rapport toip final2

Projet de Fin dEtudes Etude et mise en uvre du service pilote ToIP de RENATER

ENSA-Marrakech 2008/2009 1

MEMOIRE DE PROJET DE FIN DETUDES

PourlobtentiondudiplmedIngnieurdEtatEn

GnieRseauxetSystmes

EtudeetmiseenuvreduservicepiloteToIPdeRENATER

Ralis:Groupementd'IntrtPublicRseauNationaldeTlcommunicationspourlaTechnologie,l'EnseignementetlaRecherche

Ralispar

MrMohamedElMahdiBOUMEZZOUGH

Soutenule:4fvrier2009devantleJury:

Mme.R.ALASSALIMr.S.MUYALMr.B.TUYMr.N.IDBOUFKERMr.L.GOUJDAMI

ProfesseurlENSAdeMarrakech(Prsidente)IngnieurquipeSIPA(servicesIPAvancsetprospective)(Encadrant)ResponsabledelquipeSIPA(Encadrant)ProfesseurlENSAdeMarrakech(Encadrant)ProfesseurlENSAdeMarrakech(Examinateur)

Anne2008/2009



Remerciements

Au terme de ce travail, je tiens exprimer ma profonde gratitude et mes sincresremerciementsmestuteursdestageauGIPRENATERM.SimonMUYALetM.BernardTUYpourtoutletempsquilsmontconsacr,leurdirectivesprcieuses,etpourlaqualitdeleursuividuranttoutelapriodedemonstage.

Jetiensaussiremerciervivement ledirecteurduGIPRENATER,M.DanyVandromme

quiaacceptdemaccueillirenstageauseindesonorganisme.JevoudrairemerciergalementtoutlepersonnelduGIPRENATERpoursagentillesseet

sonsoutiennotammentMmeEmilieCamisard.MesprofondsremerciementsvontmonencadrantlENSAM.NoureddineIDBOUFKER

quiaacceptdencadrermestravauxdurantces4moisdestage.Mesplusvifsremerciementssadressentaussitoutlecadreprofessoraletadministratif

delENSAdeMarrakech.Mes remerciementsvontenfin toutepersonnequia contribudeprsoude loin

llaborationdecetravail.

RETANER ed PIoT etolip ecivres ud ervu ne esim te edutE sedutEd niF ed tejorP

3 9002/8002 hcekarraM-ASNE

( PI)

. .

.

.

PIS.

. .

:

-

-

-

-

4

.

SIP :



Rsum

LatlphoniesurIP(ToIP)estunetechnologiequis'imposeprogressivementdanstouslessecteurs,elleconsiste fairetransiter lescommunicationstlphoniquespar lerseauIP.Aujourdhui,cette technologie estdeplusenplusdployeau seindesuniversitsetlaboratoires de recherche connects au Rseau National de tlcommunications pour laTechnologie lEnseignement et la Recherche (RENATER) qui est le rseau acadmiquefranais.

Afindinterconnecter lessystmes de tlphoniemisenplacepar lestablissements

connects, RENATER, une maquette exprimentale d'interconnexion des sites a tdploye.Cettemaquettereposesurunserveurderoutagedappel intersitequiutilise leprotocoleSIP(SessionInitiationProtocol).Cestdanscecontexteque jairalismonstagedefindtudes.

Aprs ltudedu fonctionnementdecettemaquetteetun inventairede ltatde lart

dansledomainedelaToIP,ladeuximephaseconsistelamiseenplacedunservicepilotederoutagedappelspourlacommunautRENATER.

Lesobjectifsdemonprojetdefintudetaient: Etude des volutions possibles de la maquette pour la mise en place du service

pilote. Etudeetmiseenplacedunesolutiondesupervisionduservicepilote. Etudeetmiseenplacedunesolutiondecomptabilisationdappels. Scurisationduservicepilote.

Cemmoire est donc laboutissement de 4mois de travail au sein de lquipe SIPA

(ServicesIPAvancsetprospective)duGIPRENATER.

Motscls:ToIP,SIP,supervision,comptabilisationdappels,scurit



Abstract

The telephony over IP (ToIP) is becoming a new trend in technology widely usednowadays in almost all business sectors. Its concepts rely on transiting the telephonecommunications through the IP network. Today, this technology is implemented inside anumber of universities and research laboratories connected to the NationaltelecommunicationsNetwork forTechnology,EducationandResearch (RENATER)which istheFrenchacademicnetwork.

Inordertointerconnectthetelephonesystemsalreadyinstalledintheseacademicsites,anexperimentaltestbedhasbeensuccessfullyimplemented.ThistestbedisbasedonacallroutingserverusingSIPprotocol.

Aftercheckingthistestbedfunctionsandpreparingastateoftheartonitstechnologies,

asecondstepconsistedto implementaphonecallroutingpilotservice forthe (RENATER)community.Basedonthiscontext,Iachievedmyinternshipgraduation.

Themainobjectivesofmyinternshipwere: tostudypossibleevolutionsofthecurrenttestbedtodeploythepilotservice tostudyandimplementasolutionformonitoringthecurrentpilotservice tostudyandimplementacallingaccountingsystem SecuringthepilotserviceThis report is the resultof 4monthsof thework I achieved inside the SIPA team (IP

advancedservicesandprospective)ofGIPRENATER.

Keywords:ToIP,SIP,supervision,accounting,security.



Tabledesmatires

Remerciements .......................................................................................................................... 2 ........................................................................................................................................... 3 Rsum ....................................................................................................................................... 4 Abstract ...................................................................................................................................... 5 Tabledesmatires ..................................................................................................................... 6 ListedesFigures ......................................................................................................................... 8 ListedesTableaux ...................................................................................................................... 9 GlossairedesAcronymes ......................................................................................................... 10 CHAPITREI:Contextedetravail .............................................................................................. 14

Introduction........................................................................................................................ 14 1. GIPRENATER ................................................................................................................ 14 2. RseauRENATER .......................................................................................................... 15 3. EquipeSIPA................................................................................................................... 17 4. Prsentationdustage .................................................................................................. 17 4.1 CadreetObjectifsdustage .......................................................................................... 17 4.2 Planificationduprojetdestage ................................................................................... 18 Conclusion .......................................................................................................................... 18

CHAPITREII:EtatdelartdesprotocolesassocislaToIP ................................................... 20 Introduction........................................................................................................................ 20 1. ProtocoleslislaToIP................................................................................................ 20 2.1 Signalisation ................................................................................................................. 21 2.1.1 SIP(SessionInitiationProtocol) ........................................................................... 22 2.2 Transport ...................................................................................................................... 26 2. StandardENUM............................................................................................................ 27 3. ProblmatiqueToIPaveclesNATetlesparefeux ...................................................... 28 3.1 ProblmedeNAT ......................................................................................................... 29 3.2 Problmedeparefeux................................................................................................. 29 3.3 SolutionsdetraversesdesNATetdesparefeux ...................................................... 31 3.3.1 Passerelledelacoucheapplication(ALG) ........................................................... 32 3.3.2 STUN ..................................................................................................................... 32 3.3.3 TURN..................................................................................................................... 33 3.3.4 ICE......................................................................................................................... 33 3.3.5 Rsumdessolutions........................................................................................... 34 4. ToIPetlascuritdescommunicationsvoix ............................................................... 34 4.1 VulnrabilitsdelaToIP............................................................................................... 35 4.2 ExemplesdattaquessurlinfrastructureToIP ............................................................. 35 4.3 SolutionsdescuritdelaToIP ................................................................................... 36 5. LaToIPetIPv6 .............................................................................................................. 36 Conclusion .......................................................................................................................... 37



CHAPITREIII:DesignetingnierieToIP................................................................................... 39 Introduction........................................................................................................................ 39 A. Prsentationdelexistant ............................................................................................ 39 1. DescriptiondelamaquetteToIPdeRENATER............................................................. 39 1.1 Architecturedelamaquette ........................................................................................ 39 1.2 Principedefonctionnement ........................................................................................ 40 2. Prsentationd'OpenSER .............................................................................................. 42 B. Travaileffectu............................................................................................................. 43 1. volutionsdelaplateformederoutaged'appelsOpenSER ....................................... 43 1.1 Objectifs ....................................................................................................................... 43 1.2 Etude ............................................................................................................................ 43 1.3 Evolutions ..................................................................................................................... 44 2. Miseenplaced'unesolutiondesupervision ............................................................... 44 2.1 Objectifs ....................................................................................................................... 44 2.2 Etude ............................................................................................................................ 44 2.3 SolutionNagios............................................................................................................. 45 3. MiseenplacedunesolutiondeComptabilisationdappels ....................................... 48 3.1 Objectifs ....................................................................................................................... 48 3.2 Etude ............................................................................................................................ 48 3.3 Miseenplace ............................................................................................................... 48 3.4 Dveloppementd'uneinterfaceweb .......................................................................... 51 3. ScurisationdupiloteToIP........................................................................................... 53 4. Gestiondel'accessibilitdessites ............................................................................... 54 5. Testsdevalidation........................................................................................................ 55 Conclusion .......................................................................................................................... 56

Conclusiongnrale ................................................................................................................. 57 Rfrencesbibliographiques.................................................................................................... 58 ANNEXES................................................................................................................................... 59



