Memoire de Fin D'étude

République Tunisienne
Ministère de l'Enseignement Supérieur et de la Recherche Scientifique
---- * ----
Ecole Supérieure Privée d’Ingénierie, Sciences et Technologie de Sousse
(SupTech Sousse)
Projet de Fin d’Etudes

En vue de l’obtention du diplôme de
Licence en Licence en informatique

Spécialité : ingénierie des systèmes informatiques
Par
Touré Boubacar
1.
Etude et mise en place d’une solution VOIP

sécurisée
Soutenu le jour/mois/année,
Devant la commission du jury :
M. Président
M. Rapporteur
M. Encadrant
Etude et mise en place d’une solution VOIP
sécurisée
Touré Boubacar
..........…………………………………………….…………......................…………… : ‫الخالصة‬
........................…………………………………………….…………......................……………
........................…………………………………………….…………......................……………
........................…………………………………………….…………......................……………
........................…………………………………………….…………......................……………
Résumé : ......................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
Abstract : ....................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
....................................................................……………………………… : ‫المفاتيح‬
Mots clés : ………………………………………………………..………………………….
Key-words : …………………………………………………………………………………
Etude et mise en place d’une solution voip sécurisée
Dédicace
A mon cher père,
Et ma chère mère.
Pour l’éducation, le sacrifice, le soutien, les
encouragements, la patience et le grand amour tout
au long de ma vie.
A la mémoire de mes grand-parent
A mes chers frères et sœurs,
A mes oncles et tantes,
A mes cousins et cousines,
A tous mes ami(e)s,
A tous ceux que j’aime.
Je dédie ce
travail.
Boubacar
Touré
1
Remerciement
Je remercie Dieu le tout puissant pour tous ses bienfaits et pour la santé qu’Il m’a accordé.
Je remercie mon encadreur, Docteur Imène, pour ses efforts tout au long de ce travail
Mes remerciements vont au corps professoral de L’UPS pour la qualité et la richesse de

l’enseignement qu’ils m’ont transmis durant mes études afin de me donner une formation
efficace.
Je remercie la société RUSPINA télécom, pour leur suivi au cours de mon stage
Merci à mes camarades de promotion, et mes amis qui ont contribués à ce projet
2
Table des matières

Chapitre I : Etude Générale de la voix sur IP.............................................................................9
I. Présentation de la voix sur IP.....................................................................................................9
1. VOIP vs TOIP............................................................................................................................9
2. Architecture..........................................................................................................................10
3. Voip vs téléphonie traditionnelle..........................................................................................11
4. Processus du traitement de la voix IP...................................................................................12
II. Etudes des protocoles..............................................................................................................13
1. Protocoles H.323..................................................................................................................13
2. Protocole SIP........................................................................................................................15
3. Protocoles de transport........................................................................................................20
Conclusion................................................................................................................................21
Chapitre II.................................................................................................................................23
Vulnérabilités et Attaques contre la VOIP et solutions de sécurisations..................................23
I. Vulnérabilité de l’infrastructure........................................................................................24
1. Faiblesses dans la configuration des dispositifs de la voip....................................................24
a. Les téléphones IP..................................................................................................................24
b. Les serveurs..........................................................................................................................25
c. Les vulnérabilités du système d’exploitation........................................................................25
2. Attaques sur le réseau informatique........................................................................................25
a. Déni de service.....................................................................................................................25
b. Attaque MAN-in-the-middle.................................................................................................26
c. Attaques par mots de passe.................................................................................................27
d. Usurpation d’identité...........................................................................................................28
e. Ecoute clandestine...............................................................................................................28
3. Les attaques sur les protocoles voip.........................................................................................28
a. Suivie d’appel.......................................................................................................................29
b. Attaques contre les services support....................................................................................29
c. Injection de paquet RTP........................................................................................................29
a. Attaque de l’accès non autorisé...........................................................................................29
b. Ingénierie sociale..................................................................................................................30
II. Solutions de sécurités...............................................................................................................30
1. Sécurisation des protocoles..................................................................................................30
a. VOIP VPN..............................................................................................................................30
3
b. SRTP (Secure RTP).................................................................................................................30

c. Sécurisation de l’application.................................................................................................32
d. Sécurisation de système d’exploitation................................................................................32
Chapitre III................................................................................................................................34
Installation et configuration d’une solution VOIP basée sur asterisk.......................................34
I. Présentation d’asterisk.........................................................................................................35
II. Installation d’asterisk................................................................................................................35
1. Détermination des prérequis................................................................................................36
a. Téléchargement des packages..............................................................................................37
III. Configuration d’asterisk........................................................................................................38
1. Configuration des comptes utilisateurs................................................................................40
2. Configuration des extensions...............................................................................................41
IV. Les logiciels zoiper et 3cx......................................................................................................43
1. Zoiper...................................................................................................................................43
2. 3CX........................................................................................................................................44
Chapitre IV................................................................................................................................47
Sécurisation de la solution mise en place.................................................................................47
I. Localisation des serveurs Voip..................................................................................................48
1. Utilisation des serveurs whois..............................................................................................48
2. Utilisation des aspirateurs de sites.......................................................................................48
3. Utilisation des moteurs de recherches et des agents intelligents.........................................48
4. Balayage (Scan) des réseaux VOIP........................................................................................49
II. Les logiciels d’attaques.............................................................................................................49
1. Logiciel wireshark.................................................................................................................49
2. Kali-linux...............................................................................................................................51
III. Solution de sécurité..............................................................................................................53
a. Solution pratique contre l’écoute clandestine......................................................................53
b. Solution pratique contre le ddos..........................................................................................57
Conclusion........................................................................................................................................57
Conclusion générale.........................................................................................................................58
4
5
Introduction générale
La Voix sur IP (Voice over IP ou VoIP) est une technologie permettant de transmettre la voix
sur un réseau numérique et sur Internet. La voix sur IP est utilisée avec différentes
architectures et des protocoles qui définissent son fonctionnement, elle dépend de plusieurs
contraintes. C’est une technologie très appréciée par les entreprises, elle permet aux
entreprises de minimiser le coût des communications ; d’utiliser le même réseau pour offrir
des services de données, de voix, et d’images ; et simplifier les coûts de configuration et
d’assistance.
La Voix sur IP présente plusieurs avantages, étant une technologie basée sur le protocole IP,
elle est donc affectée par les vulnérabilités qui menacent la sécurité de ce protocole et
l’infrastructure réseau sur laquelle elle est déployée. Certaines attaques sur les réseaux VoIP,
comme les attaques de déni de service, et les vols d’identité, peuvent causer des pertes
catastrophiques et énormes pour les entreprises. Pour cela la sécurité du réseau VoIP n’est pas
seulement une nécessité mais plutôt une obligation, avec laquelle on peut réduire, au
maximum, le risque d’attaques sur les réseaux VoIP. La sécurité d’une solution de VoIP doit
couvrir toute l’infrastructure réseau, incluant les outils et les équipements de gestion des
communications et des utilisateurs, le système d’exploitation sur lesquels sont installés ces
outils, et les protocoles de signalisation et de transport de données. Il faut même se protéger
contre les personnes malveillantes. Mieux on sécurise, moins il y a de risques. Le but de ce
projet de fin d’étude est : l’étude des protocoles de VoIP et des architectures proposées,
l’étude des vulnérabilités et des attaques de sécurités surs les divers composants d’une
infrastructure VoIP dans des réseaux LAN ; et la mise en place une solution de VoIP
sécurisée basée sur des outils open source, comme le serveur Asterisk et le client zoiper 3cx.
Les entreprises, bénéficiant de notre solution, seront capables de mettre en place une plateforme
de VoIP assez flexible, peu couteux, et protégée contre les attaques de sécurité de l’intérieur du
réseau comme de l’extérieur aussi. Ainsi, ce rapport est structuré sur 4 chapitres :
 En premier chapitre nous introduisons la voix sur IP et ces éléments. Ensuite nous
décrivons et expliquons son architecture et ces protocoles, et présentons les points
forts et faibles de cette technologie.
 Le deuxième chapitre comportera la sécurité Voix sur IP. Les défaillances et

vulnérabilités lié à l’infrastructure et les attaques de sécurités contre cette technologie
avec des explications.
6
 Le troisième chapitre, se concentre sur l’installation et la configuration de la solution
Mise en place basée sur le serveur Asterisk avec les clients zoiper et 3cx et leur
paramétrage mise en place basée sur le serveur Asterisk avec les clients zoiper et 3cx
et leur paramétrage.
 Le quatrième chapitre, présentera la simulation d’une attaque réseau, ensuite une

implémentation des différentes solutions de sécurités contre ces attaques.
On termine par une conclusion.
7
Chapitre I : Etude de la voix ip
8
Chapitre I : Etude Générale de la voix sur IP

Introduction
Avant 1970, la transmission de la voix s’effectuait de façon analogique sur des réseaux dédiés
à la téléphonie. La technologie utilisée était la technologie électromécanique (Cross bar). Vers
les années 80, l’évolution majeure a été le passage à la transmission numérique (TDM). La
transmission de la voix sur les réseaux informatiques à commutation de paquets IP constitue
aujourd’hui une nouvelle évolution majeure comparable aux précédentes.
L’objectif de ce chapitre est l’étude de cette technologie ainsi que ses aspects. nous parl en
détail de l’architecture de la VoIP, ses éléments et son fonctionnement. Nous parlerons aussi
des protocoles VoIP de signalisation et de transport ainsi que leurs principes de
fonctionnement et de leurs avantages et inconvénients.
I. Présentation de la voix sur IP

