Un article très intéressant sur la sécurité de la téléphonie IP a été publié sur le site linkmeup.ru. Nous le publions sans modifications, pour ainsi dire, de la part de l'auteur.
=======================
Bonjour, collègues et amis, moi, Vadim Semenov, avec l'équipe du projet network-class.net, présentons un article de synthèse qui aborde les principales tendances et menaces de la téléphonie IP, et surtout, les outils de protection qui ce moment est proposé par le constructeur à titre de protection (dans le langage des spécialistes de la sécurité, voyons quels outils le constructeur propose pour réduire les vulnérabilités qui peuvent être exploitées par des individus illégitimes). Alors, moins de mots - passons aux choses sérieuses.
Pour de nombreux lecteurs, le terme téléphonie IP est formé depuis longtemps, ainsi que le fait que cette téléphonie est « meilleure », moins chère que la téléphonie publique (PSTN), riche de diverses fonctions supplémentaires, etc. Et cela est vrai, cependant... en partie. Alors que nous passons de la téléphonie analogique (numérique) à notre lignes d'abonné(du téléphone de l'abonné à la station ou au poste supplémentaire) et les lignes de connexion (ligne de communication inter-stations) se trouvaient au moins uniquement dans la zone d'accès et de contrôle de l'opérateur de téléphonie. En d’autres termes, les gens ordinaires n’y avaient pas accès (ou pratiquement, si l’on ne tient pas compte du chemin de câbles). Je me souviens d'une question sur le bon vieux forum de hackers : « Dites-moi comment accéder au PBX ? - réponse: "Eh bien, vous prenez un bulldozer, vous enfoncez le mur du bâtiment du central téléphonique et le tour est joué." Et cette plaisanterie a sa part de vérité.) Cependant, avec le transfert de la téléphonie vers un environnement IP bon marché, nous avons également été confrontés aux menaces que représente un environnement IP ouvert. Un exemple de menaces acquises est le suivant :
- Renifler les ports de signalisation afin de passer des appels payants aux frais de quelqu'un d'autre
- Écoute clandestine en interceptant les paquets vocaux IP
- Interception d'appels, utilisateur illégitime se faisant passer pour un utilisateur légitime, attaque de l'homme du milieu
- Attaques DDOS sur les serveurs de signalisation des stations afin de désactiver toute la téléphonie
- Attaques de spam, envoi d'un grand nombre d'appels fantômes vers une station afin d'occuper toutes ses ressources libres
Malgré la nécessité évidente d'éliminer toutes les vulnérabilités possibles afin de réduire la probabilité d'une attaque particulière, en effet, la mise en œuvre de certaines mesures de protection doit commencer par l'élaboration d'un calendrier tenant compte du coût de mise en œuvre des mesures de protection contre une menace spécifique. et les pertes de l'entreprise dues à la mise en œuvre de cette menace par les attaquants. Après tout, il est stupide de dépenser plus d’argent pour la sécurité d’un actif que pour la valeur de l’actif lui-même que nous protégeons.
Après avoir déterminé le budget de sécurité, nous commencerons à éliminer exactement les menaces les plus probables pour l'entreprise ; par exemple, pour une petite organisation, il sera très pénible de recevoir une facture importante pour des appels longue distance et internationaux imparfaits, tandis que pour les entreprises publiques, il est très important de maintenir la confidentialité des conversations. Commençons notre examen progressif dans l'article actuel par des éléments de base : il s'agit de fournir un moyen sécurisé de transmettre des données de service de la station au téléphone. Ensuite, nous considérerons l'authentification des téléphones avant de les connecter à la station, l'authentification de la station à partir des téléphones, ainsi que le cryptage du trafic de signalisation (pour masquer les informations sur qui appelle et où) et le cryptage du trafic conversationnel.
De nombreux fabricants d'équipements vocaux (dont Cisco Systems) disposent déjà d'outils de sécurité intégrés, depuis la restriction habituelle de la plage d'adresses IP à partir de laquelle les appels peuvent être passés jusqu'à l'authentification des appareils finaux à l'aide d'un certificat. Par exemple, le fabricant Cisco Systems avec sa gamme de produits vocaux CUCM (Cisco Unified CallManager) a commencé à intégrer la fonction « Security by Default » à partir de la version 8.0 du produit (date de sortie mai 2010 ; la version 10.5 de mai 2014 est actuellement disponible). Ce qu'il comprend :
- Authentification de tous les fichiers téléchargés via/depuis TFTP (fichiers de configuration, fichiers de firmware pour téléphones, etc.)
- Chiffrement des fichiers de configuration
- Vérification du certificat avec le téléphone initialisant la connexion HTTPS
Regardons un exemple d'attaque « de l'homme du milieu », lorsqu'une personne illégitime intercepte les fichiers de configuration des téléphones, à partir desquels le téléphone apprend avec quelle station s'inscrire, sur quel protocole travailler, quel firmware télécharger, etc. Après avoir intercepté le fichier, l'attaquant pourra y apporter ses propres modifications ou effacer complètement le fichier de configuration, empêchant ainsi les téléphones de tout le bureau (voir figure) de s'enregistrer au poste, et, par conséquent, privant le bureau de la possibilité de passer des appels.
Fig.1 Attaque de l'homme du milieu
Pour nous protéger contre cela, nous aurons besoin de connaissances sur le chiffrement asymétrique, l'infrastructure à clé publique et d'une compréhension des composants de la sécurité par défaut, que nous allons maintenant présenter : Identity Trust List (ITL) et Trust Verification Service (TVS). TVS est un service conçu pour traiter les requêtes des téléphones IP qui n'ont pas de fichier ITL ou CTL dans la mémoire interne. Le téléphone IP contacte TVS s'il doit s'assurer s'il peut faire confiance à un service particulier avant de commencer à y accéder. La station fait également office de référentiel stockant les certificats des serveurs de confiance. À son tour, ITL est une liste de clés publiques des éléments qui composent le cluster de stations, mais ce qui est important pour nous, c'est ce qui y est stocké. Clé publique Serveurs TFTP et clé publique du service TVS. Au premier démarrage du téléphone, lorsque le téléphone a reçu son adresse IP et l'adresse du serveur TFTP, il demande la présence d'un fichier ITL (Fig. 2). S'il se trouve sur le serveur TFTP, alors, en faisant aveuglément confiance, il le charge dans sa mémoire interne et le stocke jusqu'au prochain redémarrage. Après avoir téléchargé le fichier ITL, le téléphone demande un fichier de configuration signé.
Voyons maintenant comment utiliser les outils de cryptographie - signer un fichier à l'aide des fonctions de hachage MD5 ou SHA et le chiffrer à l'aide de la clé privée du serveur TFTP (Fig. 3). La particularité des fonctions de hachage est qu'elles sont des fonctions à sens unique. Sur la base du hachage reçu d'un fichier, il est impossible d'effectuer l'opération inverse et d'obtenir exactement le fichier d'origine. Lorsqu'un fichier est modifié, le hachage obtenu à partir de ce fichier change également. Il convient de noter que le hachage n'est pas écrit dans le fichier lui-même, mais y est simplement ajouté et transmis avec lui.
Fig.3 Signature du fichier de configuration du téléphone
Lors de la formation d'une signature, le fichier de configuration lui-même est récupéré, le hachage en est extrait et crypté avec la clé privée du serveur TFTP (que seul le serveur TFTP possède).
Dès réception ce fichier avec les paramètres, le téléphone vérifie d'abord son intégrité. On rappelle qu'un hachage est une fonction à sens unique, le téléphone n'a donc plus qu'à séparer le hachage crypté par le serveur TFTP du fichier de configuration, le décrypter à l'aide de la clé publique TFTP (et comment le téléphone IP le sait-il ? - et juste à partir du fichier ITL ), à partir d'un fichier de configuration propre, calculez le hachage et comparez-le avec ce que nous avons reçu lors du décryptage. Si le hachage correspond, cela signifie qu'aucune modification n'a été apportée au fichier pendant la transmission et qu'il peut être utilisé en toute sécurité sur le téléphone (Fig. 4).
Fig.4 Vérification du fichier de configuration avec un téléphone IP
Le fichier de configuration signé pour le téléphone est présenté ci-dessous :
Riz. 5 Fichier de téléphone IP signé dans Wireshark
En signant le fichier de configuration, nous avons pu garantir l'intégrité du fichier de paramètres transféré, mais nous ne l'avons pas protégé contre la visualisation. Vous pouvez obtenir beaucoup de choses à partir du fichier de configuration capturé informations utiles, par exemple, l'adresse IP d'un central téléphonique (dans notre exemple, il s'agit de 192.168.1.66) et les ports ouverts du central (2427), etc. N'est-ce pas une information très importante que vous ne voudriez pas simplement « briller » sur Internet ? Pour masquer ces informations, les fabricants proposent d'utiliser un cryptage symétrique (la même clé est utilisée pour le cryptage et le déchiffrement). Dans un cas, la clé peut être saisie manuellement dans le téléphone ; dans un autre cas, le fichier de configuration du téléphone est crypté au poste à l’aide de la clé publique du téléphone. Avant d'envoyer un fichier au téléphone, le serveur tftp sur lequel ce fichier est stocké le crypte grâce à la clé publique du téléphone et le signe grâce à sa clé privée (on assure ainsi non seulement le secret, mais aussi l'intégrité des fichiers transférés). L'essentiel ici est de ne pas se tromper sur qui utilise quelle clé, mais prenons les choses dans l'ordre : le serveur tftp, en cryptant le fichier avec la clé publique du téléphone IP, s'est assuré que seul le propriétaire de la clé publique couplée peut ouvrir ce fichier. En signant le fichier avec sa clé privée, le serveur tftp confirme que c'est bien lui qui l'a créé. Le fichier crypté est illustré à la figure 6 :
Fig.6 Fichier de téléphone IP crypté
À ce stade, nous avons donc envisagé de protéger les fichiers de configuration de notre téléphone contre la visualisation et de garantir leur intégrité. C'est là que se termine la fonctionnalité de sécurité par défaut. Pour assurer le cryptage du trafic vocal et masquer les informations de signalisation (sur qui appelle et où il appelle), des outils supplémentaires sont nécessaires, basés sur la liste des certificats de confiance - CTL, que nous examinerons plus loin.
Authentification du central téléphonique
Lorsqu'un téléphone doit communiquer avec un central téléphonique (par exemple, pour négocier une connexion TLS pour un échange de signalisation), le téléphone IP doit authentifier le central. Comme vous pouvez le deviner, les certificats sont également largement utilisés pour résoudre ce problème. A l'heure actuelle, les stations IP modernes sont constituées d'un grand nombre d'éléments : plusieurs serveurs de signalisation pour le traitement des appels, un serveur d'administration dédié (de nouveaux téléphones, utilisateurs, passerelles, règles de routage, etc. sont ajoutés via lui), un serveur TFTP dédié pour stockage de fichiers de configuration et de logiciels pour téléphones, un serveur de diffusion de musique d'attente, etc., en outre, l'infrastructure vocale peut inclure une messagerie vocale, un serveur de détermination de l'état actuel de l'abonné (en ligne, hors ligne, « au déjeuner ») - la liste est impressionnante et, surtout, chaque serveur possède son propre certificat auto-signé et chacun fait office d'autorité de certification racine (Fig. 7). Pour cette raison, aucun serveur de l'infrastructure vocale ne fera confiance au certificat d'un autre serveur. Par exemple, un serveur vocal ne fera pas confiance à un serveur TFTP, la messagerie vocale ne fera pas confiance à un serveur de signalisation et, de plus, les téléphones doivent stocker les certificats de tous les éléments participant à l'échange de trafic de signalisation. Les certificats de central téléphonique sont illustrés à la figure 7.
Fig.7 Certificats de station IP Cisco auto-signés
Pour les tâches d'établissement de relations de confiance entre les éléments décrits ci-dessus dans les infrastructures vocales, ainsi que pour le cryptage du trafic vocal et de signalisation, la liste de confiance des certificats (CTL) entre en jeu. Le CTL contient tous les certificats auto-signés de tous les serveurs du cluster de stations vocales, ainsi que ceux participant à l'échange de messages de signalisation téléphonique (par exemple, un pare-feu) et ce fichier est signé avec la clé privée d'une autorité de certification de confiance. (Fig. 8). Le fichier CTL est équivalent aux certificats installés utilisés dans les navigateurs Web lorsque vous travaillez avec le protocole https.
Fig.8 Liste des certificats de confiance
Afin de créer un fichier CTL sur un équipement Cisco, vous aurez besoin d'un PC avec un connecteur USB, du programme client CTL installé dessus et du jeton de sécurité de l'administrateur du site (SAST) lui-même (Fig. 9), contenant une clé privée et un certificat X.509v3 signé par un fabricant de centre d'authentification (Cisco).
Figure 9 eToken Cisco
Le client CTL est un programme installé sur un PC Windows et avec lequel vous pouvez transférer ENTIER le central téléphonique vers le mode dit mixte, c'est-à-dire un mode mixte prenant en charge l'enregistrement des appareils finaux dans des modes sécurisés et non sécurisés. Nous lançons le client, précisons l'adresse IP du central téléphonique, saisissons le login/mot de passe administrateur et le client CTL établit une connexion TCP sur le port 2444 avec la station (Fig. 10). Après cela, seules deux actions seront proposées :
Figure 10 Client Cisco CTL
Après avoir créé le fichier CTL, il ne reste plus qu'à redémarrer les serveurs TFTP pour qu'ils téléchargent le nouveau fichier CTL créé, puis redémarrer les serveurs vocaux pour que les téléphones IP redémarrent également et téléchargent le nouveau fichier CTL (32 kilo-octets). Le fichier CTL téléchargé peut être consulté à partir des paramètres du téléphone IP (Fig. 11).
Fig. 11 Fichier CTL sur un téléphone IP
Authentification du point de terminaison
Pour garantir que seuls les points de terminaison approuvés sont connectés et enregistrés, l’authentification des appareils doit être mise en œuvre. Dans ce cas, de nombreux fabricants utilisent une méthode déjà éprouvée : l'authentification des appareils à l'aide de certificats (Fig. 12). Par exemple, dans l'architecture vocale Cisco, cela est implémenté comme suit : il existe deux types de certificats d'authentification avec les clés publiques et privées correspondantes qui sont stockées sur le téléphone :
Certificat installé par le fabricant – (MIC). Le certificat installé par le fabricant contient une clé de 2 048 bits signée par l'autorité de certification du fabricant (Cisco). Ce certificat n'est pas installé sur tous les modèles de téléphone, et s'il est installé, il n'est pas nécessaire d'avoir un autre certificat (LSC).
Certificat localement significatif – (LSC) Un certificat localement significatif contient la clé publique du téléphone IP, qui est signée par la clé privée du centre d'authentification local, qui s'exécute sur le central téléphonique lui-même, la fonction proxy de l'autorité de certification (CAPF).