ListedesFigures Figure1:organigrammeRENATER .......................................................................................... 15 Figure2:architecturedurseauRENATER ............................................................................. 16 Figure3:servicesRENATER ..................................................................................................... 16 Figure4:domainesdecomptencedelquipeSIPA............................................................. 17 Figure5:planningdedroulementdustage .......................................................................... 18 Figure6:pileSIP ..................................................................................................................... 22 Figure7:architectureSIP ........................................................................................................ 23 Figure8:exempledunecommunicationSIP.......................................................................... 26 Figure9:principedefonctionnementdENUM ...................................................................... 27 Figure10:exempledutilisationdENUM ............................................................................... 28 Figure11:problmedeNATavecSIP ..................................................................................... 29 Figure12:problmedufirewallaveclaToIP .......................................................................... 30 Figure13:messageINVITE ...................................................................................................... 31 Figure14:message200OK ..................................................................................................... 31 Figure15:techniquedelapasserelledapplication................................................................ 32 Figure16:principedefonctionnementduprotocoleSTUN ................................................... 33 Figure17:principedefonctionnementduprotocoleTURN................................................... 33 Figure18:maquetteexprimentaleToIPdeRENATER .......................................................... 40 Figure19:principedefonctionnementdelamaquette ......................................................... 41 Figure20:principedefonctionnementduserveurOpenSER................................................. 41 Figure21:composantesdOpenSER ....................................................................................... 42 Figure22:architecturedebasedeNagios.............................................................................. 45 Figure23:interfacedeltatdesservicessuperviss............................................................. 46 Figure24:interfacedutempsderponseduservicePing..................................................... 47 Figure25:interfacedeltatduserviceSIPdeserveurKamailiodansle temps.................... 47 Figure26:architecturedelasolutionmiseenplacepourlasupervision .............................. 47 Figure27:principedefonctionnementdeFreeRADIUSavecKamailio .................................. 49 Figure28:principedefonctionnementdemoduleACCavecMySQL .................................... 50 Figure29:organigrammedelasolutiondecomptabilisationdappels.................................. 50 Figure30:architecturedelasolutiondecomptabilisationdesappels .................................. 51 Figure31:lapagedaccueildelapplication ........................................................................... 52 Figure32:ecrandesdtailsdesappels................................................................................... 52 Figure33:ecrandenombredesappelsparjour .................................................................... 52 Figure34:ecranderecherchersurlesappels ........................................................................ 53 Figure35:organigrammedelasolutiondescurisationduservicepilote ........................... 54



ListedesTableaux Tableau1:comparatifdunormeSIPetH323 ......................................................................... 21 Tableau2:rsumdessolutionsdetraverseslesNATetlesparefeux............................... 34 Tableau3:rsumdesrsultatsdecomparaisonentreKamailioetOpenSIPS ..................... 43 Tableau4:lesrsultatsdestestsdelagestiondesmessagesderreur ................................. 55 Tableau5:lesrsultatsdestestsdevalidation ...................................................................... 55



GlossairedesAcronymes

I ICE InteractiveConnectivityEstablishmentIETF InternetEngineeringTaskForceINRIA InstitutNationaldeRechercheenInformatiqueetenAutomatiqueIP InternetProtocolIPBX InternetProtocolPrivateBrancheXchangeIPsec InternetProtocolSecurityIPv6 InternetProtocolversion6 L L2VPN Layer2VirtualPrivateNetworks M MGCP MediaGatewayControlProtocol

A ALG ApplicationLayerGateway C CDR CallDetailRecordCGI CommonGatewayInterfaceCRIHAN CentredeRessourcesInformatiquesdeHauteNormandie D DNS DomainNameSystemDoS DenialofService E ENUM tElephoneNUmberMapping G GNU GNUisnotUnixGPL GeneralPublicLicence H HTTP HyperTextTransferProtocol



N NAT NetworkAddressTranslation P PHP PHP:HypertextPreprocessorPNP PNPisNOTPerfparse R RADIUS RemoteAuthenticationDialInUserServiceRFC RequestForCommentRTC RseautlphoniquecommutRTCP RealTimeControlProtocolRTP RealTimetransportProtocol S SCCP SkinnyClientControlProtocolSDP SessionDescriptionProtocolSER SIPExpressRouterSIP SessionInitiationProtocolSIPS SessionInitiationProtocolSecureSRTP SecureRealtimeTransportProtocolSSH SecureShellSTUN SimpleTraversalofUDPTroughNAT T ToIP TelephonyoverInternetProtocolTURN TraversalUsingRelayNAT U UAC UserAgentClientUAS UserAgentServerUDP UserDatagramProtocolUITT UnionInternationaledesTlcommunicationsnormalisationdes

Tlcommunications V VLAN VirtualLocalAreaNetworkVoIP VoiceoverInternetProtocol



Introductiongnrale

LatlphoniesurIPconstitueactuellementunedesplusimportantesvolutionsdansledomainedesTlcommunications. Ilyaquelquesannes, latransmissionde lavoixsur lerseau tlphonique classique ou RTC constituait lexclusivit des tlcommunications.Aujourdhui, ladonneachang.Latransmissionde lavoixvia lesrseaux IPconstitueunenouvellevolutionmajeurecomparablelaprcdente.Audeldelanouveauttechnique,la possibilit de fusion des rseaux IP et tlphoniques entrane non seulement unediminutionde la logistiquencessaire lagestiondesdeuxrseaux,maisaussiunebaisseimportante des cots de communication ainsi que la possibilit de mise en place denouveauxservicesutilisantsimultanmentlavoixetlesdonnes.

Letravailprsentdanscerapportentredanslecadredemonprojetdefindtudesen

cycle dingnieur, option Gnie Rseaux et Systmes, lEcole Nationale des SciencesAppliques deMarrakech. Je lai effectu au groupement d'Intrt public RENATER (GIPRENATER)Paris.LesujettaitlamiseenuvreduservicepiloteToIPdeRENATER.

Aulongdecerapport,jevaisrsumermonstageen4chapitresprincipaux.Le1erchapitreprsentera lorganismedaccueilet lesujetdustagede findtudeset

sesobjectifs.Le2mechapitredonneraunaperuglobalsur lesprotocolesassocis la tlphonie

surIP.Le 3me chapitre sera consacr laprsentationde lamaquette exprimentale ToIP

existante.Ledernierchapitreprsentera le travaileffectupendant le stage, savoir lamiseen

place du service pilote et des solutions qui permettent de comptabiliser les appels, desuperviseretscuriserceservice.

Jefiniraicerapportparuneconclusiongnraleetdesperspectives.



1



CHAPITREI:Contextedetravail

Introduction

Ce chapitreprsentedunemaniregnrale le contextede travailet lesobjectifsdemonprojetdefindtudes.

Je vais commencer par une prsentation du groupement dintrt public RENATERcomme tant lorganisme daccueil, aprs je vais prsenter le rseau RENATER (RseauNational de Tlcommunications pour la Technologie, l'Enseignement et la Recherche).Ensuite,jevaisprsenterSIPA(ServicesIPAvancsetprospective)quiest lquipequejaiintgre pendantmon stage. Enfin je vais donner une description demon projet de findtudes,etsesobjectifs.

1. GIPRENATER

Cre en 1993, Le GIP RENATER runit de grands organismes de recherche etd'enseignement, ainsi que le ministre en charge de lenseignement suprieur et de larecherche,pourdvelopperetfairefonctionnerlerseauRENATER[1].

GIP (groupementd'Intrtpublic)estunorganisme butnon lucratif, runissantdesadministrationsdel'Etatetdesorganismespublicspouruneactivitdfinie:danslecasduGIPRENATERils'agitdurseauRENATER.

LeGIPRENATERest lematred'ouvragede lapartiecommunedeRENATER,constituede sonpinedorsaleRENATER,des liaisons internationales,de ses actionspilotes,etduserviceSFINX,quiestunGIX(GlobalInterneteXchange),pointd'changedetraficInternetentreprestatairesde services Internet,ouoprateursde tlcommunicationsquiveulentchangerdutraficIP,sanstransitetsanspasserpardesinfrastructuresinternationales.

Le GIP RENATER est galement le coordinateur technique et oprationnel global del'ensembledu rseauRENATERycompris seslments rgionaux. Il reprsente le rseauRENATERauprsdesinstitutionsfranaisesettrangres,etnotammentauprsdesautresrseauxdelaRecherche.



Le directeur du GIP RENATER est M. Dany Vandromme, professeur des universits ;L'quipe du GIP RENATER comprend aujourd'hui environ 30 personnes: ingnieurs,techniciensetpersonnelsadministratifsrpartisentreParis,MontpellieretRennes.

Figure1:organigrammeRENATER

2. RseauRENATER

RENATER a t cr dans les annes 1990 dans le but de fdrer et dorganiser lesinfrastructuresdetlcommunicationspourlEducation,laRechercheetlEnseignement[1].

Aujourdhui plus de 1000 tablissements ayant une activit dans les domaines de laRecherche, la Technologie et lEnseignement sont raccords RENATER. Ce rseau leurpermet de communiquer entre eux, daccder aux centres de recherche et auxtablissementsdenseignementdumondeentieretlInternet[1].

Le rseau RENATER est constitu dune infrastructure nationale reliant des points deprsenceenrgionetdanslesDOMTOMainsiquedesliaisonsinternationales,etunnuddchangeentreprestatairesdeservice InternetappelSFINX (Service forFrench InterneteXchange).



LafigurecidessousdcritlarchitectureglobaledurseauRENATER:

Figure2:architecturedurseauRENATER

RENATERproposesescommunautsunlargeventaildeservices[1]:

Figure3:servicesRENATER



3. EquipeSIPA

GIPRENATERcomprenduncertainnombredquipe,SIPAen faitpartie.LquipeSIPA(ServicesIPAvancsetprospective)aunemissiondeveilletechnologique.Sadmarcheestavant tout exprimentale pour valider les nouveaux protocoles et leurs usages dans desapplicationsouservicesmergents.

Leschmacidessous,prsente lesdiffrentsdomainesdans lesquels lquipeSIPAestinvestie.

Figure4:domainesdecomptencedelquipeSIPA

4. Prsentationdustage

4.1 CadreetObjectifsdustage

La tlphonie sur IP (ToIP)estun servicequiestdeplusenplusdploy au seindesuniversits et laboratoires de recherche connects au rseau RENATER. Une maquetteexprimentale reliant quelques sites a tmise en place. Cettemaquette repose sur leprotocoleSIPetlerouteurdappelsSIPOpenSER.LamaquettepermetlinterconnexiondesIPBXdessiteset leroutagedappels intersite.Auseinde lquipeSIPA, lobjectifprincipaldu stagetait lamiseenplacedun servicepilotede ToIPen sebasant sur lamaquetteexprimentaleexistante.

Lapremirepartiedustageconsistetudierlesvolutionspossiblesdecettemaquettepour la mise en place dun service pilote de routage dappels au profit des usagers deRENATER, ladeuximepartiedustageconcerne ltudeet lamiseenplacedunesolutiondesupervisionduservicederoutagedappels,latroisimepartiedustageconcerneltudeetlamiseenplacedunesolutiondecomptabilisationdesappels,etlaquatrimepartiedustageconsistelascurisationdurouteurdappels.



