Mise en place d’une solution de voix sur IP pour la FSG

Table des matières

Introduction générale ..............................................................................................................8
Chapitre 1 : Présentation de cadre du stage ........................................................................... 10
Introduction .......................................................................................................................... 10
1. Présentation de la FSG ..................................................................................................10
2. Étude de l’existant ......................................................................................................... 11
2.1. Description de l’existant ......................................................................................... 11
2.2. Critique de l’existant .............................................................................................. 12
2.3. Solution proposée ...................................................................................................13
Conclusion ........................................................................................................................... 14
Chapitre 2 : Généralités sur la VoIP ...................................................................................... 15
Introduction .......................................................................................................................... 15
1. Présentation de la voix sur IP......................................................................................... 15
1.1. Définition ............................................................................................................... 15
1.2. Architecture de la VoIP .......................................................................................... 15
1.3. Principe de fonctionnement .................................................................................... 16
2. Les protocoles de transport de la voix ............................................................................ 18
2.1. Le protocole RTP ...................................................................................................18
2.2. Le protocole RTCP ................................................................................................. 18
3. Les protocoles de signalisation ...................................................................................... 18
3.1. Le protocole H323 ..................................................................................................19
3.2. Le protocole SIP .....................................................................................................20
3.3. Comparaison entre H.323 et SIP ............................................................................. 22
4. Le codec ........................................................................................................................ 23
5. Solutions de VoIP existantes ......................................................................................... 24
5.1. Solutions payantes ..................................................................................................25
5.2. Solutions open source ............................................................................................. 25
5.3. Présentation de la solution choisie .......................................................................... 27
5.3.1. Définition ........................................................................................................27
5.3.2. Caractéristiques ............................................................................................... 27
Conclusion ........................................................................................................................... 28
Chapitre 3 : implémentation de la solution ............................................................................ 29
Introduction .......................................................................................................................... 29
1. Environnement de travail ............................................................................................... 29

1
 Mise en place d’une solution de voix sur IP pour la FSG

1.1. Environnement matériel.......................................................................................... 29

1.2. Environnement logiciel........................................................................................... 29
2. Installation : .................................................................................................................. 29
2.1. Côté serveur : ......................................................................................................... 29
2.1.1. Installation d’ASTERISK ................................................................................ 29
2.1.2. Configuration des comptes SIP ........................................................................34
2.2. Coté client : ............................................................................................................ 36
2.2.1. Installation de X-lite ........................................................................................ 36
2.2.2. Configuration de X-lite .................................................................................... 37
3. Tests de la solution ........................................................................................................41
Conclusion ........................................................................................................................... 42
Chapitre 4 : Sécurisation de la solution VoIP sur Asterisk .................................................... 43
Introduction : ........................................................................................................................ 43
1. Les Attaques simulées ...................................................................................................43
1.1. Machine Kali Linux :.............................................................................................. 43
1.1.1. SIPVicious ......................................................................................................43
1.1.2. Ettercap ........................................................................................................... 44
1.1.3. Wireshark ........................................................................................................44
1.1.4. Inviteflood.......................................................................................................44
1.2. Simulation .............................................................................................................. 44
1.2.1. Attaque usurpation d’identité ........................................................................... 44
1.2.2. Attaque Eavesdropping ................................................................................... 45
1.2.3. Attaque Denis de Service (DOS) .....................................................................49
2. Choix et implémentation des bonnes pratiques ........................................................... 50
2.1. Bonne pratique contre l’attaque usurpation d’identité .......................................... 50
2.1.1. Création d’un mot de passe crypté ...................................................................50
2.1.2. Utilisation de l’outil « Fail 2 Ban » ..................................................................51
2.2. Bonne pratique contre l’attaque Eavesdropping ...................................................... 52
2.2.1. Chiffrement du trafic SIP avec TLS ................................................................. 52
2.2.2. Chiffrement du trafic RTP avec SRTP ................................................................ 56
2.3. Autre aspect de Sécurité ......................................................................................... 58
2.3.1. Implémentation d’un firewall .......................................................................... 58
2.3.2. Implémentation des ACLs ............................................................................... 61
Conclusion ........................................................................................................................... 62
Conclusion générale ............................................................................................................. 63

2
 Mise en place d’une solution de voix sur IP pour la FSG

Bibliographie ........................................................................................................................ 64

3
 Mise en place d’une solution de voix sur IP pour la FSG

Liste des figures

Figure 1 : Organigramme de la FSG ..................................................................................... 11
Figure 2: Architecture du réseau téléphonique ......................................................................12
Figure 3: Nouvelle architecture proposée .............................................................................. 13
Figure 4: Architecture générale de la voix sur IP [3] ............................................................. 15
Figure 5: Déroulement d'une conversation VoIP ...................................................................17
Figure 6: Communication téléphonique avec H.323 .............................................................. 20
Figure 7: Architecture SIP [6] ............................................................................................... 21
Figure 8: Processus de la communication SIP .......................................................................22
Figure 9: Test d'appel de client 1001 vers le client 1002 ....................................................... 42
Figure 10: Lancement d’outil ETTERCAP et choix de l’interface ......................................... 45
Figure 11: Scans du réseau ...................................................................................................46
Figure 12: Lancement de sniffing ......................................................................................... 46
Figure 13: Lancement d’outil Wireshark et choix de l’interface ............................................ 48
Figure 14: Choix du protocole RTP dans Wireshark ............................................................. 48
Figure 15: Enregistrements de flux RTP analysé par Wireshark ............................................ 49
Figure 16: Ajout d'un client sip ............................................................................................. 55
Figure 17: Configuration de proxy SIP ................................................................................. 55
Figure 18: Configuration de chemin du fichier ca.crt ............................................................ 56
Figure 19: Listes des modules Asterisk ................................................................................. 57
Figure 20: Configuration SRTP dans Blink ........................................................................... 57
Figure 21: Flux audio après le chiffrement ............................................................................ 58

4
 Mise en place d’une solution de voix sur IP pour la FSG

Liste des tableaux

Tableau 1 : Comparaison entre le protocole H.323 et le SIP .................................................. 23
Tableau 2: Caractéristiques des principaux codeurs de VoIP ................................................. 24
Tableau 3: Comparaison des solutions payantes .................................................................... 25
Tableau 4: Comparaison des solutions Open Source ............................................................. 27

5
 Mise en place d’une solution de voix sur IP pour la FSG

LISTE DES ACRONYMES

ARP = AddressResolution Protocol

DES = Data Encryption Standard

DHCP = Dynamic Host Configuration

DNS = Domain Name System

DoS = Deny of Service

DSP = Digital Signal Processor

FTP= File Transfer Protocol

GPL = General Public License

GSM = Global System for Mobile Communications

HTTP=Hypertext Transfer Protocol

IAX = Inter-AsteriskeXchange

ITU = International Telecommunications Union

IETF = Internet Engineering Task

LAN = Local Area Network

MCU = Multipoint Control Unit

MD5 = Message Digest 5

MGCP = Media Gateway Control Protocol

MITM = Man In The Middle

MPL = Mozilla Public License

PABX = Private Automatic BranchPSTN

POP= Post Office Protocol

RAS = Registration/Admission/Status

RNIS = Réseaux Numériques à Intégration de Services

6
 Mise en place d’une solution de voix sur IP pour la FSG

RTCP = Real-time Transport Control Protocol

RTC = Réseaux Téléphoniques Commutés

RTP = Real-Time Transport

RSVP = ResourceReservation Protocol

SDA = Sélection Directe à l'Arrivée

SIP = Session Initiation Protocol

SRTP = Secure Real-time Transport

TCP = Transport Control Protocol

TLS = Transport Layer Security

UDP = User Datagram Protocol

UMTS = Universal Mobile Telecommunications System

VoIP = Voice Over Internet Protocol

7
 Mise en place d’une solution de voix sur IP pour la FSG

Introduction générale
Les réseaux téléphoniques n'ont cessé d'évoluer et de se varier depuis longtemps.
Pendant plusieurs décennies, la transmission analogique de la voix fut la seule technologie
maîtrisée et utilisée. Mais, grâce à l’apparition des techniques d'échantillonnage, de
quantification et de codage, la transmission numérique de la voix est devenue possible. Aussi
bien la transmission de gros volumes de données requise par l'industrie informatique vocale
trouve son application à travers les réseaux numériques à intégration de services (RNIS),
l’internet.

