COURS INTRODUCTION SUR LA TELEPHONIE IP

Réalisé par: Mr MERCHICHI Mohammed

E-MAIL: [Link]@[Link]
Section: Réseaux S3

30/09/2023 MERCHICHI MOHAMMED 1

 Chapitre 1

Introduction à la téléphonie

2
 Principe de la téléphonie analogique

La téléphonie a été initialement prévue pour

transmettre la voix humaine entre deux lieux
distants l’un de l’autre. Elle utilise comme
support des lignes électriques sur lesquelles
transite un courant analogue aux signaux
sonores
3
Une liaison téléphonique élémentaire est
constituée par :

 Deux dispositifs émetteur-récepteur appelés

postes téléphoniques.

 Une ligne bifilaire acheminant les signaux : la

paire torsadée.

Une source d’énergie électrique (E). La

tension continue nécessaire à l’alimentation des
postes téléphoniques est fournie par une source
installée au central téléphonique (batterie
centrale). 4
5
Organes constitutifs d’un poste téléphonique
simple

Ils assurent l’échange conversationnel entre

les 2 correspondants :
 Le microphone : c’est un convertisseur
d’énergie, les ondes sonores entraînent la
vibration d’une membrane sensible qui
provoque la création d’un signal électrique
variant au même rythme que la voix.
 L’écouteur : il restitue sous forme
acoustique l’énergie électrique reçue, en la
transformant en énergie mécanique imposant
un mouvement vibratoire à l’air ambiant. 6
 Le combiné : c’est le support ergonomique
sur lequel sont montés le microphone et
l’écouteur récepteur.
 Bobine d’induction (ou transformateur) et
Condensateur assurent :
• Adaptation d’impédance entre le
microphone et la ligne, et entre la ligne et
l’écouteur.
• Élimination de l’effet local (antilocal), évite
d’entendre sur l’écouteur les sons émis sur le
microphone du même combiné.
• Séparation des courants de natures
différentes, signaux sonores et polarisation.

7
Le Réseau Téléphonique Commuté Public
RTCP

8
Définitions
Le Réseau Téléphonique Commuté Public RTCP,
connu plus brièvement sous RTC, est le réseau
téléphonique utilisé dans la vie de tous les jours
et qui nous donne accès à de multiples fonctions.
En effet, outre le fait de pouvoir téléphoner, le
RTC nous permet d'utiliser de multiples services
tel que la transmission et réception de fax,
l'utilisation d'un minitel, accéder à Internet ..etc
Il représente donc l'un des protocoles de
discussion utilisé sur la paire de cuivre boucle
locale.

9
 Les commutateurs

Chaque client se voit attribuer un numéro

personnel. Les équipements téléphoniques sont
conçus pour pouvoir mettre en relation tous les
abonnés (télécommunication)
 Soit en empruntant les lignes du réseau
public RTC, ce sont des communications
extérieures.
 Soit au sein d’une même entreprise, il s’agit
ici de communications internes traitées par un
autocommutateur privé. L’accès au réseau
public se fait alors en composant un préfixe
supplémentaire.
10
Puis les commutateurs ont évolué. Passant de
l’électrotechnique aux technologies
électronique puis
maintenant informatique, ils permettent des
gains de productivité importants par
l’automatisation de tâches
répétitives et d’opérations standardisées. Les
informations de gestion des appels
téléphoniques, appelées la « signalisation », 11
Central téléphonique actuel

12
Il y a plusieurs type de commutateurs, chacun
ayant une fonction spécifique :

 Le Commutateur à Autonomie d’Acheminement

(CAA) ou commutateur local qui permet de
mettre
en relation les clients d’une même zone
géographique. Ces commutateurs traitent
également les numéros d’urgence (15, 17, 18 et
112) en joignant le service local concerné.

Un appel régional passe par le commutateur

local qui envoie un signal au commutateur
régional appelé Centre de Transit, qui permet
d’écouler les communications téléphoniques d’un
13
Un réseau en bon état de marche ne sert à rien s’il n’y a
des utilisateurs qui se servent d’applications pour créer des
documents et les transmettre à d’autres utilisateurs. La
planification du réseau devrait prendre en compte les types
et le nombre de logiciels dont ont besoins les utilisateurs
dans leur travail. En général, quand plus de 20 utilisateurs
emploient la même application, il est rentable d’acquérir
une licence de cette application pour le site. Il va sans dire
qu’il faut acheter les logiciels d’une part pour ne pas
spolier les auteurs de leurs droits, mais aussi pour rester
dans la légalité et recourir au support technique et aux
mises à jour de l’éditeur.

14
 Schéma de principe du Réseau Téléphonique
Commuté

Le RTC est composé de nœuds (commutateurs)

s’échangeant des informations au moyen de
protocoles
de communications normalisés par les instances
internationales.

Les systèmes réalisant le RTC sont hétérogènes, ils

proviennent de fabricants différents et utilisent des
technologies différentes. Cette coexistence de
technologies provient de la longue durée de vie de
ces dispositifs, souvent supérieure à une vingtaine
d’années.

15
Schéma simplifié du RTC

16
Les supports de transmission pour
l’acheminement du signal entre
commutateurs peuvent être faits par :

 des conducteurs métalliques (paires

torsadées, câbles coaxiaux)

 des liaisons en espace libre avec des

faisceaux hertziens (via des antennes et des
satellites),

des fibres optiques.

17
 La topologie du réseau est arborescente et
conçue autour de nœuds de commutation
contenant l’intelligence du réseau. Les signaux
sont aiguillés dans ces nœuds, puis par la suite
transmis par multiplexage.

 C’est grâce aux possibilités d’amplification, de

modulation et de changement de fréquence
qu’offre l’électronique que s’est développé le
multiplexage permettant de transmettre un
grand nombre de communications sur un même
support : fil de cuivre, câble coaxial, fibre
optique ou ondes hertziennes.
18
19
La boucle locale : une structure arborescente

La boucle locale est la partie comprise entre

le client et le centre local de rattachement du
réseau de
Algérie Télécom.

20
Schéma simplifié de la boucle locale

21
On distingue 3 zones essentielles :

 La partie Branchement

 La partie Distribution

 La partie Transport

22
La boucle locale

23
Un sous-répartiteur

24
 La partie « Branchement »

C’est la partie reliant les clients aux points de

raccordement. Ces liaisons sont réalisées avec des câbles
en cuivre. Une ligne est composée d’une paire de fils
transmettant la voix et les données sous forme de signaux
électriques.
La partie branchement développe le câblage en façade.
Généralement, Point de concentration les logements
particuliers et les petits immeubles accueillent une paire de
fils de cuivre par ligne posée directement sur leur façade

25
26
 La partie « Distribution

C’est la partie des câbles de moyenne

capacité, qui relient les points de
raccordement
à un sous-répartiteur.

27
 La partie « Transport »
La partie transport, est la partie qui connecte
chaque sous-répartiteur à un répartiteur
via un câble de forte capacité.
Chaque paire de cuivre correspondant à un client
est reliée au répartiteur (jusqu’à une distance de
quelques km). Le répartiteur reçoit l’ensemble
des lignes d’usager et les répartit sur les
équipements d’usager du central téléphonique
grâce à une « jarretière », terme consacré du fait
que la paire de fils est tendue entre deux points,
l’un associé à l’adresse géographique, l’autre
associé à un équipement téléphonique.

28
Le répartiteur est donc un dispositif passif de
câblage centralisant les lignes de la zone de
desserte du
Centre à Autonomie d’Acheminement (CAA) et
assurant la correspondance entre une ligne et
un équipement
téléphonique. Les CAA sont capables de
mettre eux-mêmes les clients en relation.

29
Schéma de principe de la boucle locale 30
Communication entre le
téléphone et le central
VOIR LE FICHIER DOC

31
 Numérotation téléphonique
Tél : 021 75 12 34
0 : Le premier chiffre indique l’opérateur chargé d’établir la
communication, qui peut louer le service à d’autres opérateurs
pour acheminer l’appel
21 : Le deuxième, sert à orienter l’appel vers une des zones
géographiques que compte l’Algerie
75 12 : Le groupe de 4 chiffres suivants donne l’identification
de l’autocommutateur local de rattachement
du poste demandé
34: Puis le dernier chiffre, identifie la ligne de l’abonné dans
l’autocommutateur local
32
Solution FTTH - LES PRINCIPES
Un réseau FTTH ou réseau de fibre optique
jusqu’à la maison est un réseau de
communications électroniques qui permet à
chaque foyer d’un territoire d’être directement
raccordé à la fibre optique et ainsi de bénéficier de
services à très haut débit.

33
Un SUF ou site utilisateur final
désigne un site à raccorder.
Il peut s’agir d’un local à usage :
 professionnel (entreprises),
 institutionnel (équipement ou
bâtiment public),
 ou résidentiel (individuel ou
collectif).
34
Composantes d’un réseau FTTH

35
 1. Prise Terminale Optique (PTO)
La PTO ou prise terminale optique est un boîtier situé à l’intérieur d’un site
utilisateur final (SUF). Ce boîtier connecte l’abonné au réseau FTTH pour qu’il
bénéficie des services très haut débit fournis par son opérateur fournisseur d’accès
Internet. C’est l’équivalent d’une prise téléphonique pour le réseau ADSL.
La PTO permet :
 d’une part, le raccordement du câble de fibres optiques au réseau FTTH déployé
par ADN,
 et d’autre part, la connexion d’un équipement d’accès aux services chez l’usager
(en général, la box de l’opérateur usager).

36
2. Point de Branchement Optique (PBO)
Le PBO ou point de branchement optique est le dernier boitier
du réseau FTTH à partir duquel se fait le raccordement final. Il
dessert plusieurs sites utilisateurs finals (de 1 à 6).
Il peut être situé :
à proximité des bâtiments qu’il raccorde, sur le domaine
public,
à l’intérieur d’un immeuble de plusieurs logements (dans la
colonne montante),
ou à proximité immédiate d’un local à usage professionnel.