4.2 Planificationduprojetdestage

Laplanificationestparmi lesphasesdavantprojet lesplus importantes.Elleconsistedtermineretordonnancer les tchesduprojetetestimer leurs charges respectives.Parmilesoutilsdeplanificationdeprojet,jaiutilislediagrammedeGANTT,cestunoutilquipermetdeplanifier leprojetetde rendreplussimple lesuividesonavancement.Cediagramme permet aussi de visualiser lenchainement et la dure des diffrentes tchesdurantlestagecommeilestillustrparlafigurequisuit:

Figure5:planningdedroulementdustage

Conclusion

Ce chapitre introductif a t consacr essentiellement la prsentation delenvironnement dans lequelmon projet de fin dtudes a t effectu. Elle a aussimislaccentsurlaprsentationducontextedemonprojet,sesobjectifsetsaplanification.



CHAPITREII:EtatdelartdesprotocolesToIP

Introduction

LatlphoniesurIPestunetechnologiedecommunicationvocaleenpleinemergence.Ellefaitpartied'untournantdans lemondede lacommunication.Eneffet, laconvergencedu tripleplay (voix,donneset vido) faitpartiedesenjeuxprincipauxdes acteursde latlcommunicationaujourd'hui.

La ToIP possde actuellement une vritable opportunit conomiques pour les

entreprises tellesqueladiminutiondu coten infrastructure,de la facturede tlphone.Elle permet lintgration de nombreux services. La tlphonie sur IP est base sur desstandards ouverts: elle permet donc linteraction avec les quipements tlphoniquesstandards. Toutefois, les aspects techniques sousjacents cette nouvelle technologie nesontpastoujoursbienmatriss.LesproblmesdusauNAT, lesparefeux, lascurit,etc.sontdesproblmesquirestentencoredominer.

Cechapitreestconsacr ltudedesprotocolesassocis latlphoniesur IP.Cette

tudevamepermettreparlasuitedemenerbienleprojet.Pourcela,jecommencetoutdabordparprsenterlesprincipauxprotocolesdesignalisationetdetransportdelaToIPetleprotocoleENUMdontlusageestencoreincertainauseindesoprateursdeToIP.JetraiteensuitelesproblmespossparlesNATetlesparefeuxdansunearchitecturedeToIPetlesexemplesdesolutionspour rsoudrecesproblmes. Jeprsenteensuite lesvulnrabilitsspcifiques laToIPet lesmcanismesdescurit.Jetermineenprsentant ltatde lartdudploiementduprotocoleIPv6danslaToIP.

1. ProtocoleslislaToIP

La tlphonie sur IP ou ToIP (Telephony over IP) est un service de tlphonie quitransportelesfluxvoixdescommunicationstlphoniquessurunrseauIP.Aladiffrencede laVoIPo lonnefaitqutablirunecommunicationvoix, laToIP intgre lensembledesservicesassocislatlphonie:doubleappel,messagerie,renvoiedappel,FAX,etc.

Afin de rendre possibles les communications ToIP, les solutions proposes dopent la

coucheIPpardesmcanismessupplmentairesncessairespourapporterlaQOSncessaireaufluxvoixdetypestempsrel,enplusdelintelligencencessairelexcutiondeservices.Aceteffet,ilexistedeuxtypesdeprotocolesprincipauxutilissdanslaToIP:

Protocolesdesignalisation Protocolesdetransport



2.1 Signalisation

La signalisation correspond la gestion des sessions de communication (ouverture,fermeture, etc.). Le protocole de signalisation permet de vhiculer un certain nombredinformationsnotamment:

Le type de demande (enregistrement dun utilisateur, invitation une sessionmultimdia,annulationd'unappel,rponseunerequte,etc.).

Ledestinataired'unappel. Lmetteur. Lecheminsuiviparlemessage.

Plusieursnormesetprotocolesonttdveloppspour lasignalisationToIP,quelques

uns sont propritaires et dautres sont des standards. Ainsi, les principales propositionsdisponiblespourl'tablissementdeconnexionsenToIPsont:

SIP (Session InitiationProtocol)quiestunstandard IETF (InternetEngineeringTask

Force)dcritdansleRFC3261. H323englobeunensembledeprotocolesdecommunicationdveloppspar lUITT

(Union Internationale des Tlcommunications secteur de la normalisation desTlcommunications).

MGCP(MediaGatewayControlProtocol)standardisparlIETF(RFC3435).

SCCP(SkinnyClientControlProtocol)estunprotocolepropritaireCISCO.AujourdhuileplusrpandudentreeuxestleSIP,ceprotocoleestlargementdployet

utilisauseindeRENATER.LetableauquisuitdresseunlgercomparatifentrelanormeSIPetH323.

SIP H323Nombredchangespour

tablirlaconnexion

35Allerretour 67Allerretour

Maintenanceduprotocole Simple(textecommeHTTP)

Complexe

Evolution Ouvertdenouvellesfonctions

Ajoutdextensionspropritaires

Multicast Oui Oui

Tableau1:comparatifdunormeSIPetH323



2.1.1 SIP(SessionInitiationProtocol)

IntroductionLe protocole SIP (Session Initialisation Protocol) a t initi par le groupe MMUSIC

(MultipartyMultimediaSessionControl)[RFC2543]etdsormaisreprisetmaintenupar leGroupe SIP de lIETF [RFC 3261]. SIP est un protocole de signalisation appartenant lacouche application du modle OSI. Il a t conu pour louverture, le maintient et laterminaison de sessions de communications interactives entre des utilisateurs. De tellessessions permettent de raliser de laudio, de lenseignement distance et de la voix(tlphonie)surIPessentiellement.Pourlouverturedunesession,unutilisateurmetuneinvitation transportant un descripteur de session permettant aux utilisateurs souhaitantcommuniquerdengociersurlesalgorithmesetcodecsutiliser.SIPpermetaussiderelierdesstationsmobilesen transmettantouredirigeant lesrequtesvers lapositioncourantedelastationappele.Enfin,SIPestindpendantdumdiumutilisetaussiduprotocoledetransportdescouchesbasses.

Architectureprotocolaire

SIPestunprotocole indpendantdes couchesde transport, ilappartientaux couches

applications du modle OSI. Le SIP gre la signalisation et ltablissement des sessionsinteractivesdecommunicationmultimdiasetmultipartites.IlestaussibassurleconceptClient / Serveur pour le contrle dappels et des services multimdias. Conu selon unmodledetypeIP,ilesthautementextensibleetassezsimpleenconceptionarchitecturale,desortequilpeutservirdebaselacrationdapplicationsetdeservices.IlestbassurleprotocoleHTTPetpeututiliserUDPouTCP[8].

Figure6:pileSIP

ArchitectureduneplateformeSIP

SIPestunprotocolesimpleetflexibleorientmessages.Lesprincipauxcomposantsdun

systmebassurSIPsont:



TerminalSIP(UserAgentClientouUAC):PeuttreaussibienunSoftPhone(logiciel)quunHardPhone(tlphoneIP).LesUACsontcapablesdmettreetderecevoirdelasignalisationSIP.

ProxyServer:encoreappelserveurmandataireauquelestreliunterminalfixeou

mobile,agitcommeserveurenversleclientetcommeclientenverslesautresUAS. RedirectServer:Ceserveurpermetderedirigerlesappelsverslapositioncourante

dun utilisateur. Il ralise simplement une association dadresses vers une ouplusieursnouvellesadresses.

Location Server: Il fournit la position courante des utilisateurs dont la

communication traverse les serveurs mandataire et de redirection auxquels il estrattach.

Registrar Server: Ce serveur reoit et accepte les inscriptions des utilisateurs

(adresseIP,port,login).

Figure7:architectureSIP

StructuredesmessagesSIP

LesmessagesSIPsontcaractrissparune lignededbut,plusieursentteset lecorps

dumessage[8].

LesenttesdesmessagesSIP

Lesenttesontpourrledefournirdesinformationssurlemessageetdepermettreletraitementdumessage.Aceteffet,leprotocoleSIPestdotduncertainnombredenttedont lastructuredpendde lanatureetdurledechaqueentte.Lastructuregnraledunentteestarticuleautourdeplusieurschampsetchaquechampobitun formatgnral:nom_du_champ:valeur_du_champ.LestypesdentteutilissparlesmessagesduprotocoleSIPsontaunombredequatre:



; Lenttegnral

Ilesttoujoursprsentetcontientlesinformationsdebasepermettantletraitementdumessage.Iladeschampsobligatoiressuivants: Via : il identifie lentit de relais. En effet, chaque entit qui met ou relaye un

messageSIPinsresonidentitafindeprvenirlesbouclesetindiquerlecheminderponse.

From:ilidentifielinitiateurdelarequte. To:ilidentifieledestinatairedelarequte. CallId:cestlidentificateuruniquedelasession. Cseq:ilidentifielasquencedunappel:parexempleplusieursmessagesinvite

avecdeCseqdiffrents.

; Lenttederequte

Cet entte est non toujours utilis. Il contient des informations supplmentaires destinationduserveurSIPpermettantletraitementdelarequteparceluici.

; Lenttederponse

Cet entte est non toujours utilis tout comme lentte de requte. Il contient desinformations supplmentaires ajoutes par le serveur SIP permettant le traitement de larponse.

; Lenttedentit

Cet entte est toujours utilis. Son rle est de dfinir le type et le format desinformationscontenuesdanslesmessages.

Lecorpsdumessage

Il fournit suffisamment dinformations pour permettre la participation une sessionmultimdia.Cesinformationssont:lecodec,destination(adresseIPetportUDP),nomdelasession, etc. Le message du corps est cod conformment au protocole SDP (SessionDescriptionProtocol).SDPestsansdouteleprotocoleleplusimportantdelarchitectureSIP,SDPafaitlobjetdelapropositiondenormeRFC2327.Cestunprotocoledontlobjectifestdtablirundescripteurdesessionsmultimdiaouvrir,ilportelesinformationssuivantes:

; AdressesdedestinationSIP://[email protected].; AlgorithmesdecodageAudioetVido.; TypedetraficRTP.



