Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

MISE EN PLACE D’UN TRUNK SIP ET SA SECURISATION SOMMAIRE 1. PRESENTATION DU SUJ

MISE EN PLACE D’UN TRUNK SIP ET SA SECURISATION SOMMAIRE 1. PRESENTATION DU SUJET…………………………………………………………………………….2 2. LE PROTOCOLE SIP………………………………………………………………………………………..3 2.1. Fonctionnement du protocole SIP…..……………………………………………………….3 2.2. Avantages et inconvénients …………….………………………………………………………6 3. PRESENTATION DU VPN……………………………………………………………………………….6 3.1. Principe et types de VPN …………………………………………………………………………7 3.2. Avantages et inconvénients de VPN...……………………………………………………..8 4. Mise en place du Trunk SIP et Sécurisation…………………………………………………..8 4.1. Configuration d'Asterisk…………………………………………………………………………11 4.2. Trunk SIP………………………………………………………………………………………………..12 4.3. Sécurisation du Trunk SIP.………………………………………………………………………18 1er juillet 2012 Mise en place d’un Trunk SIP et sa sécurisation Gilles BOUKAKA SAMBA Page 2 Master 1 Réseaux Télécoms/ISI-Sénégal 1. PRESENTATION DU SUJET Depuis quelques temps, le secteur des télécommunications traditionnel a connu un certain nombre de bouleversement avec notamment le passage de l’analogique (RTC) au numérique (2G+,3G). Ce passage a aussi permis une association des télécommunications à l’informatique dont un des exemples est la VOIP. La VoIP (Voice over Internet Protocol) est une solution de convergence voix et donné applicables au domaine des télécommunications qui permet de réaliser la ToIP (Telephony over Internet Protocol). La ToIP est un ensemble de techniques qui permettent la mise en place des services téléphoniques sur un réseau IP. La mise en place de la ToIP se fait par le biais de certains protocoles comme SIP (Session Internet Protocol) qui s’appui sur le protocole de transport RTP/RTCP (Real Time Protocol/ Real Time Control Protocol). Le protocole SIP permet de créer des liens de signalisation entre deux téléphones mais également entre deux serveurs de téléphonie IP. La liaison entre deux serveur est appelé TRUNK SIP. Cependant, l’utilisation du protocole SIP est sujette à certains problèmes comme ceux de sécurité surtout pour les liaisons serveurs. Ainsi pour assure la sécurité des communications basés sur ce lien de signalisation, on fait appel à certain comme des VPN. Le réseau privé virtuel (Virtual Private Network) est une extension des réseaux locaux et préserve la sécurité logique que l'on peut avoir à l'intérieur d'un réseau local. On parle de VPN lorsqu'un organisme interconnecte ses sites via une infrastructure partagée avec d'autres organismes. Il existe deux types de telles infrastructures partagées : les « publiques » comme l'Internet et les infrastructures dédiées que mettent en place les opérateurs pour offrir des services de VPN aux entreprises. Pour essayer de mettre exergue ce problème de sécurité lié au protocole SIP, nous avions simulé une liaison entre serveurs SIP et l’avions sécurisé grâce à une solution VPN open source. 1er juillet 2012 Mise en place d’un Trunk SIP et sa sécurisation Gilles BOUKAKA SAMBA Page 3 Master 1 Réseaux Télécoms/ISI-Sénégal 2. LE PROTOCOLE SIP Session Initiation Protocol (dont l'abréviation est SIP) est un protocole normalisé et standardisé par l'IETF pour ouvrir, maintenir, modifier et terminer des sessions multimédia. Il prend en charge de l'authentification et la localisation des multiples participants. Il se charge également de la négociation sur les types de média utilisables par les différents participants en encapsulant des messages SDP (Session Description Protocol). SIP ne transporte pas les données échangées durant la session comme la voix ou la vidéo. SIP étant indépendant de la transmission des données, tout type de données et de protocoles peut être utilisé pour cet échange. Cependant le protocole RTP (Real-time Transport Protocol) assure le plus souvent les sessions audio et vidéo. SIP remplace progressivement H.323. 2.1. FONCTIONNEMENT DU PROTOCOLE SIP Le fonctionnement du protocole SIP repose généralement sur trois fonctions: - User Agent - Registrar - Proxy  User agent Un ‘’User agent’’ est un outil ou équipement permettant de véhiculer différents types de messages comme la voix, des données. En téléphonie IP, le user agent peut être un soft-phone (téléphone logiciel) ou un téléphone IP. En théorie, on peut établir des sessions directement entre deux user agents, deux téléphones par exemple. Mais cela nécessite de connaître l'adresse IP du destinataire et ce n’est pas idéal avec l’utilisation de SIP derrière un NAT. Pour pallier à ce problème SIP utilise un registre : Registrar. Un navigateur peut être considéré comme un user agent pour la lecture des pages HTML.  