Ainsi, si nous avons des téléphones avec un certificat MIC préinstallé, chaque fois que le téléphone s'enregistre auprès d'une station, celle-ci demandera un certificat préinstallé par le fabricant pour l'authentification. Cependant, si le MIC est compromis, son remplacement nécessite de contacter le centre de certification du fabricant, ce qui peut prendre beaucoup de temps. Afin de ne pas dépendre du temps de réponse de l'autorité de certification du fabricant pour réémettre un certificat téléphonique compromis, il est préférable d'utiliser un certificat local.
Fig. 12 Certificats pour l'authentification des appareils finaux
Par défaut, le certificat LSC n'est pas installé sur le téléphone IP et son installation peut se faire à l'aide d'un certificat MIB (si disponible), ou via une connexion TLS (Transport Layer Security) à l'aide d'une clé publique partagée générée manuellement par l'administrateur au niveau du téléphone IP. station et saisi au téléphone.
Le processus d'installation d'un certificat localement significatif (LSC) sur le téléphone contenant la clé publique du téléphone signée par une autorité de certification locale est illustré à la figure 13 :
Fig.13 Processus d'installation d'un certificat LSC valide localement
1. Après avoir chargé le téléphone IP, il demande une liste de certificats de confiance (fichier CTL) et un fichier de configuration
2. La station envoie les fichiers demandés
3. A partir de la configuration reçue, le téléphone détermine s'il doit télécharger un certificat localement significatif (LSC) depuis la station.
4. Si, à la station, nous avons configuré le téléphone pour installer un certificat LSC (voir ci-dessous), que la station utilisera pour authentifier ce téléphone IP, nous devons alors nous assurer que lors d'une demande d'émission d'un certificat LSC, la station le délivre à la personne à qui il est destiné. À ces fins, nous pouvons utiliser un certificat MIC (si disponible), générer Mot de passe à usage unique sur chaque téléphone et saisissez-le manuellement sur le téléphone ou ne pas utiliser d'autorisation du tout.
L'exemple montre le processus d'installation de LSC à l'aide du fichier généré
Propulsé par SEO CMS ver. : 23.1 TOP 2 (opencartadmin.com)
2015. SwitchRay présente une solution mise à jour pour protéger le PBX IP de la fraude
SwitchRay, l'un des principaux fournisseurs de solutions VoIP pour les opérateurs de télécommunications de détail et de gros, les fournisseurs de services Internet et les opérateurs de réseaux filaires et sans fil, a annoncé la disponibilité d'une nouvelle version du produit SR-P7000 v1.1 pour prévenir la fraude IP PBX. Contrairement à d'autres solutions, le SR-P7000 v1.1 est une plateforme indépendante et facilement compatible avec n'importe quel softswitch pour protéger les opérateurs contre la perte de revenus causée par Formes variées fraude, piratage et autres violations de la sécurité de l'information.
2013. WebMoney Voice - application pour une communication VoIP sécurisée
Le système de paiement WebMoney a lancé l'application WebMoney Voice (ou plutôt, il s'agit d'un module supplémentaire au client mobile du système), qui permet d'effectuer des conversations téléphoniques sécurisées via la téléphonie IP. WebMoney Voice code les données à l'aide d'algorithmes spéciaux et élimine pratiquement la possibilité d'interception et d'écoute clandestine des conversations par des tiers sur tous les réseaux de données. Parallèlement, lors d’un appel confidentiel, la qualité sonore de la voix de l’interlocuteur n’est pas perdue. Il n’y a aucun frais pour l’utilisation du service. L'application est actuellement disponible en téléchargement dans jeu de Google pour Android version 3.0.52 et supérieure. Des versions sont prévues pour d'autres plateformes mobiles.
2012. Telfin protège les communications VoIP d'entreprise
Le fournisseur de services VoIP professionnel Telfin a lancé un nouveau service Telfin.VoiceVPN, conçu pour protéger les communications VoIP. Le fait est que la technologie VoIP implique la transmission de la voix sur les canaux Internet publics, ainsi que sur l'intranet, qui n'est pas toujours correctement isolé du réseau externe. Le signal vocal peut donc être intercepté et les secrets commerciaux volés. Telfin.VoiceVPN vous permet de protéger le réseau interne de votre entreprise contre les écoutes clandestines et d'organiser un canal sécurisé entre les bureaux distants. Pour ce faire, chaque bureau doit disposer d'un routeur VPN (que Telfin vend 3 200 roubles). La connexion coûte encore 1 000 roubles, puis vous payez des frais mensuels de 500 roubles/mois.
2011. BELTEL vendra des solutions VoIP à Polycom
L'intégrateur de systèmes BELTEL annonce avoir reçu le statut de revendeur agréé de Polycom. Ce statut permet à l'entreprise d'élargir son portefeuille avec des produits et des solutions tels que des téléphones matériels pour travailler avec Microsoft Endpoint, des solutions vocales basées sur IP, ainsi que des solutions Video Border Proxy créées pour fournir un accès à distance sécurisé aux fonctions UC, VoIP et vidéo et assurer le passage des données multimédia à travers les pare-feu de l'entreprise.
2010. PhoneUp augmente la sécurité et la contrôlabilité de l'entreprise
La société BKS-IT a introduit un nouveau module « Priorité » pour son package PhoneUp, élargissant les pouvoirs de certains groupes d'employés pour gérer les appels au sein d'un réseau IP construit sur les technologies Cisco. Grâce au nouveau module, les managers ou agents de sécurité de l'entreprise pourront écouter des conversations en se connectant discrètement au téléphone d'un employé, initier une connexion forcée avec un employé (même si son téléphone est occupé), rejoindre la conversation en cours d'un employé, et lancer l'enregistrement de la conversation d'un employé. En plus du nouveau module, le package PhoneUp comprend des modules pour la mise en œuvre d'un annuaire téléphonique d'entreprise unifié, de vidéosurveillance et d'informations sur les employés.
2009. WatchGuard XTM assurera la sécurité de la téléphonie IP
L'importance de protéger les communications VoIP contre les menaces a considérablement augmenté ces dernières années, et cette tendance ne fera que s'intensifier en raison de l'augmentation annuelle des volumes de trafic VoIP. WatchGuard Technologies a introduit une nouvelle version du système de sécurité des réseaux IP d'entreprise WatchGuard XTM 8 Series, dont les principales fonctionnalités sont des outils de protection de la téléphonie IP. Le système offre une protection VoIP, une messagerie instantanée (IM) et un blocage des applications P2P. Les solutions WatchGuard XTM 8 Series proposent également une sécurité basée sur les applications pour les protocoles SIP et H.323, permettant de masquer les systèmes VoIP commerciaux tout en les renforçant pour repousser les attaques de récolte d'annuaire, l'accès non autorisé à la vérification des entrées et d'autres menaces de sécurité. La solution WatchGuard XTM 8 Series est conçue pour les grandes entreprises disposant de réseaux de 1 000 à 5 000 utilisateurs.
2009. Un cours spécial sur la sécurité de la téléphonie IP aura lieu en Russie
Le centre de formation Informzashita a annoncé un cours spécial sur la sécurité de la téléphonie IP, dédié aux questions complexes d'analyse de sécurité et d'assurance de la sécurité de la téléphonie IP. Il s'agit d'un cours unique pour la Russie, qui examine les approches modernes de construction d'une infrastructure de téléphonie IP, les vulnérabilités et les attaques contre ses composants, les méthodes de protection, les systèmes de surveillance et les méthodologies d'analyse de la sécurité d'un réseau VoIP. Plus de 50 % du temps d'enseignement sera consacré à Travaux pratiques, au cours de laquelle les attaques typiques sur l'infrastructure de téléphonie IP sont modélisées et la méthodologie d'utilisation des mécanismes de protection est envisagée. La technologie de virtualisation des serveurs et des postes de travail utilisée dans le processus de formation permet à chaque spécialiste d'effectuer des travaux pratiques sur un réseau VoIP individuel. Le cours s'adresse aux administrateurs de la sécurité de l'information, aux administrateurs système et réseau responsables de l'exploitation des applications VoIP, aux experts en sécurité informatique et aux analystes qui déterminent les exigences en matière de sécurité des ressources réseau et de protection contre les fuites. information confidentielle par les voies techniques.
2009. Les autorités de la zone euro veulent écouter Skype
L'Agence de l'Union européenne pour la coordination des systèmes judiciaires nationaux souhaite pouvoir écouter les systèmes de téléphonie IP, y compris. Yahoo Messenger, appels Internet, Skype. Actuellement, ces fournisseurs de VoIP ne sont pas soumis aux lois européennes et américaines sur les écoutes téléphoniques et la conservation des données et, contrairement aux entreprises de télécommunications, ils ne sont pas tenus de coopérer avec les forces de l'ordre. De plus, le cryptage des communications, par exemple dans Skype, rend pratiquement impossible leur écoute « forcée ». Une réunion des législateurs européens sur cette question aura lieu dans les semaines à venir.
2008. Cisco sécurisera les communications unifiées
La sécurité SIP pour les communications unifiées utilise le protocole SIP du pare-feu Cisco IOS pour sécuriser les communications vocales. Cette innovation permettra aux entreprises d'adopter le concept d'entreprise distribuée, d'augmenter leur productivité et de minimiser les menaces associées aux communications vocales. Cette mise à jour étend les solutions réseau CISCO Self-Defending Network à une gamme plus large. solution système, offrant une protection globale aux réseaux et à un large éventail de points finaux, d'applications et de contenus.
2007. La VoIP est difficile à écouter
L'utilisation généralisée des services VoIP pose des problèmes à diverses agences de renseignement. Les appels téléphoniques via Skype sont presque impossibles à suivre et à écouter, et si un VPN est utilisé, la tâche devient plusieurs fois plus difficile, écrit Australian IT. La prolifération des opérateurs de téléphonie IP et la disponibilité du cryptage des données signifient que l’époque des simples écoutes téléphoniques est révolue. Les services de renseignement travaillent dans ce sens, attirant des spécialistes et élargissant leurs capacités techniques. Cependant, les salaires de ces spécialistes et le coût des équipements sont trop élevés. Dans ce cas, le gouvernement est tenté d’introduire des réglementations obligeant les fournisseurs de VoIP à utiliser des technologies simplifiées, ce qui pourrait à terme conduire à un affaiblissement de la sécurité du réseau.
2007. Cisco : les professionnels de la sécurité informatique n'ont pas peur de la VoIP
Une enquête commandée par Vanson Bourne pour Cisco a révélé que les virus arrivent en tête de liste des menaces les plus importantes. En 2007, ils ont été sacrés champion par 55 % des sondés (contre 27 % en 2006). L'accès non autorisé aux données a été cité comme la principale menace par 33 %, contre 50 % l'année dernière. La principale préoccupation de 38 % des professionnels de la sécurité informatique était la sécurité des données, et 33 % d'entre eux ont cité la nécessité de mettre les processus en conformité avec les exigences réglementaires. Aucune des personnes interrogées n'a exprimé de « fortes inquiétudes » concernant la sécurité de la VoIP, d'Asterisk ou des systèmes de communications unifiées (Internet et filaire). Cependant, la moitié (49 %) conviennent que les considérations de sécurité doivent être prises en compte lors du déploiement des communications IP. L'enquête a été menée auprès de 100 professionnels de la sécurité informatique responsables de la protection des informations dans leurs entreprises comptant plus de 1 000 employés.
2007. Skype s'engage à améliorer la sécurité de ses logiciels
L'opérateur de téléphonie IP peer-to-peer populaire Skype envisage de conclure un accord de coopération avec une entreprise spécialisée dans la sécurité des réseaux messages instantanés,Communications FaceTime. Selon le journal d'information Silicon, Skype tentera ainsi de fournir davantage d'outils de contrôle des sessions de téléphonie IP afin de promouvoir ses services dans le secteur des entreprises. Il est prévu que cet accord soit suivi d'un certain nombre d'autres transactions similaires. L'intention de Skype de faire de son logiciel un outil de communication d'entreprise accessible au public a nécessité un changement d'attitude des responsables informatiques des entreprises, incapables de contrôler le trafic du système téléphonique populaire. Selon un responsable Données Skype environ 30 % des 171 millions d'utilisateurs enregistrés sont issus du monde des affaires.
2007. Les experts en sécurité continuent d'exprimer leurs craintes quant aux problèmes futurs liés à la téléphonie IP
Les entreprises spécialisées dans la sécurité des ordinateurs dans les réseaux continuent d'effrayer la communauté mondiale avec des menaces potentielles qui toucheront bientôt de nombreux utilisateurs de téléphonie IP. L'absence de problèmes promis depuis longtemps s'explique par le développement insuffisant de ce type de communication, mais sur la base de données de recherche affirmant que d'ici 2010, le nombre de téléphones IP en activité aura plus que quadruplé, les experts en sécurité affirment que la plupart des entreprises ne sont tout simplement pas prêtes. pour des attaques sur leurs réseaux VoIP, écrit The Register. Dans le même temps, les fabricants de systèmes de sécurité ne cachent pas qu'ils s'attendent à une croissance rapide du marché des systèmes de sécurité pour la téléphonie IP, et expliquent leurs sombres prévisions par la volonté d'avertir à l'avance les clients potentiels du danger. Les experts de Symantec estiment que les principales difficultés des systèmes VoIP seront liées au phishing, Panda Software craint la propagation de vers via le trafic des modules VoIP des clients de messagerie instantanée ou des systèmes comme Skype, et les représentants de ScanSafe affirment que les réseaux VoIP seront particulièrement vulnérables pour Attaques DoS.
2006. Des experts américains créent un groupe de partenariat pour la sécurité VoIP
Un groupe d'universitaires et d'experts américains de l'industrie a récemment été formé pour enquêter sur les problèmes de sécurité associés à la technologie VoIP. Le groupe de partenaires comprenait le Georgia Tech Information Security Center (GTISC), BellSouth et Internet Security Systems (ISS). Les services de communication se déplacent vers les plateformes Internet et l'importance de la sécurité augmente dans le contexte de l'utilisation de nouvelles technologies convergentes. Les chercheurs prévoient d'analyser la sécurité des protocoles VoIP et les problèmes d'authentification, de modéliser le trafic VoIP et le comportement des appareils, et de protéger les téléphones mobiles et les applications VoIP. ISS et BellSouth ont fourni 300 000 $ pour un programme de recherche de deux ans qui permettra au GTISC de développer et d'évaluer des solutions de sécurité, et ISS et BellSouth auront accès aux résultats de cette recherche.