RequtesetRponsesSIP

SIPestunprotocoledetypeclientserveur.Aceteffet, leschangesentreunterminal

appelantetunterminalappelsefontparlintermdiairederequtesetrponseSIP. VoiciunelisteexhaustivedesrequtesSIP:

INVITE: Cette requte indique que lapplication (ou utilisateur) correspondante

lUrlSIPspcifiestinviteparticiperunesession. ACK:Cetterequtepermetdeconfirmerque le terminalappelantabienreuune

rponsedfinitiveunerequteINVITE. BYE:Cetterequteestutiliseparleterminaldelappelpoursignalerquilsouhaite

mettreuntermelasession. CANCELCetterequteestenvoyeparunterminalouunserveurmandataireafin

dannulerunerequtenonvalideparunerponsefinale. REGISTERCettemthodeestutilisepar leclientpourenregistrer ladresse liste

danslechampTOparleserveurauquelilestreli. OPTIONSUnserveurmandataireenmesuredecontacter leterminalappel,doit

rpondreune requteOPTIONSenprcisant sescapacits contacter lemmeterminal.

Acesrequtessontassociesdesrponsesquisontdanslemmeformatquecellesdu

protocoleHTTP.Voicilesplusimportantesdentreelles:

1XXmessagesdinformations(100essai,180sonnerie,183encours) 2XXsuccsdelarequte(200OK) 3XXRedirectiondelappel,lademandedoittredirigeailleurs 4XXErreurduclient(Larequtecontientunesyntaxeerrone) 5XXErreurduserveur(leserveurnapasrussitraiterunerequtecorrecte) 6XXEchecgnral(606requtenonacceptableparaucunserveur)

Fonctionnement

SIPintervientauxdiffrentesphasesdelappel:

Localisationduterminaldelinterlocuteur.



Analyseduprofiletdesressourcesdudestinataire.

Ngociation du type de mdia (voix, audio, vido) et des paramtres decommunication.

Disponibilit du correspondant, dtermine si le poste appel souhaitecommuniquer,etautoriselappelantlecontacter.

Etablissement et suivi de lappel, avertit les parties appelant et appel de lademande douverture de session, gestion du transfert et de la fermeture desappels.

Gestiondefonctionsvolues:retourderreurs,

LeschmasuivantillustrelescnariodunecommunicationSIP.

Figure8:exempledunecommunicationSIP

2.2 Transport

LorsdunecommunicationToIP,une fois laphasedesignalisationralise, laphasedecommunicationestinitie.Danscettephase,unprotocoledetransportpermetdacheminerles donnes voix entre plusieurs utilisateurs vu que la couche TCP propose un transportfiablemaislent,etlacoucheUDPuntransportrapidemaisnonfiable.LacommunautIETFamisenplaceunnouveaucoupledeprotocoleRTP(RealTimetransportProtocol)etRTCP



(RealTimeControlProtocol)pourapporterlafiabilitlUDPtoutenexploitantsarapidit.RTPetRTCPsont lesdeuxprotocolesquisontprincipalementutilisspour letransportdeflux mdia sur le rseau IP. RTP permet de transporter les donnes entre plusieursutilisateursenplusdelagestiontempsrelledessessions.Tandisque,RTCPestutilispourtransmettrergulirementdespaquetsdecontrle,quicontiennentdiversesstatistiques,cequipermetdevrifierlaqualitdetransmission.

2. StandardENUM

La fourniture grande chelle du service ToIP suppose lidentification aise desterminaux IP connects au rseau dsireux accder ce service. Cette identification estbasiquementfaitetraverslesadressesIP.AfindtendrelespossibilitsdadressagelUITTatravaillsurlestandardENUM.

ENUM (tElephone NUmber Mapping) est un protocole dfini par lIETF dans le RFC

3761[11]permettant d'utiliser un numro de tlphone (E.1641) comme cl de recherchedansleDNSpourtrouverlamaniredejoindreunepersonne(parexemple:ndetlphonemobile, n de fax, adresse de tlphonie IP, adresse email, adresse de messagerieinstantane,etc.)

LeprincipedENUMreposesur lacrationdunnomdedomaine Internetpourchaque

numrodetlphoneduplandenumrotationinternationalE.164.Lescoordonnesquelesutilisateurs souhaitent publier pour leur propre numro de tlphone sont ensuite"stockes"danslesystmedesnomsdedomaineInternet(DNS)etainsirenduesaccessiblesdemanireglobalepourtous.

VoiciunschmaexpliquantleprincipedefonctionnementdENUM:

Figure9:principedefonctionnementdENUM 1 E.164 est le nom de la norme de lUIT qui standardise les numros de tlphone au niveau mondial.



Dans ce schma le numro +33666664444 est transform en nom de domaine enl'inversant(commeonfaitpourtrouverunnomdedomainepartird'uneadresseIP),celadonnerait4.4.4.4.6.6.6.6.6.3.3.e164.arpa.OncherchealorslesenregistrementsNAPTR2pourcenomdedomaine.Danscetexemple,letitulairedunumrodetlphone+33666664444peut tre joint en SIP en utilisant lURI sip:[email protected] et par [email protected].

LavantagedENUMseraitde joindreunepersonneavecunseulnumrosurdiffrentsservices de communication aussi travers ENUM une personne peut trs bien spcifierlordredeprfrencedesservicesetdesterminauxutiliser.

LafigurecidessousprsenteunexempledutilisationdENUM.

Figure10:exempledutilisationdENUM

3. ProblmatiqueToIPaveclesNATetlesparefeuxDansunearchitectureToIP,lesNATetlesparefeuxreprsententunproblmepourles

flux de signalisation et mdia. Lobjectif de ce paragraphe est de comprendre cetteproblmatique et de prsenter des exemples de solutions existantes pour rsoudre ceproblme.

2 NAPTR record ou Name Authority Pointer record qui donne accs des rgles de rcriture de l'information, permettant des correspondances entre un nom de domaine et une ressource. Il est spcifi dans la RFC 3403.



3.1 ProblmedeNAT

LemcanismeNAT (NetworkAddress Translation) estdfinidans leRFC 1631[12]. LeNAT permet de faire correspondre les adresses IP internes souvent non routables d'undomaine un ensembled'adresses routables.Avec la ToIP, cemcanisme reprsenteunproblmepourletransitdesfluxmultimdia.

En effet, les informations utilises pour la signalisation ou la communication sont

inclusesauniveau4etlescouchessuprieuresdumodleOSI,tandisquelesNATtravaillentsurlacouche3.

VoiciunschmaexpliquantleproblmedeNATaveclaToIP:

Figure11:problmedeNATavecSIP

Dans cet exemple, Mohamed ne pourra tablir de communication avec Anas tant

donn que lIPBX narrive pas relayer les rponses SIP de Anas. En effet, lors de latraduction d'adresse effectue par le routeur NAT, seuls l'adresse et le numro de portcontenusdansl'enttedupaquetIPsontmodifis.L'adresseetlenumrodeportcontenusdanslecorpsdelarequteINVITEdumessageSIPnesontpasmodifis.Horscetteadresseestnonroutable.

3.2 Problmedeparefeux

Unparefeu (firewall)estunquipementpermettantdassurer lascuritdunsiteenfiltrantletraficnondsir,ilpermetdefiltrerlespaquetsvenantdurseaupublic.



Le mode de fonctionnement de la plupart des parefeux pose un problme pourltablissementdescommunicationsSIP.

SIP,par son fonctionnement internequipermet la localisationdesutilisateursau sein

d'unrseauetlangociationdesparamtresdelasession(codecs,portRTP,etc.),posedesproblmespourlesfluxmultimdiasquitraversentlesfirewalls.Eneffet,dansl'architecturedeSIP,plusieursinformationscritiquestellesquel'adresseIPainsiqueleportutilisersontcontenuesdanslesmessagesSIP.

Laproblmatiqueengendreparl'utilisationdeSIPautraversdesparefeuxvientdufait

queceuxcisontgnralementdploysenutilisantdespolitiquesdefiltragequirejettenttouslespaquetsquineproviennentpasouquinesontpasdestinsuneadresseIPetunportdfinis.Cespolitiques,quisontgnralementstatiques,nepermettentpaslatraversed'unfluxdedonnesdesprotocolescommeSIPquipeutngocierdesadressesIPetdesnumrosduportinconnusparleparefeulorsdeltablissementdesession.

Afin de bien comprendre la problmatique engendre par les parefeux pour les flux

multimdias, voici le schma dun scnario d'tablissement de session et comment lefirewallbloquelecontenumultimdia.

Figure12:problmedufirewallaveclaToIP

Dans cet exemple, l'utilisateur SIP [email protected] invite l'utilisateuranas@ipbx.site2.frafindouvrirunesession.Mohamedenvoiedoncunerequted'invitationINVITE(figure8)contenantlesinformationsdelasessionouvrirAnas.Anasrpondaveclemessage200OK (figure9)contenantdes informationssupplmentairessur lasessionouvrir.

Commeonpeutleconstater,l'adresseainsiqueleportutiliserlorsdel'ouverturedela

sessionaudiosontcontenusdanslecorpsdesmessagesINVITEetOK.Cesdeuxinformationsservent l'tablissement du flux audio entre Mohamed et Anas. Dans notre exemple,



MohamedetAnasutilisentrespectivementlesports3456et5004.Parconsquent,commele firewallades rglesde filtrage stricteset statiques, lecontenumultimdiadAnas seradonctoutsimplementbloquparlefirewall.

Figure13:messageINVITE

Figure14:message200OK

3.3 SolutionsdetraversesdesNATetdesparefeuxAfindefairefaceauxproblmesqueposentlesparefeuxetlesNAT,plusieurssolutions

onttproposesnotammentALG,STUN,TURNetICE.



3.3.1 Passerelledelacoucheapplication(ALG)Latechniquede lapasserelleapplicativeconsisterendreintelligents lesparefeux

etlesrouteursNATafinqu'ilssoientenmesured'interprterunprotocolespcifique.Pluttque de vrifier uniquement lentte du paquet traiter, les passerelles ralisent uneinspectioncompltedesdonnesdanslecorpsdupaquet.Lespasserellesagissentdoncentantquerelaisspcialisspourunprotocoleprcis(SIPparexemple).