37
38
 3. Sous-Répartiteur Optique (SBO) ou Multi-SRO

Le SRO ou sous-répartiteur optique est un point de concentration

intermédiaire du réseau FTTH. Un Multi-SRO est un local technique
regroupant plusieurs SRO.
Le choix des emplacements des SRO est soumis à des contraintes
d’ingénierie définies par la Mission Très Haut Débit:
Les SUF à raccorder doivent être situés à moins de 8 km d’un SRO
Le SRO peut être dans un local technique ou dans une armoire de rue.
Le SRO comporte en règle générale entre 300 et 800 lignes optiques.

39
1. SRO- Armoire de rue ouverte
2. SRO - Armoire de rue métallique
- H 2m x L 2m x P 0,60m 40
Le raccordement d’un site utilisateur final
Le raccordement du SUF consiste à réaliser un
branchement en fibre optique entre le PBO et la PTO.
Dans le cadre du déploiement du FTTH en Ardèche et
Drôme, le raccordement final sera réalisé par l’exploitant
du réseau ou par un fournisseur d’accès Internet (FAI) dès
lors que l’utilisateur final aura souscrit un abonnement
auprès de ce FAI..

41
42
 chapitre2
LA NOTION
THEORIQUE ET LA SECURISATION
DE LA VOIX SUR IP

43
 Introduction
La VoIP se réfère à la diffusion du flux de la voix sur les
réseaux Internet. Le protocole Internet
IP fut conçu à l'origine pour la gestion de réseau de
données puis après son succès, le protocole
a été adapté à la gestion de la voix.

44
 Le Processus du traitement de la voix IP

L’utilisation de la VoIP a pour but de

minimiser le coût des communications, offrir
des services de données, de voix, et d’images.
La VoIP peut faciliter des tâches et fournir des
services qu’il serait difficile ou coûteux de
mettre
en oeuvre en utilisant le réseau RTC
traditionnel

45
Le traitement de la voix sur IP passe par plusieurs étapes à savoir :
L’acquisition : C’est la première étape qui consiste à détecter la voix via un
périphérique (téléphone ….)
La numérisation : La bande voix qui est un signal électrique analogique
utilisant une bande de fréquence de 300 à 3400 Hz. Ce signal doit d'abord être
converti sous forme
numérique suivant le format PCM (Pulse Code Modulation) ou G.711 à 64 Kbps.
La compression : Cette opération consiste à réduire la taille physique de blocs
d'informations numériques en utilisant un algorithme de compression.
L’habillage des entêtes : le signal numérisé et compressé va être après découpé,
en ajoutant des entêtes, il faut prendre en compte l’ordre du réassemblage du paquet,
le type du trafic de synchronisation.
L’émission et transport : C’est l’acheminement jusqu’au destinataire dans des
paquets IP en utilisant les protocoles du routage.
La réception : La réception des informations émis pendant la transaction
La conversion numérique/analogique : C’est l’étape inverse de la numérisation
La restitution : Résultat finale l’écoute de la voix

46
ocessus de traitement de la voix sur IP 47
téléphone IP Cisco 8841

48
 Les Protocoles utilisés par la VoIP
Un protocole est un langage commun utilisé
par l'ensemble des acteurs de la
communication
pour échanger des données. Dans cette partie
on va parler des protocoles de transport de la
voix
et des protocoles de la signalisation.

49
Les Protocoles de transport de la voix

Il y a de nombreux protocoles de couches inférieures à

celle qui contient l'information voix parmi lesquels TCP
(Transmission Control Protocol), UDP (User Datagramme
Protocol) et RTP (Real Time Protocol), RTCP (Real Time
Control Protocol).

50
 Le protocole RTP
Le protocole RTP (Real-time Transport) assure la gestion des
flux multimédia en mode UDP, il permet aussi la transmission
en temps réel des données audio et vidéo sur des réseaux IP et il
est utilisé Les appels téléphoniques simples, les audio ou les
visioconférences.
Le Protocole RTP permet l’identification de type de
l’information transportée, l’ajout des numéros de séquence des
donnés émise ainsi le contrôle l’arrivée des paquets à la
destination

51
 Le protocole RTCP
Le protocole de contrôle (RTCP : Real Time Control Protocol)
assure la bonne qualité de service des communications RTP, il
permet l’envoi d’un rapport sur la qualité de service(QoS),
l’identification et le contrôle de la session

52
53
 Les Protocoles de Signalisation
Plusieurs approches sont utilisées aujourd’hui pour assurer
les services de la voix sur IP.
Le protocole H323, SIP et MGCP, sont des normes dont
les spécifications doivent être
respectées par les appareils de téléphonie sur IP pour
assurer l'interopérabilité.

54
 Le protocole SIP

Le protocole SIP est un protocole d’établissement de sessions multimédia,

conçu pour l’Internet. SIP est un protocole client/serveur, sa fonction
principale est l’établissement de session entre deux ou plusieurs utilisateurs
ou plus généralement entre des systèmes possédant des adresses de type
URI (Uniform Resource Identifier). Le protocole SIP assure :
La localisation des terminaux (usagers).
Détermination de la disponibilité des participants (accessibilité).
Détermination de la capacité ou des paramètres des terminaux.
La gestion de l’établissement et le contrôle de la session.

55
 Le protocole SIP

Pour fonctionner, SIP se base sur une architecture

comportant des principaux acteurs , une description
détaillée des différentes entités

56
 L’entité Terminal Utilisateur
Le terminal est l’élément dont dispose l’utilisateur pour
appeler et être appelé. Il doit donc permettre de composer
des numéros de téléphone. Il peut se présenter sous la
forme d’un composant logiciel (un programme lancé à
partir d’un ordinateur).
Le terminal est appelé UA (User Agent). Il est constitué de
deux sous-entités à savoir la partie cliente, appelée UAC
(User Agent Client) qui est chargée d’émettre les requêtes
et la partie serveur, appelée UAS (User Agent Server), qui
est en écoute, reçoit et traite les requêtes. C’est l’UAS qui
répond à un appel. L’association des requêtes et des
réponses entre deux entités de type UA constitue un
dialogue.

57
L’entité Serveur Proxy (SIP Proxy Server)
Un serveur proxy a la charge de router les messages SIP.
L’entité Serveur d’enregistrement (Registrar Server)
Lors de l’activation d’un terminal dans un réseau, la première action
initiée par celui-ci consiste à transmettre une requête d’enregistrement
auprès du serveur d’enregistrement afin de lui
indiquer sa présence dans le réseau. C’est la requête REGISTER, que
l’utilisateur envoie à destination du serveur d’enregistrement.
Celui-ci sauvegarde cette position en l’enregistrant auprès du serveur
de localisation. L’enregistrement d’un utilisateur est constitué par
l’association de son identifiant.
L’entité Serveur de Redirection (Redirect Server)
Le serveur de redirection (Redirect Server) agit comme un intermédiaire
entre le terminal client et le serveur de localisation. Il est sollicité par le
terminal client pour contacter le serveur de localisation afin de
déterminer la position courante d’un utilisateur .
58
 L’entité Serveur de
localisation
Le serveur de localisation (Location Server) joue un rôle
complémentaire par rapport au serveur d’enregistrement
en permettant la localisation de l’abonné. Ce serveur
contient la base de données de l’ensemble des abonnés
qu’il gère.

59
ARCHITECTURE SIP
60
 Le protocole H323
H.323 regroupe un ensemble de protocoles de
communication de la voix, de l'image et de données
sur IP. C'est un protocole développé par l'UIT-T qui
le définit comme : « systèmes de communication
multimédia en mode paquet ».

Les principaux acteurs du

protocole h323

61
Les terminaux : participation à une session multimédia
Les passerelles Gateway : assure l’interconnexion entre le
réseau h323 et les autres réseaux téléphoniques (RTC, SIP…)
Les portiers Gatekeeper : se charge de l’enregistrement des
clients et s’occupe des traductions d’adresse (numéro de tel,
adresse IP).
Unité de contrôle multipoint Les MCU (Multipoint Control
Unit) : permet au client de se connecter aux sessions des
conférences de donnés. Passons maintenant à expliquer le
déroulement de la session H323 entre deux utilisateurs via un
Gatekeeper

62
63
Comme montre la figure ci-dessous, une communication H.323
se déroule en cinq phases :
1- L’établissement d'appel.
2- L’échange de capacité.
3- réservation éventuelle de la bande passante à travers le
protocole RSVP (Ressource
réservation Protocol), l’établissement de la communication
audio-visuelle.
4- L’invocation éventuelle de services en phase d'appel (par
exemple, transfert d'appel,
changement de bande passante, etc.).
5- Enfin la libération de l'appel.

64
 avantages et inconvénients
Un Support Multipoint : la possibilité de faire des
conférences multipoint en utilisant une structure
centralisée de type MCU (Multipoint Control Unit) ou en
mode ad-hoc.
La gestion de la bande passante : le protocole H.323
permet la meilleur gestion de la bande passante, pour
assurer le bon fonctionnement des applications indiquées
sur le LAN, H323 pose des limites au flux audio/vidéo. La
possibilité qu’un terminal H.323 procède à l'ajustement de
la bande passante et la modification du débit en fonction
du comportement du réseau en temps réel (perte de
paquets, latence et gigue).
65
Support Multicast : Le protocole H.323 donne la possibilité de
faire des transmissions en
multicast.
Flexibilité : une conférence H.323 peut inclure des terminaux
hétérogènes (studio de visioconférence, PC, téléphones…) qui
peuvent partager selon le cas, de la voix de la vidéo et même des
données grâce aux spécifications T.120.
La complexité de mise en œuvre : les problèmes d'architecture
en ce qui concerne la convergence des services d’Internet et de
téléphone, plus qu'un manque de souplesse et de modularité.
H323 Comprend plusieurs options susceptibles implémentées
d’une façon
différentes par les constructeurs donc la possibilité d’avoir des
problèmes d'interopérabilité.
66
Comparaison entre SIP et H323

67
 chapitre3

Les enjeux de la téléphonie sur IP

68
 Introduction
Dans ce chapitre , nous allons voir pourquoi la téléphonie
IP est devenue importante pour les entreprises. L’enjeu
est de réussir à faire converger le réseau de donnée IP et
le réseau téléphonique actuel. Voici les principales
motivations pour déployer la téléphonie sur IP

69
 La téléphonie sur IP
La téléphonie sur IP exploite un réseau de données
IP pour offrir des communications vocales à
l’ensemble de l’entreprise sur un réseau unique
voix et données. Cette convergence des services de
communication données, voix, et vidéo sur un
réseau unique, s’accompagne des avantages liés à
la réduction des coûts d’investissement, à la
simplification des procédures d’assistance et de
configuration, et à l’intégration accrue de filiales et
de sites distants aux installations du réseau
d’entreprise.

