Implantation d?un système voip sécurisé par une technologie VPN dans une entreprise à  multiple centre d?exploitation.

II.3.1.2. Protocoles SIP

II.3.1.2.1. Description générale du protocole SIP

SIP signifie « Session Initiation Protocol» c'est un protocole standard ouvert de télécommunications multimédia (son, message, vidéo, etc.). il est actuellement le protocole le plus utilisé pour téléphonie par Internet ou Voix sur IP.

41

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

Le SIP n'est pas uniquement destiné à la VoIP, mais également à de nombreuses applications telles que la messagerie instantanée, la visiophonie, la réalité virtuelle ou même les jeux vidéo.

Le SIP est un protocole qui a été normalisé et standardisé par l'IETF (Internet Engineering Task Force). Il a été conçu pour établir, modifier et terminer des sessions multimédias. Le SIP remplace progressivement le protocole H.323, le protocole SIP est aujourd'hui devenu la norme de secteur des télécoms pour les communications multimédias.

Le seul acteur majeur n'utilisant pas le protocole SIP est le service «Skype», ce qui le prive d'être compatible avec la plupart de matériels, logiciels et application SIP du marché

II.3.1.2.2. Principe de fonctionnement

Puisque on choisira le protocole SIP pour effectuer notre travail, on s'approfondira à expliquer les différents aspects, caractéristiques qui font du protocole SIP un bon choix pour l'établissement de la session, les principales caractéristiques du protocole SIP sont :

? Fixation d'un compte SIP

Il est important de s'assurer que la personne appelée soit toujours joignable. Un compte SIP sera associé à un nom unique. Nous illustrons par exemple, si un utilisateur d'un service de voix sur IP dispose d'un compte SIP et que chaque fois qu'il redémarre son ordinateur, son adresse IP change, il doit cependant toujours être joignable. Son compte SIP doit être associé à un serveur SIP (proxy SIP) dont l'adresse IP est fixe. Ce serveur lui allouera un compte et il permettra d'effectuer ou de recevoir des appels quelques soit son emplacement. Ce compte sera identifiable via son nom (ou pseudo).

? Changement des caractéristiques durant une session

Un utilisateur doit pouvoir modifier les caractéristiques d'un appel en cours. Nous illustrons par l'exemple suivant, un appel initialement configuré en peut être modifié en (voix+ vidéo).

? Différents modes de communication

Avec SIP, les utilisateurs qui ouvrent une session peuvent communiquer en mode point à point, en mode diffusif ou dans un mode combinant ceux-ci.

? Mode Point à point : on parle dans ce cas-là d'«unicast » qui correspond à la communication entre deux machines.

? Mode diffusif : on parle dans ce cas-là de « multicast » (plusieurs utilisateurs via une unité de contrôle MCU - Multipoint Control Unit).

42

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

· Combinatoire : combine les deux modes précédents. Plusieurs utilisateurs interconnectés en multicast via un réseau à maillage complet de connexion.

? Gestion des participants

Durant une session d'appel, de nouveaux participants peuvent joindre les participants d'une session déjà ouverte en participant directement, en étant transférés ou en étant mis en attente (cette particularité rejoint les fonctionnalités d'un PABX par exemple, où l'appelant peut être transféré vers un numéro donné ou être mis en attente).

? Négociation des médias supportés

Cela permet à un groupe durant un appel de négocier sur les types de médias supportés. Nous illustrons par l'exemple suivant, la vidéo peut être ou ne pas être supportée lors d'une session.

? Adressage

Les utilisateurs disposant d'un numéro (compte) SIP disposent d'une adresse ressemblant à une adresse mail ( sip:numéro@serveursip.com). Le numéro SIP est unique pour chaque utilisateur.

? Modèle d'échange

Le protocole SIP repose sur un modèle Requête/Réponse. Les échanges entre un terminal appelant et un terminal appelé se font par l'intermédiaire de requêtes. La liste de requêtes échangées est la suivante :

· Invite : cette requête indique que l'application (ou utilisateur) correspondante à l'url SIP spécifié est invité à participer à une session. Le corps du message décrit cette session (par exemple : média supportés par l'appelant). En cas de réponse favorable, l'invité doit spécifier les médias qu'il supporte.

· Ack : cette requête permet de confirmer que le terminal appelant a bien reçu une réponse définitive à une requête Invite.

· Options : un proxy server en mesure de contacter l'UAS (terminal) appelé, doit répondre à une requête Options en précisant ses capacités à contacter le même terminal.