Pour tirer profit du développement d'Internet pour le grand public, des sociétés ont
développé des logiciels de téléphonie IP. Donc il est possible de transporter de la voix entre
deux ordinateurs et ainsi de communiquer. Bien que cette technique puisse paraître
révolutionnaire, elle est devenue insuffisante et peu professionnelle. En effet, pour pouvoir
être applicable, un tel réseau de téléphonie IP doit être interconnecté avec le réseau
téléphonique commuté public (RTCP).

Aujourd'hui, des standards sont en train d'émerger et des entreprises commencent à

satisfaire le marché en fournissant des passerelles faisant le lien entre les réseaux IP et les
réseaux RTCP. Mais interconnecter ces deux mondes n'est pas une chose facile, les
télécommunications et l'informatique ne s'étant jamais mis d'accord en matière de protocoles
parle passé. En effet, les télécoms ont toujours eu un souci de la qualité de service alors que
les informaticiens recherchaient un débit maximal. Le but de la Voix sur IP est de finaliser la
convergence voix/données autour d'un protocole unique, IP (et IPv6 dans le futur).

L’objectif de ce projet de fin d'étude est : l’étude des protocoles de Voix sur IP ;
l’étude des vulnérabilités et des attaques de sécurités sur les divers composants d’une
infrastructure VoIP et la mise en place d’une solution VoIP en utilisant les deux solutions
proposées qui sont : Asterisk et x-lite.

La FSG sera capables de mettre en place un environnement VoIP protégée contre les
attaques de sécurité de l’intérieur du réseau comme de l’extérieur aussi. Cette plateforme sera
suffisamment flexible et peu coûteuse.

Notre rapport se compose de quatre chapitres. Le premier chapitre s’intéresse à la

présentation de la FSG, l’étude de l’existant et les objectifs généraux de projet. Dans le
deuxième chapitre nous décrivons quelques généralités sur la VoIP. D’abord nous allons

8
 Mise en place d’une solution de voix sur IP pour la FSG

présenter l’architecture et le principe de fonctionnement. Ensuite, nous détaillerons les

protocoles associés. Puis nous présenterons une étude comparative des outils de VoIP.

Dans le troisième chapitre nous détaillerons les étapes d’installation et des

configurations de notre solution, Asterisk, X-lite et ZOIPER ainsi la présentation de
l’environnement du travail. Dans le dernier chapitre nous présenterons des scénarios
d’attaques par divers programmes de piratage. Ensuite nous implémenterons les bonnes
pratiques que nous avons choisies.

9
 Mise en place d’une solution de voix sur IP pour la FSG

Chapitre 1 : Présentation de cadre du stage

Introduction
Au cours de ce premier chapitre, nous présenterons la faculté des sciences de Gabes, l’étude
détaillée de l’existant où nous cernerons la problématique de notre sujet et nous présenterons
la solution adoptée pour ce dernier.

1. Présentation de la FSG
La Faculté des Sciences de Gabès est un établissement public relevant du Ministère de
l'Enseignement Supérieur. Elle a été créée en vertu de la loi N°88 du 6 Novembre 1996. Elle
relève aujourd'hui de l'Université de Gabès et le ministère de tutelle est celui de
l'enseignement supérieur et de la Recherche Scientifique. [1]

Elle a pour missions l'enseignement, la formation et la recherche scientifique. Elle compte

aujourd'hui six départements qui coordonnent ses activités d'enseignement et de recherche
dans les domaines de(s) :

- Sciences biologiques
- Sciences de la terre
- Mathématiques
- L'informatique
- La Physique
- La Chimie

Ainsi, à chaque domaine de recherche correspond un département spécifique plus les

laboratoires des structures de Recherche. Chacun des départements est dirigés par un chef de
département et le département de recherche héberge des Unités de Recherche ayant un chef
d’équipe.

La FSG est constituée des enseignants et chercheurs, des étudiants et des personnels
administratif et technique. La formation des étudiants est assurée par les enseignants pour les
cycles : Licence, Master et Doctorat.

Organigramme de la FSG

L’organigramme de la FSG peut être résumé par le schéma suivant allant du décanat aux
services de plus bas niveau.

10
 Mise en place d’une solution de voix sur IP pour la FSG

Figure 1 : Organigramme de la FSG

2. Étude de l’existant
2.1. Description de l’existant
Le réseau téléphonique de la FSG est un réseau filaire utilisant les mêmes infrastructures que
celui Informatique, à un certain niveau. La liaison provenant du fournisseur se termine par des
répartiteurs qui adaptent et conduisent l’information au Alcatel OmniPCX 4400 contenant des
cartes réseau télécom de 24 lignes chacune mises en place par ALCATEL. Après l’octroi des
numéros aux lignes, elles sont réparties aux différents blocs du réseau où se noue la liaison
avec les équipements informatiques et aboutissant à un réseau hybride Informatique-Télécom.
Les câbles sont des RJ45 et les terminaux sont des téléphones filaires.

11
 Mise en place d’une solution de voix sur IP pour la FSG

Figure 2:Architecture du réseau téléphonique

2.2. Critique de l’existant

Les difficultés sont multiples au sein de la FSG en ce qui concerne le système des
communications pour son personnel. La FSG avait exploité séparément deux réseaux destins
pour le transport de données communicationnelles : l’un pour la voix et l’autre pour la
donnée.

Le résultat de cette séparation en est la création de deux industries séparées pour opérer,
équiper, installer et maintenir ces réseaux. Pour améliorer ce service de téléphonie nous avons
deux solutions :

Première solution : Mise en place d'une solution "Full IP"

Elle consiste à remplacer le PABX classique par un IP PBX impliquant le remplacement

des terminaux téléphoniques analogiques classiques par des téléphones IP. Ce choix implique
un renouvellement complet des infrastructures. Ici c'est un investissement énorme dépend du
nombre des téléphone qui seront remplacés, le modèles, la marque. En plus il faut un routeur
qui va jouer le rôle d'un serveur de communication et qui contient des interfaces permettant la
communication à travers le réseau analogique (ligne RTC) ou bien acheter des trunksip à
partir d'un opérateur télécom.

Deuxième solution : Mise en place d'un PABX avec carte IP

12
 Mise en place d’une solution de voix sur IP pour la FSG

La migration des téléphonies analogique sera réalisé si le PABX analogique installé à une
carte LAN ou bien peut s’interfacer avec le routeur VOIP à travers une interface RNIS. Donc
nous pouvons connecter les téléphones directement à une prise (RJ45) du réseau informatique.

Un PBX IP est un système téléphonique qui fonctionne sur Internet (ou protocole Internet,
"IP") par opposition aux lignes téléphoniques analogiques traditionnelles. Les PBX IP coûtent
généralement moins cher et offrent une meilleure qualité que les lignes fixes traditionnelles

2.3. Solution proposée

Nous avons proposé l'implémentation d'une solution VoIP, qui est une solution d'entreprise
offrant aux agents de la FSG, la possibilité d'effectuer les communications vocales sur le
réseau unique voix et données, et voir même à l'extérieure en utilisant l'Internet comme
moyen de transport.

La figure ci-dessous illustre la nouvelle architecture que nous avons proposée pour la FSG.
Dans laquelle nous avons ajouté un serveur Asterisk.

Figure 3: Nouvelle architecture proposée

13
 Mise en place d’une solution de voix sur IP pour la FSG

Conclusion
Il existe plusieurs types d'architectures en téléphonie IP pouvant s'adapter aux besoins de
l'entreprise. Chacune a ses avantages et ses inconvénients suivant l'architecture dont dispose
l'entreprise, de ce fait le choix de telle ou telle architecture se basera sur les critères de
l'entreprise, soit au niveau coût, soit au niveau performance, soit au niveau sécurité

14
 Mise en place d’une solution de voix sur IP pour la FSG

Chapitre 2 : Généralités sur la VoIP

Introduction
Durant ce chapitre nous allons étudier la VoIP de point de vue architecture et ses concepts
cachés derrière cette technologie. Nous présenterons les protocoles VoIP utilisés pour la
signalisation et le transport en définissant leurs principes de fonctionnement. Nous
terminerons par une présentation de la solution choisie.