70
Les coûts généraux de l'infrastructure de réseau
sont réduits. Le déploiement d'un unique réseau
convergé voix et données sur tous les sites permet
de réaliser des économies sur les investissements
productifs, De plus, comme le téléphone et le PC
partagent le même câble Ethernet, les frais de
câblage sont réduits. Les frais d'administration du
réseau sont également minimisés. Il est ainsi
possible de réaliser des économies à court et à
long terme sur de nombreux postes, . Enfin, la
migration de la solution actuelle vers la Téléphonie
sur IP s'effectue en douceur. Les solutions de
téléphonie sur Ip sont conçues pour dégager une
stratégie de migration à faible risque à partir de
l’infrastructure existante.
71
 Les avantages
La VoIP offre de nombreuses nouvelles possibilités aux
opérateurs et utilisateurs qui bénéficient d’un réseau basé
sur Ip. Les avantages les plus marqués sont les suivants.
 Réduction des coûts
En déplaçant le trafic voix RTC vers le réseau privé WAN/IP
les entreprises peuvent réduire sensiblement certains coûts de
communications. Réductions importantes mises en évidence
pour des communications internationales, ces réductions
deviennent encore plus intéressantes dans la mutualisation
voix/données du réseau IP inter-sites (WAN). Dans ce dernier
cas, le gain est directement proportionnel au nombre de sites
distants.

73
74
 Standards ouverts et
interopérabilité multifournisseurs
Trop souvent par le passé les utilisateurs étaient prisonniers d’un
choix technologique antérieur. La VoIP a maintenant prouvé tant
au niveau des réseaux opérateurs que des réseaux d’entreprises
que les choix et les évolutions deviennent moins dépendants de
l’existant. Contrairement à nos convictions du début, nous
savons maintenant que le monde VoIP ne sera pas uniquement
H323, mais un usage multi-protocoles selon les besoins de
services nécessaires. Par exemple, H323 fonctionne en mode “
peer to peer ” alors que MGCP fonctionne en mode centralisé.
Ces différences de conception offrent immédiatement une
différence dans l’exploitation des terminaisons considérées.
75
 Choix d’un service opéré
Les services opérateurs ouvrent les alternatives VoIP. Non
seulement l’entreprise peut opérer son réseau privé VoIP en
extension du réseau RTC opérateur, mais l’opérateur lui-même
ouvre de nouveaux services de transport VoIP qui simplifient le
nombre d’accès locaux à un site et réduit les coûts induits. Le
plus souvent les entreprises opérant des réseaux multi-sites
louent une liaison privée pour la voix et une pour la donnée, en
conservant les connexions RTC d’accès local. Les nouvelles
offres VoIP opérateurs permettent outre les accès RTC locaux, de
souscrire uniquement le média VoIP inter-sites.
76
Un réseau voix, vidéo et données
(triple play)
En positionnant la voix comme une application
supplémentaire du réseau IP, l’entreprise ne va pas
uniquement substituer un transport opérateur RTC à un
transport IP, mais simplifier la gestion des trois réseaux
(voix, données et vidéo) par ce seul transport. Une
simplification de gestion, mais également une mutualisation
des efforts financiers vers un seul outil. Concentrer cet effort
permet de bénéficier d’un réseau de meilleure qualité, plus
facilement évolutif et plus disponible, pourvu que la bande
passante du réseau concentrant la voix, la vidéo et les
données soit dimensionnée en conséquence.
77
 L'Architecture Voip
Voici le schéma générale de l'utilisation de la Voip en entreprise :

78
Le schéma ci-dessus, décrit de façon générale la topologie
d’un réseau de téléphonie IP. Elle comprend toujours des
terminaux, un serveur de communication et une passerelle
vers les autres réseaux. Chaque norme a ensuite ses propres
caractéristiques pour garantir une plus ou moins grande
qualité de service. L’intelligence du réseau est aussi déportée
soit sur les terminaux, soit sur les passerelles/Gatekeeper
(contrôleur de commutation). On retrouve les éléments
communs suivants :

79
Le routeur : Il permet d’aiguiller les données et le routage des paquets entre deux
réseaux. Certains routeurs, comme les Cisco 2600, permettent de simuler un
gatekeeper grâce à l’ajout de cartes spécialisées supportant les protocoles VoIP.
La passerelle : il s’agit d’une interface entre le réseau commuté et le réseau IP.
Le PABX : C’est le commutateur du réseau téléphonique classique. Il permet de
faire le lien entre la passerelle ou le routeur et le réseau RTC. Une mise à jour du
PABX est aussi nécessaire. Si tout le réseau devient IP, il n’y a plus besoin de ce
matériel.
Les Terminaux : Des PC ou des téléphones VoIP.
Pour transmettre les paquets, on utilise RTP, standardisé en 1996. Il est un protocole
adapté aux applications présentant des propriétés temps réel. Il permet ainsi de
reconstituer la base de temps des flux (horodatage des paquets : possibilité de
resynchronisation des flux par le récepteur), de détecter les pertes de paquets et en
informer la source, et d’identifier le contenu des données pour leurs associer un
transport sécurisé. En revanche, ce n'est pas "la solution" qui permettrait d'obtenir
des transmissions temps réel sur IP.

80
 Gateway et Gatekeeper
Pour commencer je vais parler d’un des éléments clefs d’un réseau
VoIP, la passerelle et leurs « Gatekeepers » associés. Les passerelles ou
gateways en téléphonie IP sont des ordinateurs qui fournissent une
interface où se fait la convergence entre les réseaux téléphoniques
commutés (RTC) et les réseaux basés sur la commutation de paquets
TCP/IP. C’est une partie essentielle de l’architecture du réseau de
téléphonie IP. Le gatekeeper est l’élément qui fournit de l’intelligence
à la passerelle. Comme nous l’avons déjà fait remarqué, nous pouvons
séparer les parties matérielles et logicielles d’une passerelle. Le
gatekeeper est le compagnon logiciel de la gateway.
Une gateway permet aux terminaux d’opérer en environnements
hétérogènes. Ces environnements peuvent être très différents, utilisant
diverses technologies tels que le Numéris, la téléphonie commutée ou
la téléphonie IP
81
. Les Gateway doivent aussi être compatible avec les terminaux
téléphoniques analogiques. La Gateway fournit la possibilité
d’établir une connexion entre un terminal analogique et un
terminal multimédia (un PC en général). Beaucoup de sociétés
fournissent des passerelles mais cela ne signifie pas qu’elles
fournissent le même service. Les Gateways (partie physique) et
les gatekeepers (partie logicielle) font l’objet de deux sections
séparées pour bien cerner la différence. Certaines sociétés
vendent un produit " Gateway ", mais en réalité, elles
incorporent une autre Gateway du marché avec leur gatekeeper
pour proposer une solution commerciale. La plus-value ne se fait
pas sur la Gateway mais sur le gatekeeper car c’est sur celui-ci
qu’on peut faire la différence.

82
 Un gatekeeper
Un gatekeeper deux services principaux : la gestion des
permission et la résolution d’adresses. La gatekeeper est aussi
responsable de la sécurité. Quand un client veut émettre un
appel, il doit le faire au travers du gatekeeper. C’est alors que
celui-ci fournit une résolution d’adresse du client de destination.
Dans le cas où il y a plusieurs gateways sur le réseau, il peut
rediriger l’appel vers un autre couple gateway/gatekeeper qui
essaiera à son tour de router l’appel. Pendant la résolution
d’adresse, le gatekeeper peut aussi attribuer une certaine
quantité de bande passante pour l’appel. Il peut agir comme un
administrateur de la bande passant disponible sur le réseau. Le
gatekeeper répond aux aspects suivant de la téléphonie IP :
83
Le routage des appels : en effet, le gatekeeper est responsable de la
fonction de routage. Non seulement, il doit tester si l’appel est permis et
faire la résolution d’adresse mais il doit aussi rediriger l’appel vers le bon
client ou la bonne passerelle.
Administration de la bande passante : le gatekeeper alloue une certaine
quantité de bande passant pour un appel et sélectionne les codecs à utiliser.
Il agit en tant que régulateur de la bande passante pour prémunir le réseau
contre les goulots d’étranglement (bottle-neck).
Tolérance aux fautes, sécurité : le gatekeeper est aussi responsable de la
sécurité dans un réseau de téléphonie IP. Il doit gérer les redondances des
passerelles afin de faire aboutir tout appel. Il connaît à tout moment l’état
de chaque passerelle et route les appels vers les passerelles accessibles et
qui ont des ports libres.
Gestion des différentes gateways : dans un réseau de téléphonie IP, il peut
y avoir beaucoup de gateways. Le gatekeeper, de par ses fonctionnalités de
routage et de sécurité, doit gérer ces gateways pour faire en sorte que tout
appel atteigne sa destination avec la meilleure qualité de service possible.
84
Ainsi, le gatekeeper peut remplacer le classique PABX. En effet, il
est capable de router les appels entrant et de les rediriger vers leur
destination ou une autre passerelle. Mais il peut gérer bien d’autres
fonctions telles que la conférence ou le double appel. Il n’existe pas
les mêmes contraintes avec un gatekeeper qu’avec un PABX. En
effet, ce dernier est constitué par du logiciel et l’opérateur peut
implémenter autant de services qu’il le désire. Alors qu’avec un
PABX, l’évolutivité est limitée par le matériel propriétaire de
chaque constructeur, avec le gatekeeper, l’amélioration des services
d’un réseau de téléphonie IP n’a pas de limites. Le grand bénéfice
du développement d’un gros gatekeeper est de remplacer le PABX
classique. En effet, chaque PABX utilise son propre protocole pour
communiquer avec les postes clients, ce qui entraîne un surcoût.
Avec le couple gateway/gatekeeper, ce problème n’existe pas. Il
utilise des infrastructures qui existent, le LAN et des protocoles tel
qu’IP.
85
Standards VoIP