2006. Le contrôleur de frontière de session aidera à protéger la VoIP
Le développement des services de téléphonie IP soulève avec toute son urgence une nouvelle question qui prend ses racines dans des problèmes anciens : la sécurité de la VoIP. Les experts prédisent que d'ici la mi-2007, le piratage et les attaques de virus sur les réseaux VoIP seront monnaie courante, ce qui ne peut qu'inquiéter les développeurs de solutions VoIP et les fournisseurs de services VoIP. Cependant, une certaine protection de base peut être organisée au niveau de l'architecture du réseau, à l'aide de contrôleurs de bordure de session (SBC), qui peuvent empêcher les attaques DDoS, la propagation du SPIT (Spam sur la téléphonie Internet) et les épidémies de virus, ainsi que chiffrer en permanence le trafic. Les SBC étaient à l'origine utilisés pour organiser des sessions VoIP derrière NAT. Aujourd'hui, ils sont capables de remplir de nombreuses fonctions de protection, grâce à la possibilité d'examiner le contenu des colis en temps réel. Dans le réseau, les contrôleurs de frontière de session masquent l'adresse réelle de l'utilisateur, ce qui minimise la possibilité d'une attaque DDoS ou de piratage, contrôlent la bande passante, maintiennent la qualité de service et masquent la topologie des réseaux voisins. Dans les réseaux de nouvelle génération, SBC deviendra un élément essentiel de sécurité, aux côtés de flexibilité et d’évolutivité, tout en étant fiable et simple.
2006. Nouveau cryptage pour la VoIP sur la plateforme Windows
Une nouvelle technologie de sécurité cryptographique qui permet de protéger une session VoIP entre deux nœuds sans contacter un tiers ni stocker les clés séparément a été développée par Phil Zimmermann, l'auteur légendaire du logiciel de cryptage de données PGP. Zimmerman a déclaré que le protocole qu'il a développé peut être utilisé avec n'importe quel système téléphonique prenant en charge SIP. Compte tenu du fait que la nouvelle version de Zfone fonctionne avec Windows, l'utilisateur massif de systèmes de téléphonie IP peer-to-peer a la possibilité de sécuriser pleinement ses communications. La technologie a été soumise pour approbation à l’Internet Engineering Task Force (IETF).
2006. La VoIP est plus sûre que la téléphonie classique
Lors de la transition des réseaux TDM vers les réseaux VoIP, les fournisseurs de services sont confrontés à un défi de taille : assurer la sécurité des communications vocales. Le réseau téléphonique n'était plus isolé et un système VoIP mal conçu pouvait facilement être victime de n'importe quel malheur courant sur Internet : d'une attaque DoS à l'interception de données. À ce jour, les technologies développées pour résoudre ce problème se sont suffisamment accumulées pour parler de la possibilité d'obtenir une plus grande sécurité dans la téléphonie IP par rapport à un réseau téléphonique conventionnel, écrit le directeur marketing d'AudioCodes dans son article publié dans la publication d'information Converge Haim Melamed. Cependant, la sécurité n’est en aucun cas un concept nouveau pour les systèmes téléphoniques. Pour les réseaux téléphoniques ordinaires, tous les problèmes actuels, depuis les écoutes clandestines jusqu'au déni de service, étaient également, à un degré ou à un autre, pertinents. La simple connexion à un réseau mondial a considérablement augmenté le nombre d'attaquants potentiels qui ont la possibilité d'effectuer des actions non autorisées en relation avec le système de communication et disposent d'un ensemble complet d'outils éprouvés. Auparavant, cela nécessitait un accès physique et des équipements spéciaux, ce qui limitait considérablement le nombre de criminels potentiels.
2006. NetIQ lance un outil anti-piratage VoIP
NetIQ a dévoilé une solution de sécurité VoIP qui fonctionne avec la téléphonie IP Cisco et protège contre les DoS, les virus, les vers, la fraude téléphonique, les écoutes clandestines et autres menaces, rapporte NetworkWorld. Nouvel outil permet aux administrateurs d'avoir des informations en temps réel sur le fonctionnement du système, sa disponibilité et avertit de toute menace de sécurité. La solution comprend AppManager, qui surveille l'environnement VoIP pour détecter les événements de sécurité et les modifications de configuration. AppManager Call Data Analysis examine les enregistrements d'appels incorrects et génère un rapport, Security Manager for IP Telephony enregistre et analyse les événements de sécurité. Les ventes de la solution de sécurité VoIP débuteront plus tard ce trimestre et sont au prix de 6 $ par téléphone IP.
2005. VPN pour la téléphonie IP d'Avaya
Avaya a introduit un service VPN dans sa famille d'équipements de téléphonie IP. Cela permettra aux utilisateurs professionnels d'étendre en toute sécurité les communications de leur siège social aux employés travaillant à domicile ou travaillant temporairement dans des environnements réseau non sécurisés. L'intégration du nouveau logiciel VPNremote à un téléphone IP fournira aux employés des communications de classe professionnelle contenant toutes les fonctionnalités nécessaires à des communications d'entreprise hautes performances et ininterrompues. VPNremote pour téléphones IP Avaya 4600 vous permet d'installer rapidement et à moindre coût des téléphones de bureau IP à domicile ou dans des bureaux distants. Il suffit à l'administrateur de télécharger le logiciel sur le téléphone IP et à l'employé de le brancher sur une prise électrique, de le connecter au routeur haut débit domestique et de saisir un mot de passe.
2005. VoIPShield lance un outil d'évaluation des risques VoIP
VoIPShield System a publié une nouvelle solution d'évaluation de la vulnérabilité pour les systèmes VoIP (tels qu'Asterisk) qui permet aux organisations de prévenir les menaces avant qu'elles n'affectent les services VoIP. Basé sur une base de données de menaces, VoIPaudit est complet et évolutif. Il peut être utilisé pour surveiller la famille de protocoles VoIP, notamment le protocole d'établissement de session (SIP), le protocole H.323, le protocole Cisco Skinny, le protocole Nortel Unistim, etc. Les communications VoIP sont essentielles et VoIPaudit offre un niveau de protection sans précédent pour tous les réseaux d'équipements et d'appareils VoIP. VoIPaudit est disponible aujourd'hui, à partir de 10 000 $, qui comprend la formation et l'assistance.
2005. VoIPSA fait ses premiers pas
Depuis le lancement de ses travaux cette année, l'organisation de sécurité de la téléphonie IP Voice over IP Security Alliance (VoIPSA) a franchi sa première étape majeure dans la protection des services VoIP : elle a clairement identifié une liste de problèmes et de vulnérabilités qui peuvent être exploitées par des attaquants. Le projet, appelé VoIP Security Threat Taxonomy, est publié pour discussion publique. Il fournit des définitions et des descriptions complètes et détaillées des menaces de sécurité potentielles, qui constituent la base de la création de systèmes de contre-mesures, écrit Computer Business. Bien que l'organisation soit au courant d'attaques graves utilisant des vulnérabilités VoIP par des moyens assez simples, le directeur de VoIPSA, Jonathan Zar, refuse de donner des exemples précis. La liste des problèmes potentiels comprend la reconnaissance, les attaques DoS et DDoS, l'exploitation des vulnérabilités du protocole, les écoutes clandestines, la suppression et la modification des flux audio.
2005. Juniper assure la sécurité VoIP
Juniper Networks Inc. a annoncé Dynamic Threat Mitigation, qui permet aux fournisseurs de services de fournir aux entreprises et aux consommateurs une protection avancée des services réseau et une assurance de service, y compris la VoIP. Le système est intégré aux routeurs Juniper (série M ou série E), sans que les clients aient à installer de nouveaux équipements. La solution permet d'identifier les attaques par utilisateur ou par application, grâce à des politiques de gestion dynamique et des méthodes de détection et de prévention des intrusions (attaques DoS, pénétration de vers). Compte tenu du grand nombre de services fournis sur les réseaux IP, l’utilisation du système Dynamic Threat Mitigation est une étape naturelle et progressive.
2005. La sécurité VoIP sera sérieusement menacée dans deux ans
Dans deux ans, les attaquants représenteront une menace pour la téléphonie IP avec du spam et des virus spéciaux. C'est ce qu'ont déclaré les représentants du célèbre fabricant d'équipements de télécommunications Nortel. De plus, les entreprises utilisant la VoIP, la vidéoconférence et d'autres services multimédias basés sur technologies de réseau, devraient se préparer dès maintenant à la prochaine étape de protection de leur infrastructure, écrit le journal d'information Silicon. Le vice-président de la société, Atul Bhatnager, a déclaré que pour l'instant, les interférences avec le service VoIP sont plutôt exotiques, mais que les pirates informatiques acquièrent rapidement de l'expérience et qu'à l'avenir, les utilisateurs de téléphonie IP seront confrontés aux mêmes problèmes inhérents, du fait des attaquants, à réseaux de transmission de données classiques : spam et attaques DoS. Certes, deux ans suffisent pour préparer et déployer suffisamment de systèmes de sécurité capables d’analyser en profondeur les paquets de données.
2005. Motorola+Skype
Motorola et le fournisseur de services de téléphonie Internet Skype Technologies ont signé un accord de coopération, comme annoncé lors du congrès 3GSM à Cannes. Lors de la première étape de la coopération, les sociétés développeront conjointement de nouveaux produits Motorola Skype Ready optimisés pour la téléphonie IP. La gamme de produits comprendra un casque Bluetooth, des appareils mains libres et du matériel pour protéger les logiciels et les données contre tout accès non autorisé. En outre, Motorola prévoit de lancer un certain nombre de modèles de téléphones mobiles dotés de fonctions de téléphonie Internet. Les combinés seront équipés d'un logiciel de téléphonie IP développé par Skype, qui permettra aux téléphones d'interagir à la fois avec les réseaux cellulaires et les réseaux Wi-Fi. Le partenariat entre les sociétés rendra la communication vocale sur Internet accessible non seulement aux utilisateurs d'ordinateurs personnels et d'ordinateurs de poche. Les propriétaires de nouveaux téléphones mobiles Motorola auront également la possibilité d'appeler partout dans le monde sans se soucier des énormes factures de services de communication.
2004. Cisco CallManager 4.1 : niveau de sécurité sans précédent
Cisco Systems annonce la sortie de nouvelles fonctionnalités de sécurité pour les systèmes de communication IP. La nouvelle solution - Cisco CallManager 4.1 - offre un niveau de sécurité accru pour les communications vocales et confirme une fois de plus le leadership de Cisco dans le domaine des technologies IP. Cisco CallManager 4.1 prend en charge le cryptage vocal sur les nouveaux téléphones IP Cisco 7940G et 7960G, ainsi que sur plus de 2,5 millions de téléphones IP Cisco 7940G et 7960G déjà installés. Le cryptage des données vocales garantit la confidentialité conversations téléphoniques, et le cryptage des informations de signal protège contre la manipulation des paquets de signalisation téléphonique. Le logiciel Cisco CallManager 4.1 s'interface avec une large gamme de passerelles multimédia Cisco, y compris la famille de routeurs à services intégrés. La prise en charge du chiffrement pour les passerelles multimédia Cisco complète les puissantes capacités de voix sur réseau privé virtuel (V3PN) et de protection contre les menaces déjà incluses dans ces plates-formes.
2002. La nouvelle version d'Avaya IP Office 1.3 a été publiée
Avaya a introduit une nouvelle version de sa solution VoIP destinée aux petites et moyennes entreprises, Avaya IP Office 1.3. Avaya IP Office Release 1.3 inclut de nouveaux logiciels et matériels pour répondre aux diverses exigences commerciales. Le logiciel améliore les capacités du système pour prendre en charge une gamme plus large de téléphones IP Avaya, améliore la sécurité du système et offre davantage de fonctionnalités réseau. La nouvelle version autorise jusqu'à 256 utilisateurs et prend en charge jusqu'à deux conférences simultanées (jusqu'à 64 participants chacune) ou plusieurs conférences avec moins de participants sur une plate-forme matérielle étendue. Les fonctionnalités de sécurité incluent des modes de conférence spéciaux et un contrôle d'accès à l'aide de codes PIN. VoiceMail Pro vous permet d'automatiser la composition d'un numéro (appel par nom). Il existe également des fonctions de réponse vocale interactive (IVR) avec une interface API ouverte.
2002. Avaya a présenté une nouvelle solution pour la téléphonie IP sur VPN
Avaya a publié une nouvelle version d'Avaya VPNremote avec une prise en charge étendue des normes de réseau ouvertes. La nouvelle solution permettra aux entreprises d'organiser rapidement et efficacement l'accès des employés distants à toutes les capacités de communication utilisées dans les bureaux de l'organisation. Les téléphones IP Avaya basés sur la nouvelle version de VPNremote permettent aux travailleurs distants de travailler sur les réseaux Cisco Systems et Juniper Networks. Les nouvelles fonctionnalités Avaya VPNremote pour téléphones IP offrent un haut niveau de contrôle et de qualité de communication. Avaya VPNremote 2.0 est une solution logicielle qui améliore les téléphones IP Avaya avec des capacités d'accès sécurisées au réseau privé virtuel (VPN). Ainsi, les employés distants des entreprises ont la possibilité de travailler dans le réseau d'entreprise avec des communications de haute qualité. La nouvelle version d'Avaya VPNremote prend en charge les environnements VPN Cisco Systems et Juniper Networks.
2001. PGPfone - conversation sécurisée via VoIP et messagerie instantanée
PGPfone est un programme qui transforme votre ordinateur personnel ou portable en téléphone sécurisé. Afin d'offrir la possibilité de mener des conversations téléphoniques sécurisées en temps réel (via lignes téléphoniques et canaux Internet), il utilise une technologie de compression audio et des protocoles cryptographiques puissants. Le son de votre voix reçu via le microphone est séquentiellement numérisé, compressé, crypté et envoyé par PGPfone à la personne à l'autre bout de la ligne qui utilise également PGPfone. Tous les protocoles cryptographiques et de compression sont sélectionnés de manière dynamique et transparente pour l'utilisateur, offrant ainsi une interface naturelle similaire à celle d'un téléphone ordinaire. Des protocoles de cryptographie à clé publique sont utilisés pour sélectionner la clé de chiffrement, de sorte qu'un canal sécurisé pour l'échange de clés n'est pas requis au préalable.
Téléphonie IP :- Écoute. Lorsque des informations confidentielles sur les utilisateurs (identifiants, mots de passe) ou des données confidentielles sont transmises via des canaux non sécurisés, il existe une possibilité d'écoute clandestine et d'abus par un attaquant à des fins personnelles.
- Manipulation de données. Les données transmises via les canaux de communication peuvent en principe être modifiées.
- Substitution de donnéesà propos d'un utilisateur se produit lorsqu'une tentative est faite pour faire passer un utilisateur du réseau pour un autre. Cela crée la possibilité d'un accès non autorisé à des fonctions importantes du système.
- Déni de service (DoS) est l'un des types d'attaques de contrevenants, à la suite de laquelle certains nœuds ou l'ensemble du réseau sont désactivés. Elle est réalisée en inondant le système d'un trafic inutile, dont le traitement consomme toutes les ressources du système. Pour prévenir cette menace, vous devez utiliser un outil permettant de reconnaître de telles attaques et de limiter leur impact sur le réseau.
Les éléments de base dans le domaine de la sécurité sont :
- authentification;
- intégrité;
- chèque actif.
Utiliser des outils avancés authentification aide à protéger votre identité et vos données. Ces moyens peuvent s'appuyer sur des informations connues de l'utilisateur (le mot de passe).