VoIP signifie Voice over Internet Protocol ou Voix sur IP. Comme son nom l'indique, la VoIP
permet de transmettre des sons (en particulier la voix) dans des paquets IP circulant sur
internet. La VoIP peut utiliser du matériel d'accélération pour réaliser ce but et peut aussi être
utilisée en environnement de PC.
1. VOIP vs TOIP
Voip est un protocole permettant de transporter des flux voix sur un réseau de données au
travers du protocole IP. Jusqu’alors, les systèmes téléphoniques utilisaient la commutation de
circuit pour connecter les appels.
La TOIP signifie que tout le système de téléphonie de l’entreprise fonctionne en IP depuis le

téléphone. Concrètement, ce n’est pas que la voix qui va transiter en IP sur les réseaux
opérateurs mais avant tout le système de téléphonie qui va fonctionner sur le réseau ip grâce à
un IPBX.
La VoIP et la ToIP reposent sur un principe similaire : elles permettent de passer des appels
grâce aux protocoles Internet. Mais contrairement à la voix sur IP, la téléphonie sur IP sert
uniquement à créer un réseau de téléphonie interne à l’entreprise. La voix passe alors par
l’émetteur de l’opérateur avant d’être transmise au destinataire alors que pour la TOIP, le
9
standard téléphonique IPBX par lequel passe la voix est un autocommutateur privé. La VOIP
est en réalité une version plus poussée et améliorée avec des fonctionnalités et options plus
nombreuses.
2. Architecture
Etant une nouvelle technologie de communication, la voip n’a pour le moment pas de
standard unique. En effet, les constructeurs apportent leurs normes et fonctionnalités à ses
solutions. Les trois principaux protocoles sont H.323, SIP (Session Initiation Protocol) et
MGCP/MEGACO. Il existe donc plusieurs approches pour offrir des services de téléphonie et
de visiophonie sur des réseaux IP. Certaines placent l’intelligence dans le réseau alors que
d’autres préfèrent une approche égale à égale avec l'intelligence répartie à la périphérie.
Chacune ayant ses avantages et ses inconvénients. Chaque norme a ensuite ses propres
caractéristiques pour garantir une plus ou moins grande qualité de service. L'intelligence du
réseau est aussi déportée soit sur les terminaux, soit sur les passerelles ou contrôleur de
commutation, appelées Gatekeeper. On retrouve les éléments communs suivants :
 Le routeur : permet d'aiguiller les données et le routage des paquets entre deux
réseaux. Certains routeurs permettent de simuler un Gatekeeper grâce à l'ajout de
cartes spécialisées supportant les protocoles VoIP.
 La passerelle : est le commutateur du réseau téléphonique classique. Il permet de faire
le lien entre la passerelle ou le routeur, et le réseau téléphonique commuté (RTC).
Toutefois, si tout le réseau devient IP, ce matériel devient obsolète.
 Les terminaux : Sont généralement de type logiciel (software phone) ou matériel
(hardphone), le softphone est installé dans le PC de l’utilisateur. L’interface audio
peut être un microphone et des haut-parleurs branchés sur la carte son, même si un
casque est recommandé. Pour une meilleure clarté, un téléphone USB ou Bluetooth
peut être utilisé.
 Le hardphone : est un téléphone IP qui utilise la technologie de la Voix sur IP pour
permettre des appels téléphoniques sur un réseau IP tel que l'Internet au lieu de
l'ordinaire système PSTN. Les appels peuvent parcourir par le réseau internet comme
par un réseau privé. Un terminal utilise des protocoles comme le SIP (Session
Initiation Protocol) ou l’un des protocoles propriétaire tel que celui utilisée par
Skype.
10
Figure 1: Architecture générale de la voix sur IP
3. Voip vs téléphonie traditionnelle

La VoIP transforme la voix en fichiers numériques et les envoie sous forme de paquets sur un
réseau de données (par exemple Internet) au travers de lignes ip. La téléphonie analogique
transforme les vibrations de l’air en une fréquence électrique analogue et les envoie sur le
Réseau Téléphonique Commuté au travers de lignes analogiques.
Principe de fonctionnement
Depuis de nombreuses années, il était possible de transmettre un signal à une destination

éloignée sous forme de données numériques. Avant la transmission, il faut numériser le signal
à l’aide d’un CODEC (Codeur Décodeur), le signal est ensuite transmis. Pour être utilisable, il
doit être transformé de nouveau en un signal analogique.
La VoIP fonctionne par numérisation de la voix, puis par reconversion des paquets
numériques en voix à l'arrivée. Le format numérique est plus facile à contrôler, il peut être
compressé, routé et converti en un nouveau format meilleur. Le signal numérique est plus
tolérant au bruit que l'analogique. Les réseaux TCP/IP sont des supports de circulation de
paquets IP contenant un en-tête (pour contrôler la communication) et une charge utile pour
transporter les données. Les deux protocoles les plus utilisées actuellement dans les solutions
VoIP présentes sur le marché sont le H.323 et le SIP.
11
4. Processus du traitement de la voix IP

L’utilisation de la VoIP a pour but de minimiser le coût des communications, offrir des
services de données, de voix, et d’images. La VoIP peut faciliter des tâches et fournir des
services qu’il serait difficile ou coûteux de mettre en œuvre en utilisant le réseau RTC
traditionnel. Le traitement de la voix sur IP passe par plusieurs étapes à savoir :
 L’acquisition : C’est la première étape qui consiste à détecter la voix via un

périphérique (téléphone ….)
 La numérisation : La bande voix qui est un signal électrique analogique utilisant une
bande de fréquence de 300 à 3400 Hz. Ce signal doit d'abord être converti sous forme
numérique suivant le format PCM (Pulse Code Modulation) ou G.711 à 64 Kbps.
 La compression : Cette opération consiste à réduire la taille physique de blocs
d'informations numériques en utilisant un algorithme de compression.
 L’habillage des entêtes : le signal numérisé et compressé va être après découpé, en
ajoutant des entêtes, il faut prendre en compte l’ordre du réassemblage du paquet, le
type du trafic de synchronisation.
 L’émission et transport : C’est l’acheminement jusqu’au destinataire dans des paquets
IP en utilisant les protocoles du routage.
 La réception : La réception des informations émis pendant la transaction
 La conversion numérique/analogique : C’est l’étape inverse de la numérisation
 La restitution : Résultat finale l’écoute de la voix
12
Figure 2: Processus de traitement de la voix sur IP
II. Etudes des protocoles
1. Protocoles H.323
H.323 regroupe un ensemble de protocoles de communication de la voix, de l'image et de
données sur IP. C'est un protocole développé par l'UIT-T qui le définit comme : « systèmes de
communication multimédia en mode paquet ». Les principaux acteurs du protocoles h323
sont :
 Les terminaux : participation à une session multimédia

 Les passerelles Gateway : assure l’interconnexion entre le réseau h323 et les autres
réseaux téléphoniques (RTC, SIP…) Les portiers Gatekeeper : se charge de
l’enregistrement des clients et s’occupe des traductions d’adresse (numéro de tel,
adresse IP).
 Unité de contrôle multipoint Les MCU (Multipoint Control Unit) : permet au client de
se connecter aux sessions des conférences de donnés. Passons maintenant à expliquer
le déroulement de la session H323 entre deux utilisateurs via un Gatekeeper.
13
Figure 3 : Les principaux acteurs du protocole h323
Une communication H323 se déroule en cinq phases :
L’établissement d'appel.
L’échange de capacité.
Réservation éventuelle de la bande passante à travers le protocole RSVP (Ressource

réservation Protocol), l’établissement de la communication audio-visuelle.
L’invocation éventuelle de services en phase d'appel (par exemple, transfert d'appel,

changement de bande passante, etc.).
Enfin la libération de l'appel.
a. Avantages et inconvénients du protocole H.323 :