86
 Protocole H323
Avec le développement du multimédia sur les réseaux, il est devenu
nécessaire de créer des protocoles qui supportent ces nouvelles
fonctionnalités, telles que la visioconférence : l’envoi de son et de vidéo
avec un soucis de données temps réel. Le protocole H.323 est l’un d’eux.
Il permet de faire de la visioconférence sur des réseaux IP. H.323 est un
protocole de communication englobant un ensemble de normes utilisés
pour l’envoi de données audio et vidéo sur Internet. Il existe depuis 1996
et a été initié par l’ITU (International Communication Union), un groupe
international de téléphonie qui développe des standards de
communication. Concrètement, il est utilisé dans des programmes tels
que Microsoft Netmeeting, ou encore dans des équipements tels que les
routeurs Cisco. Il existe un projet OpenH.323 qui développe un client
H.323 en logiciel libre afin que les utilisateurs et les petites entreprises
puissent avoir accès à ce protocole sans avoir à débourser beaucoup
d’argent. 87
 Fonctionnement
Le protocole H.323 est utilisé pour l’interactivité en temps réel, notamment
la visioconférence (signalisation, enregistrement, contrôle d’admission,
transport et encodage). C’est le leader du marché pour la téléphonie Ip. Il
s’inspire du protocole H.320 qui proposait une solution pour la
visioconférence sur un réseau numérique à intégration de service (Rnis ou
Isdn en anglais), comme par exemple le service numéris proposé par
France Telecom. Le protocole H.323 est une adaptation de H.320 pour les
réseaux Ip. A l’heure actuelle, la visioconférence sur liaison Rnis est
toujours la technique la plus déployée. Elle existe depuis 1990. Les réseaux
utilisés sont à commutation de circuits. Ils permettent ainsi de garantir une
Qualité de Service (QoS) aux utilisateurs (pas de risque de coupure du son
ou de l'image). Aujourd'hui, c'est encore un avantage indiscutable. Par
contre, comme pour le téléphone, la facturation est fonction du débit utilisé,
du temps de communication et de la distance entre les appels
 H.323 définit plusieurs éléments de réseaux
Les terminaux : Dans un contexte de téléphonie sur IP, deux types de
terminaux H.323 sont Aujourd’hui disponibles. Un poste téléphonique IP
raccordés directement au réseau Ethernet de l’entreprise. Un PC multimédia
sur lequel est installé une application compatible H.323. passerelles (GW:
Gateway) : Elles assurent l'interconnexion entre un réseau Ip et le réseau
téléphonique, ce dernier pouvant être soit le réseau téléphonique public, soit
un Pabx d’entreprise. Elles assurent la correspondance de la signalisation et
des signaux de contrôle et la cohésion entre les médias. Pour ce faire, elles
implémentent les fonctions suivantes de transcodage audio (compression,
décompression), de modulation, démodulation (pour les fax), de suppression
d’échos, de suppression des silences et de contrôle d’appels. Les passerelles
sont le plus souvent basées sur des serveurs informatiques standards
(Windows NT, Linux) équipés d’interfaces particuliers pour la téléphonie
(interfaces analogiques, accès de base ou accès primaire RNIS, interface E1,
etc.) et d’interfaces réseau, par exemple de type Ethernet. La fonctionnalité
de passerelle peut toutefois être intégrée directement dans le routeur ainsi que
Les portiers (GK: Gatekeeper)
Ils sont des éléments optionnels dans une solution H.323. Ils
ont pour rôle de réaliser la traduction d'adresse (numéro de
téléphone - adresse Ip) et la gestion des autorisations. Cette
dernière permet de donner ou non la permission d'effectuer un
appel, de limiter la bande passante si besoin et de gérer le trafic
sur le Lan. Les "gardes-barrière « permettent également de
gérer les téléphones classiques et la signalisation permettant de
router les appels afin d'offrir des services supplémentaires. Il
peuvent enfin offrir des services d’annuaires.
Les unités de contrôle multipoint (MCU, Multipoint Control
Unit) - Référence au protocole T.120 qui permet aux clients de
se connecter aux sessions de conférence de données. Les unités
de contrôle multipoint peuvent communiquer entre elles pour
échanger des informations de conférence.
 la signalisation sur H.323
Dans un contexte de téléphonie sur IP, la signalisation a pour objectif de réaliser les fonctions
suiva ntes :
Recherche et traduction d’adresses :
Sur la base du numéro de téléphone du destinataire, ils’agit de trouver son adresse IP (appel
téléphone . PC) ou l’adresse IP de la passerelle desservant le destinataire. Cette fonction est
prise en charge par le Gatekeeper. Elle est effectuée soit localement soit par requête vers un
annuaire centralisé.
Contrôle d’appel
L’équipement terminal (« endpoint » = terminal H.323 ou passerelle) situé à
l’origine de l’appel établit une connexion avec l’équipement de destination et échange avec lui
les informations nécessaires à l’établissement de l’appel. Dans le cas d’une passerelle, cette
fonction implique également de supporter la signalisation propre à l’équipement téléphonique à
laquelle elle est raccordée (signalisation analogique, Q.931, etc.) et de traduire cette
signalisation dans le format défini dans H.323. Le contrôle d’appel est pris en charge soit par
les
équipements terminaux soit par le Gatekeeper. Dans ce cas, tous les messages de signalisation
sont routés via le Gatekeeper, ce dernier jouant alors un rôle similaire à celui d’un PBX.
Services supplémentaires : déviation, transfert d’appel, conférence, etc.
 protocoles de signalisation
Trois protocoles de signalisation sont spécifiés dans le cadre de H.323 à savoir :
RAS (Registration, Admission and Status) - Ce protocole est utilisé pour
communiquer avec un Gatekeeper. Il sert notamment aux équipements terminaux
pour découvrir l’existence d’un Gatekeeper et s’enregistrer auprès de ce dernier
ainsi que pour les demandes de traduction d’adresses. La signalisation RAS utilise
des messages H.225.0 6 transmis sur un protocole de transport non fiable (UDP, par
exemple).
Q.931 - H.323 utilise une version simplifiée de la signalisation RNIS Q.931 pour
l’établissement et le contrôle d’appels téléphoniques sur IP. Cette version simplifiée
est également spécifiée dans la norme H.225.0.
H.245 : ce protocole est utilisé pour l’échange de capacités entre deux équipements
terminaux. Par exemple, il est utilisé par ces derniers pour s’accorder sur le type de
codec à activer. Il peut également servir à mesurer le retard aller-retour (Round Trip
Delay) d’une communication
H323 dans le modèle Osi
 La visioconférence sur Ip
Tout d’abord, au niveau économique, la visioconférence sur Ip s’avère moins coûteuse
que celle sur liaison RNIS car d’un côté, l’équipement d’un PC est relativement peu
cher : ce système ne nécessite pas l’installation de prises RNIS spéciales. D’autre part,
une liaison RNIS a un coût calculé selon la longueur de l’appel, le débit, et la distance.
Alors que dans une liaison IP, le prix est forfaitaire selon le débit. En fin de compte, la
visioconférence par Ip s’avère souvent moins onéreuse que par liaison RNIS.
ainsi avoir une image et un son meilleurs qu’avec une liaison RNIS. En effet, la
visioconférence sur Numeris utilise des débits allant de 128Kb/s à 384Kb/s, alors
qu’en mutualisant certaines liaisons IP, on peut obtenir des lignes haut débit allant
jusqu’à plusieurs Mb/s.
Malheureusement, le problème majeur de la visioconférence sur IP est l’absence d’une
Qualité de Service (QoS) sur les réseaux IP. C’est également ce qui fait l’avantage des
réseaux RNIS. Cependant, avec l’évolution des réseaux Ip, on sait désormais qu’il est
possible qu'on puisse disposer d’une QoS sur ceux-ci tel que RSVP, Diffserv, gestion
de file d'attente. On pourrait donc avoir des flux avec priorité sur ces réseaux.
VISIOCONFÉRENCE POINT A POINT
Pour pouvoir suivre une visioconférence, il faut bien entendu le matériel adéquat.
Ce peut être un matériel dédié contenant tout ce qu’il faut : moniteur, micro, et
caméra vidéo. Ou alors, un ensemble matériel et logiciel sur un poste de travail
normal (PC, etc.). Si la visioconférence ne compte que deux interlocuteurs, alors
la liaison est point à point comme illustré sur le schéma ci-dessous :
 VISIOCONFÉRENCE MULTIPOINT
Dans le cas où il y a plus de deux interlocuteurs, la visioconférence nécessite l’utilisation d’un
pont multipoint comme illustré sur le schéma ci-dessous :
Pour se connecter entre eux, les interlocuteurs sont identifiés par un numéro ou une
adresse E.164. Elle est composée de numéros et est structurée comme un numéro de
téléphone. En particulier, un numéro de téléphone est une adresse E.164. « E.164 » est le
nom de la norme qui définit ces adresses.
Pour router un appel H.323 dans le réseau, il est nécessaire d’avoir un « GateKeeper ».
C’est un élément logiciel qui fonctionne dans un PC, ou encore dans un pont multipoint
ou dans un routeur IP (Exemple dans les routeurs Cisco). En fonction de l’adresse
destinataire contenue dans l’appel H.323, les différents GateKeeper vont établir la
communication entre émetteur et destinateur et mettre en place le routage.
Par ailleurs, le protocole H.323 intègre la norme T.120 qui permet le partage
d’applications. On peut, par exemple, afficher des documents sur les postes de travail des
autres interlocuteurs.
 Avantages et inconvénients
Les réseaux IP sont à commutation de paquets, les flux de données
transitent en commun sur une même liaison. La visioconférence IP mise
sur une disponibilité de ces liaisons. Les débits coupure du son et de la
vidéo. Tous les sites n’ont pas le même débit. Plus le débit sera élevé et
plus le risque de coupure sera faible. Par ailleurs, tant que la Qualité de
Service n’existera pas dans les réseaux IP, la fiabilité des
visioconférences sur les lignes à faible débit sera basse.
A l’heure actuelle, la compatibilité entre les différentes normes de
visioconférence est assez faible. La visioconférence H.323 et H.320 sont
compatibles mais elles nécessitent l’emploi de passerelles H.320/H.323.
En ce qui concerne les différentes normes pour la visioconférence sur IP,
H.323 et IP Multicast ne sont, en règle générale, pas compatibles, sauf
dans le cadre de VRVS qui permet un certain degré d’interopérabilité,
mais ne gère pas la norme T.120.
 les principaux bénéfices qu’apporte la
norme H.323
Codec standards : H.323 établit des standards pour la compression et la décompression des flux
audio et vidéo. Ceci assure que des équipements provenant de fabricants différents ont une base
commune de dialogue.
Interopérabilité : Les utilisateurs veulent pouvoir dialoguer sans avoir à se soucier de la compatibilité
du terminal destinataire. En plus d’assurer que le destinataire est en mesure de décompresser
l’information, H.323 établit des méthodes communes d’établissement et de contrôle d’appel.
Indépendance vis à vis du réseau : H.323 est conçu pour fonctionner sur tout type d’architecture
réseau. Comme les technologies évoluent et les techniques de gestion de la bande passante
s’améliorent, les solutions basées sur H.323 seront capables de bénéficier de ces améliorations
futures.
Support multipoint : H.323 supporte des conférences entre trois points terminaux ou plus sans
nécessiter la présence d’une unité de contrôle spécialisée.
Gestion de la bande passante : Le trafic audio et vidéo est un grand consommateur de ressources