Figure15:techniquedelapasserelledapplication(source:http://www.newportnetworks.com/whitepapers/nattraversal4.html)

Leparefeux/routeurNATvadonclirelecontenucompletdupaquetpuisvamodifierlesadresses IPetports inscritsdans lepaquetafindepouvoir transmettre lepaquetdans lerseaupublic.Suitecela,leparefeux/routeurNATouvriraunportdaccsafinquelacommunicationpuisseavoircorrectement.

3.3.2 STUNSTUN(SimpleTraversalofUDPThroughNetworkAddressTranslators)estunprotocole

nonc dans le RFC 3489 [13] et dvelopp par le groupe de travail deMIDCOM. Cettetechnique se distingue des techniques des passerelles de la couche application par sonindpendancefaceauxprotocolesdecommunication.

STUNpermetdetraverserlesrouteursNATenaffectantuneadresseIPetunnumrode

portpublicunpostesitudanslerseauprivpoureffectuerunecommunicationdetypeUDP avec un rseau public. Pour ce faire, une srie de requtes un serveur STUN esteffectueetlesrponsesduserveurserventcaractriserladresseIPetlenumrodeportd'unpostecommuniquer.



CombinantSTUNdesprotocoles telqueSIP,plusieursproblmes relisaux routeursNATpeuventtre solutionns.Seul le casodes routeursNATde type symtrique3 sontutilissnepeuttretraitenutilisantcettetechnique.

LafiguresuivantedcritleprincipedefonctionnementduprotocoleSTUN.

Figure16:principedefonctionnementduprotocoleSTUN

3.3.3 TURNTURN (Traversal Using Relay NAT) est un mcanisme en cours dveloppement et de

standardisationauprsde lIETFagissantentantqueserveursderelais. IlatdveloppafindepallierleslacunesduprotocoleSTUN.

CeprotocolepermetdesclientsquisontdansdesrseauxutilisantdesrouteursNAT

d'effectuerdesconnexionsentreeuxenpassantparunserveurderelais.

Figure17:principedefonctionnementduprotocoleTURN

3.3.4 ICEICE (Interactive Connectivity Establishment) est une technologie en cours de

dveloppementpar IETFquiconsiste intgrerSTUNetTURNauseindesclientsSIPpourdterminertouteslesconnexionspossiblesentredeuxpostes. 3 Un NAT symtrique est celui dans lequel la translation dadresse est calcule en fonction de ladresse IP et port de la source et de celui du destinataire



3.3.5 Rsumdessolutions

Letableauquisuitrsumelesprincipes,avantagesetinconvnientsdessolutionsprsentes:

Tableau2:rsumdessolutionsdetraverseslesNATetlesparefeux

4. ToIPetlascuritdescommunicationsvoix

La tlphonie sur IP, malgr ses trs nombreux avantages, notamment financiers,comportedesrisquesmajeursentermesdescuritdescommunicationsvoix.

solution principe Avantages InconvnientsALG

FirewalletrouteurNATintelligentscapablesdetravaillerauniveau7

Techniquesimple

Tempsdelatenceimportantsdusautraitementcompletetindividueldespaquets.

STUN Dterminelecouple(adresses,ports)publicsquondoitutiliserdanslepaquetSIPpourobtenirunerponse

Protocolestandardis.Peudinfrastructure:seul1serveurdoittredploypoureffectuerlesrequtes.

ilnefonctionnepasaveclesNATssymtriques

TURN BassurSTUNpourlchangedeclsLeserveurTURNsertderelaisentrelmetteuretlercepteur

Techniquesimple

ModificationdesprogrammesncessairepourquilspuissentintgrerTURN

ICE intgreSTUNetTURNauseindesclientsSIPpourdterminertouteslesconnexionspossiblesentredeuxpostes.

TraversetoustypesdeNAT

Tempsdtablissementdunappellong.Modificationdesserveursetclientspourledploiement.



4.1 VulnrabilitsdelaToIP

UnappeltlphoniqueToIPsedcomposeendeuxphases: lasignalisationquipermetdtablirlappel,etlaphasedetransportdesfluxdemediasquitransportentlavoix.

Au cours de la phase de signalisation, les messages SIP cods en mode texte sont

transmis de faon non chiffre dans le rseau, ce qui permet un pirate dcouterfacilementlesmessagesSIPetdaccderauxinformationsdetransportdesfluxmdia.

Enoutredurantletransportdesfluxvoix,leprotocoleRTPprsentegalementplusieurs

vulnrabilits dues labsence dauthentification et de chiffrement. Par voie deconsquence,plusieursattaquesToIPpeuventavoirlieu.

4.2 ExemplesdattaquessurlinfrastructureToIP

Ilexistedenombreusesattaquespossiblessur lerseauToIPdont lesplusrpandues,sont:

Dnis de service(attaque DoS): lobjectif dune attaque DoS est de rendre unlment du rseau indisponible. Un exemple de ce type attaque est lenvoiillgitimesdepaquetsSIPBYE[17].

Ecouteclandestine:Lobjectifdecetteattaqueestd'couterletraficdesignalisation

et/oudedonnes,enutilisantdesoutilsdcouterseautelsqueVOMIT(VoiceOverMisconfigured InternetTelephone), SiVuS (SIPVulnerability Scanner),etWireShark[17].

Dtournementdutrafic: lattaquantredirigesonprofit letraficToIP.Ellesebase

surlenvoidunmessagederedirectionindiquantquelappelsestdplacetdonnesapropreadressecommeadressederenvoie,decettefaontouslesappelsdestinsalutilisateursonttransfrsalattaquant[17].

Usurpationdidentit:Cetypedattaqueconsisteusurperlidentitdelexpditeur

dumessageSIPenmodifiantlidentitdelexpditeurdunmessage[17]. Volsdeservices:lepiratepeutemprunterlidentitdunutilisateuretlutiliserpour

fairepasserdesappelssur lerseauToIPsansavoirpayer lefournisseurdeservice[17].



4.3 SolutionsdescuritdelaToIP

LesmcanismesdescuritpropossdansunearchitectureToIPsont: Lascuritde linfrastructure IP:Cest lepremierniveaudescurit,car lascurit

de linfrastructure ToIP est lie la scurit du rseau IP. Un exemple est lasparationlogiquedesrseauxDataetVoixpardesVLANs.

Lauthentification: Lauthentification du tlphone IP par le serveur et

lauthentification du serveur par le tlphone IP avant dautoriser un quelconqueappel.Ilexistediffrentsmoyensdauthentificationtelsque:SIPS,IPsec.

; SIPS (Session Initiation Protocol Secure): est un mcanisme de

scuritdfiniparRFC3261pourl'envoidemessagesSIPaudessusduprotocoledescurisationTLS(TransportLayerSecurity).

; IPsec (Internet Protocol Security): est un ensemble de protocoles

(couche3dumodleOSI)dfinipar IETF (RFC2401),permettant letransportscurisdesdonnessurunrseauIP[6].

Lechiffrement:cestunmoyenefficacedeprotgerlesdonnes.Plusieurssolutions

peuvent tre utilises : le chiffrement des flux de signalisation avec SIPS, lechiffrementdesfluxvoixavecSRTP,dessolutionspropritaires.

; SRTP(SecureRealtimeTransportProtocol):dfinitunprofildeRTP,

qui a pour but d'apporter le chiffrement, l'authentification etl'intgritdesmessages,et laprotectioncontre lereplaydedonnesRTPenunicastetmulticast.SRTPatconuparCiscoetEricsson,etestratifiparl'IETFentantqueRFC3711.

5. LaToIPetIPv6IPv6 est le protocole Internet de nouvelle gnration conu par l'IETF. Il permet

principalement de disposer dun plus grand nombre d'adresses pour chaque lment durseau. Il offre galement une plus grande facilit de configuration et amliore lesmcanismesdegestionde lamobilit IP. Il intgrenativement la scurit, les classesdeserviceetladiffusionmulticast.

Le dploiement du protocole IPv6 pour le support de la ToIP va permettre dviter

davoir recours aux NATs grce sa grande capacit dadressage et de simplifier ainsilarchitecture.Nanmoins, lamiseenplacede laToIPen IPv6nestpasencore rpandueparceque laplupartdesquipementsdeToIPne supportentpasencorecetteversionduprotocole IP.Voicidesexemplesde solutionsToIPqui supportent IPv6:Kamailio (routeurdappels),Linphone,KphoneetSJPhone(quisontdessoftphones,applicationslogiciellesinstallersurunordinateur).



ConclusionLa tlphonie sur IP est une technologie qui utilise les rseaux informatiques comme

supportdecommunication.LessolutionsToIPsontdeplusenplusbasessurdesstandardsouverts.BeaucoupdecessolutionsutilisentSIPcommeprotocoledesignalisationToIP.Lesprincipauxprotocolesutilisspourletransportdelavoixsont:RTPetRTCP.Etpourgarantirla compatibilit entre la ToIP et le rseau tlphonique classique, lIETF a travaill sur lestandardENUM.

Ledploiementde latechnologieToIPdans lesrseauxactuelsaprovoqu lapparition

desnouvellesproblmatiquesnotammentauniveaudesdispositifsdescurittelsquelesparefeuetlesrouteursNAT,ainsique lesvulnrabilitsde ToIPentermedescurit.LesproblmesdeNATetdeparefeuxonttsolutionnsenutilisantplusieurstechniquesquisontrsumesdans letableau2,tandisquedenombreuxmcanismesdescuritonttprsentsnotammentlascuritdelinfrastructureIP,lauthentification,etlechiffrement.

Dans le chapitrequi suit, je vaisprsenter lamaquetteexprimentale ToIP qui est laplateformedetravailque jaiutilise initialementpendantmonstage.Par lasuite, jevaisprsenterletravaileffectupendantlestage.