 Un support Multipoint : La possibilité de faire des conférences multipoint en utilisant
une structure centralisée de type MCU (Multipoint Control Unit) ou en mode ad-hoc.
 La gestion de la bande passante : le protocole H.323 permet la meilleure gestion de la
bande passante, pour assurer le bon fonctionnement des applications indiquées sur le
14
LAN, H323 pose des limites au flux audio/vidéo. La possibilité qu’un terminal H.323
procède à l'ajustement de la bande passante et la modification du débit en fonction du
comportement du réseau en temps réel (perte de paquets, latence et gigue).
 Support Multicast : Le protocole H.323 donne la possibilité de faire des transmissions
en multicast.
 Flexibilité : une conférence H.323 peut inclure des terminaux hétérogènes (studio de
visioconférence, PC, téléphones…) qui peuvent partager selon le cas, de la voix de la
vidéo et même des données grâce aux spécifications T.120.
 La complexité de mise en œuvre : les problèmes d'architecture en ce qui concerne la
convergence des services d’Internet et de téléphone, plus qu'un manque de souplesse
et de modularité .H323 Comprend plusieurs options susceptibles implémentées d’une
façon différente par les constructeurs donc la possibilité d’avoir des problèmes
d'interopérabilité.
2. Protocole SIP
Le terminal peut être un ordinateur, un combiné téléphonique, un terminal spécialisé pour la
vidéoconférence ou encore un télécopieur sur Internet. Le minimum imposé par H.323 est
qu'il mette en œuvre la norme de compression de la parole G.711, qu'il utilise le protocole
H.245 pour la négociation de l'ouverture d'un canal et l'établissement des paramètres de la
communication, ainsi que le protocole de signalisation Q.931 pour l'établissement et l'arrêt
des communications.
Principe de fonctionnement SIP
Le protocole SIP est basé sur différents caractéristiques :
 Fixation d’un compte SIP : Il est important de s’assurer que la personne appelée soit
toujours joignable. Pour cela, un compte SIP sera associé à un nom unique. Par
exemple, si un utilisateur d’un service de voix sur IP dispose d’un compte SIP et que
chaque fois qu’il redémarre son ordinateur, son adresse IP change, il doit cependant
toujours être joignable. Son compte SIP doit donc être associé à un serveur SIP (proxy
SIP) dont l’adresse IP est fixe.
 Changement des caractéristiques durant une session : Un utilisateur doit pouvoir
modifier les caractéristiques d’un appel en cours. Par exemple, un appel initialement
configuré en (voix uniquement) peut être modifié en (voix + vidéo).
15
 Différents modes de communication : Avec SIP, les utilisateurs qui ouvrent une
session peuvent communiquer en mode point à point, en mode diffusif ou dans un
mode combinant ceux-ci.
Mode Point à point : Il s’agit d’un « unicast », qui correspond à la
communication entre deux machines.
Mode diffusif : Il s’agit d’un « multicast », qui correspond à la communication
entre plusieurs utilisateurs via une unité de contrôle MCU.
Combinatoire : Combine les deux modes précédents. Plusieurs utilisateurs
interconnectés en multicast via un réseau à maillage complet de connexion.
 Gestion des participants : Durant une session d’appel, de nouveaux participants
peuvent joindre les participants d’une session déjà ouverte en participant directement,
en étant transférés ou en étant mis en attente (cette particularité rejoint les
fonctionnalités d’un PABX par exemple, où l’appelant peut être transféré vers un
numéro donné ou être mis en attente).
 Adressage : Les utilisateurs disposant d’un numéro (compte) SIP, disposent d’une
adresse ressemblant à une adresse mail (sip : numéro@serveursip.com). Le numéro
SIP est unique pour chaque utilisateur.
 Modèle d’échange : Le protocole SIP repose sur un modèle Requête/Réponse. Les
échanges entre un terminal appelant et un terminal appelé se font par l’intermédiaire
de requêtes. La liste des requêtes échangées est la suivante :
Invite : Cette requête indique que l’application (ou utilisateur) correspondante
à l’url SIP spécifié est invité à participer à une session. Le corps du message
décrit cette session (par ex : médias supportés par l’appelant). En cas de
réponse favorable, l’invité doit spécifier les médias qu’il supporte.
Ack : Cette requête permet de confirmer que le terminal appelant a bien reçu
une réponse définitive à une requête invite.
Option : Un proxy server en mesure de contacter L’UAS (User Agent Server)
appelé, doit répondre à une requête « Options » en précisant ses capacités à
contacter le même terminal.
Bye : Cette requête est utilisée par le terminal de l’appelé afin de signaler qu’il
souhaite mettre un terme à la session.
Cancel : Cette requête est envoyée par un terminal ou un proxy server à fin
d’annuler une requête non validée par une réponse finale comme, par exemple,
16
si une machine ayant été invitée à participer à une session, et ayant accepté
l’invitation ne reçoit pas de requête Ack, alors elle émet une requête Cancel.
Register : Cette méthode est utilisée par le client pour enregistrer l’adresse
listée dans l’URL TO par le serveur auquel il est relié.
 Codes d’erreurs : Une réponse à une requête est caractérisée, par un code et un motif,
appelés respectivement code d'état et raison phrase. Un code d'état est un entier codé
sur 3 digits indiquant un résultat à l'issue de la réception d'une requête. Ce résultat est
précisé par une phrase, text-based (UTF-8), expliquant le motif du refus ou de
l'acceptation de la requête. Le code d'état est donc destiné à l'automate gérant
l'établissement des sessions SIP et les motifs aux programmeurs. Il existe 6 classes de
réponses et donc de codes d'état, représentées par le premier digit :
1xx : information, La requête a été reçue et continue à être traitée
2xx : Succès, L'action a été reçue avec succès, comprise et acceptée.
3xx : Redirection, Une autre action doit être menée afin de valider la requête
4xx : Erreur du client, La requête contient une syntaxe erronée ou ne peut pas
être traitée par ce serveur.
5xx : Erreur du serveur, Le serveur n'a pas réussi à traiter une requête
apparemment correcte.
6xx : Echec général - La requête ne peut être traitée par aucun serveur.
Dans un système SIP nous trouvons deux types de composantes, les agents utilisateurs (UAS,
UAC) et un réseau de serveurs (Registrar, Proxy).
L'UAS (User Agent Server) représente l'agent de la partie appelée. C'est une application de
type serveur qui contacte l'utilisateur lorsqu'une requête SIP est reçue. Et elle renvoie une
réponse au nom de l'utilisateur.
L'U.A.C (User Agent Client) représente l'agent de la partie appelante. C'est une application
de type client qui initie les requêtes.
17
Figure I.4 Enregistrement d’un utilisateur

Un Proxy SIP sert d'être l’intermédiaire entre deux User Agents qui ne connaissent pas leurs
emplacements respectifs (adresse IP). En effet, l'association URI-Adresse IP a été stockée
préalablement dans une base de données par un Registrar. Le Proxy peut donc interroger cette
base de données pour diriger les messages vers le destinataire. La figure suivante montre les
étapes de l’interrogation du proxy la base de données.
Figure I.5 principe du protocole SIP
a. Avantages et inconvénients
Ouvert, standard, simple et flexible sont les principaux atouts du protocole SIP.
18
 Ouvert : les protocoles et documents officiels sont détaillés et accessibles à tous en

téléchargement.
 Standard : l'IETF a normalisé le protocole et son évolution continue par la création ou
l'évolution d'autres protocoles qui fonctionnent avec SIP.
 Simple : SIP est simple et très similaire à http.

 Flexible : SIP est également utilisé pour tout type de sessions multimédia (voix, vidéo,
mais aussi musique, réalité virtuelle, etc.).
 Téléphonie sur réseaux publics : il existe de nombreuses passerelles (services payants)
vers le réseau public de téléphonie (RTC, GSM, etc.) permettant d'émettre ou de
recevoir des appels vocaux.
 Points communs avec H323 : l'utilisation du protocole RTP et quelques codecs son et
vidéo sont en commun. Par contre une mauvaise implémentation ou une
implémentation incomplète du protocole SIP dans les User Agents peut perturber le
fonctionnement ou générer du trafic superflu sur le réseau. Un autre inconvénient est
le faible nombre d'utilisateurs : SIP est encore peu connu et utilisé par le grand public,
n'ayant pas atteint une masse critique, il ne bénéficie pas de l'effet réseau.
Comparaison des protocoles H323 et SIP :
Tableau 1: Comparaison H323 et SIP
H323 SIP
Nombres d’échange pour 6 à 7 aller-retours 1 à 5 aller-retours

établir la connexion
Complexité Elevée Faible
Implémentation de nouveaux NON Faible

services
Protocole de transport TCP TCP ou UDP
Coût Elevé Faible
Avantages Maturité du protocole. Simple à mettre en œuvre.