réseau. Afin d’éviter que ces flux ne congestionnent le réseau, H.323 permet une gestion de la bande
passante à disposition. En particulier, le gestionnaire du réseau peut limiter le nombre simultané de
connexions H.323 sur son réseau ou limiter la largeur de bande à disposition de chaque connexion.
De telles limites permettent de garantir que le trafic important ne soit pas interrompu.
Support multicast : H.323 supporte le multicast dans les conférences multipoint. Multicast
envoie chaque paquet vers un sous-ensemble des destinataires sans réplication, permettant une
utilisation optimale du réseau.
A l’heure actuelle, le standard de fait pour les systèmes de téléphonie sur IP est la norme H.323
de l’UIT. Indispensable pour permettre un minimum d’interopérabilité entre équipements de
fournisseurs différents, ce standard présente toutefois les inconvénients suivants :
Protocole complexe, créé initialement pour les conférences multimédia et qui incorpore des
mécanismes superflus dans un contexte purement téléphonique. Ceci a notamment des incidences
au niveau des terminaux H.323 (téléphones IP, par exemple) qui nécessitent de ce fait une
capacité mémoire et de traitement non sans incidence au niveau de leur coût.
Comprend de nombreuses options susceptibles d’être implémentées de façon différentes par les
constructeurs et donc de poser des problèmes d’interopérabilité ou de plus petit dénominateur
commun (dans le choix du codec, par exemple) ; D’autre part, comme le seul codec obligatoire
est le codec G.711 (64 Kbps) et que le support des autres codecs plus efficaces est optionnel,
l’interopérabilité entre produits provenant de constructeurs différents ne signifie pas qu’ils
feront un usage optimal de la bande passante. En effet, dans le cas où les codecs à bas débits
sont différents, le transport de la voix se fera à 64 Kbps, ce qui, en terme de bande passante, ne
présente guère d’avantages par rapport à un système téléphonique classique.
SIP (Session Initiation
Protocol)
 introduction
Le protocole SIP est originalement développé par L‘IETF Multi-
Party Multimedia Session Control Working Group, connue sous
le nom MMUSIC. La première version du protocole a été établie
en 1997, des améliorations significatives ont été retenues dans la
version 2.0 en 1998. Le protocole SIP a été standardisé en mars
1999 et publié dans le RFC 2543 [Handley et al, 1999] en avril
1999. Des clarifications et des rectifications de quelques bugs
ont été soumises au début juillet 2000 et publié dans RFC 2543
" Bis ", le RFC 3261 a remplacé le RFC 2543 original du
protocole SIP.
 L’architecture globale
Le protocole SIP permet comme son nom l‘indique d‘initier,
mais également de modifier et de terminer des sessions voix
mais aussi multimédias. La session voix est l‘équivalent de
notre « appel téléphonique ». SIP se situe au niveau applicatif.
Pour fonctionner, SIP a donc besoin d‘autres standards ou
protocoles. A ce titre, SIP est souvent décrit comme un
protocole « chapeau » puisqu‘il s‘appuie sur d‘autres briques
protocolaires comme UDP [Postel, 1980] ou TCP [Postel, 1981]
pour la couche Transport. La figure présente la pile
protocolaire SIP pour la signalisation et le média.
Le fonctionnement de SIP s‘appuie sur une architecture
générique appelée « trapézoïde SIP » comme l‘illustre la
figure 1.2. Il existe deux grandes catégories d‘acteurs dans
cet environnement :
-les clients appelés « User Agent » (UA) qui initient et
reçoivent les appels ;
- les serveurs qui relaient ou traitent les messages SIP émis
par les UA ou les autres serveurs.
 L’architecture globale
SIP fonctionne aussi bien avec IPv4 qu’avec IPv6. SIP est supporté par
TCP ou UDP sur le port 5060 par défaut. La version sécurisée SIP-TLS
utilise par défaut le port TCP 5061.
SIP prend en charge cinq facettes de l’établissement et de la terminaison de
communications multimédia :
Localisation de l’utilisateur : détermination du système terminal à utiliser
pour la communication ;
Disponibilité de l’utilisateur : détermination de la volonté de l’appelé à
s’engager dans une communication ;
Capacités de l’utilisateur : détermination du support et des paramètres de
support à utiliser ;
Etablissement de session : “sonnerie”, établissement des paramètres de
session à la fois chez l’appelant et l’appelé ;
Gestion de session : y compris le transfert et la terminaison des sessions, la
modification des paramètres de session, et l’invocation des services.
 L’architecture globale
SIP n’est pas un système de communications intégré
verticalement. SIP est plutôt un composant qui peut être
utilisé avec d’autres protocoles de l’IETF pour construire
une architecture multimédia complète.
SIP ne fournit pas de services. Plus justement, SIP fournit
des primitives qui peuvent être utilisées pour mettre en
œuvre différents services. Par exemple, SIP peut localiser
un utilisateur et livrer un objet opaque à l’endroit où il se
trouve. Une seule primitive est normalement utilisée pour
fournir plusieurs services différents
 La boîte-à-outils SIP
SIP est donc un protocole de l’IETF (il aura la préférence
du marché) qui est une véritable boîte-à-outils (primitives
SIP) pour établir des communications à travers l’Internet.
Ses illustrations les plus immédiates sont celles de la
téléphonie IP, de la voix sur IP et puis des systèmes de
messageries tels que Skype, WhatsApp, etc. Mais on peut
y trouver d’autres cas d’usage où des communications
vocales ou vidéos peuvent intervenir dans le cadre de
services de support, de fourniture de connectivité ou
encore dans l’IoT ou la domotique
 Adressage et nommage
SIP choisit l‘Email comme adresse de la forme :
"user@domain", " user@IP adresse", "numéro
telephone@gateway". Cette adresse est appelée URI (Uniform
Resource Identifier), Le nom de domaine peut être le nom de
l‘hôte sur lequel l‘utilisateur est logé. L‘adresse de la forme
"numéro telephone@gateway" désigne le numéro du téléphone
PSTN [Schulzrinne and Rosenberg, 2000]. A l‘inverse des
numéros de téléphone, les adresses SIP désignent une entité
plutôt qu‘un terminal. Cette différence fondamentale permet à
celles-ci de représenter un individu, quelque soit sa localisation
physique et également quelque soit le terminal à sa disposition.
 Les entités SIP
Dans une architecture SIP on trouve deux familles d‘entités SIP, les
agents utilisateurs (UAC, UAS) et les serveurs.
1 Les agents utilisateurs
L‘agent utilisateur – ou le terminal SIP – est le User Agent (UA). Il
émet et reçoit les appels. Chaque UA est à associer à un identifiant
URI SIP. On distingue :
1.1 Agent utilisateur client U.A.C (User Agent Client)
C‘est un processus de type Client qui représente la machine de
l‘appelant. Son rôle est d‘initier des requêtes.
1.2 Agent utilisateur serveur U.A.S (User Agent Server)
C‘est un processus de type Serveur qui représente la machine appelée.
Son rôle est de contacter l‘utilisateur lorsqu‘une requête SIP est reçue
et de renvoyer une réponse au nom de l‘utilisateur
 Les serveurs
Concernant les serveurs, il en existe 4 types, qui sont le
serveur proxy (Proxy Server PS), le serveur de redirection
(Redirect Server RS), le serveur de localisation (Location
Server LS) et le serveur d‘enregistrement (Registrar
Server RG).
 Serveur proxy - PS
Les proxys SIP sont des éléments qui routent les requêtes SIP vers
des UAS et les réponses SIP vers les UAC. Une requête peut
traverser de nombreux proxys avant d‘arriver au UA. Chaque
Proxy SIP fait la décision de routage, la modification des requêtes
avant de la transférer vers un autre élément. Au retour, les réponses
vont être routées à travers le même ensemble de proxy que la
requête. Il existe deux types de serveur proxy :
- Proxy sans état: Il se contente de renvoyer les messages sans
garder de trace de la session.
- Proxy à état plein: Il garde en mémoire l'état de l'appel et
notamment l'état des transactions. Ainsi ces serveurs peuvent gérer
une bonne partie des transactions de SIP et peuvent faire le choix
de router un appel sortant.
 Serveur de redirection - RS
Il réalise simplement une association d‘adresses (mapping), chaque
adresse d‘UA est associée vers une ou plusieurs nouvelles adresses de
proxy. Lorsqu'un client appelle un terminal mobile, le RS redirige
l‘appel vers le PS le plus proche auquel est relié le destinataire. Un RS
est consulté par l'UAC comme un simple serveur et ne peut émettre ou
modifier de requêtes contrairement au PS.
Serveur de localisation - LS
Il est utilisé pour donner la position courante des utilisateurs dont la
communication traverse les RS et PS auxquels ils sont rattachés. Cette
fonction est assurée par le service de localisation.
Serveur d’enregistrement
Il est utilisé pour traiter les requêtes d‘enregistrement Register. Il offre
également un service de localisation comme le LS. Chaque PS ou RS
est généralement relié à un RG.
 Les messages SIP
Le protocole SIP est bâti sur une architecture
Client/serveur et utilise des messages textuels semblables
au HTTP. Un message SIP peut être soit une demande
d‘un client à un serveur, soit une réponse d‘un serveur à
un client. Et dans ces deux types de message (demande et
réponse), le message est structuré comme le montre le
tableau 1.1.
 Ligne de Début
La ligne de début définit le type du message SIP. Elle peut être
soit une Ligne de requête, dans ce cas le message SIP est appelé
méthode SIP, ou ligne d‘état, dans ce cas le message SIP est une
réponse SIP.
1.Méthodes SIP
Le tableau 1.2 montre les différents champs qui constituent une
requête SIP.
 Méthodes SIP
Il existe six méthodes de base:
1. INVITE : Requête d‘établissement d‘une session, invitant un usager (humain
ou non) à participer à une communication téléphonique ou multimédia ; l‘émetteur
de cette requête y indique les types de média qu‘il souhaite et peut recevoir, en
général au travers d‘une description de session SDP (Session Description
Protocol) [Handley et al, 2006].
2. ACK : Requête d‘acquittement, émise pour confirmer que le client émetteur
d‘un INVITE précédent a reçu une réponse finale ; cette requête peut véhiculer
une description de session qui clôt la négociation.
3. OPTIONS : Un proxy server en mesure de contacter un terminal appelé, doit
répondre à une requête OPTIONS, en précisant ses capacités à contacter le même
terminal.
4. BYE : Cette requête est utilisée par le terminal de l‘appelé afin de signaler qu‘il
souhaite mettre fin à la session.
5. REGISTER : Requête à destination d‘un serveur SIP et permettant de lui faire
parvenir de l‘information de localisation (machine sur laquelle se trouve
l‘utilisateur).
6. CANCEL: Requête d‘annulation, signifiant au serveur de
détruire le contexte d‘un appel en cours d‘établissement (cette
requête n‘a pas d‘effet sur un appel en cours).
D‘autres requêtes existent mais sont issues d‘autres RFC
comme : MESSAGE pour l‘envoi de message instantané,
PRACK pour la sécurisation des réponses provisoires, PUBLISH
pour l‘envoi d‘une information relative à un état vers un serveur,
INFO pour l‘envoi d‘information ne modifiant pas la session et
UPDATE pour la mise à jour des paramètres média avant la
réponse finale au premier INVITE.
 Les réponses SIP
Une réponse à une requête SIP est caractérisée, par un code et un motif,
appelés code d'état et raison phrase respectivement comme le montre le
tableau 1.3.