1. Présentation de la voix sur IP

1.1. Définition
La technologie voix sur IP permet de délivrer des communications vocales ou multimédia
(vidéo par exemple) via le réseau Internet (IP). La particularité d’une communication VoIP
est qu’elle est systématiquement constituée de 2 canaux : la signalisation et le flux média. [2]

- Le flux média est le canal qui transporte l’information (Voix et/ou Vidéo).
- La signalisation est chargée de mettre en relation l’appelant(s) et l’appelé(s) et de
déterminer les conditions de fonctionnement du flux média.

1.2. Architecture de la VoIP

La figure ci-dessous présente l’architecture générale de la voix sur IP :

Figure 4:Architecture générale de la voix sur IP [3]

15
 Mise en place d’une solution de voix sur IP pour la FSG

D’une façon générale, l’architecture de téléphonie IP se repose sur un ensemble des éléments
qui sont :

- Les terminaux : ce sont des PC, des téléphones classiques, terminal GSM, terminal
UMTS ou des téléphones VoIP.
- Routeur : Il permet d'orienter les données et de router les paquets entre deux réseaux.
- Le PABX (PrivateAutomatic Branch eXchange) :C’est un commutateur vocal
et/ou DATA spécialiser. En d'autres termes, c'est l'élément central qui : répartit
les appels téléphoniques entrants (qui peuvent être des appels SDA), autorise le
départ des appels téléphoniques (vers un ou plusieurs opérateurs de
télécommunications, selon les droits), gère les terminaux téléphoniques (ainsi
que les appels internes), qui peuvent être numériques ou analogiques.
- Gateway et Gatekeeper :
Une passerelle est un dispositif réseau qui convertit les appels vocaux et les télécopies,
en temps réel, entre le réseau téléphonique public commuté (RTPC) et un réseau IP.
Les principales fonctions d'une passerelle IP sont :
o La compression et la décompression de la voix et des télécopies.
o La mise en paquets.
o L'acheminement des appels et la signalisation de contrôle.
Un Gatekeeper est l'entité de contrôle centrale qui exécute les fonctions de gestion
d'un réseau Voix et Fax sur IP et pour les applications multimédia telles que la
visioconférence. Les Gatekeepers fournissent des renseignements pour le réseau, y
compris des services de résolution d'adresses, d'autorisation et d'authentification,
l'enregistrement des enregistrements des détails des appels et les communications avec
les systèmes de gestion du réseau.

1.3. Principe de fonctionnement

La figure ci-dessous représente le traitement subi par la voix avant d’être envoyé qui se
résume en huit étapes :

16
 Mise en place d’une solution de voix sur IP pour la FSG

Figure 5:Déroulement d'une conversation VoIP

1. Acquisition du signal : cette étape consiste à détecter la voix à l’aide d’un micro, que ce
soit d’un téléphone ou d’un micro casque.

2. Numérisation : La voix sera convertie alors dans un convertisseur analogique numérique

qui réalise deux tâches distinctes :

- Échantillonnage du signal sonore : il consiste de prélever périodiquement un

enregistrement proche de la valeur réelle d'un signal.
- Quantification, qui consiste à affecter une valeur numérique (en binaire) à chaque
échantillon.

3. Compression : cette technique consiste à réduire la quantité d’informations nécessaire via

un algorithme de compression comme le DSP (Digital Signal Processor).

4. Habillage des entêtes : Cette étape consiste à découper le signal et ajouter des entêtes.
Ensuite, il réassemble les paquets en gardant le même ordre.

5. Emission et transport : Les paquets sont acheminés depuis le point d’émission pour
atteindre le point de réception sans qu’un chemin précis soit réservé pour leur transport, en
utilisant la fonction de routage du réseau.

6. Réception : Dès que les paquets arrivent à destination, il est essentiel de les replacer dans
le bon ordre et assez rapidement. Faute de quoi une dégradation de la voix se fera sentir.

17
 Mise en place d’une solution de voix sur IP pour la FSG

7. Conversion numérique analogique : cette étape réciproque de l’étape 2.

8. Restitution : Résultat finale l’écoute de la voix.

2. Les protocoles de transport de la voix

2.1. Le protocole RTP
Il définit un format de paquet standard pour la diffusion audio et vidéo sur Internet. Il est
défini dans la RFC 1889. Il a été développé par le groupe de travail sur le transport
audiovisuel et a été publié pour la première fois en 1996. RTP est largement utilisé dans les
systèmes de communication et de divertissement qui impliquent des médias en continu, tels
que la téléphonie, les applications de vidéoconférence et les services de télévision.

RTP est utilisé conjointement avec le protocole de contrôle RTP (RTCP). Tandis que le RTP
achemine les flux médias (audio et vidéo, par exemple). [3]

2.2. Le protocole RTCP

Il est défini dans la RFC 3550. RTP assure la livraison des données réelles, tandis que RTCP
est utilisé pour envoyer des paquets de contrôle aux participants d'un appel. La fonction
principale est de fournir une rétroaction sur la qualité du service fourni par RTP.

Il transporte des statistiques et des informations telles que le nombre d'octets et de paquets, la
gigue et le temps d'aller-retour. Une application peut utiliser ces informations pour contrôler
les paramètres de qualité de service et choisir, par exemple, d'utiliser un codec différent.

Le RTCP ne fournit pas de méthodes de chiffrement ou d'authentification des flux, mais de

tels mécanismes peuvent être mis en œuvre à l'aide du protocole SRTP (Secure Real-time
Transport Protocol). [4]

3. Les protocoles de signalisation

La signalisation téléphonique correspond à une fonctionnalité de niveau 7 (applicatif) de la
modèle OSI. Donc elle n’est jamais assurée par des entités réseau de routage pur, comme les
routeurs ou switchs, qui fonctionnent à des couches inférieures. Des entités dédiées sont
exploitées à ces fins : il s'agit de serveurs au niveau du cœur du réseau et des terminaux
(téléphone, ordinateur ou PDA par exemple) en bordure de réseau, au niveau de l'utilisateur.
Pour être compris et correctement interprété, de l'ensemble des entités participant aux

18
 Mise en place d’une solution de voix sur IP pour la FSG

mécanismes de signalisation, celle-ci doit respecter une syntaxe particulière. C'est tout l'objet
de la spécification d'un protocole de signalisation.

3.1. Le protocole H323

H.323 est une recommandation du Secteur de la normalisation des télécommunications de
l’ITU qui décrit les protocoles pour la fourniture de sessions de communication audiovisuelle
(A/V) sur tous les réseaux à commutation par paquets. H.323 fournit des normes pour
l'équipement, les ordinateurs et les services de communication multimédia sur les réseaux à
commutation par paquets et spécifie des protocoles de transmission pour les détails vidéo,
audio et données en temps réel. Il fonctionne en mode non connecté et sans garantie de
qualité de service. Il définit les protocoles nécessaires à partir de la couche transport du
modèle OSI qui sont :

- Protocole de signalisation (H.225, Q.931) :

o RAS (Registration Admission Status) est exploité pour faire le contrôle entre
les terminaux et le gatekeeper, le protocole Q.931pour l’établissement etla
libération des appels entre les terminaux.
- Protocole de négociation (H.245) :
o IL est utilisé pour contrôler le transfert de données multimédia et négocier les
codecsdes informations qu’on va s’échanger.

L'infrastructure H.323 se compose par quatre principaux acteurs :

- Les terminaux : Peut-être un ordinateur ou un dispositif qui exécute une pile H.323 et
des applications multimédia.
- Les passerelles Gateway : Utilisée pour assurer la connectivité entre les réseaux
H.323.
o Les portiers Gatekeeper :est considéré comme le composant H.323 le plus
important, c’est le point central pour chaque appel à l'intérieur de sa zone, tout
en fournissant aux terminaux H.323 enregistrés des services de contrôle des
appels.
- Les MCU (Multipoint Control Unit)prise en charge de trois terminaux ou terminaux
H.323 ou plus en conférence. Chaque terminal participant à une conférence établit une
connexion MCU. [5]

19
 Mise en place d’une solution de voix sur IP pour la FSG

La figure ci-dessous montre les cinq phases de communication :

Figure 6:Communication téléphonique avec H.323

3.2. Le protocole SIP

Le protocole SIP (Session Initiation Protocol) est un protocole de signalisation utilisé pour
initier, maintenir, modifier et terminer des sessions en temps réel. Le SIP a été approuvé par
l'Internet Engineering Task Force (IETF) en 1996 et normalisé en 1999. SIP a été conçu pour
répondre à l'évolution des besoins des communications IP.