CHAPITREIII:DesignetingnierieToIP

IntroductionLa dmarche exprimentale est lamthode qui caractrise le travailde lquipe SIPA

pourlamiseenproductiondesnouveauxservicesauprofitdelacommunautRENATER.Pour la mise en production dun service de routage dappels, une maquette

exprimentale dinterconnexion de sites universitaires et centres de recherche, ayantdployunesolutiondeToIP,eninterne,atmiseenplaceparlquipeSIPA.

Aujourdhui, la maquette exprimentale ToIP de RENATER prsente des limites,

notamment les aspects de supervision ne sont pas implments, les statistiques sur lesappelstraitsparleserveurderoutagedappelsOpenSERnesontpastablies,etlesaccsauserveurnesontpasscuriss.

Dansleschapitresquisuivent,Nouscommenceronstoutdabordparvoirunaperusur

lamaquetteexprimentaleToIPdeRENATER,nouspoursuivonsensuiteparlaprsentationdesralisationspendantnotreprojetdefintudes.

A. Prsentationdelexistant

1. DescriptiondelamaquetteToIPdeRENATER

1.1 ArchitecturedelamaquetteLamaquetteexprimentaledinterconnexiondes sitesenToIP repose sur leprotocole

SIP.Elleestcomposepar: Les IPBXs (Mitel, Cisco, Alcatel, Asterisk, etc.) mis en place aux niveaux des sites

universitaires et les centres de recherche pour offrir le service de ToIP leursusagers.

UnrouteurdappelIPquiestbassurlerouteurSIPOpenSER.SonrleestdassurerlinterconnexiondesditsIPBXs,etleroutagedappelsintersite.

Cettemaquettepermet: De centraliser tous les prfixes atteignables au niveau du plan dadressage et

dacheminerlesappelsintersitesurlerseauRENATER. Doffrir une souplesse organisationnelle dans la gestion des prfixes pour les

tablissements.



Actuellement lamaquettedeToIPpermetdemettreen relationunedizainede sites :

l'INRIA (3000 postes), les Universits de Normandie via le CRIHAN (4770 postes), lesUniversitsdeLorraine(5910postes),l'universitdeMontpellierIII(900postes)ainsiqueleGIPRENATER(50postesrpartisentrelessitesdeParisetMontpellier).

LafiguresuivanteillustrelarchitecturedelamaquetteexprimentaleToIPdeRENATERavecdesexemplesdessitesraccordslamaquette[16]:

Figure18:maquetteexprimentaleToIPdeRENATER

1.2 PrincipedefonctionnementLe site souhaitant profiter du service ToIP afin d'acheminer ses appels destination

d'autressitesayantdroitRENATER,n'aurabesoindeparamtrersonIPBXqu'uneseulefois.Aumoinsdeuxroutesdevrontexister:

UnerouteversRENATER Unerouteversl'oprateurLeserveurderoutagedappelsOpenSERassure lamiseenrelationentre lesdiffrents

IPBXdessitesconnectslamaquette.L'utilisateurcomposelenumrodesoncorrespondant.Silenumron'estpasjoignable

en IP, le serveurOpenSER renvoieunmessageSIP,quipermet l'IPBXdu siteoriginedebasculer lappelsur laroutesuivante, leplussouventsonaccsRTC(RseauTlphoniqueCommut). L'intrt principal de cette maquette est que le site n'aura pas besoin de



connaitrelesroutespourjoindrelensembledesIPBXdelacommunautRENATERetnauradoncpasmaintenirjourunetablederoutesverslessites.

Leschmasuivantdcritleprincipedefonctionnementdelamaquette.

Figure19:principedefonctionnementdelamaquette

LorganigrammesuivantmontreleprincipedefonctionnementdOpenSER.

Figure20:principedefonctionnementduserveurOpenSER



2. Prsentationd'OpenSERLerouteurdappelOpenSERconstituellmentcentraldelamaquette.Chaquerequte

SIP INVITE d'tablissement de communication mise par un IPBX est traite par le proxyOpenSER.

OpenSERestun logiciel libre, IlestuneversionhritedeSER (SIPExpressRouter), le

code(enlicenceGPL)deSERatreprisparungroupededveloppeursduprojetlafindel'anne2005pourconstituerunnouveaulogiciel.

OpenSERprendenchargelesfonctions:

Proxyserver: ilassure lesfonctionsderelayagedesrequtesetrponsesSIPentredeuxUsersAgents.

Registrarserver: ilgre lesrequtesREGISTERenvoyespar lesUsersAgentspoursignalerleuremplacementcourant.

Location server: il permet de fournir les dtails demplacement courant dunutilisateur.

Redirectserver:ilredirigelesUsersAgentsversunautreProxyserver. Application server: il fournit des services avancs pour les utilisateurs tels que

servicedeprsence,messagerieinstantane,etc.VoicicidessouslescomposantesdOpenSER:

Figure21:composantesdOpenSER



B. Travaileffectu1. volutionsdelaplateformederoutaged'appelsOpenSER

1.1 ObjectifsLobjectifestdinstallerunnouveaurouteurdappelspourleservicepiloteensebasant

surlestravauxeffectusjusquprsentsurlamaquetteexprimentaledeRENATER.

1.2 EtudeDans cette tude, jai trouv que des versions plus rcentes que la version installe

dOpenSER sont disponibles. Ces nouvelles versions contiennent des amliorations desfonctionnalits,etdescorrectionsdebugs.Jaidcouvertque leprojetOpenSERachangsonnomen Kamailio[2]etquunnouveauprojetappel OpenSIPS[3]at lancsur labase dOpenSER. J'ai donc t amen faire une comparaison des deux projets. Lacomparaison propose est base sur les fonctionnalits, la taille de la communauttravaillantcetteversion,etladynamiquedechaqueprojet.

Voiciuntableauquirsume lesrsultatsde lacomparaisoneffectue le20septembre

2008.

Critre Kamailio OpenSIPS

rsultatsderechercheGoogle

Kamailio+SIP25400

OpenSIPS+SIP16600

Derniremisejourdusite 20081002 20080901

Nombredadministrateurduprojet 5 1

Nombrededveloppeurs 27 16

Licencedutilisation GPL GPL

Laversionstable Kamailiov1.4.1 OpenSIPS1.4.2

Laversionencoursdedveloppement Kamailiov1.5.0

Mailinglists oui Oui

Nombredemodules(fonctionnalits) 86 86

Communaut active Moinsactive

Tableau3:rsumdesrsultatsdecomparaisonentreKamailioetOpenSIPS

A la lecture des rsultats de cette comparaison, notre choix sest port sur le projetKamailio dans un premier temps. Cependant, nous suivons de prs lvolution du projetOpenSIPS.



1.3 EvolutionsLaprincipalevolutionestlamiseenplacedunservicepilotederoutagedappelsbas

sur Kamailio pour la communaut RENATER, la version installe est Kamailio 1.4.1 (cf.ANNEXE1).

Lamaquetteexprimentaleresteraenplaceafindepermettredesnouveauxsitesde

faire des tests avant de se connecter au pilote. Elle permettra galement de valider desnouveauxservicesavantdelesmettreenproductionsurlepilote(IPv6,redondance,etc.).

Lamigration des sites raccords lamaquette vers le service pilote se fait aprs lavalidationdufonctionnementdelaToIPdusitesurlamaquetteexprimentale.

Desamliorationsontaussitintroduitesdanslefichierdeconfigurationparrapport

laconfigurationdOpenSERexistantedans lamaquetteexprimentalenotamment lapriseenchargelesmessagesSIPOPTIONS.

2. Miseenplaced'unesolutiondesupervision

2.1 ObjectifsLobjectifprincipaltaitdeproposerunesolutiondesupervisionquipermettede: Surveiller ltat du service de routage des appels tlphoniques dans le serveur

KamailiodeRENATERetsesperformances(lachargeCPU,utilisationdelammoire,utilisationdudisquedur).

SuperviserltatdesIPBXdessitesdistantsinterconnectsauservicepilote. GrapherdansletempsltatduserveurKamailioetdesIPBXdessitesdistants. AvertirladministrateurdupiloteToIPencasdeproblme.

2.2 EtudeLa plupart des solutions de supervision de ToIP qui existent sont des solutions

commerciales.Parmileslogicielslibrespermettantdesuperviserlesservicesvoix,Monit[6]permet de surveiller des services locaux installs sur une machine Linux/Unix. On peututilisercetoutilpoursuperviserlerouteurSIP(Kamailio)deRENATERetlessitesdistantsquiutilisentdeslogicielsIPBX(Kamailio,OpenSIPS,Asterisk..),maiscettesolutionnepermetpasdesuperviser lessitesdistantsquiutilisentdesIPBX matrielscomme(MITEL,CISCO)etnerpondpastousnosbesoins.



UneautresolutionestdutiliserloutilSIPpquipermetdegnrerdesappelsSIPavecunUAC4etunUAS5en lignedecommandeenexploitant le rapportdappelslaborparcetoutil.Cettesolutiontaittrop limiteparrapport l'ampleurdenosbesoins cardautresoutils sont ncessaires pour vrifier ltat des liens et pour gnrer des graphiques.Cependant, loutilSIPppourratreutilepourtester lesperformancesdescommunicationsentredeuxsites.

LaderniresolutiontudieestlelogicieldesupervisionNagios[4],quisemblerpondre

trsbiennosbesoinsgrcesamodularitet lesgreffonsdisponiblespourSIP.Lechoixs'estdoncportnaturellementsurNagios.

2.3 SolutionNagiosNagiosestun logiciel libredesupervisionderseau. IlestdisponiblesousLicenceGNU

GPL, ilpermetde savoir toutmoment le statutdeshtesetdes services spcifisparl'administrateurrseau.Ilsechargegalementdel'envoid'alertessuiteunepanneouundysfonctionnementdurseau.

Nagioss'appuiesurunmoteurcritenCchargdel'ordonnancementdesvrifications,

ainsiquelesactionsraliserlorsdeladtectiondunincident.Lesvrificationssontfaiteslaidedesgreffons(plugins)quipermettentauxutilisateursdedvelopperfacilementleurspropresvrificationsdesservices.Lesgreffonspeuventtredveloppsdansnimportequellangagedeprogrammation(C,shell,perl,).LetoutestcontrlabletraversunepagewebenCGIetaccessiblevian'importequelserveurHTTPcommeApache.