Le code d'état est un entier codé sur trois chiffres indiquant

une réponse à l‘issue de la réception de la requête. Ce
résultat est précisé par une phrase, textbased, expliquant la
cause du refus ou le motif de l'acceptation de la requête. Le
code d'état est donc destiné à l'automate gérant
l'établissement des sessions SIP et les motifs aux
programmeurs. Il existe six classes de réponses et donc de
codes d'état, représentées par le premier chiffre, Le tableau
donne quelques réponses possibles :
 En-têtes SIP

L‘en-tête contient les informations permettant

l‘acheminement du message comme : la référence de
l‘émetteur, le destinataire, référence de la transaction et de la
session, les éléments de sécurité. Ainsi l‘en-tête permet
l‘établissement d‘une session en termes de localisation, de
nommage et d'adressage, Les champs des entêtes les plus
usuels sont le From, le To, le Call-ID, le Cseq, le Contact.
Les principaux champs avec leur signification sont donnés
dans le tableau 1.5.
Enregistrement au réseau SIP
L‘enregistrement est la première étape qu‘un terminal SIP
doit faire avant de commencer une session. Il envoie entre
autre son adresse IP et son adresse SIP au RG afin de
l‘enregistrer et de le localiser. La Figure 1.3 décrit un
exemple d‘enregistrement d‘un terminal SIP A auprès
d‘un RG.
 Enregistrement au réseau SIP
(1) le terminal A envoie une demande d‘enregistrement Register au serveur RG
qui contient son adresse IP et son URI SIP.
(2) Le RG envoie une demande de mise à jour de la base de données du LS
contenant les informations de A.
(3) Le LS confirme la mise à jour en envoyant un message d‘acquittement 200
OK au RG.
(4) Le RG confirme l‘enregistrement du terminal A en lui envoyant un 200 OK.
En dehors des mécanismes de sécurité pouvant être implémentés, la procédure
d‘enregistrement se résume par l‘envoi d‘un message REGISTER par l‘UA
qui reçoit une réponse 200 OK du REGISTRAR. Cette description, ne
prend pas en compte le mécanisme d‘authentification HTTP Digest
relativement usuel dans l‘implémentation de SIP. Ce mécanisme modifie la
nature des transactions.
 Déroulement d’une session
La figure 1.4 illustre le déroulement d‘une session SIP,
entre deux interlocuteurs SIP A : Ahmed@[Link] et B :
Ali@[Link], en trois étapes. Les deux terminaux sont
supposés déjà enregistrés auprès de leurs RGs respectifs.
 Scénarios SIP

Selon le contexte d’exécution on trouvera

probablement plusieurs intervenants dans
une session SIP.
Processus d’enregistrement
 Processus d’enregistrement
F1 - demande d’enregistrement initial auprès du SIP User
Agent avec ses informations d’adresse (AOR).
F2 - réponse du SIP Registrar avec les informations sur le
login nécessaire.
F3 - nouvelle demande d’enregistrement avec login
F4 - confirmation de l’enregistrement réussi sur le SIP
Registrar.
Flux d’appel SIP entre UA et serveurs de redirection entre proxys et UAs
 CHAPITRE 4

Sécurisation d'un Réseau VoiP

Réalisé par: Mr MERCHICHI Mohammed
E-MAIL: [Link]@[Link]
Section: Systèmes numériques
Options: Informatique et réseaux
S4
132
 Plan de la présentation

➔
Fonctionnement de la VoiP

➔
Les Failles/Attaques de La VoiP

➔
Sécurisation d'un Réseau VoiP

➔
Outils de Test de Vulnérabilité

➔
Conclusion
133
Fonctionnement de la voip
Architecture d'un
Réseau voip

134
Les Protocoles Les principaux protocoles

Les principaux protocoles permettant l'établissement de connexion

◆ H.323
◆ SIP
◆ IAX
◆ (Aster
◆ isk)
MGCP (Media
Les principaux Gateway
protocoles control Protocol)
permettant le transport de la voix
SCCP (propriétaire Cisco Systems)
◆ RTP
◆ RTCP
Les protocoles Secondaires
◆ DHCP :attribution des addresses IP,DNS
◆ TFTP pour la configuration et la mise à jour
◆ DNS pour les services d'annuaire et de localisation
◆ HTTP pour l'administration

135
 Failles/
Attaques

➔
Failles/Attaques du protocole sip
➔ Failles/Attaques du protocole RTP/RTCP
➔ Failles/Attaques sur Les vlans

136
Attaque
Sip

DoS en Utilisant les Réquêtes BYE

◆ Cette attaque consiste à couper la communication entre deux terminaux

➔
Le pirate ecoute le Réseau

➔
Répère le message de Réquête Bye entre l'appelant et l'appelé

➔
Analyse le message afin de récupérer suffisamment d’informations sur la
communication en cours.

➔
Le pirate peut façonner un faux message BYE et l'envoyer soit à l'appélant
soit l'appelé, ou les deux afin de terminer la communication

137
Attaque Sip

Contrefaçon des Réquêtes

◆ Cette attaque a pour but de modifier l’identité de l’expéditeur d’un message afin
de faire croire au destinataire d’un appel qu’il parle à un utilisateur légitime alors
qu’en fait il parle au pirate.

➔
Le Pirate va tout d’abord écouter le réseau afin de récupérer un message de re-
quête soit du type REGISTER, soit du type INVITE et modifie certains champs
contenus dans l’en-tête avant d’envoyer ce faux message de requête.
➔
L'appelé pense qu'il parle à un utilisateur spécifique alors qu'en fait il parle au
pirate

➔
Ainsi, la victime ne pourra plus enregistrer son téléphone comme étant une
adresse de contact convenable et tous les appels pour la victime seront redirigés
vers le pirate.