Intégrité des informations- est la capacité de la technologie informatique ou Système automatisé assurer l'intégrité des informations dans des conditions de distorsion (destruction) accidentelle et (ou) intentionnelle. Sous menace de violation de l'intégrité désigne toute modification volontaire des informations stockées dans système informatique ou transféré d'un système à un autre. Lorsque des attaquants modifient délibérément des informations, l’intégrité de ces informations est considérée comme compromise. L'intégrité sera également compromise si une erreur logicielle ou matérielle aléatoire provoque une modification non autorisée.
et enfin chèque actif signifie vérifier la mise en œuvre correcte des éléments technologiques de sécurité et aide à détecter les pénétrations non autorisées du réseau et les attaques DoS. La vérification active des antécédents agit comme un système d'alerte précoce pour divers types problèmes et vous permet donc de prendre des mesures proactives avant que des dommages graves ne surviennent.
8.2. Méthodes de protection des informations cryptographiques
La base de toute communication sécurisée est cryptographie. La cryptographie est un ensemble de méthodes permettant de protéger les interactions d'informations, c'est-à-dire les écarts par rapport à leur cours normal et standard, provoqués par des actions malveillantes de divers sujets, des méthodes basées sur des algorithmes secrets de conversion d'informations. De plus, la cryptographie est un élément important des mécanismes d’authentification, d’intégrité et de confidentialité. L'authentification est un moyen de confirmer l'identité de l'expéditeur ou du destinataire des informations. L'intégrité signifie que les données n'ont pas été modifiées et confidentialité crée une situation dans laquelle les données ne peuvent être comprises par personne autre que leur expéditeur et leur destinataire. Généralement, les mécanismes cryptographiques existent sous la forme algorithme (fonction mathématique) et la valeur secrète ( clé). De plus, plus une telle clé contient de bits, moins elle est vulnérable.
Les méthodes appropriées pour évaluer l’efficacité des systèmes cryptographiques n’ont pas encore été développées.
Le critère le plus simple pour une telle efficacité est probabilité de découverte de clé, ou puissance de plusieurs touches (M). En gros, c'est la même chose que force cryptographique. Pour l'estimer numériquement, vous pouvez également utiliser la complexité de résoudre le chiffre en essayant toutes les clés.
Cependant, ce critère ne prend pas en compte d'autres exigences pour les cryptosystèmes:
- l'impossibilité de divulguer ou de modifier de manière significative des informations sur la base d'une analyse de leur structure ;
- perfection des protocoles de sécurité utilisés ;
- la quantité minimale d'informations clés utilisées ;
- complexité minimale de mise en œuvre (en nombre d'opérations machine), son coût ;
- haute efficacité.
Il est bien entendu souhaitable d’utiliser des indicateurs intégraux qui tiennent compte de ces facteurs.
Trois principales méthodes cryptographiques sont utilisées dans les systèmes de sécurité :
- cryptage symétrique;
- cryptage asymétrique;
- fonctions de hachage unidirectionnelles.
Toutes les technologies existantes d’authentification, d’intégrité et de confidentialité reposent sur ces trois méthodes.
Technologie de cryptage à clé secrète ( symétrique algorithme) nécessite que les deux participants à une conversation cryptée aient accès à la même clé. Cela est nécessaire car l'expéditeur utilise la clé pour chiffrer le message et le destinataire utilise la même clé pour le déchiffrer. En conséquence, le problème de la transmission sécurisée de cette clé se pose. Algorithmes de chiffrement symétriques Ils utilisent des clés peu longues et permettent de chiffrer rapidement de grandes quantités de données. La procédure d'utilisation des systèmes à clés symétriques est la suivante :
- Une clé secrète symétrique est générée, distribuée et stockée en toute sécurité.
- L'expéditeur utilise algorithme symétrique cryptage avec secret clé symétrique pour recevoir le texte chiffré.
- L'expéditeur transmet le texte crypté. Une clé secrète symétrique n'est jamais transmise sur des canaux de communication non sécurisés.
- Pour récupérer le texte original, le destinataire applique la même chose algorithme symétrique cryptage avec le même clé symétrique, que le destinataire possède déjà.
Chiffre le plus utilisé cryptage symétrique est le DES (Data Encryption Standard), développé par IBM en 1976 et recommandé par le National Bureau of Standards des États-Unis pour une utilisation dans les secteurs ouverts de l'économie.
L'algorithme DES fonctionne comme suit. Les données sont présentées dans forme numérique et sont divisés en blocs de 64 bits de long, puis chiffrés bloc par bloc. Le bloc est divisé en parties gauche et droite. Lors de la première étape du cryptage, au lieu de la partie gauche du bloc, la partie droite est écrite, et au lieu de la partie droite, la somme modulo 2 (opération XOR) des parties gauche et droite est écrite. Lors de la deuxième étape, les remplacements et permutations au niveau du bit sont effectués selon un certain schéma. Une clé DES a une longueur de 64 bits, dont 56 bits aléatoires et 8 bits de service utilisés pour contrôler la clé.
Riz. 8.1.
DES a deux modes de fonctionnement : ECB (Electronic Code Book) et CBC (Cipher Block Chaining). Le mode SBC diffère du mode habituel en ce sens qu'avant de chiffrer le bloc suivant, l'opération "OU exclusif" avec le bloc précédent. Dans les situations où la fiabilité de l'algorithme DES semble insuffisante, sa modification est utilisée - Triple DES (triple DES). À proprement parler, il existe plusieurs variantes du Triple DES. Le plus simple est le rechiffrement : le texte en clair est chiffré avec la première clé, le texte chiffré obtenu avec la seconde et, enfin, les données obtenues après la deuxième étape avec la troisième. Les trois touches sont sélectionnées indépendamment les unes des autres.
IDEA (International Data Encryption Algorithm) est un autre chiffrement par bloc avec une longueur de clé de 128 bits. Cette norme européenne (de l'ETH, Zurich) a été proposée en 1990. L'algorithme IDEA n'est pas inférieur à l'algorithme DES en termes de rapidité et de résistance à l'analyse.
CAST est un chiffrement par bloc qui utilise une clé de 128 bits aux États-Unis et une clé de 40 bits dans la version d'exportation. CAST est utilisé par Northern Telecom (Nortel).
Le chiffre Listao, développé par la National Security Agency (NSA) des États-Unis, utilise des clés de 80 bits. Il fait partie du projet Capstone, qui vise à développer une norme cryptographique accessible au public répondant aux exigences du gouvernement américain. Capstone comporte quatre composants principaux : le chiffre Listao ; algorithme de signature numérique basé sur la norme DSS (Digital Signature Standard) ; fonction de hachage basée sur l'algorithme SHA (Secure Hash Algorithm) ; une puce qui implémente tout ce qui précède (par exemple, Fortezza - carte PCMCIA basée sur cette puce).
Les chiffrements RC2 et RC4 ont été développés par Ron Reivest, l'un des fondateurs de RSA Data Security, et brevetés par cette société. Ils utilisent des clés de différentes longueurs et remplacent le DES dans les produits exportés. Le chiffrement RC2 est un chiffrement par blocs, avec une longueur de bloc de 64 bits ; Le chiffrement RC4 est un chiffrement de flux. Selon les développeurs, performance RC2 et RC4 ne doivent pas être inférieurs à celui de l'algorithme DES.
Tous les systèmes de cryptage ouverts présentent les principaux inconvénients suivants. Premièrement, la fiabilité du canal permettant de transmettre la clé au deuxième participant aux négociations secrètes est fondamentale. En d’autres termes, la clé doit être transmise via un canal secret. Deuxièmement, au service génération de clé des exigences accrues sont imposées du fait que pour n abonnés dans le schéma d'interaction « tout le monde avec tout le monde », n x (n-1)/2 clés sont nécessaires, c'est-à-dire que la dépendance du nombre de clés sur le nombre d'abonnés est quadratique.
Pour résoudre les problèmes ci-dessus cryptage symétrique les systèmes à chiffrement asymétrique, ou chiffrement à clé publique, sont conçus pour utiliser les propriétés des fonctions secrètes développées par Diffie et Hellman.
Ces systèmes se caractérisent par la présence de deux clés pour chaque abonné : publique et privée (secrète). Dans ce cas, la clé publique est transmise à tous les participants aux négociations secrètes. Ainsi, deux problèmes sont résolus : il n'est pas nécessaire de livrer secrètement la clé (puisqu'en utilisant une clé publique, il est impossible de déchiffrer les messages cryptés pour la même clé publique, et, par conséquent, il ne sert à rien d'intercepter la clé publique) ; Il n'y a pas non plus de dépendance quadratique du nombre de clés sur le nombre d'utilisateurs - pour n utilisateurs, 2n clés sont nécessaires.
Le premier chiffre développé sur les principes cryptage asymétrique, est un chiffre RSA.
Le chiffre RSA doit son nom aux premières lettres des noms de famille de ses inventeurs : Ron Rivest (Rivest), Adi Shamir et Leonard Eldeman (Aldeman) - les fondateurs de la société RSA Data Security. RSA est non seulement le chiffrement asymétrique le plus populaire, mais peut-être le chiffrement le plus connu en général. La justification mathématique du RSA est la suivante : trouver les diviseurs d'un très grand nombre naturel qui est le produit de deux nombres premiers est une procédure extrêmement laborieuse. En utilisant une clé publique, il est très difficile de calculer une clé privée correspondante. Le chiffre RSA a été largement étudié et s’avère puissant lorsque la longueur de la clé est suffisante. Par exemple, 512 bits ne suffisent pas pour garantir la durabilité, mais 1 024 bits sont considérés comme une option acceptable. Certains affirment qu’à mesure que la puissance du processeur augmente, RSA deviendra moins résistant aux attaques par force brute. Cependant, une augmentation de la puissance du processeur permettra d'utiliser des clés plus longues, ce qui augmentera la force du chiffre.
Riz. 8.2.
Le chiffre fonctionne selon l'algorithme suivant :
- Première étape : deux très simples sont sélectionnés au hasard grands nombres p et q.
- Deuxième étape : deux produits sont calculés : n = pq, m = (p-1)(q-1) .
- Troisième étape : on sélectionne un entier aléatoire E qui n'a pas de facteurs communs avec m.
- Quatrième étape : trouver D tel que DE = 1 modulo m.
- Cinquième étape : le texte source est divisé en blocs de longueur X ne dépassant pas n.
- Sixième étape : pour chiffrer un message, il faut calculer C = XE modulo n.
- Septième étape : pour le décryptage, calculer X = CD modulo n.
Pour le cryptage, vous devez connaître une paire de nombres E, n, pour le décryptage - D, n. La première paire est la clé publique, la seconde est la clé privée. Connaissant la clé publique, vous pouvez calculer la valeur de la clé privée. Une action intermédiaire nécessaire de cette transformation est de trouver les facteurs p et q, pour lesquels il faut factoriser n en facteurs ; cette procédure prend beaucoup de temps. La force cryptographique du chiffrement RSA est associée à l’énorme complexité informatique.
Un autre chiffre utilisant cryptage asymétrique, est
Envoyer votre bon travail dans la base de connaissances est simple. Utilisez le formulaire ci-dessous
Les étudiants, étudiants diplômés, jeunes scientifiques qui utilisent la base de connaissances dans leurs études et leur travail vous seront très reconnaissants.
Publié sur http://www.allbest.ru/
Introduction
1 Construction d'un réseau de téléphonie IP
1.1 Technologies de transport à commutation de paquets
1.2 Niveaux d'architecture de téléphonie IP
1.3 Différentes approches pour construire des réseaux de téléphonie IP
1.3.1 Réseau basé sur le protocole H.323
1.3.2 Réseau basé sur SIP
1.3.3 Réseau basé sur MGCP
1.4 Comparaison des approches de construction d'un réseau de téléphonie IP
1.5 Options pour les systèmes de téléphonie IP (scénarios)
2. Types de menaces dans la téléphonie IP et méthodes pour les combattre
2.1 Types de menaces en téléphonie IP
2.2 Méthodes de protection des informations cryptographiques
2.3 Protection contre les écoutes clandestines
2.4 Sécurité du réseau d'accès
2.5 Technologies d'authentification
3. Assurer la sécurité en termes de vérification des droits d'accès aux ressources (AAA). Comparaison des protocoles TACACS+ et RADIUS
3.1 Authentification indirecte
3.2 Technologies AAA basées sur le protocole TACACS+
3.2.1 Protocole TACACS+
3.2.2 Propriétés du protocole TACACS+
3.2.3 Processus AAA dans le protocole TACACS+
3.3 Technologies AAA basées sur le protocole RADIUS
3.3.1 Protocole RADIUS
3.3.2 Propriétés et capacités du protocole RADIUS
3.3.4 Processus d'audit RADIUS
3.3.5 Comparaison des capacités des protocoles TACACS+ et RADIUS
3.3.6 Incohérences techniques avec les caractéristiques théoriques des protocoles TACACS et RADIUS
Conclusion
Liste des sources utilisées
Introduction
La téléphonie IP présente suffisamment d'avantages pour se répandre bientôt dans tout notre pays ; compte tenu des aspects économiques et du message du Président de la République du Kazakhstan Noursoultan Abishevich Nazarbayev au peuple du Kazakhstan « Nouvelle décennie, nouvelle reprise économique, nouvelles opportunités pour le Kazakhstan » : « Les principales économies du monde fonctionneront de manière plus des conditions complexes et compétitives et prendra des mesures préventives pour préparer le prochain cycle économique, en augmentant la productivité de la main-d'œuvre, en investissant dans les infrastructures et les télécommunications, en renforçant les systèmes financiers et en augmentant l'efficacité contrôlé par le gouvernement, ainsi que la création de conditions favorables au développement des entreprises.
La VoIP est un système de communication qui permet la transmission de signaux vocaux sur Internet ou tout autre réseau IP. Le signal sur le canal de communication est transmis sous forme numérique et, en règle générale, est converti (compressé) avant la transmission afin de supprimer la redondance.
Il est révolu le temps où les opérateurs hésitaient à utiliser la téléphonie IP, estimant que le niveau de sécurité de ces réseaux était faible. Aujourd'hui, on peut déjà dire que la téléphonie IP est devenue une sorte de standard dans les communications téléphoniques. Cela s'explique par la commodité, la fiabilité relative et le coût relativement faible de la téléphonie IP par rapport aux communications analogiques. On peut affirmer que la téléphonie IP augmente l'efficacité des entreprises et permet des opérations auparavant indisponibles, telles que l'intégration avec diverses applications commerciales.
Si l'on parle des défauts et des vulnérabilités de la téléphonie IP, il faut tout d'abord noter les mêmes « maladies » dont souffrent d'autres services utilisant le protocole IP. Il s'agit de l'exposition à des vers et des virus, des attaques DoS, des accès à distance non autorisés, etc.