Ci-dessous une description détaillée des différentes entités.

Agents d’utilisateur(User Agent) :Ils permettent la réception ou l'établissement d’une

session.

Nous distinguons deux catégories :

- Agent client (User Agent Client) pour émettre les demandes SIP.
- Agent serveur (User Agent Server) pour recevoir toutes les sessions de l'utilisateur.

Serveur Proxy (SIP Proxy Server) : il enregistre toutes les caractéristiques coté client et
serveur.

Serveur de Redirection (Redirect Server) : C’est un serveur qui accepte les demandes de
SIP. Il est utilisé pendant la phase d’initiation d’appel pour déterminer l’adresse de l’appareil
appelé.

20
 Mise en place d’une solution de voix sur IP pour la FSG

Serveur d’enregistrement (Registrar Server) : Il transmet une requête d’enregistrement aux

terminaux activés dans le réseaupour indiquer qu’ilssontprésents.

Serveur de localisation : ilpermetde localiser les terminaux grâce à sa base de données.

Figure 7: Architecture SIP [6]

Maintenant nous citerons les principales demandes (requêtes) SIP :

- INVITE : Pour lancer un dialogue qui va initier un appel.

- ACK : Pour confirmer que l'autre utilisateur a répondu à une demande (ex. 200 OK).
- OPTIONS : demande des informations sur les capacités du terminal distant.
- BYE : pour mettre fin aux dialogues et aux appels.
- CANCEL : permet d’arrêter les demandes en attente.
- REGISTER : pour enregistrer une entité auprès du serveur.

21
 Mise en place d’une solution de voix sur IP pour la FSG

Figure 8:Processus de la communication SIP

Lors de l'établissement d'un appel, l'invitation comprend des paramètres décrivant exactement
la forme sous laquelle l'audio ou la vidéo sera utilisée. Ces paramètres sont inclus dans le
SDP (Session Description Protocol). Lorsque les deux terminaux sont d'accord et prêts à
commencer à échanger des médias ou des données, RTP (Realtime Transport Protocol) est
utilisé pour échanger réellement les données ou les paquets vocaux. RTP sera généralement
transporté sur un port à partir d'une gamme de ports, très probablement entre 10 000 et 20
000, qui sont ensuite assignés à chaque point final après négociation et acceptation d'un port
particulier de chaque côté.

3.3. Comparaison entre H.323 et SIP

H.323 et SIP sont spécifiquement connus pour les normes de signalisation IP. Le H.323 et le
SIP définissent les systèmes et protocoles de communication multimédia. Ces suites de
protocoles se différencient à divers niveaux.

Ainsi, le tableau 1 nous donne l'approche comparative du protocole SIP et du protocole

H.323 :

22
 Mise en place d’une solution de voix sur IP pour la FSG

H.323 SIP

Conçu par l'UIT (Union internationale des IETF (Internet Engineering

télécommunications) Task Force)
Routage des appels Le gatekeeper fournit les Le serveur de redirection et de
informations de routage. localisation fournit des
informations de routage
Format de message Binaire ASCII
Nombres d’échanges pour 6 à 7 allers-retours 1.5 aller-retour
établir la connexion

Maintenance du protocole Complexe Simple (texte comme http)

Evolution Ajout d’extensions propriétaires Ouvert à des nouvelles

sans concertation fonctions

La flexibilité n'est pas assez flexible. Très flexible.

Multicast Non Oui, par défaut

Tableau 1 : Comparaison entre le protocole H.323 et le SIP

En récapitule, le protocole SIP par rapport au protocole H.323 nous garantit la simplicité, la
flexibilité et la légèreté d'utilisation c’est pour celales investisseurs cherchent à l’implémenter.
Et enfin, n’oublie pas ses avancées en matière de sécurisation des messages qui sont un atout
important par rapport à ses concurrents.

4. Le codec
La voix doit être encodée en données numériques (et vice versa), pour effectuer des appels
vocaux sur Internet via la voix sur IP (VoIP) ou sur d'autres réseaux numériques. Dans le
même processus, les données sont compressées afin que leur transmission soit plus rapide et
que l'expérience de l'appel soit meilleure. Cet encodage est réalisé par des codecs (qui sont
l'abréviation de codeur décodeur). Ces derniers se sont des dispositifs capables de compresser
et/ou de décompresser un signal numérique. Ces dispositifs peuvent être des circuits
électroniques, des circuits intégrés ou des logiciels.

Il existe de nombreux codecs pour l'audio, la vidéo, le fax et le texte. [7]

23
 Mise en place d’une solution de voix sur IP pour la FSG

Le tableau ci-dessous présente une liste des codecs les plus courants pour la VoIP.

Les codecs Bande Caractéristiques

passante/kbs

G.711 64 - Transmission précise de la parole.

- Exigences très faibles en matière de processeur.
- Nécessite au moins 128 kbps pour les deux sens.
- C'est l'un des codecs les plus anciens (1972).
- Il fonctionne mieux avec une bande passante élevée.
G.722 48/56/64 - S'adapte aux différentes compressions et la bande passante
est conservée en cas de congestion du réseau.
- Il capture des gammes de fréquences deux fois plus larges
que le G.711.
G.723.1 6,3 / 5,3 - Haute compression avec audio de haute qualité.
- Il fonctionne avec un très faible débit binaire.
- Il nécessite plus de puissance de processeur.
G.72 8 - Excellente utilisation de la bande passante.
9 - Tolérant aux erreurs.
- Les utilisateurs finaux paient indirectement cette licence
lorsqu'ils achètent du matériel (postes téléphoniques ou
passerelles) qui l'implémentent.
GSM 13 - Taux de compression élevé.
- Gratuit et disponible sur de nombreuses plates-formes
matérielles et logicielles.
- Le même encodage est utilisé dans les téléphones portables
GSM (des versions améliorées sont souvent utilisées de nos
jours).
Speex 2.15 / 44 - Minimise l'utilisation de la bande passante en utilisant un
débit variable. C'est l'un des codecs les plus utilisés dans de
nombreuses applications VoIP.
Tableau 2:Caractéristiques des principaux codeurs de VoIP

5. Solutions de VoIP existantes

Le choix de la solution à implémenter dépend de l’avantage de ses services ainsi que leur
possibilité de déploiement. Alors, nous allons énumérer quelques solutions existantes après

24
 Mise en place d’une solution de voix sur IP pour la FSG

selon une étude comparative sur les plateformes de VoIP nous présentons la solution choisie
pour réaliser notre travail.

5.1. Solutions payantes

Le tableau ci-dessous montre les meilleures solutions utilisées par les entreprises :

Les solutions Caractéristiques

VoIP Centrex
- Téléphonie hébergé dans le Cloud immatériel.
- Les opérateurs télécom sont responsables de
l’acheminement des appels, la maintenance et
l’activation des options.
- Les employés peuvent se connecter de
n’importe où.

Trunk Sip - Acheminer les appels émis et reçus entre le

réseau IPBX et le réseau téléphonique public
(RTC-RNIS).

- Garantir la réduction des coûts de téléphonie et

maintenance.
- Permet de véhiculer et du router les appels.

- Gérer la signalisation entre les différents

terminaux.

- Avec l’interface web du CUCM nous pouvons

facilement créer de nouveaux téléphones, leurs
offrir un numéro, les lier à un utilisateur et
activer un certain nombre de services.