Messages écrits en clair.
19
3. Protocoles de transport
Il y a de nombreux protocoles de couches inférieures à celle qui contient l'information voix
parmi lesquels TCP (Transmission Control Protocol), UDP (User Datagramme Protocol) et
RTP (Real Time Protocol), RTCP (Real Time Control Protocol).
a. Protocole RTP
Le protocole RTP (Real-time Transport) assure la gestion des flux multimédia en mode UDP,
il permet aussi la transmission en temps réel des données audio et vidéo sur des réseaux IP et
il est utilisé aussi pour Les appels téléphoniques simples, les audio ou les visioconférences. Le
Protocole RTP permet l’identification de type de l’information transportée, l’ajout des
numéros de séquence des donnés émise ainsi le contrôle l’arrivée des paquets à la destination.
 Avantages et inconvénients
Le protocole RTP permet de reconstituer la base de temps des différents flux multimédia
(audio, vidéo, etc.); de détecter les pertes de paquets; et d’identifier le contenu des paquets
pour leur transmission sécurisée. Par contre, il ne permet pas de réserver des ressources dans
le réseau ou d’apporter une fiabilité dans le réseau. Ainsi il ne garantit pas le délai de
livraison.
b. Protocole RTCP
Le protocole de contrôle (RTCP : Real Time Control Protocol) assure la bonne qualité de
service des communications RTP, il permet l’envoi d’un rapport sur la qualité de service
(QoS), l’identification et le contrôle de la session.
 Avantages et inconvénients
Le protocole de RTCP est adapté pour la transmission de données temps réel. Il permet
d’effectuer un contrôle permanant sur une session et ces participants. Par contre il fonctionne
en stratégie bout à bout. Et il ne peut pas contrôler l’élément principal de la communication
"le réseau.
 Points forts de la voix sur IP
Différentes sont les raisons qui peuvent pousser les entreprises à s’orienter vers la VoIP
comme solution pour la téléphonie. Les avantages les plus marqués sont :
Reduction des couts : En effet le trafic véhiculé à travers le réseau RTC est plus
couteux que sur un réseau IP.
20
Standards ouverts : La VoIP n’est plus uniquement H323, mais un usage multi
protocoles selon les besoins de services nécessaires. Par exemple, H323 fonctionne en
mode égale à égale alors que MGCP fonctionne en mode centralisé. Ces différences de
conception offrent immédiatement une différence dans l'exploitation des terminaisons
considérées.
Un réseau voix, vidéo et données (à la fois) : Grace à l’intégration de la voix comme
une application supplémentaire dans un réseau IP, ce dernier va simplifier la gestion
des trois applications (voix, réseau et vidéo) par un seul transport IP.
Un service PABX distribué ou centralisé : : Les PABX en réseau bénéficient de
services centralisés tel que la messagerie vocale et la taxation. Cette même
centralisation continue à être assurée sur un réseau VoIP sans limitation du nombre de
canaux. L’utilisation de la VoIP met en commun un média qui peut à la fois offrir à un
moment précis une bande passante maximum à la voix, garantissant toujours la
priorité à celle-ci.
Les points faibles sont :
Fiabilité et qualité sonore : Un des problèmes les plus importants de la téléphonie sur
IP est la qualité de la retransmission qui n’est pas encore optimale. En effet, des
désagréments telle la qualité de la reproduction de la voix du correspondant ainsi que
le délai entre le moment où l’un des interlocuteurs parle et le moment où l’autre
entend peuvent être extrêmement problématiques.
Vol : Les attaquants qui parviennent à accéder à un serveur VoIP peuvent également
accéder aux messages vocaux stockés et au même au service téléphonique pour
écouter des conversations ou effectuer des appels gratuits aux noms d’autres comptes.
Attaques de virus.
Conclusion
Comme le montre ce chapitre, la VoIP est une solution rentable pour effectuer des
conversations elle est devenue une technologie très prisée en ce début de siècle. Elle suscite
bien des intérêts, venant en soutien aux technologies présentant des faiblesses. La VoIP est
une bonne solution en matière d’intégration, fiabilité et de coût. C’est la transmission de la
voix sur un réseau IP. Les constructeurs se sont investis à la création de PBX pour gérer les
paquets IP en fonction des différentes contraintes.
21
Chapitre II
Vulnérabilités et Attaques contre la VOIP et solutions de

sécurisations
22
Chapitre II : Vulnérabilités et Attaques contre la VOIP et

solutions de sécurisations
Introduction
En passant de la téléphonie traditionnelle à la téléphonie IP, les entreprises peuvent bénéficier

de nouveaux services tels que la visioconférence et la transmission de données. L'intégration
de ces services dans une plate-forme unique nécessite un niveau de sécurité plus élevé.
Il existe deux principales classes de vulnérabilités sur un environnement VoIP. La première

dépend des protocoles utilisés (SIP, H.323…) et la deuxième est reliée aux systèmes sur
lesquels les éléments VoIP sont implémentés. Chaque protocole ou service a ses propres
vulnérabilités.
23
Ce chapitre décrit quelques attaques les plus courantes des systèmes de voix sur IP et explique
comment ces attaques sont menées Et les meilleures solutions pour protéger les systèmes de
communication.
I. Vulnérabilité de l’infrastructure
Une infrastructure VoIP est composée de téléphones IP, Gateway, serveurs (proxy, register,
etc.) Chaque élément, que ce soit un système embarqué ou un serveur standard tournant sur un
système d'exploitation, est accessible via le réseau comme n'importe quel ordinateur. Chacun
comporte un processeur qui exécute des logiciels qui peuvent être attaqués ou employés en
tant que points de lancement d’une attaque plus profonde.
1. Faiblesses dans la configuration des dispositifs de la voip

Plusieurs dispositifs de la VoIP, dans leur configuration par défaut, peuvent avoir une variété
de ports TCP et UDP ouverts. Les services fonctionnant sur ces ports peuvent être vulnérables
aux attaques DoS ou buffer overflow. Plusieurs dispositifs de la VoIP exécutent également un
serveur WEB pour la gestion à distance qui peut être vulnérable aux attaques buffer overflow
et à la divulgation d’informations. Si les services accessibles ne sont pas configurés avec un
mot de passe, un attaquant peut acquérir un accès non autorisé à ce dispositif.
a. Les téléphones IP
Un pirate peut compromettre un dispositif de téléphonie sur IP, par exemple un téléphone IP,
un softphone et autres programmes ou matériels clients. Généralement, il obtient les
privilèges qui lui permettent de commander complètement la fonctionnalité du dispositif.
Compromettre un point final (téléphone IP) peut être fait à distance ou par un accès physique
au dispositif. Le pirate pourrait modifier les aspects opérationnels d'un tel dispositif : La pile
du système d'exploitation peut être changée. Ainsi la présence de l'attaquant ne sera pas
remarquée.
b. Les serveurs
Un pirate peut viser les serveurs qui fournissent le réseau de téléphonie sur IP. Compromettre
une telle entité mettra généralement en péril tout le réseau de téléphonie dont le serveur fait
partie.
c. Les vulnérabilités du système d’exploitation

Ces vulnérabilités sont pour la plupart relatives au manque de sécurité lors de la phase initiale
de développement du système d'exploitation et ne sont découvertes qu’après le lancement du
24
produit. Une des principales vulnérabilités des systèmes d'exploitation est le buffer overflow.
Il permet à un attaquant de prendre le contrôle partiel ou complet de la machine. Les
dispositifs de la VoIP tels que les téléphones IP, Call Managers, Gateway et les serveurs
proxy, héritent les mêmes vulnérabilités du système d'exploitation ou du firmware sur lequel
ils tournent.
2. Attaques sur le réseau informatique

Le réseau informatique est sujet à beaucoup d’attaque, ces attaques peuvent atteindre tout
dispositif connecté et non sécurisé. Parmi ces attaques on peut citer :
a. Déni de service
L’attaque par déni de service consiste à surcharger le serveur Web de requêtes jusqu’à ce qu’il
ne puisse plus suivre et s’arrête. Il est envisageable de saturer les réseaux des sociétés
équipées en voix sur IP, bloquant ainsi les communications internes, externes mais aussi le
système d’information.
Les attaques par déni de service se retrouvent sous plusieurs formes. Les plus classiques sont
celles qui visent à utiliser toute la bande passante disponible ou abuser de problèmes
intrinsèques à TCP/IP, bloquant ainsi les tentatives de communication.
Figure 4: Attaque Dos avec le mode CANCEL
25
b. Attaque MAN-in-the-middle
L'attaque de l'homme du milieu peut être établie par le scénario décrit sur la figure. Le client
SIP envoie un message INVITE à son serveur proxy SIP, l'attaquant Charlie intercepte le
message et envoie une réponse de redirection forcée a mené vers son adresse physique.
Comme il n'a pas authentifié le serveur proxy, le client SIP accepte la réponse et redirige
l'appel vers l'attaquant. Le vrai proxy SIP peut être neutralisé par un déni de service ou en
exploitant une situation de concurrence. En même temps, l'attaquant remplace l'emplacement
de l'émetteur par son adresse IP dans le champ Contact (ce champ indique l'adresse physique
de l'appelé). L'attaquant peut aussi exploiter les champs via et REQUEST-URI dans les
messages SIP afin de modifier l'itinéraire des requêtes SIP. Ensuite, il envoie le message
falsifié vers l'appelé Alice. Ainsi, tous les messages de signalisation communiqués entre
l'appelé et l'appelant passeront dorénavant par l'attaquant. Le vol de la session de signalisation
entre les deux clients est une première étape vers le vol de la session d'échange de média.
Figure 5: Man-in-the-middle
26
c. Attaques par mots de passe

Les attaques de mot de passe constituent l’une des formes les plus courantes de violation des
données d’entreprise et personnelles. Une attaque de mot de passe est tout simplement une
tentative de vol de mot de passe par un hacker. Les plus courants sont :
 Hameçonnage : L’hameçonnage consiste, pour un hacker, à vous envoyer un e-mail

frauduleux en se faisant passer pour un organisme que vous connaissez, pour vous
inciter à révéler volontairement vos informations personnelles.
 Attaque par fore brute : Un hacker peut essayer 2 180 milliards de combinaisons de
mot de passe et utilisateur en 22 secondes. Si votre mot de passe est simple, votre
compte pourrait être menacé.
 Attaque par dictionnaire : L’attaque par dictionnaire est une attaque par force brute.
Elle repose sur notre habitude de choisir des mots simples à titre de mot de passe, ce
qui a permis aux hackers de réunir les plus courants d’entre eux dans des
« dictionnaires de craquage ».
d. Usurpation d’identité
Elle s'appuie sur le vol d'identité et du mot de passe d'un client SIP par l'écoute du trafic SIP
ou sur l'acquisition via une autre voie du couple (nom d'utilisateur et mot de passe) et les
utilise pour avoir un accès non autorisé. Le vol d'identité peut se faire par une attaque de type
man-in-the-middle ; l'utilisateur SIP entre ses coordonnées d'authentification et l'attaquant suit
l'échange du trafic entre le client et le serveur et récupère les coordonnées d'un utilisateur SIP
pour les utiliser ultérieurement.
e. Ecoute clandestine
L’eavesdropping est l'écoute clandestine d’une conversation téléphonique. Un attaquant avec
un accès au réseau VoIP peut sniffer le trafic et décoder la conversation vocale. Des outils tels
que VOMIT (Voice Over Misconfigured Internet Telephones) permettent de réaliser cette
attaque. VOMIT convertit les paquets sniffés en fichier .wav qui peut être réécouté avec
n’importe quel lecteur de fichiers son.
27
Figure 6: Exemple de détournement d’appel
3. Les attaques sur les protocoles voip