Bien que lors de la construction d'une infrastructure de téléphonie IP, ce service soit généralement séparé des segments de réseau dans lesquels circulent des données non vocales, cela ne constitue pas une garantie de sécurité. Aujourd'hui, un grand nombre d'entreprises intègrent la téléphonie IP à d'autres applications, comme la messagerie électronique. D’une part, cela crée des commodités supplémentaires, mais d’autre part, cela crée également de nouvelles vulnérabilités. De plus, le fonctionnement d'un réseau de téléphonie IP nécessite un grand nombre de composants, tels que des serveurs de support, des commutateurs, des routeurs, des pare-feu, des téléphones IP, etc.
Parmi les principales menaces auxquelles est exposé le réseau téléphonique IP figurent :
Enregistrement du terminal de quelqu'un d'autre, vous permettant de passer des appels aux frais de quelqu'un d'autre ;
Remplacement d'abonné ;
Mettre fin à une session de communication ;
Déni de service;
Accès non autorisé à distance aux composants de l'infrastructure de téléphonie IP ;
Mise à jour logicielle non autorisée sur un téléphone IP (par exemple, dans le but d'introduire un cheval de Troie ou un logiciel espion) ;
Piratage du système de facturation (pour la téléphonie de l'opérateur).
Ce n'est pas une liste complète problèmes possibles liés à l’utilisation de la téléphonie IP. La VoIP Security Alliance (VOIPSA) a élaboré un document décrivant un large éventail de menaces de téléphonie IP, qui, outre les menaces techniques, incluent l'extorsion VoIP, le spam, etc.
Et pourtant, le principal point faible de la téléphonie IP est le facteur humain gênant. Le problème de la sécurité lors du déploiement d'un réseau téléphonique IP est souvent relégué au second plan, et le choix de la solution se fait sans la participation de spécialistes de la sécurité. De plus, les spécialistes ne configurent pas toujours correctement la solution, même si elle contient les mécanismes de protection appropriés, ou achètent des outils de protection qui ne sont pas conçus pour traiter efficacement le trafic vocal (par exemple, les pare-feu peuvent ne pas comprendre le protocole de signalisation propriétaire utilisé dans le Solution de téléphonie IP ). En fin de compte, l’organisation est obligée de dépenser des ressources financières et humaines supplémentaires pour protéger la solution déployée ou accepter son insécurité.
1 . Création de réseauIP-téléphonie
1.1 Technologies de transport à commutation de paquets
La plupart des fabricants proposent une large gamme de produits pour téléphonie par paquets, occupent une position « technologiquement neutre » et offrent à l’acheteur la possibilité de choisir la technologie la plus adaptée à sa stratégie d’intégration. Les principales technologies de transmission vocale par paquets - Frame Relay, ATM et routage de paquets IP - diffèrent par l'efficacité d'utilisation des canaux de communication, le degré de couverture des différentes sections du réseau, la fiabilité, la gérabilité, la protection des informations et des accès, ainsi que le coût. .
Graphique 1.1. Discours sur ATM
Graphique 1.2. Discours via Frame Relay
Graphique 1.3. Discours sur IP
La technologie de transport ATM est utilisée avec succès depuis plusieurs années dans les réseaux fédérateurs publics et dans les réseaux d'entreprise, et elle commence désormais à être activement utilisée pour l'accès haut débit via les canaux xDSL (pour les petits bureaux) et SDH/Sonet (pour les grandes entreprises). .
Les principaux avantages de cette technologie sont sa maturité, sa fiabilité et la disponibilité de moyens développés de gestion opérationnelle du réseau. Il dispose de mécanismes de gestion de la qualité de service et de surveillance de l'utilisation des ressources du réseau dont l'efficacité est inégalée. Cependant, la prévalence limitée et le coût élevé des équipements ne permettent pas d’envisager l’ATM. meilleur choix pour organiser les connexions téléphoniques de bout en bout d'un nœud d'extrémité à un autre. La technologie Frame Relay était destinée à jouer le même rôle dans la téléphonie par paquets que les PBX quasi-électroniques jouaient dans la téléphonie à commutation de circuits : ils fournissaient un exemple de technologie efficace contrôlée par logiciel, mais avaient des possibilités limitées de développement ultérieur.
De nombreux réseaux d'entreprise ont adopté les services économiques et aux performances prévisibles de Frame Relay, et la plupart sont satisfaits de leur choix. À court terme, la technologie de transmission vocale via Frame Relay sera très efficace pour organiser l'accès multiservice et les canaux de communication longue distance. Mais les réseaux Frame Relay ne sont pas répandus : en règle générale, dans la pratique, des connexions point à point non commutées sont utilisées.
La technologie de transmission d'informations vocales sur les réseaux avec routage de paquets IP séduit tout d'abord par sa polyvalence : la parole peut être convertie en flux de paquets IP n'importe où dans l'infrastructure du réseau : sur le réseau fédérateur de l'opérateur, en bordure d'un réseau. réseau géographiquement distribué, dans un réseau d'entreprise, et même directement dans le terminal de l'utilisateur final. À terme, elle deviendra la technologie de téléphonie par paquets la plus largement adoptée car elle peut atteindre tous les segments du marché tout en étant hautement adaptable aux nouvelles applications. Malgré l'universalité du protocole IP, la mise en œuvre des systèmes de téléphonie IP est freinée par le fait que de nombreux opérateurs les considèrent comme insuffisamment fiables, mal gérés et peu efficaces. Mais une infrastructure réseau bien conçue et dotée de mécanismes efficaces pour garantir la qualité de service rend ces lacunes insignifiantes. Par port, le coût des systèmes de téléphonie IP est au niveau (ou légèrement inférieur) du coût des systèmes Frame Relay, et est certainement inférieur au coût des équipements ATM. Dans le même temps, il apparaît déjà clairement que les prix des produits de téléphonie IP baissent plus rapidement que ceux des autres produits et que la concurrence s'intensifie considérablement sur ce marché.
1.2 Niveaux d'architecture de téléphonie IP
L'architecture de la technologie Voix sur IP peut être simplifiée en deux plans. Le plan inférieur est réseau central avec le routage de paquets IP, le plan supérieur est une architecture ouverte pour le contrôle des services d'appel (demandes de communication).
Le plan inférieur, pour faire simple, est une combinaison de protocoles Internet bien connus : il s'agit du RTP (Real Time Transport Protocol), qui fonctionne au-dessus de l'UDP (User Datagram Protocol), situé, à son tour, dans le protocole TCP. Pile de protocole /IP au-dessus du protocole IP.
Ainsi, la hiérarchie RTP/UDP/IP représente une sorte de mécanisme de transport pour le trafic vocal. On note ici que dans les réseaux avec routage de paquets IP pour la transmission de données, des mécanismes sont toujours prévus pour retransmettre les paquets en cas de perte.
Lors de la transmission d'informations en temps réel, l'utilisation de tels mécanismes ne fera qu'aggraver la situation. Par conséquent, pour transmettre des informations sensibles aux retards, mais moins sensibles aux pertes, telles que les informations vocales et vidéo, le mécanisme de livraison non garantie de Les informations RTP/UDPD/IP sont utilisées. Les recommandations de l'UIT-T autorisent des retards dans un sens ne dépassant pas 150 ms. Si la station réceptrice demande la retransmission du paquet IP, le délai sera trop long.
Passons maintenant au niveau supérieur de gestion des demandes de communication de service. D'une manière générale, le contrôle du service d'appel implique de prendre des décisions sur l'endroit où l'appel doit être acheminé et sur la manière dont la connexion entre les abonnés doit être établie.
L'outil pour une telle gestion est constitué par les systèmes de signalisation téléphonique, en commençant par les systèmes pris en charge par des PBX à pas de dix ans et prévoyant une combinaison de fonctions de routage et de fonctions permettant de créer un canal conversationnel commuté dans les mêmes chercheurs à pas de dix ans. En outre, les principes de signalisation ont évolué vers les systèmes de signalisation sur canaux de signalisation dédiés, vers la signalisation multifréquence, vers les protocoles de signalisation par canal général n° 7 et vers le transfert des fonctions de routage vers les nœuds de traitement de service correspondants du réseau intelligent.
Dans les réseaux à commutation de paquets, la situation est plus complexe. Un réseau de routage IP prend en charge simultanément un certain nombre de protocoles de routage différents.
Ces protocoles sont aujourd'hui : RIP - Routing Information Protocol, IGRP - Interior Gateway Routing Protocol, EIGRP - Enhanced Interior Gateway Routing Protocol, IS-IS - Intermediate System-to-Intermediate System, OSPF - Open Shortest Path First, BGP - Border Gateway Protocol. , etc. De la même manière, de nombreux protocoles ont été développés pour la téléphonie IP.
Le plus courant est le protocole spécifié dans la recommandation ITU-T H.323, notamment parce qu'il a été utilisé plus tôt que d'autres protocoles, qui d'ailleurs n'existaient pas du tout avant l'introduction du H.323.
Un autre protocole de plan de contrôle des services d'appel, SIP, vise à rendre les points finaux et les passerelles plus intelligents et à prendre en charge des services à valeur ajoutée pour les utilisateurs.
Un autre protocole, SGCP, a été développé depuis 1998 afin de réduire le coût des passerelles en implémentant des fonctions de traitement d'appel intelligent dans des équipements centralisés. Le PIDC est très similaire au SGCP, mais possède beaucoup plus de mécanismes de gestion opérationnelle (OAM&P) que le SGCP. Fin 1998, le groupe de travail MEGACO du comité IETF a développé le protocole MGCP, basé principalement sur le protocole SGCP, mais avec quelques ajouts dans la partie OAM&P.
Le groupe de travail MEGACO ne s'est pas arrêté là, a continué à améliorer le protocole de gestion des passerelles et a développé le protocole MEGACO, plus fonctionnel que le MGCP.
1.3 Diverses approches pour construire des réseaux de téléphonie IP
Pour bien comprendre en quoi les protocoles diffèrent les uns des autres, j'examinerai brièvement l'architecture des réseaux construits sur la base de ces protocoles, ainsi que les procédures d'établissement et de terminaison des connexions qui les utilisent.
1.3 .1 Réseau basé sur le protocole H.323
La toute première approche visant à construire des réseaux de téléphonie IP sur une base standardisée a été proposée par l'Union internationale des télécommunications (UIT) dans la recommandation H.323. Les réseaux basés sur les protocoles H.323 visent à s'intégrer aux réseaux téléphoniques et peuvent être considérés comme Réseaux RNIS, superposé aux réseaux de données.
En particulier, la procédure d'établissement de connexion dans de tels réseaux de téléphonie IP est basée sur la recommandation Q.931 et est similaire à la procédure utilisée dans les réseaux RNIS.
La Recommandation H.323 fournit un ensemble assez complexe de protocoles, qui ne sont pas destinés uniquement à la transmission d'informations vocales sur des réseaux IP à commutation de paquets. Son objectif est de permettre aux applications multimédia de fonctionner sur des réseaux avec une qualité de service non garantie. Le trafic vocal n'est qu'une des applications du H.323, avec la vidéo et les données.
L'option de construction de réseaux de téléphonie IP, proposée par l'Union internationale des télécommunications dans la recommandation H.323, convient bien aux opérateurs de réseaux téléphoniques locaux qui souhaitent utiliser un réseau à commutation de paquets (réseau IP) pour fournir des services longue distance et internationaux. Services de communication. Le protocole RAS, qui fait partie de la famille de protocoles H.323, permet de contrôler l'utilisation des ressources réseau, prend en charge l'authentification des utilisateurs et peut facturer les services.
La figure 1.4 montre l'architecture du réseau basée sur la recommandation H.323. Les principaux périphériques réseau sont : le terminal, la passerelle, le portier et l'unité de contrôle multipoint (MCU).
Graphique 1.4. Architecture réseau H.323
Un terminal H.323 est un point final utilisateur d'un réseau de téléphonie IP qui fournit une communication vocale (multimédia) bidirectionnelle avec un autre terminal H.323, une passerelle ou un dispositif de contrôle de conférence.
La passerelle de téléphonie IP met en œuvre la transmission du trafic vocal sur des réseaux avec routage de paquets IP utilisant le protocole H.323. L'objectif principal de la passerelle est de convertir les informations vocales provenant du PSTN sous une forme adaptée à la transmission sur des réseaux avec routage de paquets IP. De plus, la passerelle convertit les messages de signalisation DSS1 et SS7 en messages de signalisation H.323 et effectue la conversion inverse conformément à la recommandation ITU H.246.
Le gatekeeper contient toute l’intelligence du réseau de téléphonie IP.
Un réseau construit conformément à la recommandation H.323 possède une architecture de zones (Figure 1.5). Le portier remplit les fonctions de gestion d'une zone du réseau de téléphonie IP, qui comprend : les terminaux, les passerelles, les dispositifs de contrôle de conférence enregistrés auprès de ce portier. Des fragments individuels de la zone réseau H.323 peuvent être géographiquement séparés et connectés les uns aux autres via des routeurs.
Graphique 1.5. Zone réseau H.323
Les fonctions les plus importantes d’un contrôleur d’accès sont :
Enregistrement des terminaux et autres appareils ;
Contrôler l'accès des utilisateurs du système aux services de téléphonie IP à l'aide de la signalisation RAS ;
Conversion de l'utilisateur appelé (nom d'abonné annoncé, numéro de téléphone, adresse email, etc.) en adresse de transport des réseaux avec routage de paquets IP (adresse IP + numéro de port TCP) ;
Surveillance, gestion et réservation de la capacité du réseau ;
Relais des messages de signalisation H.323 entre terminaux.
Dans un réseau de téléphonie IP répondant aux exigences de la recommandation UIT H.323, plusieurs contrôleurs d'accès peuvent interagir les uns avec les autres à l'aide du protocole RAS.
En plus des fonctions de base définies par la recommandation H.323, le gatekeeper peut être responsable de l'authentification des utilisateurs et de la facturation des connexions téléphoniques. Un dispositif de contrôle de conférence offre la possibilité d'organiser les communications entre trois participants ou plus.
La Recommandation H.323 prévoit trois types de conférence (Figure 1.6) : centralisée (c'est-à-dire contrôlée par une MCU, avec laquelle chaque participant à la conférence est connecté en mode point à point), décentralisée (lorsque chaque participant à la conférence est connecté au reste de ses participants en mode point à point (groupe de points) et mixte.
L'avantage d'une conférence centralisée réside dans l'équipement terminal relativement simple, l'inconvénient est le coût élevé du dispositif de contrôle de la conférence.
Une conférence décentralisée nécessite un équipement terminal plus complexe et il est souhaitable que le réseau IP prenne en charge la transmission de paquets IP en mode de multidiffusion IP. Si ce mode n'est pas supporté sur le réseau, le terminal doit transmettre des informations vocales à chacun des autres participants à la conférence en mode point à point.