· Bye : cette requête est utilisée par le terminal de l'appelé à fin de signaler qu'il souhaite mettre un terme à la session.

· Cancel : cette requête est envoyée par un terminal ou un proxy server à fin d'annuler une requête non validée par une réponse finale comme, par exemple, si une machine ayant été invitée à participer à une session, et ayant accepté l'invitation ne reçoit pas de requête Ack, alors elle émet une requête Cancel.

43

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

· Registre : cette méthode est utilisée par le client pour enregistrer l'adresse listée dans l'URL TO par le serveur auquel il est relié.

? Codes d'erreurs

Une réponse à une requête est caractérisée, par un code et un motif, appelés respectivement code d'état et raison phrase. Un code d'état est un entier codé sur 3 digits indiquant un résultat à l'issue de la réception d'une requête. Ce résultat est précisé par une phrase, text based (UTF-8), expliquant le motif du refus ou de l'acceptation de la requête. Le code d'état est destiné à l'automate gérant l'établissement des sessions SIP et les motifs aux programmeurs.

Il existe 6 classes de réponses et de codes d'état, représentées par le premier

digit :

· 1xx = Information - La requête a été reçue et continue à être traitée.

· 2xx = Succès - L'action a été reçue avec succès, comprise et acceptée.

· 3xx = Redirection - Une autre action doit être menée afin de valider la requête.

· 4xx = Erreur du client - La requête contient une syntaxe erronée ou ne peut pas être traitée par ce serveur.

· 5xx = Erreur du serveur - Le serveur n'a pas réussi à traiter une requête apparemment correcte.

· 6xx = Echec général - La requête ne peut être traitée par aucun serveur.

II.3.1.2.3. Les équipements du protocole SIP

Contrairement à H.323, largement fondé sur une architecture physique, le protocole SIP s'appuie sur une architecture purement logicielle.

Le protocole SIP s'articule principalement autour des cinq composantes suivants : terminal utilisateur ; serveur d'enregistrement ; serveur de localisation ; serveur de redirection et serveur proxy. La figure 26 illustre de façon générique les communications entre ces éléments. Un seul terminal étant présent sur cette figure, aucune communication n'est possible.

Nous nous intéressons aux seuls échanges entre le terminal et les services que ce dernier est susceptible d'utiliser lors de ses communications.

44

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

Fig. 26 : Composante du protocole SIP

On peut schématiquement observer qu'il existe deux catégories de services: L'un fourni au niveau de l'utilisateur (par le terminal), l'autre fourni au niveau des serveurs du réseau. Ces derniers sont répartis en deux classes : les serveurs de redirection et proxy, qui facilitent le routage des messages de signalisation et jouent le rôle d'intermédiaires, et les serveurs de localisation et d'enregistrement, qui ont pour fonction d'enregistrer ou de déterminer la localisation des abonnés du réseau.

II.3.1.2.3.1. Terminal

Le terminal est l'élément dont dispose l'utilisateur pour appeler et être appelé. Il doit donc permettre de composer des numéros de téléphone. Il peut se présenter sous la forme d'un composant matériel (un téléphone) ou d'un composant logiciel (un programme lancé à partir d'un ordinateur).

? User Agent Server (UAS) : représente l'agent de la partie appelée. C'est une application de type serveur qui contacte l'utilisateur lorsqu'une requête SIP est reçue. Et elle renvoie une réponse au nom de l'utilisateur.

? User Agent Client (U.A.C) : représente l'agent de la partie appelante. C'est une application de type client qui initie les requêtes. La figure 27 Ci-dessous présente le modèle communication entre UAC et UAS.

Requête

Fig. 27 : Communication entre UAC et UAS

45

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

II.3.1.2.3.2. Serveur d'enregistrement

Deux terminaux peuvent communiquer entre eux sans passer par un serveur d'enregistrement, à condition que l'appelant connaisse l'adresse IP de l'appelé. Cette contrainte est fastidieuse, car un utilisateur peut être mobile et ne pas avoir d'adresse IP fixe, par exemple s'il se déplace avec son terminal ou s'il se connecte avec la même identité à son lieu de travail et à son domicile. En outre, l'adresse IP peut être fournie de manière dynamique par un serveur DHCP.

Le serveur d'enregistrement (Register Server) offre un moyen de localiser un correspondant avec souplesse, tout en gérant la mobilité de l'utilisateur. Il peut en outre supporter l'authentification des abonnés. Cette figure 29 montre l'enregistrement du terminal d'Amparo sur un serveur Registrar.