Tableau 3:Comparaison des solutions payantes

5.2. Solutions open source

Dans le tableau ci-dessous, nous présentons les principales plateformes open source utilisées
dans la mise en œuvre de la VoIP :

25
Mise en place d’une solution de voix sur IP pour la FSG

Les solutions Caractéristiques

- Développeur : Mark Spence en 1999

- Dernière version : 17.0.1 en octobre
2019
- Environnement :Mac OS X,
OpenBSD, FreeBSD, Sun Solaris et
Windows
- Supporte les codecs : G.711 (US)
G.711 (Europe) G.722, G.723.1, G.726,
G.729, GSM ILBC, Speex.
-Gère plusieurs protocoles VoIP :
SIP, H.323, MGCP, IAX
- Supporte 500 à 1000 postes
- Licence : GPLv2 General Public
License
- Site web : http://www.asterisk.org/
- Crée par la sociétéO ’Reilly Media en
2016
- Dernière version : 17.0.1 en octobre
2019
- Environnement :Windows, Mac OS X,
Linux, BSD et sur les deux plates-
formes Solaris (32 bits et 64 bits)
- Supporte les codecs :
G722, G722.1, PCMU, PCMA, G729,
ILBC, Speex, LPC10, DVI 14.
-Gère les protocoles :
IAX, H.323 et Jingle
- Possède une Interface Web sous le
nom Wiki PBX.
- Licence : MPL (Mozilla Public
License)
- Site web :https://freeswitch.com/

- Crée par la sociétéPingtel Corp en

2003
- Dernière version : 19.04 en 2019
- Environnement :CentOS, Debian,
Fedora, Suse, Gentoo et FreeBSD
- Supporte les codesc : G.711, G.722,
G.723.1, G.726, G.729, GSM, iLBC,
Linear, LPC-10, Speex
- développé par les langages C/C++
- Possède une Interface Web.
-Supporte 4 à 10 000 postes
- License:GPL 2.1
- Site web:http://sipxcom.org/

26
 Mise en place d’une solution de voix sur IP pour la FSG

- Créé par une communauté originaire

de Roumanie 1999
- Dernière version : 6.0. En Septembre
2017
- Environnement :OS Windows, Linux
et Unix
- Supporte les codecs : G.729
- Supporte les protocoles VoIP :
SIP, H.323,IAX et IAX2
- Licence : GPL
- Site web: http://www.yate.ro/

Tableau 4:Comparaison des solutions Open Source

5.3. Présentation de la solution choisie

Selon la présentation des notions théoriques sur différents solutions open source, nous avons
donc retenu l’Asterisk comme solution pour réaliser notre travail.

5.3.1. Définition
Asterisk est un autocommutateur téléphonique privé open source et propriétaire pour systèmes
GNU/Linux. Il est édité par Mark Spencer fondateur de la société américaine Digium en
1999. Il est utilisé par les petites entreprises, les grandes entreprises, les centres d'appels, les
transporteurs et les agences gouvernementales du monde entier.

Asterisk transforme un ordinateur ordinaire en serveur de communication. Il supportetous les

protocoles de VoIP tel que : H.323 et SIP, ainsi que son protocole natif appelé IAX (Inter-
AsteriskeXchange). Ce dernier est utilisé pour le transport des sessions de téléphonie VoIP
entre les serveurs et vers les terminaux. [8]

5.3.2. Caractéristiques
Les solutions de téléphonie à base d'Asterisk offrent un ensemble de fonctionnalités riches et
flexibles. Asterisk offre à la fois des fonctionnalités PBX classiques et des fonctionnalités
avancées, et interagit avec les systèmes de téléphonie traditionnels basés sur des standards et
les systèmes de voix sur IP. Asterisk offre les fonctionnalités avancées qui sont souvent
associées aux PBX propriétaires de grande taille, haut de gamme (et coûteux). Laliste ci-
dessous présente un échantillon des fonctionnalités disponibles dans Asterisk :

- La conférence téléphonique,
- Les répondeurs interactifs,
- Lamise en attente d'appels,
- Les mails vocaux,
- La musique d'attente,
- L'enregistrement d'appels pour l'intégration avec des systèmes de facturation, ...

27
 Mise en place d’une solution de voix sur IP pour la FSG

En plus des fonctionnalités classiques, il fournit des services avancés pour l’interconnexion
entre les systèmes de téléphonie traditionnelle et le VoIP à moindre coût ce qu’il lui permet de
jouer le rôle d’une passerelle.

Conclusion
Dans ce chapitre, nous avons présenté la technologieVoIP avec ses concepts. Après,suite à
une présentation des notions théoriques sur différents solutions open source nous avons retenu
l’Asterisk comme solution pour réaliser notre travail.

Dans le chapitre qui suit, nous allons citer les étapes de l'installation et la configuration du
l’Asterisk.

28
 Mise en place d’une solution de voix sur IP pour la FSG

Chapitre 3 : implémentation de la solution

Introduction
Au sein de ce chapitre, nous allons présenter les étapes d’installationet des configurations de
notre solution. L’implémentation de la solution sera illustrée par des captures d’écrans
présentant la réalisationd’Asterisk et x-lite.

1. Environnement de travail
1.1. Environnement matériel
Les outils matériels que nous avons utilisés dans notre application sont :

Un ordinateur portable HP ayant les caractéristiques suivantes :

- Processeur : Intel(R) core i3-2328M CPU@ 2.00 GHZ 2.00 GHZ

- RAM : 4Go de RAM
- Système d’exploitation Windows 7 64 bits

Deux Android : 2 smartphones sur lesquels nous avons installé l’application ZOIPER

1.2. Environnement logiciel

La réalisation de notre application nécessite les logiciels suivants :

- Système d’exploitation Microsoft Windows 7 64 Bit.

- Virtualisation : VMware Workstation 12. 0 :
o 1 Machines virtuelles UBUNTU 16.04 LTS

(1 processeur, Base Memory 1 G).

o 1 machine virtuelle kali linux (1 processeur, Base Memory 1 G)

- Logiciel de traitement de texte : Microsoft Office Word 2016.

2. Installation :
2.1. Côté serveur :
2.1.1. Installation d’ASTERISK
Les étapes d'installation d'Asterisk 16 sont les suivantes :

29
 Mise en place d’une solution de voix sur IP pour la FSG

Étape 1 : Mise à jour du système

Nous avons commencé l'installation d'Asterisk 16 sur Ubuntu 14.04 en mettant à jour le
système pour éviter tout problème de dépendance :

Étape 2 : Installer les dépendances d'Asterisk 16

Une fois le système mis à jour, nous avons installé tous les paquages de dépendances Asterisk
requis :

Étape 3 : Télécharger l'archive Asterisk 16

Nous avons téléchargé l’archiveviala commande suivante :

Nous allons compiler les packages téléchargés en utilisant la commande tar

Nous avons exécuté la commande suivante pour télécharger la bibliothèque de décodeur mp3
dans l'arborescence des sources :

30
 Mise en place d’une solution de voix sur IP pour la FSG

Nous avons assuré que toutes les dépendances sont résolues :

Nous avons reçu un message de réussite à la fin :

Étape 4 : Compiler et installer Asterisk 16

Après le téléchargement d'archive Asterisk 16 et l’installation des dépendances requises, nous

sommesprêts à compiler Asterisk.

Nous avons exécuté le script configure pour satisfaire les dépendances de construction.

Nous avons exécuté la commande suivante pour configurer les options du menu :

Sur Add-ons, nous avons sélectionné chan_ooh323 et format_mp3 comme indiqué ci-dessous

31
 Mise en place d’une solution de voix sur IP pour la FSG

Sur les Core Sound Packages, nous avons sélectionné les formats de paquets audios comme
ci-dessous

Pour Music on hold, nous avons sélectionné les modules minimaux suivants

Sur les Packages Extra Son, nous avons sélectionné comme indiqué ci-dessous :

32
 Mise en place d’une solution de voix sur IP pour la FSG

Nous avons activéapp_macro sous le menu Applications.

Ensuite, nous avons compilé Asterisk en exécutant :

Une fois terminé, nous avons installé Asterisk en exécutant la commande :

Enfin, nous avons installé les configs et les samples.

33
 Mise en place d’une solution de voix sur IP pour la FSG

Créer un utilisateur Asterisk :

Nous avons créé un utilisateur et un groupe séparés. Puis nous avons attribué les permissions
correctes :

Maintenant nous allons redémarrer le service asterisk :

Une fois l’installation est terminée, nous pouvons nous connecter à Asterisk CLI.

2.1.2. Configuration des comptes SIP

Un softphone est une application qui permet la transmission de la voix sur protocole Internet
(VoIP) via des appareils informatiques, y compris les ordinateurs, tablettes et les smartphones.
Les clients SIP dans Asterisk sont spécifiés dans le fichier sip.conf, donc nous allons l’ouvrir
dans l'éditeur de texte nano.