Le dispositif de contrôle de conférence se compose d'un élément obligatoire - un contrôleur de conférence (Multipoint Controller - MC) et, en outre, peut inclure un ou plusieurs processeurs pour traiter les informations utilisateur (Multipoint Processor - MP). Le contrôleur peut être physiquement associé à un portier, une passerelle ou un dispositif de commande de conférence, qui à son tour peut être associé à une passerelle ou à un portier.
Dessin. 1.6. Types de conférences dans les réseaux H.323
Le contrôleur de conférence permet d'organiser tout type de conférence. Il organise l'échange entre les participants à la conférence de données sur les modes supportés par leurs terminaux, et indique dans quel mode les participants à la conférence peuvent transmettre des informations, et ce mode peut changer au cours de la conférence, par exemple lorsqu'un nouveau participant la rejoint.
Comme il peut y avoir plusieurs contrôleurs sur le réseau, pour chaque conférence nouvellement créée, une procédure particulière doit être effectuée pour identifier le contrôleur qui gérera cette conférence.
Lors de l'organisation d'une conférence centralisée, en plus du contrôleur MS, un processeur MP doit être utilisé pour traiter les informations utilisateur. Le processeur MP est responsable de la commutation ou du mélange des flux vocaux, des informations vidéo et des données. Une conférence décentralisée ne nécessite pas de processeur.
Il existe un autre élément du réseau H.323 : le serveur proxy H.323, c'est-à-dire serveur intermédiaire. Ce serveur fonctionne sur niveau d'application et peut inspecter les paquets d'informations échangés entre deux applications.
Le serveur proxy peut déterminer à quelle application (H.323 ou autre) l'appel est associé et établir la connexion souhaitée. Le serveur proxy remplit les fonctions clés suivantes :
Connexion via des moyens commutés ou des réseaux locaux de terminaux qui ne prennent pas en charge le protocole de réservation de ressources (RSVP). Deux de ces serveurs proxy peuvent former une connexion tunnel dans un réseau IP avec une qualité de service donnée ;
Routage du trafic H.323 séparément du trafic de données régulier ;
Assurer la compatibilité avec Network Address Translator, puisque les équipements H.323 peuvent être placés dans des réseaux avec un espace d'adressage de réseau privé ;
Protection d'accès - disponibilité uniquement pour le trafic H.323.
Le protocole RAS (Registration Admission Status) garantit l'interaction des points finaux et autres appareils avec le contrôleur d'accès.
Les principales fonctions du protocole sont : l'enregistrement de l'appareil dans le système, le contrôle de son accès à ressources réseau, modifiant la bande passante pendant la communication, interrogeant et indiquant l'état actuel de l'appareil. Le protocole de transport est un protocole à livraison non garantie d'informations UDP.
Le protocole H.225.0 (Q.931) prend en charge les procédures d'établissement, de maintenance et de terminaison de connexion. Le protocole de transport est un protocole basé sur la connexion avec une livraison garantie des informations TCP.
Selon le protocole H.245, les informations sont échangées entre les participants à la connexion, ce qui est nécessaire pour créer des canaux logiques. Ces canaux transmettent des informations vocales regroupées dans des paquets RTP/UDP/IP.
L'exécution des procédures fournies par le protocole RAS constitue la phase initiale de l'établissement d'une connexion utilisant la signalisation H.323. Vient ensuite la phase de signalisation H.225.0 (Q.931) et l'échange de messages de contrôle H.245. La destruction de la connexion s'effectue dans l'ordre inverse : d'abord, le canal de contrôle H.245 et le canal de signalisation H.225.0 sont fermés, après quoi le portier est informé via le canal RAS que la bande passante précédemment occupée a été libérée.
La complexité du protocole H.323 est démontrée dans la figure 1.7, qui montre un scénario simplifié pour établir une connexion entre deux utilisateurs. Ce scénario suppose que les utilisateurs finaux connaissent déjà les adresses IP de chacun. Dans un cas typique, il y a plus d'étapes car les contrôleurs d'accès et les passerelles sont impliqués dans l'établissement de la connexion.
Parcourons ce scénario simplifié étape par étape.
1) Le terminal utilisateur A envoie une demande de connexion - un message SETUP - au terminal utilisateur B sur le port TCP 1720 ;
2) Le dispositif terminal de l'utilisateur appelé B répond au message SETUP par un message ALERTING, indiquant que le dispositif est libre et que l'utilisateur appelé est alerté d'un appel entrant ;
3) Une fois que l'utilisateur B a accepté l'appel, un message CONNECT est envoyé à l'appelant A avec le numéro de port TCP du canal de contrôle H.245 ;
4) Les appareils finaux échangent des informations via le canal H.245 sur les types de codecs vocaux utilisés (G.729, G.723.1, etc.), ainsi que sur d'autres fonctionnalités de l'équipement, et s'informent mutuellement du port RTP. les numéros auxquels les informations doivent être transmises ;
5) Des canaux logiques sont ouverts pour transmettre des informations vocales ;
6) Les informations vocales sont transmises dans les deux sens dans les messages du protocole RTP ; De plus, la transmission des informations est surveillée à l'aide du protocole RTCP.
Graphique 1.7. Scénario simplifié pour établir une connexion dans le réseau H.323
La procédure de service d'appel ci-dessus est basée sur la version 1 du protocole H.323. La version 2 du protocole H.323 vous permet de transmettre les informations nécessaires à la création de canaux logiques directement dans le message SETUP du protocole H.225.0 sans utiliser le protocole H.245. protocole.
Cette procédure est appelée « démarrage rapide » et permet de réduire le nombre de cycles d'échange d'informations lors de l'établissement d'une connexion. En plus d'organiser une connexion de base, les réseaux H.323 fournissent des services supplémentaires conformément aux recommandations ITU H.450.X.
Un autre problème important à noter est la qualité de service dans les réseaux H.323. Un point d'extrémité demandant l'accès à un portier peut utiliser le champ transportQoS dans le message RAS ARQ pour indiquer sa capacité à réserver des ressources réseau.
La Recommandation H.323 définit le protocole de réservation de ressources (RSVP) comme un moyen de garantir une qualité de service, ce qui nécessite que les terminaux prennent en charge le protocole RSVP. Malheureusement, RSVP n'est pas largement utilisé, laissant les réseaux H.323 sans mécanisme de base pour garantir une qualité de service garantie. Il s'agit d'un problème général avec les réseaux de téléphonie IP et n'est pas propre aux réseaux H.323.
1.3.2 Réseau basé sur un protocolesiroter
La deuxième approche pour construire des réseaux de téléphonie IP, proposée par le groupe de travail MMUSIC du comité IETF dans la RFC 2543, est basée sur l'utilisation du SIP - Session Initiation Protocol.
SIP est un protocole basé sur du texte qui fait partie de l'architecture multimédia mondiale développée par l'Internet Engineering Task Force (IETF).
Cette architecture inclut également le Resource Reservation Protocol (RSVP, RFC 2205), protocole de transport temps réel (Real-Time Transport Protocol, RTP, RFC 1889), protocole de streaming en temps réel (Real-Time Streaming Protocol, RTSP, RFC 2326), protocole de description de session (SDP, RFC 2327), protocole de notification de communication (Session Announcement Protocol , SAP). Cependant, la fonctionnalité de SIP est indépendante de ces protocoles.
Précisons d'emblée que bien que le protocole H.323 soit aujourd'hui le plus utilisé, de plus en plus de constructeurs tentent d'apporter le support du protocole SIP dans leurs nouveaux produits.
Il s’agit pour l’instant de phénomènes isolés qui ne peuvent sérieusement concurrencer le protocole H.323. Cependant, étant donné le taux de popularité croissant du protocole SIP, il est très probable que dans un avenir proche, les solutions basées sur celui-ci occuperont une niche importante sur le marché de la téléphonie IP.
L'approche SIP pour construire des réseaux de téléphonie IP est beaucoup plus simple à mettre en œuvre que H.323, mais est moins adaptée pour organiser l'interaction avec les réseaux téléphoniques. Ceci est principalement dû au fait que le protocole de signalisation SIP, basé sur Protocole HTTP, ne correspond pas bien aux systèmes de signalisation utilisés dans le PSTN. Par conséquent, le SIP est plus adapté aux fournisseurs de services Internet pour fournir des services de téléphonie IP, et ce service ne sera qu'une partie d'un ensemble de services.
Cependant, SIP prend en charge les services de réseau intelligent (IN) tels que le mappage de noms, le transfert et le routage, qui sont essentiels pour utiliser SIP comme protocole de signalisation dans un réseau public où la priorité de l'opérateur est de fournir une large gamme de services téléphoniques.
Une autre caractéristique importante du protocole SIP est sa prise en charge de la mobilité des utilisateurs, c'est-à-dire sa capacité à accéder aux services commandés n'importe où et depuis n'importe quel terminal, et la capacité du réseau à identifier et authentifier l'utilisateur lorsqu'il se déplace d'un endroit à un autre.
Cette fonctionnalité de SIP n’est pas unique et, par exemple, le protocole H.323 la prend également largement en charge. C'est le moment où cette opportunité deviendra le principal attrait des réseaux de téléphonie IP de nouvelle génération. Ce mode de fonctionnement nécessitera l'enregistrement à distance des utilisateurs sur le serveur d'identification et d'authentification.
Passons directement à l'architecture des réseaux basée sur le protocole SIP (Figure 1.8).
Graphique 1.8. Exemple de réseau basé sur SIP
Un réseau SIP contient trois principaux types d'éléments : les agents utilisateurs, les serveurs proxy et les serveurs de transfert.
Les agents utilisateurs (agents utilisateurs ou clients SIP) sont des applications d'équipement terminal et comprennent deux composants : un client d'agent utilisateur (UAC) et un serveur d'agent utilisateur (UAS), autrement appelés respectivement client et serveur.
Le client UAC lance des requêtes SIP, c'est-à-dire agit en tant que correspondant appelant. Le serveur UAS accepte les requêtes et renvoie les réponses, c'est-à-dire agit en tant que correspondant appelé.
De plus, il existe deux types de serveurs réseau SIP : les serveurs proxy (serveurs intermédiaires) et les serveurs de transfert.
Les serveurs SIP peuvent fonctionner à la fois en mode avec état (statefull) et en mode sans état (stateless).
Un serveur SIP fonctionnant en mode sans état peut servir un nombre arbitrairement élevé d'utilisateurs, contrairement à un gatekeeper H.323, qui peut fonctionner simultanément avec un nombre limité d'utilisateurs.
Un serveur proxy (Proxy-server) agit « pour le compte d'autres clients » et contient des fonctions client (UAC) et serveur (UAS). Ce serveur interprète et peut réécrire les en-têtes de requêtes avant de les envoyer à d'autres serveurs (Figure 1.9). Les messages de réponse suivent le même chemin vers le serveur proxy plutôt que vers le client.
Graphique 1.9. Réseau SIP avec serveur proxy
La figure 1.9 montre l'algorithme d'établissement d'une connexion utilisant le protocole SIP avec la participation d'un serveur proxy :
1) Le serveur proxy reçoit une demande de connexion INVITE de la part de l'équipement de l'utilisateur appelant ;
2) Le serveur proxy établit l'emplacement du client à l'aide d'un serveur de localisation ;
3) Le serveur proxy envoie la requête INVITE à l'utilisateur appelé ;
4) L'équipement de l'utilisateur appelé notifie ce dernier de l'appel entrant et renvoie un message au serveur proxy indiquant que la requête INVITE est en cours de traitement (code 100). Le serveur proxy transmet à son tour ces informations à l'équipement de l'utilisateur appelant ;
5) Lorsque l'abonné appelé reçoit un appel, son équipement informe le serveur proxy (code 200), qui transmet l'information que l'appel a été accepté à l'équipement de l'utilisateur appelant ;
6) L'appelant confirme l'établissement de la connexion en envoyant une requête ACK, que le serveur proxy transmet à l'appelé. La connexion est établie et les abonnés peuvent échanger des informations vocales.
Le serveur de redirection détermine l'emplacement actuel de l'abonné appelé et le signale à l'utilisateur appelant (Figure 1.10). Pour déterminer la localisation actuelle de l'abonné appelé, le serveur de redirection contacte le serveur de localisation dont les principes de fonctionnement ne sont pas précisés dans la RFC 2543.
L'algorithme d'établissement d'une connexion utilisant le protocole SIP avec la participation d'un serveur de redirecteur est le suivant :
1) Le serveur de transfert reçoit une demande de connexion INVITE de l'appelant et contacte le serveur de localisation, qui fournit l'adresse actuelle du client appelé ;
2) Le transitaire transmet cette adresse à l'appelant. Contrairement à un serveur proxy, le serveur de redirection ne transmet pas de requête INVITE à l'équipement de l'utilisateur appelé ;
3) L'équipement de l'utilisateur appelant confirme la fin de la transaction avec le serveur de redirection avec une requête ACK ;
5) L'équipement de l'utilisateur appelé notifie ce dernier de l'appel entrant et renvoie un message à l'équipement appelant indiquant que la requête INVITE est en cours de traitement (code 100) ;
6) Lorsque l'abonné appelé accepte l'appel, l'équipement de l'utilisateur appelant en est averti (code 200). La connexion est établie, les abonnés peuvent échanger des informations vocales.
Graphique 1.10. Réseau SIP avec serveur de transfert
Il existe également une option de connexion sans serveur, lorsqu'un terminal peut envoyer directement une requête à un autre terminal.
La signalisation SIP permet aux agents utilisateurs et aux serveurs réseau de déterminer l'emplacement, d'émettre des demandes et de gérer les connexions.
INVITER - une demande invite un utilisateur ou un service à participer à une session de communication et contient une description des paramètres de cette communication. Grâce à cette requête, l'utilisateur peut déterminer la fonctionnalité du terminal de son interlocuteur et démarrer une session de communication à l'aide d'un nombre limité de messages et de leurs accusés de réception.
ACK - la demande confirme la réception de la réponse à la commande INVITE de l'appelé et termine la transaction.
OPTIONS - la requête vous permet d'obtenir des informations sur les fonctionnalités des agents utilisateurs et des serveurs réseau. Cependant, cette requête n'est pas utilisée pour établir des sessions de communication.
BYE - La demande est utilisée par l'appelant et l'appelé pour détruire la connexion. Avant de rompre la connexion, les agents utilisateurs envoient cette requête au serveur, indiquant leur intention de mettre fin à la session de communication.
Une requête CANCEL permet aux agents utilisateurs et aux serveurs réseau d'annuler toute requête précédemment envoyée si une réponse n'a pas encore été reçue.
1. 3.3 Basé sur le réseauMGCP
La troisième approche pour construire des réseaux de téléphonie IP, basée sur l'utilisation du protocole MGCP, a également été proposée par le comité IETF, le groupe de travail MEGACO.
