle Université de La Rochelle.
12. SUHVHQWDWLRQVXUOHV931
13. /DERXUHW*KLVODLQH,36(&35e6(17$7,217(&+1,48(MXLQ
14. Watchguard. help center. [En ligne] [Citation : 08 08 2020.] [19:33 PM] https://www.watchguard.com.
15. cisco goffinet. [En ligne] [Citation : 02 05 2020.] [09:33 PM] www.cisco.goffinet.org.
17. .$/(1'$UVqQH-HDQOXF0LVHHQSODFHG
XQV\VWqPHGHWpOpSKRQLHSDUYRLS8QLYHUVLWp/LEHUWpVQ
Graduat 2016.
19. CRAMPONT, Jordan. Voip. s.l. : SUPINFO École Supérieure d'Informatique de Paris.
21. (WXGHHWSURSRVLWLRQGHVROXWLRQSRXULOPLVHHQSXFHG
XSV\VWqPHGHFRPPXQLFDWLRQ7RO3
Annexe A
Annexe lié au chapitre 05 (Implémentation):
ϭ
Annexe A
Control Panel :
Vérification de l'état des comptes
Ϯ
Annexe A
ϯ
Annexe B
Annexe B
Annexe lié au chapitre 05 (Implémentation):
8.
Génération des certificats de sécurité :
L’outil utilisé pour la génération des certificats est XCA, c’est un outil Open Source qui joue le rôle d’une
PKI et qui permet la génération et la prise en charge de tous les algorithmes de sécurité.
La préparation des certificats de sécurité passera par plusieurs étapes comme illustrées sur ce qui suit.
Sur l’écran de l'application XCA, passer sous l’onglet Certificats et cliquer sur Nouveau Certificat
Sur l’onglet Source, choisir l’algorithme de sécurité SHA 256, le modèle CA et cliquer sur le bouton
Appliquer tout.
ϭ
Annexe B
Après, il faut générer une clé privée d'autorité de certification via le bouton Générer une nouvelle clé
Ϯ
Annexe B
Passer sous l’onglet Requêtes de signature de certificat et cliquer sur le bouton Nouveau Certificat
ϯ
Annexe B
Comme sur la phase 1, on génère une clé privée pour notre certificat via le bouton Générer une nouvelle
clé en introduisant les informations suivantes : type de clé : RSA, taille de la clé : 2048 bit.
Cliquer sur le bouton Créer et passer sous l’onglet Utilisation de la clé, sur la partie x509v3 Extended
Key Usage, choisir les deux premières lignes : TLS Web Server Authentication et TLS Web Client
Authentication.
ϰ
Annexe B
Sur l’onglet Requêtes de signature de certificat, faire un clic droit sur la demande créée sur la
phase 2 et choisir Signer.
Sur l'onglet Source, partie Signer, sélectionner Utiliser ce certificat pour signer et choisir CA – CA,
c’est le nom de l’autorité de certification générée sur la phase 1.
Sur la partie Modèles pour le nouveau certificat, choisir HTTPS_server et cliquer sur le bouton
Appliquer tout
Passer sous l'onglet Extensions, indiquer l’intervalle de validité du certificat (3 ans dans cet exemple)
puis cliquer sur le bouton Appliquer
ϱ
Annexe B
Remplir le champ X509v3 Subject Alternative Name par le domaine du serveur IPBX de la
CNR et son adresse IP, cela permet de définir le FQDN et l’adresse IP qui seront trustés par le certificat
lors de son utilisation sur le serveur WEB Elastix.
Après la création des certificats et la signature du certificat, il faut les exporter et les transférer sur
le serveur Elastix (voir la partie sécurisation du rapport).
Puisqu’il s’agit de certificat Auto-Signé, il faut installer le CA sur les postes utilisateurs qui vont accéder
au serveur Elastix manuellement ou via une GPO Active Directory.
ϲ
9. Liste des figures :