138
Attaque
Sip
Appel Spam

➔
Cette attaque a pour but de jouer un message préenregistré à la personne décro-
chant le combiné.
➔
Ce type de spam est défini comme étant une série d’essais d’initiation de session
(par ex. des requêtes INVITE), essayant d’établir une session de communication
vocale.
➔
Quand l’appelant décroche le combiné, l’attaquant (spammeur) relaie son message
à travers le media temps réel.

139
Attaque Sip

Vol d'identité et detournement d'inscription

◆ En règle générale l'inscription sur un serveur sip nécissite un login et un mot de

passe

➔
L'ensemble des méssages sip ne sont pas cryptés

➔
Si une personne malveillante aspire les processus d'authentification, elle peut
utiliser une combinaison nom utilisateur/mot de passe pour être authentifié par
le serveur

➔
Une telle attaque n'est plus possible avec les derniers implementations de la
voip

140
Les Attaques

Inondation du serveur Proxy

◆ Cette attaque a pour but d’inonder les serveurs proxy avec des messages INVITE
afin d'empêcher les utilisateurs légitimes de communiquer.

➔
Le pirate envoie un gros volume de messages INVITE au proxy, qui doit nor-
malement les transférer vers le destinataire

➔
le nombre de sessions concurrentes supportées par un serveur proxy est limité

➔
les ressources sont donc rapidement épuisées, ce qui a pour conséquence que
les appels placés par des utilisateurs légitimes en utilisant le proxy victime ne
peuvent prendre place.

141
Les Attaques

Détournement d’appel à l’aide du serveur registrar

◆ Cette attaque a pour but de détourner un appel en altérant les liaisons du serveur
registrar.

➔
Le Pirate profite du rôle du serveur registrar dans le système tout d’abord en
récupérant les liaisons d’une URI particulière afin de récupérer la liste des
adresses lui correspondant.

➔
Ensuite, il va associer son URI avec tous les enregistrements corrects dans un
message de requête REGISTER et en stipulant à ces enregistrements une priori-
té plus élevée en utilisant le paramètre « q »
➔
Ce paramètre indique une préférence relative pour ce champ Contact particulier
par rapport aux autres liaisons pour cette adresse d’enregistrement. Ceci a pour
conséquence que le dessein de l’attaquant a abouti car son URI sera utilisée à
la place de celle de l’utilisateur légitime.

142
Les Attaques

Débordement de la table des enregistrements

➔
Cette attaque a pour but de provoquer un débordement de la table des enregistre-
ments afin d’empêcher les utilisateurs légitimes de s’enregistrer sur le serveur re-
gistrar.
➔
L’attaquant envoie un grand nombre de messages de requête REGISTER (avec
des URIs différentes) au serveur des enregistrements afin de remplir la table des
enregistrements et ainsi empêcher les utilisateurs légitimes de s’enregistrer et d’u-
tiliser le service.

143
Attaque RTP/RTCP

Tromper la taxation

◆ Cette attaque a pour but de passer des appels gratuits.

➔
Le Pirate et son complice vont mettre en place un schéma où les messages SIP
seront dissimulés à l’intérieur de messages RTP/RTCP.

➔
Le proxy SIP sera incapable de détecter le trafic de signalisation (SIP), alors
que le flux de média (RTP/RTCP) continuera de transiter. Le CDR (Call Detail
Recording) nesera pas exécuté.

➔
ainsi, les deux partis peuvent effectuer des appels téléphoniques gratuit

144
Les Attaques

MITM : Man-In-The-Middle

◆ L'attaque « man in the middle » est un scénario d'attaque dans lequel un pirate
écoute une communication entre deux interlocuteurs et falsifie les échanges afin
de se faire passer pour l'une des parties.

145
 Attaques sur Les Vlans

➔
attaque par MAC Flooding
➔
attaque par 802.1Q (standard) ISL (CISCO) tagging
➔
attaque par double encapsulation de 802.1 Q ou nested VLAN
➔
attaques ARP classiques
➔
attaques sur les privates VLAN
➔
attaques par force brute multicast
➔
attaques sur le spanning tree
➔
attaques de type random frame stress

146
 Attaque Mac
Flooding

◆ Cette attaque est basée sur le fait que la table des switchs/ponts permettant le
« routage » des paquets est limitée.

➔
le pirate va flooder le switch avec des arp query/ arp response avec pour
chaque demande une adresse MAC différente.

➔
pour chaque adresse MAC différente, le switch va l’associer dans sa table au
port concerné.

➔
Le mécanisme est répété jusqu'à saturation de la mémoire à ce moment le
switch ne peut plus enregistrer dans sa table.

➔
il se transforme en HUB et broadcaste alors toutes les requêtes sur le rèseau

147
 Mac Flooding

148
1 – Les cibles A et B s’échangent des informations normalement
2 – Le pirate Z envoi plein de requêtes ARP avec des adresses MAC différentes
3 – Le Switch C met à jour sa table de correspondance jusqu’à saturation de la
mémoire
4 – Les cibles A et B s’échangent des informations, mais le pirate les reçoit
aussi du fait que le Switch fonctionne désormais en HUB
 Ils existent plusieurs possibilités afin d’éviter cette attaque. Par exemple, il
est possible :
 De n’autoriser qu’une liste d’adresse MAC prédéfinie par port. Cisco
propose cela via la commande « switchport port-security mac-address
H.H.H »
 D’appliquer un filtre sur le nombre de correspondance maximum par port. 3
modes existent qui sont « protect », « restrict » et « shutdown »
 D’utiliser l’authentification 802.1X

149
 Les Attaques
Attaque sur le Spanning tree

 Cette attaque se base sur l’envoi de trames BPDU (bridge protocol data units) à
destination du Switch cible. Dans un environnent Sapnning-Tree, il y a un seul
Switch qui est élu root (maître) servant de référence pour les coûts et les
chemins. Ces trames BPDU émises avec un BID (Bridge ID) très petit, obligera les
commutateurs à recalculer le nouveau root.
 Cela dépend du constructeur, de l’équipement et de la version, mais les
conséquences peuvent être multiple comme par exemple :
 Suite à la saturation processeur provoquée par les calculs permanents, les
commutateurs ne commutent plus ou crash littéralement. Il est même
possible que les Switchs basculent alors en mode HUB permettant ainsi à
l’attaquant d’effectuer de l’écoute.
 Suite à l’envoi d’un BID plus petit que ceux des Switchs, l’attaquant se
retrouvera alors élu comme maître de l’environnement Spanning-Tree. Ainsi, le
hackeur pourra redéfinir la topologie à sa guise et ainsi intercepter tous les
trafics qu’il désir. Le schéma montre le procédé :
150
151
1 – Les cibles finales A et B s’échangent des informations normalement
2 – Le Switch est le maître du contexte Spanning Tree
3 – Le pirate Z envoi une trame BPDU avec un BID très faible
4 – Le commutateur admet que le pirate Z soit devenu le maître du contexte STP
5 – Le hacker redéfinis la topologie afin de rediriger les flux vers lui
6 – Les cibles A et B s’échangent des informations, mais le pirate les reçoit aussi
 Ils existent plusieurs possibilités afin d’éviter cette attaque. Par exemple, il est possible :
 D’activer STP (Spanning Tree Protocol) uniquement sur les ports interconnecté à un
autre commutateur
 D’activer STRG (Spanning Tree Root Guard) sur les commutateurs permettant de laisser passer
les BPDU tant que le port en question ne demande pas à devenir maître dans l’instance
Spanngin Tree
 D’activer le BPDU Guard sur les Switchs afin de bloquer tous les type de message BPDU du
port en question.

152
 Attaques par double encapsulation de 802.1Q (1)

◆ L’attaque consiste à injecter des paquets encapsulés dans 2 trames 802.1q. La

trame injectée comporte 2 entêtes 802.1q.

➔
L attaquant est sur le VLAN natif (non taggués 802,1Q)
➔ L'attaquant envoie une trame taggués deux fois
➔ Le swith vlan natif réçoit 1 trame qui ne devrait pas être tagguée et enlève le 1er TAG
153
Les Attaques

Attaques par double encapsulation de 802.1Q (2)

◆ Le switch reçoit une trame venant d’un VLAN natif avec une entête VLAN A

◆ Il n’est pas normal de recevoir des trames taggées de la part du VLAN A qui est
natif.

◆ Le switch enlève le premier tag. En théorie, il devrait se retrouver avec une trame
Ethernet sans en tête et dans ce cas la forwarder sur le port physique correspon-
dant au VLAN A.

◆ Lors du traitement de la trame il considère le tag interne VLAN B et à la place di-

rige la trame vers le VLAN B : le saut de VLAN a été réalisé.

154
 Attaques par force Brute Multicast

➔
Cette attaque consiste à flooder le switch avec des trames de niveau 2 (trame
ARP)

➔
certains switchs changent l’algorithme de broadcast et se omportent comme un
hub lorsque leur processeur atteint une charge de 70-80% d’utilisation.

155
 Attaques random frame stress

◆ Cette attaque consiste à trouver des failles dans l’implémentation des différents
protocoles. Pour cela on fait une attaque exhaustive:

◆ Au niveau de la trame Ethernet :

➔
On fixe @ mac source et @ mac destination (sur autre VLAN)
On essaie toutes les combinaisons possibles sur les autres champs de la trame
Ethernet : de la trame : type, bourrage, crc, la taille du paquet

➔
On observe pour voir si un paquet à fait un saut de VLAN ou si le paquet a
provoqué une erreur dans le switch par exemple une taille de paquet annon-
cée différente de la réalité, Cette erreur peut être à l’origine d’un buffer
overflow.