Lors du développement de ce protocole, le groupe de travail MEGACO s'est appuyé sur une architecture réseau contenant trois types de blocs fonctionnels principaux (Figure 1.11) :
Passerelle - Media Gateway (MG), qui remplit les fonctions de conversion des informations vocales provenant du PSTN avec vitesse constante transmission, sous une forme adaptée à la transmission sur des réseaux avec routage de paquets IP (codage et conditionnement d'informations vocales en paquets RTP/UDP/IP, ainsi que conversion inverse) ;
Contrôleur de passerelle - Agent d'appel, qui exécute des fonctions de gestion de passerelle ;
Signaling Gateway (SG), qui assure la livraison des informations de signalisation provenant du PSTN vers le contrôleur de passerelle et le transfert des informations de signalisation dans le sens opposé.
Ainsi, toute l'intelligence d'une passerelle fonctionnellement distribuée est concentrée dans le contrôleur dont les fonctions peuvent être réparties sur plusieurs plateformes informatiques.
Graphique 1.11. Architecture réseau basée sur le protocole MGCP
La passerelle de signalisation remplit les fonctions de STP - un point de transit du réseau de signalisation SS7. Les passerelles elles-mêmes remplissent uniquement les fonctions de conversion des informations vocales. Un contrôleur contrôle plusieurs passerelles simultanément.
Il peut y avoir plusieurs contrôleurs sur le réseau. Ils sont supposés être synchronisés les uns avec les autres et contrôlent de manière cohérente les passerelles impliquées dans la connexion. Cependant, MEGACO ne définit pas de protocole de synchronisation du fonctionnement des contrôleurs.
Dans un certain nombre de travaux consacrés à l'étude des capacités du protocole MGCP, il est proposé d'utiliser à cet effet les protocoles H.323, SIP ou ISUP/IP. Les messages MGCP sont transportés par le protocole sans garantie de livraison des messages UDP. Le groupe de travail IETF SIGTRAN développe actuellement un mécanisme permettant au contrôleur de passerelle et à la passerelle de signalisation d'interagir.
La passerelle de signalisation doit recevoir les paquets arrivant du PSTN depuis les trois niveaux inférieurs du système de signalisation SS7 (niveaux du sous-système de transfert de messages MTP) et transmettre les messages de signalisation du niveau utilisateur supérieur au contrôleur de passerelle. La passerelle de signalisation doit également être capable de transmettre des messages de signalisation Q.931 provenant du PSTN sur le réseau IP.
L'objectif principal du groupe de travail SIGTRAN est de développer le mécanisme le plus efficace pour transmettre des informations de signalisation sur les réseaux IP.
Il convient de noter qu'il existe plusieurs raisons pour lesquelles nous avons dû abandonner l'utilisation de TCP à cette fin. Le groupe de travail SIGTRAN propose d'utiliser le Stream Control Transport Protocol (SCTP) pour transmettre les informations de signalisation, qui présente de nombreux avantages par rapport au protocole TCP, dont le principal est une réduction significative du délai de livraison des informations de signalisation et, par conséquent , le temps d'établissement de la connexion - l'un des paramètres les plus importants de la qualité de service.
Si le PSTN utilise la signalisation sur des canaux de signalisation dédiés (DSC), les signaux arrivent d'abord avec informations de l'utilisateurà la passerelle de transport puis transmis au contrôleur de passerelle sans l'intermédiaire de la passerelle de signalisation.
Notez que MGCP est un protocole interne d'échange d'informations entre blocs fonctionnels passerelle distribuée, qui, de l'extérieur, semble être une seule passerelle. Le protocole MGCP est un protocole maître/esclave. Cela signifie que le contrôleur de passerelle est le maître et que la passerelle elle-même est le périphérique esclave, qui doit exécuter toutes les commandes provenant du contrôleur Call Agent.
La solution ci-dessus offre une évolutivité du réseau et une facilité de gestion du réseau via le contrôleur de passerelle. Les passerelles ne doivent pas nécessairement être des appareils intelligents, nécessitent moins de puissance de processeur et deviennent donc moins coûteuses. De plus, de nouveaux protocoles de signalisation ou des services supplémentaires sont introduits très rapidement, puisque ces changements n'affectent que le contrôleur de passerelle et non les passerelles elles-mêmes.
La troisième approche, proposée par l'IETF (MEGACO Working Group), est bien adaptée au déploiement de réseaux de téléphonie IP mondiaux qui remplacent les réseaux téléphoniques traditionnels.
Considérons les algorithmes d'établissement et de destruction de connexions à l'aide du protocole MGCP. Le premier exemple couvre l'interaction du protocole MGCP avec le protocole SS7 (Figure 1.12).
Graphique 1.12. Établir et supprimer une connexion à l'aide de MGCP (exemple 1)
1) Une demande de connexion est reçue du central téléphonique ATS-A vers la passerelle de signalisation SG1 via un canal de signalisation commun sous la forme d'un message IAM du protocole ISUP. Dans la figure 1.12, les passerelles de signalisation SG1 et SG2 sont combinées respectivement avec les passerelles de transport TGW1 et TGW2. La passerelle SG1 transmet le message IAM au contrôleur de passerelle, qui traite la demande et détermine que l'appel doit être acheminé vers l'ATS-B via TGW2.
2) Le contrôleur réserve le port passerelle TGW1 (canal de conversation). Pour cela, il envoie la commande CreateConnection à la passerelle. A noter que le port passerelle TGW1 ne peut recevoir que des informations (mode « recvonly »), puisqu'il ne sait pas encore à quelle adresse et comment il doit transmettre les informations.
3) En réponse à cette commande, la passerelle TGW1 renvoie une description des paramètres de la session de communication.
4) Ayant reçu la réponse de TGW1, le contrôleur envoie une commande CRCX à la deuxième passerelle TGW2 afin de réserver un port dans cette passerelle.
5) TGW2 sélectionne le port qui participera à la connexion et accuse réception de la commande CRCX. À l'aide de deux commandes CRCX, un canal de conversation unidirectionnel est créé pour la transmission à l'appelant signaux acoustiques ou invites vocales et notifications. Dans le même temps, le port de la passerelle TGW2 peut non seulement recevoir, mais également transmettre des informations, puisqu'il a reçu une description des paramètres de communication de la passerelle venant en sens inverse.
7) La station ATS-B répond au message IAM par une confirmation ACM, qui est immédiatement transmise à la station ATS-A.
8) Une fois que l'abonné appelé a accepté l'appel, l'ATS-B envoie un message ANM au contrôleur de passerelle.
10) TGW1 effectue et confirme le changement de mode.
11) Le contrôleur transmet le message ANM à l'ATS-A, après quoi la phase conversationnelle de la connexion commence.
12) La fin de la phase conversationnelle se déroule comme suit. Dans notre cas, l’appelant B raccroche en premier. ATS-B transmet un message REL via la passerelle de signalisation au contrôleur de passerelle.
13) Après avoir reçu le message REL, le contrôleur de passerelle met fin à la connexion avec l'abonné appelé.
14) La passerelle confirme l'achèvement de la connexion et transmet les données statistiques collectées lors de la connexion au responsable du traitement.
15) Le contrôleur de passerelle transmet un message RLC à l'ATS-B pour confirmer la libération.
16) En parallèle, le contrôleur met fin à la connexion avec l'appelant
17) La passerelle TGW1 confirme l'achèvement de la connexion et transmet les données statistiques collectées lors de la connexion au contrôleur.
18) ATS-A confirme l'achèvement de la connexion en envoyant un message RLC, après quoi la connexion est considérée comme détruite.
Graphique 1.13. Établir et supprimer une connexion à l'aide de MGCP (exemple 2)
Le deuxième exemple illustre l'interaction du protocole MGCP avec les protocoles SS7 et H.323 (Figure 1.13).
1) Une demande de connexion (message IAM) est reçue du central téléphonique ATS-A vers la passerelle de signalisation SG1 via un canal de signalisation commun. Sur la figure 1.13, la passerelle de signalisation SG1 est également combinée avec la passerelle de transport TGW1. La passerelle SG1 envoie le message IAM au contrôleur de passerelle, qui traite la demande et détermine que l'appel doit être acheminé vers le point final de l'utilisateur appelé, un terminal H.323.
2) Le contrôleur de passerelle réserve le port de passerelle TGW1 (canal de conversation). A cet effet, il envoie la commande CreateConnection à la passerelle. Et dans cet exemple, le port passerelle TGW1 ne peut recevoir que des informations (mode « recvonly »).
3) En réponse à la commande reçue, la passerelle TGW1 renvoie une description des paramètres de communication.
4) Après avoir reçu la réponse de la passerelle TGW1, le contrôleur envoie un message ARQ avec l'adresse alias de l'abonné appelé au portier du réseau H.323.
5) En réponse au message ARQ, le portier envoie un message ACF indiquant l'adresse de transport de son canal de signalisation.
6) Le contrôleur envoie une demande de connexion SETUP à l'adresse de transport du canal de signalisation du portier, en utilisant la procédure Fast Start. Le portier transmet le message SETUP au terminal appelé.
7) Le terminal appelé envoie une requête ARQ d'accès aux ressources du réseau.
8) En réponse à la demande ARQ, le portier envoie un accusé de réception de la demande à l'ACF.
9) Le terminal appelé envoie un message d'ALERTE, que le portier achemine vers le contrôleur de passerelle. Dans ce cas, l'utilisateur appelé reçoit un signal visuel ou acoustique d'un appel entrant, et l'utilisateur appelant reçoit une indication indiquant que l'utilisateur appelé n'est pas occupé et reçoit un signal d'appel.
10) Le contrôleur convertit le message ALERTING en un message ACM, qui est immédiatement transmis à l'ATS-A.
11) Après que l'utilisateur appelé ait accepté appel entrant, le contrôleur recevra un message CONNECT.
12) Le contrôleur de passerelle change le mode « recvoonly » dans la passerelle TGW1 en mode full duplex.
13) TGW1 effectue et confirme le changement de mode de connexion.
14) Le contrôleur transmet le message ANM à l'ATS-A, après quoi commence la phase conversationnelle de la connexion, au cours de laquelle l'équipement de l'utilisateur appelant transmet des informations vocales conditionnées en paquets RTP/UDP/IP à l'adresse de transport du canal RTP de le terminal de l'abonné appelé, et ce dernier transmet des informations vocales en paquets à l'adresse de transport du canal RTP du terminal de l'abonné appelant. À l'aide du canal RTCP, la transmission des informations sur le canal RTP est contrôlée.
15) Après la fin de la phase de conversation, la phase de destruction de connexion commence. L'équipement utilisateur à l'origine de l'échec de connexion doit cesser de transmettre des informations vocales, fermer les canaux logiques et envoyer un message RELEASE COMPLETE, après quoi le canal de signalisation est fermé.
16) Le contrôleur de passerelle envoie un message RELEASE à l'ATS-A pour mettre fin à la connexion.
17) De plus, le contrôleur envoie la commande DLCX à la passerelle.
18) La passerelle confirme l'achèvement de la connexion et transmet les données statistiques collectées lors de la connexion au responsable du traitement.
19) Après les actions ci-dessus, le contrôleur et l'équipement terminal informent le portier de la libération de la bande passante occupée. A cet effet, chacun des participants à la connexion envoie une demande de sortie de connexion DRQ au portier via le canal RAS, à laquelle le portier doit envoyer une confirmation DCF.
20) Une confirmation de déconnexion RLC provient de l'ATS-A, après quoi la connexion est considérée comme détruite.
Il convient de noter que l'algorithme d'interaction entre les protocoles SIP et MGCP n'est pas très différent de l'algorithme décrit ci-dessus.
Le groupe de travail MEGACO de l'IETF continue de travailler sur l'amélioration du protocole de contrôle de passerelle, dans le cadre duquel a été développé le protocole MEGACO, plus fonctionnel que le MGCP.
L'Union internationale des télécommunications, dans le projet de version 4 de la recommandation H.323, a introduit le principe de décomposition des passerelles. Les blocs fonctionnels de la passerelle distribuée seront contrôlés par le contrôleur de passerelle - Media Gateway Controller - utilisant le protocole MEGACO adapté au H.323, qui est appelé Gateway Control Protocol dans la recommandation H.248.
Les messages du protocole MEGACO diffèrent des messages du protocole MGCP, mais les procédures d'établissement et de destruction des connexions utilisant les deux protocoles sont identiques, donc une description de la procédure d'établissement de connexion basée sur le protocole MEGACO n'est pas donnée ici.
1.4 Comparaison des approches pour construire un réseau de téléphonie IP
authentification cryptographique de téléphonie IP tacacs+
Actuellement, les protocoles H.323 et MGCP conviennent à la construction de réseaux de téléphonie IP fonctionnels et compatibles PSTN. Comme déjà indiqué, le protocole SIP interagit un peu moins bien avec les systèmes de signalisation utilisés dans le PSTN.
L'approche basée sur l'utilisation du protocole MGCP présente un avantage très important par rapport à l'approche proposée par l'UIT dans la recommandation H.323 : le contrôleur de passerelle prend en charge la signalisation SS7 et d'autres types de signalisation, ainsi que la transmission transparente des informations de signalisation sur le Réseau de téléphonie IP.
Le principal inconvénient de la troisième approche présentée dans ce paragraphe est le caractère incomplet des normes.
Les composants fonctionnels des passerelles distribuées développées par différents fabricants d'équipements de télécommunications sont pratiquement incompatibles.
Les fonctions du contrôleur de passerelle ne sont pas définies avec précision. Les mécanismes de transfert des informations de signalisation depuis la passerelle de signalisation vers le contrôleur et dans le sens inverse ne sont pas standardisés.
Les inconvénients incluent également l’absence d’un protocole standardisé pour l’interaction entre les contrôleurs. De plus, MGCP est un protocole de contrôle de passerelle, mais n'est pas destiné à contrôler les connexions impliquant des équipements terminaux utilisateur (téléphones IP).
Cela signifie que dans un réseau construit sur le protocole MGCP, un gatekeeper ou un serveur SIP doit être présent pour gérer les équipements terminaux.
Il convient également de noter que dans les applications de téléphonie IP existantes, telles que la fourniture de services de communication internationaux et longue distance, l'utilisation du protocole MGCP (ainsi que du protocole SIP) est inappropriée en raison du fait que la très grande majorité des applications de téléphonie IP les réseaux sont aujourd'hui construits sur la base du protocole N.323. L'opérateur devra construire un réseau de téléphonie IP distinct basé sur le protocole MGCP (ou SIP), ce qui implique d'importants investissements en capital. Parallèlement, un opérateur télécom disposant d'un équipement au standard H.323 peut rejoindre les réseaux de téléphonie IP existants.
Dans la dernière des approches mentionnées (dans le projet de version 4 de la Recommandation H.323), l'UIT-T a introduit le principe de décomposition de porte utilisé dans la troisième approche.
Les blocs fonctionnels de la passerelle distribuée seront contrôlés par le contrôleur de passerelle - MGC (Media Gateway Controller) utilisant le protocole MEGACO/H.248. Le projet de version 4 de la recommandation H.323 prévoit également la possibilité d'une transmission transparente de la signalisation SS7 et d'autres types de signalisation sur les réseaux de téléphonie IP et du traitement de tous les types de signalisation par le portier sans conversion en messages de signalisation H.225.0.