Tout d'abord, nous spécifions le paramètre suivant, interdisant les appels anonymes :

allowguest=no

34
 Mise en place d’une solution de voix sur IP pour la FSG

Maintenant, à la fin du fichier, nous avons ajouté le client :

Les paramètres que nous avons indiqués sont :

 Type : Il existe trois principaux types d’utilisateurs :

- User : cet utilisateur est autorisé à envoyer des appels.
- Peer : cet utilisateur est autorisé à recevoir des appels.
- Friend : cet utilisateur peut à la fois envoyer et recevoir des appels.
 Secret : mot de passe
 Host=dynamic : spécifie une adresse IP par laquelle l’utilisateur peut accéder à son
compte
 dtmfmode=rfc2833 :méthode de transmission des tonalités de numérotation dtmf.
 disallow=all :interdire tous les codecs.
 context=local : définit à quelle contexte ce compte est associé.
 callerid=1000 :identifiant d’utilisateur.
Ensuite, nous nous connecterons à Asterisk et mettrons à jour la configuration sip :

Nous tapons la commande suivante pour voir les clients :

35
 Mise en place d’une solution de voix sur IP pour la FSG

Maintenant, il est possible de connecter le client ajouté au serveur Asterisk en utilisantpar

exemple le programme téléphonique X-Lite ouZoiper, mais il n'y a nulle part où appeler, donc
nous allons ajouter le second client à sip.conf pour le test :

Nous allons ouvrir le fichier extensions.confqui contient les règles de composition, et ce qu'il
faut faire, lorsque le PBX "voit" les numéros composés par un utilisateur distant.

Nous indiquerons les lignes suivantes à la fin de celui-ci, afin que les utilisateurs puissent
s'appeler entre eux :

Nous allons redémarrerAsterisk pour prendre en charge les modifications :

2.2. Coté client :

2.2.1. Installation de X-lite
Quelques informations sur l'outil X-lite :

X-Lite est un programme de téléphonie passant par le web, ce qu'on nomme un softphone. Il
s'agit d'un service VoIP utilisant le protocole SIP donnant accès à plusieurs réseaux. [9]

Ce logiciel téléphonique nous permettra de gérer efficacement et facilement nos

communications.

36
 Mise en place d’une solution de voix sur IP pour la FSG

Associant appels vocaux, appels vidéo et messages instantanés, X-lite nous propose une
interface simple. ;n

L’installation de X-lite sous Windows est classique. Il suffit de télécharger X-lite depuis le
sitehttp://www.counterpath.com/x-lite-download.

2.2.2. Configuration de X-lite

Pour ajouter un compte sur le X-lite nous allons cliquer sur Account Settings. Nous
renseignons les champs User ID, Domain, Password et Display Name, qui permettent au
client de s’identifier sur le serveur.

37
 Mise en place d’une solution de voix sur IP pour la FSG

Remarque : afin que l’authentification réussi nous devrons taper les mêmesparamètres que
nous avons configuré dans le fichier sip.conf.

Zoiper :
Zoiper fonctionne sur une multitude de plates-formes différentes. Peu importe si nous
utilisonsMacOs, Linux ou Windows. iOS, Android ou un navigateur.
Nous avons téléchargé Zoiper pour Android
Configuration :

38
 Mise en place d’une solution de voix sur IP pour la FSG

Nous avons rempli les champs suivants :

Username@pbx : [email protected]
Password : mariem
1001 : le numéro de l’utilisateur
192.168.1.109: l’adresse IP du serveur Asterisk
Puis nous avons cliqué sur create an account

Nous avons misl’hostname qui est l’adresse du serveur SIP.

39
 Mise en place d’une solution de voix sur IP pour la FSG

Si les informations sont les mêmes que sur le serveur Asterisk, nous verrons que le compte
prendra une couleur verte.

Les utilisateurs peuvent s’appeler maintenant.

40
 Mise en place d’une solution de voix sur IP pour la FSG

3. Tests de la solution
Maintenant, nous allons tester l’appel entre les deux clients qui sont 1001 et 1002 comme
nous montre la figure ci-dessous.

41
 Mise en place d’une solution de voix sur IP pour la FSG

Figure 9:Test d'appel de client 1001 vers le client 1002

Conclusion
Dans ce chapitre, nous avons installé et configuré le serveur Asterisk et les 2 clientsX-lite et
Zoiper. Puis, nous avons terminé par tester le fonctionnement de l’environnement de travail.
Dans le chapitre suivant, nous simulerons quelques types d’attaque sur le réseau et nous
implémenterons les mécanismes de sécurité.

42
 Mise en place d’une solution de voix sur IP pour la FSG

Chapitre 4 : Sécurisation de la solution VoIP sur

Asterisk

Introduction :
Dans ce chapitre nous allons simuler des scénarios d'attaques par divers programmes de
piratage, et nous allons essayer d’appliquer des différentes techniques et bonnes pratiques
dans le but de rendre la communication à travers le serveur Asterisk biensécurisée.

1. Les Attaques simulées

Nous avons installé le système Kali Linux sur une machine VMware dans un pc dédié pour la
simulation des attaques. Alors dans cette partie nous allons identifier les outils que nous avons
utilisés pour la réalisation.

1.1. Machine Kali Linux :

Kali Linux est une distribution Linux basée sur Debian, gratuite et open source, qui a la
particularité d'être orientée vers la sécurité informatique et qui offre aux administrateurs
systèmes et réseaux des outils pour faire des tests d'intrusion.

Parmi ces outils, et ceux qui nous intéresse ici nous trouverons :

- SIPVicious
- Ettercap
- Wireshark
- Inviteflood

1.1.1. SIPVicious
SIPVicious est un ensemble d'outils qui sont destinés pour tester la vulnérabilité des systèmes
VoIP basés sur SIP. Il se compose de cinq outils :

- Svmap : permet d’une part d’identifier tous les serveurs SIPqu'il trouve sur le chemin
et d’autre part d’analyser les hôtes sur des plages de ports.
- Svwar : identifie les extensions actives sur un PBX.
- Svcrack : déchiffre les mots de passes des utilisateurs.
- Svreport : gère les sessions crées par le reste des outils et exporter aux différents
formats (pdf, xml, csv et text brut.)

43
 Mise en place d’une solution de voix sur IP pour la FSG

- Svcrash : permet de répondre aux messages SIP de svwar et svcrack avec un message

Provoquant un plantage sur d'anciennes versions. [10]

1.1.2. Ettercap
C’est un logiciel libre d'analyse du réseau informatique. Il est capable de capturer le trafic sur
un segment réseau, de découvrir les mots de passe pour les protocoles comme (FTP, Http,
POP, SSH1, etc…), et d’effectuer des attaques sur le protocole ARP comme « l’homme du
milieu » (Man In The Middle). [11]

1.1.3. Wireshark
C’est un logiciel libre d'analyse de protocole. Il est l'un des meilleurs analyseurs réseau le plus
performant du monde. Il est tellement puissant qu’il permet de fournir des informations sur
des protocoles réseaux et applicatifs à partir de données capturées sur un réseau.

Dans notre projet, à l’aide de Wireshark nous pouvons détecter les vulnérabilités dans le
réseau VoIP. C’est pour cela, nous allons capturer et analyser les paquets qui circulent dans
une communication entre deux clients pour déterminer quelques informations confidentielles
telles que (les numéros de ports, les adresses IP, les mots de passe…) qui nous aident au
piratage. [12]

1.1.4. Inviteflood
C’est un outil utilisé pour effectuer une attaque DOS sur un réseau VoIP. Son principe est
d’effectuer l'inondation des messages SIP / SDP INVITE sur UDP / IP.

1.2. Simulation
1.2.1. Attaque usurpation d’identité
Cette attaque permet de récupérer les informations nécessaires d’un utilisateur, entre autres
son identifiant et son mot de passe. Pour réaliser ce type d’attaque, nous allons utiliser l'outil
SIPVicious en suivant ces étapes :

 Nous avons scanné une plage d’adresse IP à la recherche de dispositifs VOIP avec
Svmap.

44
 Mise en place d’une solution de voix sur IP pour la FSG

 Nous avons déterminé la liste des extensions actives sur le serveur Asterisk avec
Svwar.

 Nous avons déchiffré les mots de passes des utilisateurs avec Svcrack.

1.2.2. Attaque Eavesdropping

Cette attaque est exploitée pour sniffer le trafic et décoder la conversation vocale entre les
interlocuteurs dans le but de récupérer des informations confidentielles. Pour réaliser ce type
d’attaque, nous utiliserons les outils Ettercap et Wireshark.

Tout d’abord, Il faut réaliser préalablement une attaque de type MITM pour rediriger le trafic
vers la machine de pirate en procédant comme suit :

 Nous lançons Ettercap, après nous sélectionnons notre interface réseau pour lancer le
Sniffing. Puis nous cliquons l’onglet Sniff et en choisissant Unifiedsniffing.