A la réception du message REGISTER, le serveur Registrar a accès à l'adresse IP de la source, Amparo dans l'en-tête IP du message.

Fig. 28 : Enregistrement SIP

II.3.1.2.3.3. Serveur de localisation

Le serveur de localisation (Location Server) joue un rôle complémentaire par rapport au serveur d'enregistrement en permettant la localisation de l'abonné.

Ce serveur contient la base de données de l'ensemble d'abonnés qu'il gère. Cette base est renseignée par le serveur d'enregistrement. Chaque fois qu'un utilisateur s'enregistre auprès du serveur d'enregistrement, ce dernier en informe le serveur de localisation.

II.3.1.2.3.4. Serveur de redirection

Le serveur de redirection (Redirect Server) agit comme un intermédiaire entre le terminal client et le serveur de localisation. Il est sollicité par le terminal client pour contacter le serveur de localisation afin de déterminer la position courante d'un utilisateur.

46

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

II.3.1.2.3.5. Serveur Proxy

Les serveurs proxy jouent aussi un rôle collaboratif, puisque les requêtes qu'ils véhiculent peuvent transiter d'un serveur proxy à un autre, jusqu'à atteindre le destinataire. Notons que le serveur proxy ne fait jamais transiter de données multimédias et qu'il ne traite que les messages SIP.

Le serveur proxy remplit les différentes fonctions suivantes :

y' localiser un correspondant ;

y' réaliser éventuellement certains traitements sur les requêtes ;

y' initier, maintenir et terminer une session vers un correspondant.

II.3.1.2.4. Avantages et inconvénients du protocole SIP > Avantages

y' L'implémentation de la Voip avec le protocole de signalisation SIP (Session Initiation Protocol) fournit un service efficace, rapide et simple d'utilisation. SIP est un protocole rapide et léger.

y' Les utilisateurs s'adressent à ces serveurs Proxy pour s'enregistrer ou demander l'établissement de communications. Toute la puissance et la simplicité du système viennent de là. On peut s'enregistrer sur le Proxy de son choix indépendamment de sa situation géographique. L'utilisateur n'est plus "attaché" à son autocommutateur.

y' Une entreprise avec plusieurs centaines d'implantations physique différente n'a besoin que d'un serveur Proxy quelque part sur l'Internet pour établir "son" réseau de téléphonique "gratuit" sur l'Internet un peu à la manière de l'émail.

> Inconvénients

y' L'une des conséquences de cette convergence est que le trafic de voix et ses systèmes associés sont devenus aussi vulnérables aux menaces de sécurité que n'importe quelle autre donnée véhiculée par le réseau.

y' En effet, SIP est un protocole d'échange de messages basé sur HTTP. Ainsi, il est très vulnérable face à des attaques de types DoS (Dénis de Service), détournement d'appel, trafic de taxation, etc.

II.3.1.2.5. comparaison entre le protocole SIP et H.323

y' Les deux protocoles SIP et H323 représentent les standards définis jusqu'à présent pour la signalisation à propos de la téléphonie sur Internet .Ils présentent tous les deux des approches différentes pour résoudre un même problème.

47

IMPLANTATION D'UN SYSTEME VOIP SECURISE PAR UNE TECHNOLOGIE VPN DANS UNE ENTREPRISE A MULTIPLE CENTRE D'EXPLOITATION

y' H323 est basé sur une approche traditionnelle du réseau à commutation de circuits. Quant à SIP, il est plus léger car basé sur une approche similaire au protocole http.

y' La complexité de H.323 provient encore du fait de la nécessité de faire appel à plusieurs protocoles simultanément pour établir un service, par contre SIP n'a pas ce problème.

y' H323 ne reconnaît que les Codecs standardisés pour la transmission des données multimédias proprement dit alors que SIP, au contraire, peut très bien en reconnaître d'autres. Ainsi, on peut dire que SIP est plus évolutif que H.323.

Le tableau 2 nous donne l'approche comparative du protocole SIP et du protocole H.323.

Tableau 2 : comparaison entre le protocole SIP et H.323

En résumé, La simplicité, la rapidité et la légèreté d'utilisation, tout en étant très complet, du protocole SIP sont autant d'arguments qui pourraient lui permettre de convaincre les investisseurs. De plus, ses avancées en matière de sécurisation des messages sont un atout important par rapport à ses concurrents.