Les informations présentées dans ce chapitre ne sont en aucun cas suffisantes pour tirer des conclusions définitives quant aux perspectives d'utilisation de l'un ou l'autre protocole de téléphonie IP, même si la première impression peut déjà être formée. Dans les chapitres suivants, les auteurs tenteront de fournir des informations plus approfondies sur ce sujet, mais ils s'engagent à ne pas imposer un point de vue particulier au lecteur, mais à lui donner tout ce dont il a besoin pour tirer lui-même les conclusions appropriées.
1.5 Options du systèmeTéléphonie IP(scénarios)
Il existe trois scénarios de téléphonie IP les plus couramment utilisés :
- « ordinateur à ordinateur » ;
- « ordinateur-téléphone » ;
- « téléphone-téléphone ».
Le scénario d'ordinateur à ordinateur est mis en œuvre sur la base de ordinateurs standardséquipé de multimédia et connecté à Internet.
Les composants du modèle de téléphonie IP d'ordinateur à ordinateur sont présentés dans la figure 1.14. Dans ce scénario, les signaux vocaux analogiques provenant du microphone de l'abonné A sont convertis sous forme numérique à l'aide d'un convertisseur analogique-numérique (CAN), généralement à 8 000 échantillons/s, 8 bits/échantillon, ce qui donne 64 Kbps.
Les échantillons de données vocales numériques sont ensuite compressés par un encodeur afin de réduire la bande passante nécessaire à leur transmission selon un rapport de 4 : 1, 8 : 1 ou 10 : 1. Les algorithmes de compression vocale sont discutés en détail dans le chapitre suivant. Les données de sortie après compression sont formées en paquets, auxquels des en-têtes de protocole sont ajoutés, après quoi les paquets sont transmis via le réseau IP au système de téléphonie IP desservant l'abonné B.
Lorsque les paquets sont reçus par le système de l'abonné B, les en-têtes de protocole sont supprimés et les données vocales compressées sont envoyées à un appareil qui les décompresse dans leur forme originale, après quoi les données vocales sont à nouveau converties sous forme analogique à l'aide d'un convertisseur numérique-vers- convertisseur analogique (DAC) et se retrouve dans le téléphone de l'abonné B.
Pour une connexion typique entre deux abonnés, les systèmes de téléphonie IP mettent en œuvre simultanément les fonctions d'émission et de réception à chaque extrémité.
Le réseau IP illustré à la figure 1.14 désigne soit l'Internet mondial, soit un intranet d'entreprise. Description des protocoles utilisés dans les réseaux IP, y compris les protocoles de transmission d'informations vocales sur un réseau IP.
Figure 1.14 Scénario de téléphonie IP d'ordinateur à ordinateur
Pour prendre en charge le scénario d'ordinateur à ordinateur, il est souhaitable que le fournisseur de services Internet dispose d'un serveur distinct (gatekeeper) qui convertit les noms d'utilisateur en adresses IP dynamiques. Le scénario lui-même s'adresse à un utilisateur qui a besoin du réseau principalement pour la transmission de données et qui n'a besoin d'un logiciel de téléphonie IP qu'occasionnellement pour les conversations avec des collègues.
Utilisation efficace communication téléphonique le scénario d’ordinateur à ordinateur est généralement associé à une productivité accrue grandes entreprises, par exemple, lors de l'organisation d'une présentation virtuelle sur un réseau d'entreprise avec la possibilité non seulement de visualiser des documents sur le serveur Web, mais également de discuter de leur contenu à l'aide d'un téléphone IP.
Documents similaires
Considération des caractéristiques du développement d'un complexe d'automatisation de l'analyse des tentatives de pénétration et de contrôle externes connexions locales pour le serveur de téléphonie. Caractéristiques générales du protocole SSH, principales versions. Analyse de l'authentification de base par mot de passe.
travail de cours, ajouté le 22/02/2013
Perspectives de développement de la téléphonie IP (téléphonie Internet). Réseau Internet et protocole IP. Histoire du développement de la téléphonie IP. Avantages de l'utilisation de la téléphonie IP. Indicateur de qualité de téléphonie IP. Système de paiement pour les services de facturation et de gestion de téléphonie IP.
travail de cours, ajouté le 16/05/2008
Structure du protocole TCP/IP. Interaction des systèmes de commutation de circuits et de paquets. Caractéristiques d'un réseau à commutation de paquets. Services fournis par OJSC MGTS utilisant un réseau à commutation de paquets. Calcul de l'efficacité de mise en œuvre du réseau conçu.
thèse, ajoutée le 22/05/2012
Concepts de base de la téléphonie IP, structure des réseaux de téléphonie IP. Structure du réseau ASU. Solutions Cisco Systems pour la téléphonie IP. Routeurs de systèmes Cisco. Commutateur de la série Catalyst 2950. Téléphone IP. Mise en place d'un réseau VPN. Méthodes et moyens de protection des informations.
thèse, ajoutée le 10/09/2008
L'origine du concept multi-niveaux structure hiérarchique réseaux téléphoniques. Technologie électronique qui permettait de transférer tous les équipements de téléphonie vers une base élémentaire. Développement de la téléphonie IP, permettant la transmission de la voix sur des réseaux à commutation de paquets.
résumé, ajouté le 06/12/2010
L'utilisation d'une adresse IP dans le protocole TCP/IP, son rôle dans l'organisation d'une connexion à Internet. Le concept de masque de sous-réseau. Données nécessaires à la configuration du protocole TCP/IP. Un mécanisme pour tester sa configuration et sa connexion aux réseaux à l'aide d'utilitaires.
présentation, ajouté le 11/02/2014
Coordination de différents scénarios de téléphonie IP. Transmission de voix et de vidéo par téléphonie IP. Méthodes de visualisation d'une image transmise à l'interlocuteur. Taille des tampons audio et délai d'appel de l'abonné.
test, ajouté le 20/02/2011
Bases de la téléphonie IP : méthodes de communication, avantages et normes. Développement d'un schéma pour le principal canal de communication pour l'organisation de la téléphonie IP. Fonctions d'un point de contrôle mobile. Développement d'un schéma de canaux de communication de secours pour organiser la téléphonie IP.
travail de cours, ajouté le 11/10/2013
Téléphonie IP et technologie Wi-Fi. La nécessité de mettre en œuvre un réseau de téléphonie IP de bureau mobile, son plan de conception. Mise en place du serveur Yeastar MyPBX 400 pour se connecter à l'opérateur Zebra Telecom. Calcul des coûts d'investissement et des coûts d'exploitation.
thèse, ajoutée le 19/02/2013
Historique des activités du réseau téléphonique de la ville de Moscou. Structure du protocole TCP/IP. Interaction des systèmes de commutation de circuits et de paquets. Caractéristiques d'un réseau à commutation de paquets. Services d'un réseau prometteur, efficacité économique de sa mise en œuvre.
Un système de téléphonie IP doit offrir deux niveaux de sécurité : le système et les appels.
Les fonctions suivantes sont utilisées pour assurer la sécurité du système :
Empêcher l'accès non autorisé au réseau à l'aide d'un mot de passe partagé. Le mot de code est calculé simultanément à l'aide d'algorithmes standards sur les systèmes initiateur et final, et les résultats obtenus sont comparés. Lorsqu'une connexion est établie, chacun des deux systèmes de téléphonie IP identifie dans un premier temps l'autre système ; Si au moins un résultat négatif se produit, la connexion est terminée.
- Listes d'accès comprenant toutes les passerelles de téléphonie IP connues.
- Enregistrez les refus d’accès.
- Fonctions de sécurité de l'interface d'accès, y compris la vérification de l'ID utilisateur et du mot de passe avec un accès limité en lecture/écriture, la vérification des droits d'accès à un serveur WEB spécial pour l'administration.
- Fonctionnalités de sécurité des appels, y compris la vérification de l'ID utilisateur et du mot de passe (facultatif), le statut de l'utilisateur et le profil de l'abonné.
Lorsqu'une passerelle établit une connexion avec une autre passerelle dans sa zone, une vérification facultative de l'ID utilisateur et du mot de passe est effectuée. L'utilisateur peut être privé de ses droits d'accès à tout moment.
En effet, lors du développement du protocole IP, l'attention voulue n'a pas été accordée aux problèmes de sécurité de l'information, mais au fil du temps, la situation a changé et les applications IP modernes contiennent des mécanismes de sécurité suffisants. Et les solutions dans le domaine de la téléphonie IP ne peuvent exister sans la mise en œuvre de technologies standards d'authentification et d'autorisation, de contrôle d'intégrité et de cryptage, etc. Pour plus de clarté, considérons ces mécanismes tels qu'ils sont utilisés à différentes étapes de l'organisation d'une conversation téléphonique, en commençant par l'augmentation combinés téléphoniques et se terminant par un signal de raccrochage.
1. Poste téléphonique.
En téléphonie IP, avant que le téléphone n'envoie un signal pour établir une connexion, l'abonné doit saisir son identifiant et son mot de passe pour accéder à l'appareil et à ses fonctions. Cette authentification vous permet de bloquer toute action de tiers et de ne pas craindre que les utilisateurs d'autres personnes appellent une autre ville ou un autre pays à vos frais.
2. Établir une connexion.
Après avoir composé le numéro, le signal d'établissement de connexion est envoyé au serveur de gestion des appels approprié, où un certain nombre de contrôles de sécurité sont effectués. La première étape consiste à vérifier l'authenticité du téléphone lui-même, à la fois grâce à l'utilisation du protocole 802.1x et grâce à des certificats à clé publique intégrés à l'infrastructure de téléphonie IP. Cette vérification permet d'isoler les téléphones IP non autorisés installés sur le réseau, notamment dans un réseau à adressage dynamique. Des phénomènes similaires aux fameux centres d'appels vietnamiens sont tout simplement impossibles en téléphonie IP (bien sûr, à condition que les règles de construction d'un réseau téléphonique sécurisé soient respectées).
Cependant, l'affaire ne se limite pas à l'authentification téléphonique : il faut savoir si l'abonné a le droit d'appeler le numéro qu'il a composé. Il ne s’agit pas tant d’un mécanisme de sécurité que d’une mesure de prévention de la fraude. Si un ingénieur de l'entreprise n'est pas autorisé à utiliser les communications longue distance, la règle correspondante est immédiatement enregistrée dans le système de gestion des appels et, quel que soit le téléphone à partir duquel une telle tentative est effectuée, elle sera immédiatement arrêtée. De plus, vous pouvez spécifier des masques ou des plages de numéros de téléphone qu'un utilisateur particulier a le droit d'appeler.
Dans le cas de la téléphonie IP, des problèmes de communication similaires aux surcharges de ligne de la téléphonie analogique sont impossibles : avec une conception appropriée du réseau avec des connexions de secours ou une duplication du serveur de contrôle d'appel, la défaillance des éléments de l'infrastructure de téléphonie IP ou leur surcharge n'a pas d'effet négatif. impact sur le fonctionnement du réseau.
3. Conversation téléphonique.
Dans la téléphonie IP, une solution au problème de la protection contre les écoutes clandestines a été apportée dès le début. Un haut niveau de confidentialité des communications téléphoniques est assuré par des algorithmes et des protocoles éprouvés (DES, 3DES, AES, IPSec, etc.) avec une absence quasi totale de coûts pour l'organisation d'une telle protection - tous les mécanismes nécessaires (cryptage, contrôle d'intégrité, hachage, échange de clés, etc. ) ont déjà été mis en œuvre dans des éléments d'infrastructure, allant d'un téléphone IP à un système de gestion d'appels. Dans le même temps, la protection peut être utilisée avec le même succès pour les conversations internes et externes (dans ce dernier cas, tous les abonnés doivent utiliser des téléphones IP).
Cependant, il existe un certain nombre de problèmes liés au cryptage que vous devez garder à l'esprit lors de la mise en œuvre d'une infrastructure VoIP. Premièrement, il existe un délai supplémentaire dû au cryptage/déchiffrement, et deuxièmement, les frais généraux augmentent en raison de l'augmentation de la longueur des paquets transmis.
4. Fonctionnalité invisible.
Jusqu'à présent, nous n'avons considéré que les dangers auxquels la téléphonie traditionnelle est exposée et qui peuvent être éliminés par l'introduction de la téléphonie IP. Mais la transition vers le protocole IP entraîne un certain nombre de nouvelles menaces qui ne peuvent être ignorées. Heureusement, des solutions, technologies et approches éprouvées existent déjà pour se protéger contre ces menaces. La plupart d’entre eux ne nécessitent aucun investissement financier, étant déjà mis en œuvre dans les équipements réseau qui sous-tendent toute infrastructure de téléphonie IP.
La chose la plus simple qui puisse être faite pour améliorer la sécurité des conversations téléphoniques lorsqu'elles sont transmises sur le même système de câble que les données ordinaires est de segmenter le réseau à l'aide de la technologie VLAN pour empêcher les utilisateurs ordinaires d'écouter les conversations. De bons résultats sont obtenus en utilisant un espace d'adressage séparé pour les segments de téléphonie IP. Et bien sûr, il ne faut pas négliger les règles de contrôle d'accès sur les routeurs (Access Control List, ACL) ou les pare-feu, dont l'utilisation rend difficile la connexion des attaquants aux segments vocaux.
5. Communication avec le monde extérieur.
Quels que soient les avantages offerts par la téléphonie IP au sein du réseau interne de l'entreprise, ils seront incomplets sans la possibilité de passer et de recevoir des appels vers des numéros fixes. Dans ce cas, en règle générale, il s'agit de convertir le trafic IP en un signal transmis sur le réseau téléphonique public (PSTN). Ce problème est résolu grâce à l'utilisation de passerelles vocales spéciales, qui mettent également en œuvre certaines fonctions de protection, la plus importante d'entre elles étant le blocage de tous les protocoles de téléphonie IP (H.323, SIP, etc.) si leurs messages proviennent d'un segment non vocal. .
Pour protéger les éléments de l'infrastructure vocale contre d'éventuelles influences non autorisées, des solutions spécialisées peuvent être utilisées - pare-feu (FWE), passerelles de couche application (ALG) et contrôleurs de frontière de session (Session Border Controller). En particulier, RTP utilise des ports UDP dynamiques qui, lorsqu'ils sont ouverts sur un pare-feu, créent une faille de sécurité béante. Le pare-feu doit donc déterminer dynamiquement les ports utilisés pour la communication, les ouvrir au moment de la connexion et les fermer une fois celle-ci terminée. Une autre caractéristique est qu'un certain nombre de protocoles, par exemple SIP, placent des informations sur les paramètres de connexion non pas dans l'en-tête du paquet, mais dans le corps des données. Par conséquent, le dispositif de sécurité doit être capable d'analyser non seulement l'en-tête, mais également le corps des données du paquet, en extrayant toutes les informations nécessaires pour organiser une connexion vocale. Une autre limitation est la difficulté d’utiliser simultanément les ports dynamiques et le NAT.