Les protocoles de la VoIP utilisent UDP et TCP comme moyen de transport et par conséquent
sont aussi vulnérables à toutes les attaques contre ces protocoles, tel le détournement de
session (TCP) (session Hijacking) et la mystification (UDP) (Spoofing).
a. Suivie d’appel
Appelé aussi call tracking, cette attaque se fait au niveau du réseau LAN/VPN et cible les
terminaux (soft/hard phone). Elle a pour but de connaître qui est entrain de communiquer et
quelle est la période de la communication Pour réaliser cette attaque, L’attaquant doit être
capable d’écouter le réseau et récupérer les messages INVITE et BYE.
b. Attaques contre les services support

Les services support jouent un rôle important dans la continuité opérationnelle et le
fonctionnement des services VoIP. Nous y trouvons des services comme le DNS qui permet
au serveur proxy de résoudre les noms de domaine, le service DHCP qui affecte les adresses
de contact au client et d'autres services comme le transfert des fichiers pour la configuration
par exemple. Parmi les services support critiques, nous trouvons le système de facturation qui
représente, s'il a des dysfonctionnements, une menace financière pour le fournisseur. Nous
détaillons dans cette section les plus importantes attaques contre ses services.
28
c. Injection de paquet RTP

Cette attaque se fait au niveau du réseau LAN/VPN. Elle cible le serveur registrar, et a pour
but de perturber une communication en cours. L’attaquant devra tout d’abord écouter un flux
RTP de l’appelant vers l’appelé, analyser son contenu et générer un paquet RTP contenant un
en-tête similaire mais avec un plus grand numéro de séquence et timestamp afin que ce paquet
soit reproduit avant les autres paquets (s’ils sont vraiment reproduits). Ainsi la communication
sera perturbée et l’appel ne pourra pas se dérouler correctement.
4. Attaque contre le système de paiement
La facturation est un service fondamental pour tous les services VoIP commerciaux et il a un
impact direct sur chaque client VoIP. L'une des exigences les plus importantes de facturation
est qu'elle doit être sécurisée et qu'elle représente un service fiable. Du côté client VoIP, la
facturation ne doit que lui faire payer les appels qu'il a vraiment passé et pour la durée
consommée.
a. Attaque de l’accès non autorisé

Cette attaque consiste à accéder à un service, une fonctionnalité, ou un élément de réseau sans
autorisation appropriée.
b. Ingénierie sociale
L'ingénierie sociale est la capacité d'abuser ou de profiter des services VoIP pour un gain
personnel ou financier. Cette catégorie d'attaques est l'une des plus critiques pour les
opérateurs de télécommunications et les fournisseurs de VoIP. L'ingénierie sociale est une
préoccupation importante en matière de sécurité et de confidentialité. Différentes attaques
sont comprises dans cette classe comme la déclaration des informations fausses délivrées
expressément dans le but de tromper ou utiliser une fausse déclaration. Nous trouvons aussi la
présentation préméditée d'une fausse identité montrant des informations de quelqu'un d'autre
afin de contourner les mécanismes d'authentification. Cette catégorie inclut le vol de services
qui consiste à gagner illégalement des revenus provenant des services de quelqu'un d'autre,
par exemple la facturation des appels VoIP.
II. Solutions de sécurités

Nous avons déjà vu des vulnérabilités qui existent au niveau du protocole, de l'application et
du système d’exploitation, à cet effet la sécurité a été divisé en trois niveaux. Sécurité du
protocole, sécurité de l’application et sécurité du système d’exploitation.
29
1. Sécurisation des protocoles

La prévalence et la facilité de sniffer des paquets et d'autres techniques pour la capture des
paquets IP sur un réseau pour la voix sur IP fait que le cryptage soit une nécessité. La
sécurisation de la VoIP est à la protection des personnes qui sont interconnecté.
a. VOIP VPN
Un VPN VoIP combine la voix sur IP et la technologie des réseaux virtuels privés pour offrir
une méthode assurant la préservation de la prestation vocale. Puisque la VoIP transmet la voix
numérisée en un flux de données, la solution VPN VoIP semble celle la plus approprié vu
qu’elle offre le cryptage des données grâces a des mécanismes de cryptages, puisqu’elle
permet d’offrir l’intégrité des paquets VoIP.
b. SRTP (Secure RTP)

SRTP est conçu pour sécuriser la multiplication à venir des échanges multimédias sur les
réseaux. Il couvre les lacunes de protocoles de sécurité existants comme IP sec (IP Security),
dont le mécanisme d'échanges de clés est trop lourd. Il aussi est bâti sur le protocole temps
réel RTP (Real Time Transport Protocol). Il associe aussi une demi-douzaine de protocoles
complémentaires. Il est donc compatible à la fois avec des protocoles d'initiation de session de
voix sur IP tel que SIP (Session Initiation Protocol), ainsi que le protocole de diffusion de
contenu multimédia en temps réel RTSP (Real Time Streaming Protocol). Mais, surtout, il
s'adjoint les services du protocole de gestion de clé MIKEY (Multimédia Internet KEYing).
Service de sécurités offertes par SRTP Les principaux services offerts par SRTP sont :
 Rendre confidentielles les données RTP, que ce soit l’en-tête et la charge utile ou
seulement la charge utile.
 Authentifier et vérifier l’intégrité des paquets RTP. L’émetteur calcule une empreinte
du message à envoyer, puis l’envoie avec le message même.
 La protection contre le rejet des paquets. Chaque récepteur tient à jour une liste de
tous les indices des paquets reçus et bien authentifiés.
Un paquet SRTP est généré par transformation d’un paquet RTP grâce à des mécanismes de
sécurité. Donc le protocole SRTP effectue une certaine mise en forme des paquets RTP avant
qu’ils ne soient sur le réseau. La figure suivante présente le format d’un paquet SRTP.
30
Figure 7: Format d'un paquet SRTP
On remarque que le paquet SRTP est réalisé en rajoutant deux champs au paquet RTP :
 SRTP MKI (SRTP Master Key identifier) : sert à re-identifier une clef maîtresse
particulière dans le contexte cryptographique. Le MKI peut être utilisé par le récepteur
pour retrouver la clef primaire correcte quand le besoin d’un renouvellement de clefs
survient.
 Authentication tag : est un champ inséré lorsque le message a été authentifié. Il est
recommandé d’en faire usage. Il fournit l’authentification des en-têtes et données RTP
et indirectement fournit une protection contre le rejeu de paquets en authentifiant le
numéro de séquence.
c. Sécurisation de l’application
Plusieurs méthodes peuvent être appliquées pour sécuriser l'application, ces méthodes varient
selon le type d'application (serveur ou client). Pour sécuriser le serveur il faut :
 L’utilisation d’une version stable, Il est bien connu que toute application non stable
contient surement des erreurs et des vulnérabilités. Pour minimiser les risques, il est
impératif d'utiliser une version stable.
 Tester les mises à jour des softwares dans un laboratoire de test. Il est très important
de tester toute mise à jour de l'application dans un laboratoire de test avant de les
appliquer sur le système en production.
 Ne pas tester les correctifs sur le serveur lui-même
 Ne pas installer une application client dans le serveur.
d. Sécurisation de système d’exploitation

Il est très important de sécuriser le système sur lequel est implémenté le serveur de VoIP. En
effet, si le système est compromis, l’attaque peut se propager sur l’application serveur. Celle-
ci risque d’affecter les fichiers de configuration contenant des informations sur les clients
31
enregistrés. Il y a plusieurs mesures de sécurités à prendre pour protéger le système

d’exploitation :
 Utiliser un système d’exploitation stable. Les nouvelles versions toujours contiennent

des bugs et des failles qui doivent être corrigés et maîtrisés avant.
 Mettre à jour le système d’exploitation en installant les correctifs de sécurité
recommandé pour la sécurité.
 Ne pas mettre des mots de passe simple et robuste. Ils sont fondamentaux contre les
intrusions. Et ils ne doivent pas être des dates de naissances, des noms, ou des
numéros de téléphones. Un mot de passe doit être assez long et former d’une
combinaison de lettre, de chiffres et ponctuations.
 Asterisk in CHROOT : empêcher le serveur VoIP d’avoir une visibilité complète de
l’arborescence du disque, en l’exécutant dans un environnement sécurisé qui
l’empêche d’interagir librement avec le système.
 On peut aussi utiliser les pare feu ou/et les ACL pour limiter l’accès à des personnes
bien déterminé et fermer les ports inutiles et ne laisser que les ports utilisés (5060,
5061, 4569,….). Le pare feu (firewall) est un software ou hardware qui a pour
fonction de sécuriser un réseau ou un ordinateur contre les intrusions venant d’autres
machines. Le pare feu utilise le système de filtrage de paquet après analyse de l’entête
des paquets IP qui s’échange entre les machines.
Conclusion
Le développement rapide de la technologie VOIP fait d’elle la cible de nombreuses attaques.
Les attaques décris, sont les plus connus et courant dans les réseaux VOIP. En pratiquant les
bons pratiques cités, on peut mettre en œuvre un réseau bien sécurisé.
32
Chapitre III
Installation et configuration d’une solution VOIP basée sur