Registrar Le ‘’Registrar’’ est un serveur qui gère les requêtes REGISTER envoyées par les Users agents pour signaler leur emplacement courant. Ces requêtes contiennent donc une adresse IP, associée à une URI, qui seront stockées dans une base de données. Les URI SIP sont très similaires dans leur forme à des adresses email : sip:utilisateur@domaine.com. Généralement, des mécanismes d'authentification permettent d'éviter que quiconque puisse s'enregistrer avec n'importe quelle URI. 1er juillet 2012 Mise en place d’un Trunk SIP et sa sécurisation Gilles BOUKAKA SAMBA Page 4 Master 1 Réseaux Télécoms/ISI-Sénégal Figure1 : Illustration de la fonction Registrar  Proxy SIP Un proxy SIP sert d'intermédiaire entre deux Users Agents qui ne connaissent pas leurs emplacements respectifs (adresse IP). En effet, l'association URI-Adresse IP a été stockée préalablement dans une base de données par un Registrar. Le Proxy peut donc interroger cette base de données pour diriger les messages vers le destinataire. 1. Envoi d'une requête INVITE au Proxy 2. Le Proxy interroge la base de données 3. La base de données renvoie l'adresse IP du destinataire 4. Le Proxy relaie le message au destinataire Figure 2 : Illustration de la fonction de proxy SIP 1er juillet 2012 Mise en place d’un Trunk SIP et sa sécurisation Gilles BOUKAKA SAMBA Page 5 Master 1 Réseaux Télécoms/ISI-Sénégal Les échanges entre le user agent (client) et le serveur (proxy SIP) sur les requêtes et les réponses suivantes : - Les requêtes  INVITE : envoyé par le client pour demander une nouvelle session ;  ACK : confirme l'établissement de la session ;  CANCEL : annule un INVITE en suspens ;  BYE : termine une session en cours ;  OPTIONS : pour récupérer les capacités de gestion des usagers, sans ouvrir de session ;  REGISTER : enregistrement auprès d'un serveur d'enregistrement. - Les réponses  100 : Trying  200 : OK  404 : Not Found  180 : Ringing (spécifique à SIP)  486 : Busy (spécifique à SIP) Figure 3 : Illustration de l’utilisation des requêtes et réponses 1er juillet 2012 Mise en place d’un Trunk SIP et sa sécurisation Gilles BOUKAKA SAMBA Page 6 Master 1 Réseaux Télécoms/ISI-Sénégal Le Proxy se contente de relayer uniquement les messages SIP pour établir, contrôler et terminer la session. Une fois la session établie, les données, par exemple un flux RTP pour la VoIP, ne transitent pas par le serveur Proxy. Elles sont échangées directement entre les user agents. 2.2. Avantages et Inconvénients du protocole SIP Comment tous les autres protocoles, l’utilisation du protocole SIP présente des avantages mais aussi des inconvénients parmi lesquels nous pouvons mentionnés :  Avantages  SIP est un protocole de ouvert et standardisé  SIP peut être intégration logique à d’autres standards comme Jabber ou l’utilisation du mécanisme STUN pour contourner les problèmes de NAT  SIP est compatible P2P : dans les réseaux LAN SIP fonctionnement en mode P2P  SIP est un protocole flexible, utilisable dans toutes les sessions multimédias  SIP est interopérable avec les réseaux téléphoniques grands publics  Inconvénients  SIP est un protocole non sécurisé, login et mot de passe circule en clair  SIP est incompatible dans les réseaux utilisant la translation d’adresses  SIP mal implémenté dans les users agents peut perturber ou générer un trafic superflu dans le réseau 3. PRESENTATION DU VPN VPN (Virtual Private Network) est une technologie qui fournit une communication sécurisée à travers un réseau non sécurisé. Il est basé sur la technique dite de « tunneling » qui consiste à encapsuler l’en-tête du paquet et les données d’un protocole à l’intérieur du champ de charge d’un autre protocole. De cette façon, le paquet encapsulé peut traverser des réseaux sans être identifié. 1er juillet 2012 Mise en place d’un Trunk SIP et sa sécurisation Gilles BOUKAKA SAMBA Page 7 Master 1 Réseaux Télécoms/ISI-Sénégal Le tunneling est l'ensemble des processus d'encapsulation, de transmission et de dés- encapsulation. Le VPN vise à apporter certains éléments essentiels dans la transmission de données : - l'authentification (et donc l'identification) des interlocuteurs ; - l'intégrité des données (le chiffrement vise à les rendre inutilisables par quelqu'un d'autre que le destinataire) ; - la confidentialité : les données ne peuvent pas être vues dans un format lisible (utilisation d’algorithmes typiques de chiffrement symétrique: DES, 3DES, AES, Blowfish). 3.1. Principe et types de VPN Le VPN consiste à construire un chemin virtuel après avoir identifié l’émetteur et le destinataire. Par la suite, la source chiffre les données et les achemine en empruntant ce chemin virtuel. Afin d’assurer un accès aisé et peu coûteux aux intranets ou aux extranets d’entreprise, les réseaux privés virtuels d’accès simulent un privé, alors qu’ils utilisent en réalité une infrastructure d’accès partagé (comme internet). Les données à transmettre peuvent être prises en charge par un protocole différent d'IP. Dans ce cas, le protocole de tunneling encapsule les données en ajoutant un en- tête. Selon le mode implémenté, trois utilisations de VPN sont souvent mis en exergue : - VPN d’accès : uploads/Ingenierie_Lourd/ expose-securite 4 .pdf