Figure 10:Lancement d’outil ETTERCAP et choix de l’interface

45
 Mise en place d’une solution de voix sur IP pour la FSG

Après nous choisissonsl’onglet scan le réseau (1=>Scan for hosts) pour visualiser les
machines connectées sur ce réseau (2=>Hosts List)

Figure 11: Scans du réseau

 Finalement, nous commençons le processus de sniffing.

Figure 12: Lancement de sniffing

46
 Mise en place d’une solution de voix sur IP pour la FSG

Une fois que les étapes d’attaque sont réalisées l’architecture logique du réseau sera changée.
Alors, la table d’adresse MAC chez le client 192.168.1.6 avant et après l’attaque ressemble à
cela :

Ainsi, la table ARP de notre cible est modifiée, ce qui engendrel’envoi des requêtes avec
l’adresse MAC du pirate en tant que serveur.

Pour sniffer le trafic et capturer les paquets échangés, nous allons utiliser l’outil Wireshark
pour ce :

 Nous lançons Wireshark, puis nous choisissons l'interface réseau sur laquelle nous
allons recevoir les paquets échangés.

47
 Mise en place d’une solution de voix sur IP pour la FSG

Figure 13:Lancement d’outil Wireshark et choix de l’interface

 Au niveau de filtre nous choisissons les paquets RTP à capturer.

Figure 14:Choix du protocole RTP dans Wireshark

 Maintenant nous allons analyser les paquets RTP récupérés et les enregistrer sous
forme de fichier audio pour une lecture ultérieure par un lecteur multimédia.

48
 Mise en place d’une solution de voix sur IP pour la FSG

Figure 15:Enregistrements de flux RTP analysé par Wireshark

1.2.3. Attaque Denis de Service (DOS)

Cette attaque basée sur l’envoi des requêtes SIP flooding jusqu’à saturation des services. Dans
ce type d’attaque nous allons utiliser l’outil Inviteflood.

La syntaxe de l'utilisation est :

. /Inviteflood eth0 target_extensiontarget_domaintarget_ipnumber_of_packets

Après, nous avonslancé le ping sous la machine client d’adresse IP 192.168.1.10 et nous
avonsconstaté que :

Le serveur Asterisk répond à la demande de ping mais lorsque nous lançons une attaque, il ya
une perturbation dans son réseau. Après un certain temps le serveur sera hors service ce qui
montre le dysfonctionnement total.

49
 Mise en place d’une solution de voix sur IP pour la FSG

2. Choix et implémentation des bonnes pratiques

Afin de protéger contre les attaques, les malveillants, et même d'autres attaques similaires,
nous avons choisi des mesures de sécurité pour corriger les vulnérabilités et réduire les
menaces, mais nous ne pouvons pas dire que les solutions proposées et mises en œuvre sont
efficaces car il y a toujours des problèmes de sécurité.

2.1. Bonne pratique contre l’attaque usurpation d’identité

2.1.1. Création d’un mot de passe crypté
Pour mieux assurer la sécurité du serveur Asterisk est de crypter à l’aide de la méthode MD5
le mot de passe du client. Ce dernier devient alors illisible dans le cas où une personne
malveillante accède au fichier sip.conf. Et cela est effectué grâce à la commande suivante
appliquée sur chaque client :

echo -n "utilisateur:Asterisk:motdepasse" | md5sum

Ainsi, pour que la configuration soit fonctionnelle nous allons modifier le fichier sip.conf au
niveau de la ligne secret en remplaçant par md5secret.

50
 Mise en place d’une solution de voix sur IP pour la FSG

Le résultat est le suivant :

Le mot de passe de client 1000 n’est pas visible.

2.1.2. Utilisation de l’outil « Fail 2 Ban »

Fail2ban est un outil utilisé pour bannir les adresses IP automatiquement si elles ne respectent
pas les règles que nous avons défini au préalable. Ces derniers ne sont pas forcément liés à
des tentatives de connections échouées. Celui-ci peut être bannir l’IP qui essaye d’accéder à
un fichier protégé ou qui essaye d’envoyer un fichier exécutable au serveur. [13]

Dans cette partie, nous allons configurer Fail2Ban qui va analyser les logs du système en
évitant de les surcharger avec des milliers de tentatives de connexion.

En effet, Fail2ban est configuré à travers une variété de fichiers situés dans une hiérarchie
sous le répertoire /etc/fail2ban/.

Le fichier fail2ban.conf configure quelques paramètres opérationnels de base comme la façon

dont le démon enregistre les informations. La configuration principale, cependant, a lieu dans
les fichiers qui définissent les "prisons".

Par défaut, fail2ban est livré avec un fichier jail.conf. Il est probablementle fichier le plus
important car contient la déclaration de nos prisons. Par défaut, certaines sections sont
insérées comme modèles. Nous devons donc activer les sections qui nous intéressent et les
adapter à notre configuration locale. Cependant, ceci peut être écrasé dans les mises à jour,

51
 Mise en place d’une solution de voix sur IP pour la FSG

donc les utilisateurs sont encouragés à copier ce fichier dans un fichier jail.local et à y faire
des ajustements.

- Installation :

Pour l’installer nous tapons la commande suivante :

apt-get install fail2ban

- Configuration:

Cette étape consiste à créer la prison. Ce dernier permet de produire le lien entre le filtre et le
fichier de log. Alors nous ajoutons le code suivant dans le fichier /etc/fail2ban/jail.conf :

Pour cet exemple de prison nous définissons un maximum de tentatives (maxretry) qui est
égale à 5 pendant 2 minutes (findtime). L’adresse IP donc sera bannie après les 5 tentatives de
connexion avortées pour 1 heure. Tous les paramètres sont modifiés à votre nécessité.

2.2. Bonne pratique contre l’attaque Eavesdropping

Afin de protéger la communication entre les interlocuteurs etd’assurer la confidentialité et
l’intégrité des données, nous allons chiffrer le flux de signalisation et le flux audio.

2.2.1. Chiffrement du trafic SIP avec TLS

TLS (Transport Layer Security) est un protocole qui permet de sécuriser les échanges entre
les applications de communication et les utilisateurs au niveau de la couche transport. Une

52
 Mise en place d’une solution de voix sur IP pour la FSG

fois le serveur et le client communiquent, TLS s'assure qu'aucun tiers ne peut intercepter ni
altérer un message. [14]

TLS est constitué de deux sous-protocoles : TLS Record et TLS Handshake.

- Le protocole TLS Record garantit la sécurité des connexions avec des méthodes de
chiffrement telles que DES (Data Encryption Standard). Il peut être utilisé même sans
chiffrement.
- Le protocole TLS Handshake donne le droit au serveur et au client de s'authentifier et
de négocier un algorithme de chiffrement et des clés de chiffrement avant l'échange
des données.

Le principe de configuration est le suivant. Tout d’abord nous allons générer des clés pour
Asterisk. Ensuite, nous allons autoriser Asterisk à appliquer TLS, puis nous allons
sélectionnée les clients à sécuriser. Enfin, nous allons activer le chiffrement sur les machines
des clientsajouté, et lui fournir les fichiers de clé. Pour ce faire, nous allons créer un dossier
qui contient les clés :

Ensuite, sous le répertoire "contrib / scripts" nous allons créer uncertificat pour le serveur
Asterisk en utilisant le script "ast_tls_cert"

Ci-dessous la désignation des options :

- "-C" pour définir notre hôte - nom DNS ou notre adresse IP.
- "-O" désigne notre nom d'organisation.
- "-d" est le répertoire de sortie des clés.

Après l’exécution du script, nous avons définir le mot de passe des clés. Ainsi, nous
obtiendrons les fichiers suivants :

Dans l’étape précédente nous avonscréé deux certificats et deux clés privées pour le serveur et
l’autorité de certificat. Dans l’étape suivante nous générons un certificat pour notre client SIP.

53
 Mise en place d’une solution de voix sur IP pour la FSG

Ci-dessous la désignation des options :

- "-m client" pour indiquer que c’est un certificat de client non pas un certificat de
serveur.
- "-c /etc/asterisk/keys/ca.crt" désigne l'autorité de certification utilisé.
- "-k /etc/asterisk/keys/ca.key" pour produire la clé de l'autorité de certification
- "-C" pourindiquer le nom d'hôte ou l'adresse IP de notre client SIP.
- "-O" pour nommer notre organisation.
- "-d" désigne le répertoire de sortie des clés.
- "-o" pour le nom de la clé crée.