asterisk
33
Introduction
Apres l’étude de la VOIP, sa vulnérabilité ainsi que les fréquentes contre son architecture,
nous allons voir au cours de ce chapitre un outil très célèbre nomme asterisk. Nous allons
voir étape par étape l’installation et la configuration de asterisk sous le système d’exploitation
linux. Par la suite on procèdera à la création et au paramétrage de clients sous ZOIPER et
3CX.
I. Présentation d’asterisk
Asterisk est une solution de téléphonie sur IP, Open Source. Il s’agit donc d’une solution
gratuite, avec une communauté très active. Il a été développé par la société Digium. Il est
disponible sous Linux et Windows, même si la version Linux est de loin la plus rependue. Il
fait office d’IPBX, mais il est aussi capable de s’interfacer avec un réseau de téléphonie
analogique, à l’aide de cartes additionnelles. Asterisk peut donc faire office d’IPBX et de
PABX. Un IPBX est plus communément appelé un serveur de VoIP. Un PABX, aussi appelé
un autocommutateur permet de relier les postes téléphoniques internes avec le réseau de
téléphonie public, le tout sur des lignes analogiques ou numériques. Un serveur Asterisk
permet donc de faire de la VoIP ainsi que de la téléphonie analogique. En plus d’être gratuit,
Asterisk est donc aussi très complet. Asterisk supporte de très nombreux codecs audios, dont
le G.711 (u-Law et a-Law) et lG.729. Il supporte aussi de nombreux protocoles tels que SIP,
IAX, H.323 et SCCP.
II. Installation d’asterisk

Pour l’installation, il est nécessaire de choisir une version d’asterisk à mettre en place.
Asterisk existe sous linux et Windows, la version linux est la plus appréciée. Ensuite vient le
choix du type d’installation.
 A partir des packages

 A partir des sources
 A l’aide d’une distribution
L’installation à partir des packages est simple et automatisée. En revanche elle n’offre pas la
garantie d’avoir la dernière version d’Asterisk. L’installation à partir des sources demande de
récupérer les sources à la main, et de les compiler. Vous obtiendrez alors la dernière version
d’Asterisk. Enfin, les distributions Linux dédiées à Asterisk ont l’avantage d’implémenter
34
Asterisk de base, mais aussi de fournir des modules complémentaires disponibles par défaut
(interface graphiques, etc…).
1. Détermination des prérequis

Tout d’abord, avant d’installer Asterisk, un serveur tournant sous une distribution Linux est
nécessaire. Le choix de la distribution n’a pas une importance capitale, dans la mesure où la
majeure partie de la configuration dépendra d’Asterisk. Nous avons choisi Ubuntu comme
distribution linux. Les prérequis nécessaires pour l’installation du serveur Asterisk, sont
classés dans le tableau ci-dessous :
Tableau 2: Liste de paquetages nécessaires pour compiler asterisk et libpri.
Nom du packetage Commande D’installation Note
GCC 3.x yum install –y gcc Nécessaire pour compiler

zaptel, libpri, et asterisk
Ncurses-devel yum install –y ncurses devel Nécessaire pour menuselect
libtermcap-devel yum install –y libtermcap- Nécessaire pour asterisk

devel
Kernel Development yum install -y kernel-devel Nécessaire pour compiler

Headers zaptel
Kernel Development yum install -y kernel-smp- Nécessaire pour compiler

Headers (SMP) devel zaptel
GCC C++ 3.x yum install –y gcc-c++ Nécessaire pour asterisk
OpenSSL (optionnel) yum install –y openssldevel Dépendance de OSP, IAX2

encryptions, res_crypto
(RSA key support)
Nécessaire pour asterisk
zlib-devel (optionnel) yum install –y zlib devel Dépendance de DUNDi

Nécessaire pour asterisk
unixODBC; unixODBC yum install –y unixODBC- Dépendance de func_odbc,
35
devel (optionnel) devel cdr_odbc, res_config_odbc,

res_odbc,
ODBC_STORAGE
Libtool (optionnel; yum install –y libtool Dependence de ODBC-

recommandé) related modules
GNU make (version 3.80 ou yum install –y make Nécessaire pour compiler
plus) zaptel et asterisk
Le meilleur chemin pour obtenir le code source d’Asterisk et ces paquetages est de les
télécharger à partir du site web www.asterisk.org.
a. Téléchargement des packages

Commençons par mettre à jour le système
# apt-get update (maj de la liste de paquets)
# apt-get upgrade (maj des paquets)
Une fois que le système est à jour on peut procéder à l’installation de notre package.
# sudo su (pour se connecter en mode root)
# cd /usr/src/ (asterisk est téléchargé dans ce dossier)
# apt-get install asterisk
L’installation de asterisk est automatique après l’exécution de la commande.
36
Figure 8: Téléchargement des paquets
III. Configuration d’asterisk

Nous disposons de deux outils pour administrer Asterisk :
 La console
 Les fichiers de configuration
La console permet principalement de faire du debug et de voir l’état du serveur. Nous

pouvons aussi l’utiliser pour redémarrer Asterisk, charger des modules, etc…. La console se
lance avec la commande suivante :
Asterisk -r
Il est possible de placer le paramètre « v » à la fin de la commande. De cette manière la

console s’ouvrira en mode verbeux.
37
Figure 9: Console de asterisk
La configuration d’Asterisk se fait dans les fichiers de configuration. Ces fichiers sont placés
dans le répertoire suivant :
/etc/asterisk/
Quelques fichiers qu’on retrouve dans asterisk :
Tableau 3: Fichiers dans le répertoire asterisk
Fichier Description
Users.conf Configuration des utilisateurs
Voicemail.conf Configuration de la messagerie utilisateur
Sip.conf Configuration des canaux SIP
Moh.conf Configuration des musiques d’attente
Meetme.conf Configuration des salles de conférence
Cdr.conf Configuration de la récupération de log
Features.conf Configuration du parking d’appel
Extensions.conf Configuration du dial plan
38
Pour que les modifications des fichiers soient prises en compte, il faut relancer Asterisk. Ou
au moins le module concerné.
asterisk –rv
reload
1. Configuration des comptes utilisateurs

Dans le fichier sip.conf, on créera des utilisateurs utilisant le protocole sip pour établir la
connexion, voilà les deux clients que nous avons créé au niveau du fichier :
[general]
context=internal spécifie le type de routage à utiliser
allowoverlap=no
allowguest=no
bindport=5060 /port sip
bindaddr=0.0.0.0
srvlookup=all
disallow=all Désactiver tous les codecs
Allow=ulaw Autorise le codec ulaw
alwaysauthreject=yes
canreinvite=no
nat=yes
session-timers=refuse
localnet=192.168.21.130/255.255.255.0
[1000]
type=friend ; Type d'objet SIP (friend = utilisateur)
host=dynamic L’utilisateur n’est pas associé à une IP fixe
secret=123 Mot de passe
39
context=internal
Callerid = "moh" /identifiant d’utilisateur
[2000]
type=friend
host=dynamic
secret=456
callerid = "Oumar"
2. Configuration des extensions

La configuration des extensions est dans :
[internal]
exten => 1000,1,Answer()
exten => 1000,2,Dial(SIP/1000,20)
exten => 1000,3,Playback(vm-nobodyavail)
exten => 1000,4, VoiceMail(1000@main)
exten => 1000,5,Hungup()
Exten => 1001,1, VoicemailMain(1000@main)

exten => 2000,1,Answer()

exten => 2000,2,Dial(SIP/2000,20)
exten => 2000,3,Playback(vm-nobodyavail)
exten => 2000,4,Voicemail(2000@main)
exten => 2001,1,VoicemailMain(1000@main)

40
Si l’appelant compose le numéro 1000, il est mis en relation avec le poste dont le numéro est
1000 qui utilise le protocole SIP, de même pour le numéro 2000. Il existe d’autres options
qu’on peut ajouter dans le fichier extensions.conf, telles que la boîte vocale et le renvoi
d’appel. La syntaxe du fichier est sous le format suivant : Exten= extension, priorité,
commande (paramètre).
 Extension : C’est généralement le numéro de téléphone ou le nom du client.