156
Les Attaques

Attaques par 802.1Q (standard), ISL (CISCO)

tagging
◆ L’idée de cette attaque est de forger des trames permettant d’avoir accès à un
autre Vlan en modifiant les tags de la norme 802.1Q

➔
Une telle attaque repose sur la capacité de forger un tag dans une trame afin de
tromper le switch et de sauter de VLAN.

➔
L’attaquant envoie des trames forgées avec des tags 802.1Q sur un port quel-
conque. En principe le switch va rejeter ces trames ou les détagguer étant don-
né qu’elles ne devraient pas l’être (seul le port du trunk est taggué)
.
➔
Sur les switch cisco si le DTP (dynamic trunk protocol) est activé,le port quel-
conque va se mettre à considérer le port comme un trunk. A partir de la, l’atta-
quant peut très facilement atteindre tous les VLAN en forgeant une entête
802.1Q adaptée.

157
Les Attaques

Les attaques ARP Spoofing

 Cette attaque Ethernet se base sur l’envoi d’informations de requêtes ARP falsifiées.
L’intérêt ce cette attaque est de faire croire aux autres que l’adresse IP de la cible
correspond à une adresse MAC que l’on choisie. Ainsi, les différents équipements du
LAN apprennent la mauvaise correspondance.
 La conséquences de cette attaque peuvent être multiple tel que :
•La rupture de toutes communications de la cible IP. Les cibles sont souvent les serveurs et
les routeurs rendant indisponible les services associés
•L’écoute des flux de la cible. Pour cela, il faut spécifier l’adresse MAC du hackeur dans
l’information ARP. Le schéma montre le procédé :

158
159
1 – Les cibles A et B s’échangent des informations normalement
2 – Le pirate Z envoi une requête ARP empoisonnée
3 – La cible B met à jour sa table de correspondance
4 – La cible B envoi ses donnée au pirate Z en croyant s’adresse à la cible A
5 – La pirate transfert les données reçues vers la cible A en mettant sa réelle
adresse MAC source afin de s’assurer de recevoir les réponses
 Ils existent plusieurs possibilités afin d’éviter cette attaque. Par exemple, il
est possible :
 De n’autoriser qu’une liste d’adresse MAC prédéfinie par port. Cisco
propose cela via la commande « switchport port-security mac-address
H.H.H »
 D’utiliser une détection IDS sur le Switch
 D’utiliser l’authentification 802.1X

160
 Sécurité de la
VoiP
◆ Mise à jour des softwares
◆ Vérouillages de la
◆ configuration Séparation grâce
◆ aux Vlans Filtrage Inter-Vlan
◆ Utilisations des cartes réseau supportant
◆ 802.1Q Echange DNS avec DNSSEC
◆ Authentification et chiffrement
◆ Protections contre les attaques ARP

161
Sécurité

Mise à jour du software (IPBX, hardphone et softphone)

◆ L’IPBX, les hardphones et les softphones contiennent tous un logiciel. Le code de

ces logiciels peut contenir des failles (buffer overflow) et donc être vulnérable à
diverses attaques.

◆ Il est donc très important de maintenir à jour la version de ces logiciels, notam-
ment lorsqu’une faille de sécurité les concernant a été découverte.

◆ Consulter régulièrement les sites des fabricants hardware/logiciel des équipements

introduit dans l’infrastructure VoIP, ou mieux, être inscrit à leurs newsletters de manière
à être automatiquement informés si une nouvelle version/patch est disponible.
Tester le patch sur des équipements de test
◆

Mettre à jour les équipements de production si le test précédent est Concluant

◆

162
Sécurité

Verrouillage de la configuration (hardphone/softphone)

◆ Une fois le hardphone/softphone configuré, il est important de verrouiller par mot

de passe sa configuration afin d’empêcher qu’un utilisateur ne puisse modifier les
paramètres (désactiver l’authentification).

◆ De plus, des mesures organisationnelles devraient être prises de manière à inter-

dire aux employés toute modification de la configuration des équipements de l’in-
frastructure VoIP.

163
Sécurité

Séparation grâce aux VLAN (layer 2)

◆ Cette solution consiste à définir un VLAN DATA dédié aux équipements réseaux
présents dans le réseau DATA et un VLAN VoIP dédié aux équipements VoIP.
Afin d’obtenir une meilleure séparation, il est conseillé de créer à la place du
VLAN VoIP, un VLAN pour chaque catégorie d’équipement VoIP comme suit:

➔
Les hardphones : VLAN VoIP hardphone
➔
Les softphones : VLAN VoIP softphone
➔
Les serveurs : VLAN VoIP servers

164
Sécurité Filtrage Inter-
VLAN
◆ Les communications entre les VLAN doivent être rigoureusement filtrées de
manière à n’autoriser que les flux nécessaires. seuls les flux définis sont autorisés.

➔
Le filtarge peut s'effectuer comme suit:

➔
en définissant des ACL sur les switches et/ou les routers interconnectant lesV-
LAN , en plaçant Les firewall entre les VLANs

◆ Les règles de filtrage devraient être basées sur les adresses IP, les numéros de
ports/protocoles et les flags TCP/IP de manière à être le plus strict possible et à
n’autoriser que les communications nécessaires.

◆ Par exemple, les IP Phones n’ont pas besoin d’envoyer un flux média (ex : RTP)
aux serveurs VoIP. Donc, au lieu d’autoriser toutes communications entre les
VLAN VOIP Hardphones/Softphones et le VLAN VoIP Servers, seul le trafic
concernant le protoc ole de signalisation (ex : SIP) devraient être autorisé. 165
Sécurité
Placer Les services convergés dans
DMZ

◆ Afin de ne pas compromettre la séparation des VLAN DATA et VoIP, les ser-
vices convergés (services nécessitant un accès au VLAN DATA et au VLAN
VoIP) doivent être placés dans une DMZ. Les règles du firewall doivent être le
plus strict possible afin de n’autoriser que les flux necessaires.

166
Sécurité

Utilisation d’une carte réseau supportant

802.1Q
◆ Le principal danger lorsque l’on installe un softphone sur un ordinateur provient
du fait que cet ordinateur, déjà connecté au réseau DATA, devient un terminal
VoIP.

◆ Il existe cependant une solution pour maintenir la séparation des VLANS.

◆ Cette solution consiste à équiper les ordinateurs d’une carte Ethernet supportant
le protocole 802.1q et de les configurer pour utiliser ce protocole.

◆ De telle carte Ethernet permettent de séparer le trafic DATA du trafic VoIP (issue
du softphone) en mettant chaque type de trafic dans leur VLAN respectif.

◆ L’OS, la carte Ethernet et le softphone doivent supporter 802.1q.

167
 Echange DNS avec DNSSec

◆ DNSSEC permet de sécuriser les données envoyées par le DNS. Contrairement à

d'autres protocoles comme SSL, il ne sécurise pas juste un canal de communica-
tion mais il protège les données, les enregistrements DNS, de bout en bout. Ainsi,
il est efficace même lorsqu'un serveur intermédiaire trahit.

◆ DNSSEC signe cryptographiquement les enregistrements DNS et met cette signa-

ture dans le DNS. Ainsi, un client DNS méfiant peut donc récupérer la signature
et, s'il possède la clé du serveur, vérifier que les données sont correctes. La clé
peut être récupérée via le DNS lui-même .
◆ Utilisation de tunnel IPsec.

168
 Authentification et chiffrement SSL / TLS

◆ Transport Layer Security (TLS) un protocole qui securise les echanges sur inter-
net. Il fonctionne en mode client-serveur .il fournit quatre objectifs de securité:

➔
l'authentification du serveur ;
➔
la confidentialité des données échangées (ou session chiffrée) ;
➔
l'intégrité des données échangées ;

◆ Utilisation de Secure RTP / Secure RTCP (SRTP/ SRTCP)

il ajout les fonctions suivantes

➔
Confidentialité (cryptage AES 128 bits)
➔
Authentification des messages (HMAC-SHA1)
➔
Ajout de protection

169
 Protection contre les attaques ARP

◆ Cette methode consiste à empêcher la connexion du prirate sur

le réseau
➔
Securiser l'accès physique du réseau pour un
réseau filaire
➔
En Wi-Fi, avec le Wep, tous les paquets sont rejetés si le pirate ne connaît
pas la clé secrète

➔
Installer un pare feu

➔
Implementer les tables ARP statiques

➔
Analyser les historiques

170
Solution
sécurisé

171
 Outils de Test d'analyse et Vulnérabilité de la
VoiP

◆ SiVuS est l’un des scanners de vulnérabilité les plus connus et les
plus fiables supportant le protocole SIP. Ce scanner propose un
grand nombre de fonctionnalités qui permettent de mesurer la
sécuri- té d’un composant SIP

◆ VO MIT Voice Over Misconfigured Internet Telephone

le logiciel permet de convertir une conversation d'un téléphone IP
Cisco en un fichier son de format wav. Pour cela, L'utilitaire de-
mande un fichier de capture de type tcpdump.

◆ Wireshark (anciennement Ethereal) est un logiciel de surveillance

des réseaux IP
172
 Conclusion
◆ Nous avons couvert le sujet de la voix sur IP d’un point de vue
tech- nique et nous pensons qu’aujourd’hui une solution de voix
sur IP peut-être sécurisée à un niveau acceptable.

◆ Un projet de voix sur IP est complexe, car il n’existe pas de

solution générique, et une étude au cas par cas s'impose avant la
mise en oeuvre de cette technologie. Le facteur sécurité doit être
pris en compte avant même la phase de conception en posant les
bonnes questions aux vendeurs que vous êtes en train de
sélectionner.

173
 Références
◆ [Link]

◆ Hacking VoiP Exposed de David Endler et Mark Collier

◆ [Link]
Address=/snac/voip/[Link]

◆ [Link]

◆ [Link]

◆ [Link]

◆ [Link] [Link]

174