Maintenant, nous devons ajouter les lignes suivants dans le fichier de configuration sip.conf
pourrendre le serveur Asterisk et les clients capables d’utiliser le TLS.

Au début, nous avons autorisé le support TLS (tlsenable=yes). Après, nous avons indiqué le
fichier et l’autorité de certificat TLS. Ensuite, pour la tlscipher nous avons défini tous les
algorithmes TLS de chiffrement à utiliser. Et pour la méthode du client TLS nous avons défini
TLSv1. Finalement, pour autoriser les clients à appliquer le TLS nous avons ajouté la ligne
transport=tls.

54
 Mise en place d’une solution de voix sur IP pour la FSG

Alors pour tester la configuration de TLS nous allons utiliser le softphone Blink. Tout
D’abord, nous devons ajouter le compte sip.

Figure 16:Ajout d'un client sip

Ensuite, nous allons modifier les paramètres du compte. Puis au niveau de paramètre SIP
Proxy, nous allons indiquer le proxy sortant autrement l’adresse du notre serveur et changer le
type de transport qu’il est le TLS et le port adéquat.

Figure 17:Configuration de proxy SIP

En outre, nous allons définir le chemin du fichier ca.crt.

55
 Mise en place d’une solution de voix sur IP pour la FSG

Figure 18:Configuration de chemin du fichier ca.crt

Actuellement, nous pouvons dire que la signalisation de l’appel est chiffrée.

2.2.2. Chiffrement du trafic RTP avec SRTP

A présent, le flux de signalisation est bien chiffré il nous reste que le flux audio à chiffrer.
Alors comme une méthode de sécurité pour le canal audio nous allons appliquer le SRTP.En
effet, la configuration du support SRTP nécessite au début de réinstaller Asterisk pour le
prendre en charge.

56
 Mise en place d’une solution de voix sur IP pour la FSG

Figure 19:Listes des modules Asterisk

La figure ci-dessus nous indique l’ajout du module SRTP. Maintenant, nous devonsactiver
l’utilisation de SRTP en ajoutant la ligne encryption=yes dans la section du client sip
sélectionné.

Ensuite, pour que le Blink applique le SRTP nous allons modifier quelques paramètres.

Figure 20:Configuration SRTP dans Blink

Maintenant, le flux audio est lui aussi chiffré.

57
 Mise en place d’une solution de voix sur IP pour la FSG

Figure 21:Flux audio après le chiffrement

2.3. Autre aspect de Sécurité

2.3.1. Implémentation d’un firewall
Le firewall est l’un des moyens pour limiter les attaques de types DoS car il permet de
minimiser le trafic entrant au serveur Asterisk. Dans ce sens notre but est de bloquer tous les
ports inutiles.

58
 Mise en place d’une solution de voix sur IP pour la FSG

Pour linux iptables est un des meilleurs firewalls et certainement le plus répandu. Ci-dessous,
nous allons détailler ses arguments et comment configurer. Tout d’abord, pour lister les règles
en place nous tapons la commande : iptables -L

Les règles sont divisées sur 3 chaînes : INPUT (en entrée), FORWARD (dans le cas d'un
routage réseau) et OUPUT (en sortie). Les actions à lancer sont ACCEPT (accepter le
paquet), DROP (le jeter), QUEUE et RETURN.

Citons les détails des arguments utilisés :

- i : interface d'entrée (input)

- i : interface de sortie (output)
- t : c’est pour table (par défaut filter contenant les chaînes INPUT, FORWARD,
OUTPUT)
- j : règle à appliquer (Jump)
- A : ajoute la règle à la fin de la chaîne (Append)
- I : insère la règle au début de la chaîne (Insert)
- R : remplace une règle dans la chaîne (Replace)
- D : efface une règle (Delete)
- F : efface toutes les règles (Flush)
- X : efface la chaîne
- P : règle par défaut (Policy)
- lo : localhost (ou 127.0.0.1, machine locale)

Ensuite, nous allons créer un script sous le fichier /etc/init.d/firewall qui sera lancé à chaque
démarrage pour mettre en place des règles de base.

59
Mise en place d’une solution de voix sur IP pour la FSG

60
 Mise en place d’une solution de voix sur IP pour la FSG

Et pour la vérification de l’implémentation de ses règles nous allons taper la commande

suivante :

Après la définition de toutes les règles, nous allons rendre ce fichier exécutable à l’aide de la
commande :

Enfin, pourajouter aux scripts appelés au démarrage nous tapons la commande :

2.3.2. Implémentation des ACLs

Pour implémenter les ACLs (Access Control List) il suffit de limiter les adresses IP sources.
Tout d’abord, nous allons ajouter des règles d'accès (ACLs avec "permit" et "deny") au niveau
du fichier de configuration sip.conf d'Asterisk pour restreindre les clients qui sont autorisés à
envoyer des messages SIP INVITE dont la syntaxe est le suivant :

permit=<ipaddress>/<network mask>

deny=<ipaddress>/<network mask>

61
 Mise en place d’une solution de voix sur IP pour la FSG

Par exemple :

Refuser toutes les adresses IP sauf pour l’adresse IP 192.1.109 est autorisé.

En examinant les fichiers log Asterisk, que visualisent les messages similaires à ceci :

Conclusion
Tout au long de ce chapitre, nous avons simulés quelques types d’attaques afin de découvrir
les vulnérabilités possibles dans le réseau VoIP et les mesures de sécurité à prendre pour les
éviter. Mais malgré tout il est impossible d'obtenir une sécurité totale dans le réseau VoIP et
généralement sur tous les réseaux.

62
 Mise en place d’une solution de voix sur IP pour la FSG

Conclusion générale

Dans ce projet, nous avons retenu Asterisk comme une solution VoIP open source.

Dans une première étape, nous avons procédé à une étude de l'existant menant à
choisir une solution adaptée aux besoins de la faculté des sciences et ses attentes en matière
de téléphonie. En outre, nous avons présenté une étude générale de la VoIP de point de vue
architecture, ses protocoles et son principe de fonctionnement. Puis, nous avons présenté la
solution choisie Asterisk selon une étude comparative des solutions VoIP existantes que ce
soit payantes ou gratuites. Par la suite, nous avons proposé une nouvelle architecture pour la
mise en place de notre serveur Asterisk au réseau local de la FSG.

Dans une deuxième étape, nous avons installé et configuré l’environnement de travail,
en utilisant comme serveur un IPBX Asterisk et en tant que clients, nous avons utilisé des
différents types de Softphones. En dernière étape, nous avons testé et simulé quelques
scénarios d'attaques, puis nous avons proposé des protocoles et des bonnes pratiques à
l’implémenter pour garantir la sécurité.

Et comme perspective, nous avons vu que la solution open source Asterisk nous
permet de profiter librement des services d'un standard téléphonique moderne et intégré. En
outre, ces services peuvent être exploités par les entreprises pour les appels téléphoniques
internes en utilisant le réseau existant comme dans notre cas mais pour les appels externes
dont nous n'avons pas étudié dans notre recherche, des équipements spéciaux devraient être
mis en place pour connecter ce système aux fournisseurs de téléphonie traditionnels.

63
 Mise en place d’une solution de voix sur IP pour la FSG

Bibliographie

[1]http://www.fsg.rnu.tn/index.php?dr=fr&p=contenu&tmp=0001
[2] https://www.3cx.fr/voip-sip/voip-definition/
[3] http://www.efort.com/r_tutoriels/RTP_EFORT.pdf
[4] https://www.3cx.fr/webrtc/srtp/
[5] http://www.efort.com/r_tutoriels/H323_EFORT.pdf
[6] https://www.frameip.com/entete-sip/
[7] https://docs.switzernet.com/public/070717-info-for-clients/codecs/
[8] https://wiki.asterisk.org/wiki/display/AST/Home
[9]http://selfserveur.com/xlite-softphone.php
[10] https://www.securiteinfo.com/attaques/hacking/outils/sipvicious.shtml
[11] https://www.supinfo.com/articles/single/1569-tutomitm-avec-ettercap-kali-linux-105
[12] https://www.wireshark.org/
[13] https://doc.ubuntu-fr.org/fail2ban
[14] https://www.frameip.com/ssl-tls/

64