 Priorité : C’est un numéro qui indique la priorité de la commande, le serveur prend en
considération la priorité de la commande en utilisant le numéro inscrit dans la syntaxe.
 Commande : C’est la commande qui peut exister, comme la commande dial (appel),
Voice mail (boîte vocale), etc.
On peut utiliser plusieurs options pour un seul numéro d’appel, on peut mettre par exemple un
transfert d’appel vers un autre numéro ou vers la boite vocale selon des priorités. Nous
pouvons voir les deux utilisateurs avec la commande suivante :
Localhost*CLI> sip show peers
Figure 10: Test de la commande « sip show peers »
IV. Les logiciels zoiper et 3cx
1. Zoiper
Zoiper est une solution de numérotation softphone multi-plateforme VoIP qui prend en charge
les appels vocaux et vidéo ainsi que la fonctionnalité de messagerie instantanée. Disponible
41
pour Windows, Mac et Linux, Zoiper propose également des applications compagnons natives
pour iOS, Android et Windows Phone, offrant aux utilisateurs la possibilité de passer des
appels VoIP via plusieurs réseaux PBX (Private Branch Exchange) et SIP (Session Initiation
Protocol) ou IAX (Inter-Asterisk exchange) fournisseurs. On peut télécharger zoiper depuis
google. La configuration de zoiper est simple et intuitive. Il faut juste remplir les champs avec
les données utilisateurs configures dans le serveur asterisk.
Figure 11: Création d’un client zoiper
Une fois la configuration terminée un indique vert apparait ce qui signifie qu’il ya connection
avec le serveur et que la communication est possible. En revanche l’indique rouge signifie une
erreur.
2. 3CX
3CX est un standard ouvert, un système téléphonique logiciel basé sur le standard SIP. Il
fonctionne avec une gamme de matériel téléphonique et propose également des extensions
basées sur un navigateur Web et des applications mobiles. A l’instar de zoiper, le logiciel 3cx
est disponible sur google. Pour configurer 3cx il est indispensable de remplir les champs,
conforme aux utilisateurs configurés dans le serveur. En cas d’erreur, l’appareil indique par
« authentication failed ».
42
Figure 12: Création d’un client
43
Figure 13: Appel entre client
Conclusion
Open source, avec une installation et configuration assez simple, asterisk est le plus fameux
des solutions. Il nous a permis de faire des tests d’appels entre deux clients sans difficulté.
44
Chapitre IV
Sécurisation de la solution mise en place
45
Introduction
Après avoir étudié le protocole VoIP, et identifié les vulnérabilités auxquelles il est exposé et
qui menacent ses systèmes. Ce chapitre présente quelques techniques appliquées par un
attaquant. Nous effectuons, un exemple d'attaque sur notre système VoIP. Nous nous
intéressons aux techniques, mécanismes et configurations à mettre en œuvre. L'objectif est de
protéger les solutions VoIP basées sur les serveurs Asterisk.
I. Localisation des serveurs Voip

Toute bonne attaque VoIP commence par le profilage de la cible, Connu sous le nom de
profiling ou foot printing. Les empreintes digitales comprennent des Informations sur la
cible qui déploie les serveurs VoIP et leurs paramètres de sécurité. Il existe plusieurs
méthodes pour la collecte des informations en voici quelques-unes des plus utilisées :
1. Utilisation des serveurs whois

Les whois sont des services proposés gratuitement en ligne permettant d’obtenir des
informations sur un domaine particulier, sur une adresse de messagerie. Grâce à ses bases de
données comme :
Whois.ripe.net : s’occupe d’attribuer des adresses IP pour l’Europe.

Whois.apnic.net : attribue les adresses IP pour l’Asie.
Whois.nic.mil : attribue les adresses IP des systèmes militaires américains.
2. Utilisation des aspirateurs de sites

Si la cible a un site, le pirate doit le parcourir à la recherche d’adresses emails, de compte et
mots de passes ou d’autres informations précises. Parcourir le code source peut aussi recenser
des informations qui pourraient permettre de remonter aux sources. Les aspirateurs de sites
permettent d’automatiser ces recherches.
3. Utilisation des moteurs de recherches et des agents intelligents

Un des grands avantages des moteurs de recherches Internet est leurs énormes potentiels pour
découvrir les plus obscurs des détails sur l'Internet. L'un des plus grands risques pour la
sécurité est aujourd'hui l’énorme potentiel des moteurs de recherche pour découvrir les détails
sur l'Internet. Il existe une variété de façons qu’un hacker peut exploiter en utilisant
simplement les fonctionnalités avancées d'un service tel que Google.
46
4. Balayage (Scan) des réseaux VOIP

Afin de scanner un réseau, l’outil nécessaire pour cela est un scanner de réseau (sniffer en
anglais). C’est un logiciel permettant de découvrir les équipements présents sur un réseau et
les services qu’il offre. Le scanner est souvent utilisé par les administrateurs réseau au cours
de test de sécurité. Son principe de fonctionnement est de tester chaque adresse IP et chaque
port TCP ou UDP afin de vérifier la présence d'un serveur ou d'un quelconque équipement
fonctionnant en TCP/IP.
II. Les logiciels d’attaques

Nous allons nous servir du logiciel wireshark et du système kali-linux pour simuler différents
types d’attaques contre notre système. Avec wireshark nous allons sniffer et écouter les
paquets rtp, kali-linux va nous permettre non seulement de sniffer mais aussi cracker les mots
de passe utilisateur.
1. Logiciel wireshark
Wireshark est un outil permettant de capturer les paquets réseau et à les afficher à un niveau
granulaire. Une fois ces paquets décomposés, vous pouvez les utiliser pour une analyse en
temps réel ou hors ligne. Cet outil vous permet de mettre votre trafic réseau sous un
microscope, puis de le filtrer et de l'approfondir, en zoomant sur la cause première des
problèmes, en aidant à l'analyse du réseau et, finalement, à la sécurité du réseau. L’utilisation
de Wireshark dans notre projet est pour la détection des vulnérabilités dans le réseau VoIP.
Nous essayerons de capturer les paquets qui circulent pour déterminer quelques informations
telles que les adresses IP, les numéros de ports, et d’autres informations qui servent au
piratage (vol d’identité, déni de service, etc.). Ainsi que nous pouvons écouter une
communication entre deux clients en décodant les paquets RTP (écoute clandestine). Le
logiciel est installé sous windows. Une capture de trame, près la connexion des clients
« 1000 » et « 2000 », donne les résultats suivants :
47
Figure 14: Capture du trafic avec wireshark
Une fois l’appel lancé, la colonne « protocole » affiche des paquets RTP. Ces paquets sont
lisibles, nous pouvons voir leur contenu et soutirer des informations sensibles.
Figure 15: Capture des trafics rtp
Avec Wireshark, on a pu récupérer les paquets RTP et faire l’écoute de la conversation

téléphonique établie entre deux clients Sip comme l’indique la figure ci-dessous
48
Figure 16: Ecoute de la conversation
2. Kali-linux
Kali Linux est un système d’exploitation qui permet avant tout de protéger et d’optimiser des
ordinateurs et des réseaux et de déchiffrer des mots de passe. Comme ces fonctionnalités
peuvent également servir des desseins illégaux. Kali Linux est une distribution Linux basée
sur Debian ; elle permet avant tout d’identifier des failles de sécurité au niveau des
ordinateurs ou des connexions Internet, de récupérer des données perdues ou d’analyser des
mots de passe. Le système fonctionne avec une licence publique générale GNU, ce qui en fait
donc une solution open source.
49
Figure 17: Ecoute du trafic
La figure ci-dessous montre que non seulement il affiche les adresses ip de la communication
via voix ip, mais aussi consulter des informations très importante à tel que les identifiants des
clients SIP et les mots de passe.
Figure 18: Craque de mot de passe
Invite flood est un outil qui permet d'effectuer un débordement de message SIP / SDP
INVITE sur UDP / IP pour effectuer une attaque DOS (Deny of Service). Cet outil est utilisé
pour bombarder le serveur avec des messages de demande INVITE, tant que cet outil continue
d'inonder le PBX, il empêche les clients de passer des appels téléphoniques.
50
Figure 19: Attaque invite flood
III. Solution de sécurité

Pour se protéger contre les attaques réalisées et autres attaques similaires,
Nous avons sélectionné quelques solutions pour aider à minimiser les attaques.
Compte tenu de la menace, les solutions proposées et mises en œuvre ne peuvent être
qualifiée d'efficaces. Car il y’aura toujours des problèmes de sécurité.
a. Solution pratique contre l’écoute clandestine

Il existe plusieurs solutions contre cette attaque. Nous allons étudier quelques-uns.
a. Mise en place d’un vpn

Un réseau privé virtuel (VPN) est un service qui vous permet d’accéder au Web de manière
sécurisée et privée en acheminant votre connexion via un serveur et cache vos actions en
ligne. C’est un canal entre votre smartphone ou votre ordinateur et un serveur VPN. L’outil
que nous avons choisi pour la mise en place d’un VPN est OpenVPN. C’est un logiciel « open
source » qui crée un réseau virtuel basé sur SSL. Il peut être utilisé afin de relier deux réseaux
ou plus, via un tunnel chiffré à travers Internet. L’utilisation d’OpenVPN nécessite un client
de ce dernier pour se connecter à son serveur.
Installation d’OpenVPN
Pour commencer on met à jour notre système, ensuite on installe openvpn grâce à la
commande suivante :
$ Sudo apt update

51
$ Sudo apt install openvpn easy-rsa
Ensuite, on crée un nouveau répertoire sur le serveur OpenVPN en tant qu'utilisateur non root
appelé easy-rsa :
$ mkdir /easy-rsa
Création d’une demande de certificat de serveur openvpn et d’une clé privée.