Voiciunschmadtaillantl'architecturedebasedeNagios:

Figure22:architecturedebasedeNagios

4 Il initie la session 5 Il rpond aux requtes



LinstallationdeNagiosest ralise sur ladistributionDebianEtch avec la commande

aptgetdeLinux,quipermetdercuprerlesfichiersdeNagiosetdeprocderfacilementlinstallationet laconfigurationdecedernier.Laversion installeestNagios3.0.6.Nousavons aussi besoin dinstaller les plugins Nagios qui sont utiliss pour la supervision. Laversioninstalleestnagiosplugins1.4.13.

Poursuperviser lesperformancesde lamachineKamailio, jaiutilis lepluginNRPEqui

permetd'excuterdespluginsdistancesurlamachineKamailiopuisd'envoyerlesrsultatsNagios(cf.ANNEXE2).

PoursurveillerleservicederoutagedesappelssurlerouteurSIP(Kamailio)deRENATER

et lesIPBXdessitesdistants,jaiutilis leplugincheck_sipquinestpasfournienstandardaveclespluginsdeNagios.

Pourtracerdesgraphiquespourlesdiffrentsservicessuperviss,jaiinstalllemodule

PNP (l'acronyme de PNP est PNP isNOT Perfparse). Cemodule permet de rcuprer lesdonnesrelativesauxperformancesdusystmeinterrogetd'injectercesvaleursdansdesbases rrdtool. Il est possible ainsi de gnrer des graphiques personnaliss intgrs linterfaceweb.

JaiconfigurNagiospourquilavertisseladministrateurdupiloteToIPparemailencas

deproblme.Enfin jaimisenplace lestyleNuvola pouramliorer l'interfacegraphiqueNagioset la

rendreplusagrable.Les figures cidessous prsentent une vue densemble des interfaces de la solution

Nagiosmiseenplace:

Figure23:interfacedeltatdesservicessuperviss



Figure24:interfacedutempsderponseduservicePing

Figure25:interfacedeltatduserviceSIPdeserveurKamailiodansle temps

Durant lamiseenplacede toutesces solutions, jai rencontrplusieursproblmesdeconfiguration causedumanquededocumentation.Unproblmeestpospar lemodulePNPlorsdelaffichagedesgraphiquesduserviceSIP.Eneffet,PNPutilisedesmodlespourgnrer lesgraphiques.Lemodle (template)duserviceSIPnestpasdfini, jaidoncdcrirenotrepropremodle.

Figure26:architecturedelasolutionmiseenplacepourlasupervision



3. MiseenplacedunesolutiondeComptabilisationdappelsLebutde lamiseenplacedune solutiondecomptabilisationdappelsestdepouvoir

fournirdesstatistiquessurletauxdutilisationduservicederoutagedappelsdeRENATERetdecollecterlesinformationsanalyserencasdeproblme.

3.1 ObjectifsLobjetdecettepartiedemon stageestdtudieretmettreenplaceune solutionde

comptabilisationdappelsquipermettede: EtablirdesstatistiquessurlesappelstraitsparleserveurKamailiodeRENATER. Suivrecesstatistiquesdansletemps.

Agrgerlesstatistiquesparsitepouravoirunsuiviprcisdelusageduservicepour

chaquesite.

3.2 EtudeAprsavoireffectuplusieursrecherchessur lessolutionsdecomptabilisationdappels

existantesquipeuventrpondrenosbesoins,jaitrouvquiilyadenombreusessolutionsqui sont soit commercialises, soit trop complexes pour nos besoins. Notre tude estconsacretroissolutions.

Lapremireestdutiliserlesdonnesdufichierlogduserveurkamailio,cependantcette

solutionnepermetpasdavoirunniveaudedtailssuffisantsurlappel.Unedeuxime solution consiste utiliser lemoduleACC6 avecunebasededonnes

MySQL.LinconvnientdecettesolutionestlagnrationdunenregistrementdanslabasededonnespourchaquerequteSIPreueparleserveurKamailio[7].

Une troisime solution tudie estdutiliser lemoduleACC avecun serveurRADIUS.

Cestcettederniresolutionquiatadopte.Eneffet,ellevapermettredavoirunseulenregistrementpourtoutelasessionSIP.

3.3 Miseenplace

RADIUS est un protocole qui intgre les notions dAAA (Authorization,AuthenticationandAccounting). Ladernire versionduprotocoleRADIUS estnormalisepar l'IETFdansdeuxRFC:RFC2865(RADIUSauthentication)etRFC2866(RADIUSaccounting). 6ACC est un module de Kamailio qui permet denregistrer les transactions SIP dans diffrentes bases de donns



NousavonschoisiFreeRADIUS[5]commeserveurRADIUSpourlafonctiondaccounting.

Leprincipedecettefonctionsebasesurdeuxtypesdepaquetsprincipaux:AccountingStartetAccountingStop.Unesessionestdfinieparl'intervalleentreunStartetunStop.

FreeRADIUSestunlogiciellibre,ilsagitdundesserveursRADIUSlesplusmodulaireset

richesen fonctionnalits. Lesdtailsde linstallationet la configuration sontexpliqusenannexe3decerapport.

Danscettesolution,leserveurKamailiovamettreunpaquetAccountingStartavecun

identificateur de session au serveur FreeRADIUS lors de la rception dun message SIPINVITE.Quand leserveurKamailioreoit lemessageSIPBYEde lammesession, ilenvoieunpaquetAccountingStopaveclemmeidentificateurdesession.LeserveurfreeRADIUSvaenvoyeralorsunseulenregistrement labasededonnesMySQLquicontient ladureettouslesparamtresdelasession.

Voiciunschmadcrivantleprincipedefonctionnementdecettesolution:

Figure27:principedefonctionnementdeFreeRADIUSavecKamailio

Lorsdestestseffectuspourvalidercettesolution,nousavonstrouvqueFreeRADIUS

nepermetpasdegnrerlesCDRpourlesappelschous,cequiestnormal,tantdonnque lemessage SIP BYE nest pas reu par Kamailio. Les sessions nayant pas reues demessageSIPBYEsontcomptabilisesdansunfichierlogFreeRADIUS.J'aidonctamenmettreenplacelasolutiondumoduleACCavecMySQLpourcomptabiliserjustelesappelschousdanslabasededonnes(cf.ANNEXE4).



VoiciunschmaillustrantleprincipedefonctionnementdelasolutionmoduleACCavecMySQL:

Figure28:principedefonctionnementdemoduleACCavecMySQLLasolutiondecomptabilisationdappelssecomposededeuxbriquesfonctionnelles:

1. ModuleACCavecFreeRADIUS2. ModuleACCavecMySQL

En effet, la gnration des CDRs relatifs une communication SIP dpendessentiellementdelarussitedesontraitement(existenceounondemessagesderreur).

Lorganigrammequisuitrsumelessentieldecequiaprcd.

Figure29:organigrammedelasolutiondecomptabilisationdappels



Lafigurecidessousillustrelarchitecturedelasolutiondecomptabilisationdappels:

Figure30:architecturedelasolutiondecomptabilisationdesappels

3.4 Dveloppementd'uneinterfaceweb

Pour afficher les informations des appels stockes dans la base de donnes parFreeRADIUS,jaidveloppuneinterfacewebenPHPquipermet: Afficherlenombredesappelseffectusparchaquesite(figure24) Afficherlesdtailsdesappels(figure25) Affichersousformedegrapheslenombreetladuredesappelseffectusparmois

etparanne(figure26) Effectuer des recherches sur les appels selon des critres(le site appelant, le site

appel,ladatedappel)(figure27)



Voicilesprincipauxcransdelapplicationwebdveloppes:

Figure31:lapagedaccueildelapplication

Figure32:ecrandesdtailsdesappels

Figure33:ecrandenombredesappelsparjour



Figure34:ecranderecherchersurlesappels

3. ScurisationdupiloteToIP

Tout systme accessible via IP estune ciblepotentiellepour l'ensembledesmenacespesantsurlesrseauxIP.AfindelimiterlesaccsetscuriserleserveurpiloteToIP,jaimisenplacesolutiondescuritbasesur loutil IPtables.Des filtresonttconfigurssur lerouteurdappelsdefaonnautoriserquelesIPBXdessitesconnectsaupiloteenvoyerdes requtes SIP sur le port 5060. Les flux du serveur de supervision Nagios et decomptabilisationdappelFreeRADIUS,ainsique les fluxpour ladministrationdu serveurdistance(SSH)sontautorissgalement(cf.ANNEXE5).

Lesrglesdefiltragesappliquerontdoncselonlescritressuivants: AdresseIPsource AdresseIPdedestination

Protocoledecommunication

Portsource

PortdedestinationLorganigrammesuivantrsumelasolutionpourscuriserleservicepiloteToIP.



Figure35:organigrammedelasolutiondescurisationduservicepilote

4. Gestiondel'accessibilitdessitesLobjectif tait de grer lesmessages derreur SIP envoys par le serveur de routage

dappels Kamailio, afin davoir un basculement rapide vers le rseau RTC en casdinaccessibilitdu sitedistant.Pour cela,des testsontt ralissavecundes sitesdelINSERM(InstitutNationaldelaSantetdelaRechercheMdicale).

Letableausuivantdcrit lesrsultatsdestestsaprs lesamliorations introduitesdans

lefichierdeconfigurationdeKamailio.



Tableau4:lesrsultatsdestestsdelagestiondesmessagesderreur

5. TestsdevalidationAfindevalider lesdiffrentessolutionsmisesenplace,des testsdevalidationontt

effectusaveclesiteINSERM. Letableaucidessousdonnelesrsultatsdestests.

Lasolution Ntest Description Rsultatattendu Rsultat

1 DsactiverlinterfacerseaudelIPBX

NagiosretourneuntatdeconnectivitdiffrentdeOK

OK

Lasolutionde

supervision2 ArrterleserviceSIPde

lIPBXNagiosretourneuntatduserviceSIPdiffrentOK

OK

1 Effectuerunappelrussi Enregistrementajoutdanslabasededonnescommeappel

russi

OK

Lasolutionde

Comptabilisationdappels

2 Effectuerunappelchou

(leservicenestpasdisponible)

Enregistrementajoutdanslabasededonnescommeappel

chou

OK

LascurisationdupiloteToIP

1 EffectuerunappelvialOpenSERdelamaquette

Appelrejetparlerouteurdappelsduservicepilote

OK

Tableau5:lesrsultatsdestestsdevalidation

Ntest Description Typedemessageerreur Rsultatdebasculement

Tempsdebasculement

1 DsactiverlinterfacerseaudelIPBX

Requestetimeout OK 10s

2 ArrterleserviceSIPdelIPBX

Requestetimeout OK 10s



ConclusionDanscedernierchapitre,nousavonsprsent lamaquetteexprimentale, laphasede

ralisation de notre projet en prsentant les solutions mises en place, la dmarche detravail,leprincipedefonctionnementdechaquesolution,finalement,nousavonsprsentlestestsdevalidationeffectus.

Actuellement le servicepiloteToIPestoprationnel,deux sitesontdjmigrversceservicequi sontGIPRENATERPARISetGIPRENATERMONTPELLIER. Ilestprvu aussidemigrerdautressitesdanslesjoursquiviennent.



ConclusiongnraleLatlphoniesurIPconstitueincontestablementuneattractiondetaillelafoispourles

quipementiers,lesoprateurs,lesentreprisesetlegrandpublic.Silesenjeuxconomiquesjustifient largement cette convoitise, il ne faut cependant pas ngliger les contraintestechniquessurmonter.

Durant le prsent projet de fin dtudes, Il nous a t confi la mission, au sein de

lquipeSIPA (Services IPAvancsetprospective)duGIPRENATER,dtudieretmettreenplace leservicepiloteToIPdeRENATER.Pourcela,notre travailatdcomposencinqtapesmajeures.Lapremireavaitpourbutdtudier lesbasesde latlphoniesur IP.Lesecond travail consistait tudier lesvolutionspossibles sur lamaquetteexprimentalemiseenplaceparlquipeSIPApourinstallerleservicepiloteToIP.Latroisimetapetaitla mise en place dune solution de supervision du service pilote. La quatrime tapeconsistaitmettreenplacedunesolutiondecomptabilisationdappels.Enfin, laderniretapeavaitpourbutdelimiterlesaccsetscuriserleserveurpiloteToIP.CeprojetdefindtudesadonnlieuuneplateformedeToIPbasesurunserveurderoutagedappeldetypeKamailio etdes solutionspour la supervision et la comptabilisationdes sessions SIPVoIP.

Llaborationdecetravailmapermis,dunepart,dapprofondirlesconnaissancesetle

savoir faireacquisdurant les annesdema formation lENSAdeMarrakech,etdautrepart,deprparermon intgration lavieprofessionnelleetdemesesituersur lemarchdestlcommunications(rseaux,systmesdecommunication,services,...).

Le travail que jai ralis pourrait tre complt et poursuivi sous diffrents aspects,

notamment: Miseenplacedunesolutionderedondancedesserveurs impliqusdans leservice

pilote. Introduction dIPv6 dans les quipements du service pilote et avec les sites

partenaires. Amliorationdesmcanismesdescuritmisenplace.



Rfrencesbibliographiques[1].SiteofficieldeRENATER,http://www.renater.fr,janvier2009[2].SiteofficieldeKamailio,http://www.kamailio.org,janvier2009[3].SiteofficieldOpenSIPS,http://www.opensips.org,janvier2009[4].SiteofficieldeNagios,http://www.nagios.org,janvier2009[5].SiteofficieldeFreeRADIUS,http://freeradius.org,janvier2009[6].Lencyclopdielibrewikipedia,http://fr.wikipedia.org/wiki/Accueil,janvier2009[7].FlavioE.Goncalves,BuildingTelephonySystemswithOpenSER,PacktPublishing(April25,2008)[8].N.IDBOUFKER, ArchitecturesProtocolairesVoIP:H.323etSIP, dcembre2008[9].R.Sparks,M.Handley,E.Schooler,SIP:SessionInitiationProtocol,RFC3261,IETF,June2002[10].F.Andreasen,B.Foster,MediaGatewayControlProtocol(MGCP),RFC3435,IETF,January2003[11].P.Faltstrom,M.Mealling, TheE.164toUniformResourceIdentifiers(URI)DynamicDelegationDiscoverySystem(DDDS)Application(ENUM),RFC3761,IETF,April2004 [12].K.Egevang,P.Francis, TheIPNetworkAddressTranslator(NAT),RFC1631,IETF,May1994[13].J.Rosenberg,J.Weinberger,C.Huitema,R.Mahy,STUNSimpleTraversalofUserDatagramProtocol(UDP)ThroughNetworkAddressTranslators(NATs),RFC3489,IETF,March2003 [14].C.Rigney,S.Willens,A.Rubens,W.Simpson,RemoteAuthenticationDialInUserService(RADIUS),RFC2865,IETF,June2000[15].C.Rigney,RADIUSAccounting,RFC2866,IETF,June2000[16].RapportdugroupedetravailToIP,www.renater.fr/IMG/pdf/Compil_Doc_synth.pdf[17].BestPracticesforVoIPSIPSecurity,www.td.unige.ch/pdf/BP_VoIP_Security.pdf



ANNEXES

ANNEXE1:ConfigurationKamailioCeciestunextraitdufichierdeconfigurationduserveurKamailio:

#######Rapportdesmodifications###########cration16/12/2008#RaccordementSITE1(Ville1etVille2)le17/12/2008#testavecSITE2le24/12/2008#######GlobalParameters#########debug=3log_stderror=nolog_facility=LOG_LOCAL0fork=yeschildren=4port=5060listen=udp:193.*.*.*alias=*.renater.fr.#######ModulesSection#########setmodulepathmpath="//usr/local/lib/kamailio/modules/".##########Blocdessitesraccordsauservicepilote#############################GIPRENATER#################. if(uri=~"sip:01539420[3,4,8,9][09]@.*"){ # 40 Postes route(2);};..

#processtrafficfromInternettoSITE1route[2]{# log(1,"Inroute[2]"); rewritehostport("193.*.*.*:5060"); append_hf("Phint:ForwardedtoSITE1\r\n");xlog("L_INFO","$rmfrom$futo$tu"); if(!t_relay()){sl_reply_error(); };exit; }



ANNEXE2:exemplededfinitiondesservicespourlasupervision

UnexemplededfinitiondesservicessuperviserpourlamachineKamailio:definehost{usegenerichosthost_nameKamailioaddress193.*.*.*}

defineservice{

host_nameKamailioservice_descriptionSIPcheck_commandcheck_sip!sip:193.*.*.*usegenericserviceaction_urlhttp://193.*.*.*/pnp4nagios/index.php?host=Kamailio&srv=SIP

}defineservice{

host_nameKamailioservice_descriptionPINGcheck_commandcheck_ping!100.0,20%!500.0,60%usegenericserviceaction_urlhttp://193.*.*.*/pnp4nagios/index.php?host=Kamailio&srv=PING

}defineservice{use genericservicehost_nameKamailioservice_descriptionDiskSpacecheck_commandcheck_nrpe!check_hda1}#ChargeCPUdefineservice{

use genericservicehost_name Kamailioservice_description CPULoadcheck_command check_nrpe!check_load

}



ANNEXE3:ConfigurationmoduleACCavecFreeRADIUS

InstallationFreeRADIUS Laversioninstalle2.0.*:

#aptgetinstallfreeradiusfreeradiusutils#aptgetinstallfreeradiusmysqlCrationetlaconfigurationdelabasededonnedefreeRADIUS InstallationMysql

#aptgetinstallmysqlserver#aptgetinstallmysqlclient Crationdelabasededonnes

dpkgicdrtool_6.6.10_all.debmysqladminurootpcreateaccountingmysqlurootaccounting



Configuration du serveur kamailio comme client de FreeRDIUS dans le fichier

/etc/freeradius/clients.conf

client193.*.*.*{secret=***********shortname=siprouter1nastype=other} Activermysqldanslefichier/etc/freeradius/radiusd.conf

Accounting{acct_uniquedetailsqlunixradutmp}

Ajouterledictionnairekamailiodanslefichier/etc/freeradius/dictionary

cp/var/www/CDRTool/setup/radius/OpenSIPs/dictionary.ser/etc/freeradius/dicotionary.kamailio$INCLUDE/usr/share/freeradius/dictionary$INCLUDE/etc/freeradius/dictionary.kamailioConfigurationduclientfreeRADIUS(Kamailio)

Ajouterledictionnairekamailiodanslefichier/etc/radiusclientng/dictionary

#Thefilenamegivenhereshouldbeanabsolutepath.$INCLUDE/etc/radiusclientng/dictionary.radius

AjouterladresseduserveurFreeRADIUSdanslefichier/etc/radiusclientng/servers

#RADIUSservertouseforaccoutingrequests.AllthatI#saidforauthserverapplies,too.Acctserver 193.*.*.*



Ajouterleslignessuivantesdansleficherdeconfigurationdekamailio(kamailio.cfg)

modparam("acc","radius_config","/etc/radiusclientng/radiusclient.conf")modparam("acc","radius_flag",2)modparam("acc","radius_missed_flag",3)modparam("acc","radius_extra","UserName=$Au;\

CallingStationId=$from;\CalledStationId=$to;\SipTranslatedRequestURI=$ruri;\SipRPid=$avp(s:rpid);\SourceIP=$si;\SourcePort=$sp;\CanonicalURI=$avp(s:can_uri);\BillingParty=$avp(s:billing_party);\DivertReason=$avp(s:divert_reason);\XRTPStat=$hdr(XRTPStat);\Contact=$hdr(contact);\Event=$hdr(event);\ENUMTLD=$avp(s:enum_tld)")

ANNEXE4:ConfigurationmoduleACCavecMySQL Ajouterleslignessuivantesdansleficherdeconfigurationdekamailio(kamailio.cfg)

modparam("acc","db_url","mysql://root:root@193.*.*.*/accounting")#flagtorecordtodbmodparam("acc","db_flag",1)modparam("acc","db_missed_flag",2)#f

rapport toip final2

Documents