Maintenant que le serveur OpenVPN a tous les prérequis installés, l'étape suivante
consiste à générer une clé privée et une demande de signature de certificat (CSR) sur
le serveur OpenVPN. Après cela, nous transférons la demande à notre autorité de
certification pour qu'elle soit signée, en créant le certificat requis. Une fois qu’on a un
certificat signé, nous le transférons sur le serveur OpenVPN et l'installe pour que le
serveur l'utilise.
Cd /easy-rsa
. /easyrsa gen-req server nopass
$ sudo cp
/home/sidiki/easrsa/pki/private/server.key/etc/openvpn/server/
Apres avoir terminé ces étapes, on a créé avec succès une clé privée pour le serveur
OpenVPN. On a également généré une demande de signature de certificat pour le
serveur OpenVPN.
Création d’un openvpn : Nous allons maintenant passer à la création d’un utilisateur
ayant des droits restreints, qui sera chargé de lancer le service, de telle sorte que même
si la machine s’est faite piratée, l’attaquant n’aura que les droits de cet utilisateur et
pas ceux de root. Il faut créer un groupe d’utilisateur dans lequel, nous allons affecter
l’utilisateur grâce à la commande suivante :
$ groupeadd openvpn / /le groupe qu’on vient de créer se nomme openvpn
52
//Ensuite créer l’utilisateur

$ useradd − d /dev/null − s /bin/f alse − g openvpn
Configuration et lancement du serveur : En premier lieu, il faut copier le fichier

server.conf se trouvant dans le répertoire /usr/share/doc/openvpn/examples/sample-
config-files et le placer dans le répertoire suivant /etc/openvpn.
$ cp server.conf/etc/openvpn
$ nano server.conf
Les paramètres à modifier sont les suivants :

Dev tun : Pour pouvoir utiliser OpenVPN en mode tunnel.
Comp-lzo Bien vérifier en bas du fichier l’utilisation de la librairie lzo pour la
compression des données.
User openvpn / group openvpn : Utiliser l’utilisateur et son groupe que nous avons
créé pour lancer le serveur.
Configuration du client : La configuration du client est simple. Il faut commencer par
installer le client OpenVPN sur la machine. Ensuite il faut copier les fichiers suivants
(Ca.crt, Client.crt, Client.csr et Client.key) qui se trouvent sous le répertoire
/etc/openvpn du coté serveur. Ensuite, il faut configurer le fichier client.conf afin qu’il
puisse reconnaître le serveur grâce à l’ajout de la ligne suivante dans le fichier :
Remonte 192.168.21.140 1194
C’est l’adresse du serveur et le port sur lequel va s’effectuer la connexion VPN.

Maintenant le réseau VPN est prêt à être utiliser entre le serveur Asterisk et ses clients.
b. Chiffrement RTP avec SRTP

La première étape consiste à ajouter le support de SRTP à Asterisk. Téléchargement de la
librairie SRTP.
cd /usr/src/
53
wget http : //srtp.sourceforge.net/srtp − 1.4.2.tgz
tar − xvzfsrtp − 1.4.2.tgz
rm srtp − 1.4.2.tgz
Installation de la librairie SRTP.
cd srtp
. /configure CF LAGS = −fP IC − −prefix = /usr
make
make install
Pour qu’Asterisk prenne en charge SRTP, il nous faut le réinstaller
cd /usr/src/asterisk/asterisk − 13.0.0/
make clean
. /configure
make
make install
asterisk – rv
module load res_srtp.so // chargement du module srtp dans asterisk
A présent, il faut forcer l’utilisation de SRTP sur les clients voulus. Pour cela, nous ajoutons
la ligne encryption=yes chez les utilisateurs concernés dans sip.conf.
[client]
type=friend
secret=123
host=dynamic
54
username=client
context=default
callerid=client « 061 »
mailbox=client@192.0.0.1
transport=tls
encryptions=yes
b. Solution pratique contre le ddos

Les solutions pratiques proposés ici pour les attaques peuvent aider à contenir et minimiser les
attaques. DOS, et à réduire les vulnérabilités du réseau, elle ne garantit pas une sécurité
parfaite. Pour cela, j'ai décidé d'utiliser le pare-feu Netfilter.
a. Implémentation d’un firewall netfilter

Un firewall efficace possède plusieurs interfaces réseaux pour filtrer plusieurs zones. Le
firewall va nous permettre de minimiser le trafic entrant au serveur Asterisk et cela va limiter
les attaques de types DoS. Notre objectif est de laisser passer que des trafics VoIP et plus
exactement des paquets basés sur le protocole SIP et le protocole RTP. IP table est la
commande permettant de paramétrer le filtre Netfilter du noyau Linux et donc de configurer
le Firewall. On doit mettre notre système à jour, puis exécuté les commandes suivantes :
# iptables -A INPUT -p udp -m udp --dport 5060 -j ACCEPT //accepter le trafic udp
entrant)
# iptables -A INPUT -p udp -m udp --dport 10000 //accepter le trafic udp du protocole
UDP
# iptables -A INPUT -p UDP -j DROP // Attribuer une règle par défaut pour bloquer
tous le trafic restant et qui passe par UDP.
Conclusion
Ce chapitre décrit diverses attaques qu'un réseau VoIP puisse être victime. On a pu tester le
sniffing et le ddos, et montré différentes solutions de sécurisation pour le système voip contre
55
les attaques. Cependant, il faut être conscient qu'il est impossible de garantir une sécurité
maximale au sein du réseau. VOIP.
Conclusion générale
Le but de ce projet, après l’étude de la voix sur IP et les techniques de sécurité, est de
sécuriser un réseau VoIP mis en place. L’étude consiste à simuler des attaques sur le système
voip et voir quelles sont les failles existantes à des fins sécuritaire.
Dans une première étape, nous nous sommes intéressés à l’étude de cette technologie avec ses
différents protocoles. Dans une deuxième étape, nous avons vu les failles de sécurité de la
voix sur IP, les attaques, les vulnérabilités et les bonnes pratiques possibles pour les attaques
cités. En troisième parti, On a usé du serveur asterisk et des clients 3cx et zoiper pour faire
l’installation et la configuration d’une solution voip. En dernière étape, nous avons testé des
attaques de sécurité contre la solution installée, et nous avons proposé et implémenté des
mécanismes et des protocoles pour la sécuriser.
Ce projet a été une expérience fructueuse qui nous a permis de mieux s’approcher du milieu
professionnel. Cette expérience nous a permis de savoir comment gérer et optimiser le temps
dans le but d’en profiter au maximum.
56
57

Memoire de Fin D'étude

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Memoire de Fin D'étude

Transféré par

Droits d'auteur :

Formats disponibles

République Tunisienne

Ministère de l'Enseignement Supérieur et de la Recherche Scientifique

Projet de Fin d’Etudes

Licence en Licence en informatique

Etude et mise en place d’une solution VOIP

Mes remerciements vont au corps professoral de L’UPS pour la qualité et la richesse de

Table des matières

b. SRTP (Secure RTP).................................................................................................................30

 Le deuxième chapitre comportera la sécurité Voix sur IP. Les défaillances et

 Le troisième chapitre, se concentre sur l’installation et la configuration de la solution

 Le quatrième chapitre, présentera la simulation d’une attaque réseau, ensuite une

On termine par une conclusion.

Chapitre I : Etude de la voix ip

Chapitre I : Etude Générale de la voix sur IP

I. Présentation de la voix sur IP

La TOIP signifie que tout le système de téléphonie de l’entreprise fonctionne en IP depuis le

Figure 1: Architecture générale de la voix sur IP

3. Voip vs téléphonie traditionnelle

Depuis de nombreuses années, il était possible de transmettre un signal à une destination

4. Processus du traitement de la voix IP

 L’acquisition : C’est la première étape qui consiste à détecter la voix via un

Figure 2: Processus de traitement de la voix sur IP

II. Etudes des protocoles

 Les terminaux : participation à une session multimédia

Figure 3 : Les principaux acteurs du protocole h323

Une communication H323 se déroule en cinq phases :

Réservation éventuelle de la bande passante à travers le protocole RSVP (Ressource

L’invocation éventuelle de services en phase d'appel (par exemple, transfert d'appel,

Enfin la libération de l'appel.

a. Avantages et inconvénients du protocole H.323 :

Principe de fonctionnement SIP

Le protocole SIP est basé sur différents caractéristiques :

Figure I.4 Enregistrement d’un utilisateur

Figure I.5 principe du protocole SIP

 Ouvert : les protocoles et documents officiels sont détaillés et accessibles à tous en

 Simple : SIP est simple et très similaire à http.

Tableau 1: Comparaison H323 et SIP

Nombres d’échange pour 6 à 7 aller-retours 1 à 5 aller-retours

Complexité Elevée Faible

Implémentation de nouveaux NON Faible

Protocole de transport TCP TCP ou UDP

Coût Elevé Faible

Avantages Maturité du protocole. Simple à mettre en œuvre.

 Points forts de la voix sur IP

Les points faibles sont :

Vulnérabilités et Attaques contre la VOIP et solutions de

Chapitre II : Vulnérabilités et Attaques contre la VOIP et

En passant de la téléphonie traditionnelle à la téléphonie IP, les entreprises peuvent bénéficier

Il existe deux principales classes de vulnérabilités sur un environnement VoIP. La première

1. Faiblesses dans la configuration des dispositifs de la voip

c. Les vulnérabilités du système d’exploitation

2. Attaques sur le réseau informatique

Figure 4: Attaque Dos avec le mode CANCEL

c. Attaques par mots de passe

 Hameçonnage : L’hameçonnage consiste, pour un hacker, à vous envoyer un e-mail

Figure 6: Exemple de détournement d’appel

3. Les attaques sur les protocoles voip

b. Attaques contre les services support

c. Injection de paquet RTP

4. Attaque contre le système de paiement

a. Attaque de l’accès non autorisé

II. Solutions de sécurités

1. Sécurisation des protocoles