VoIP et les réseaux sans fil
Download
Report
Transcript VoIP et les réseaux sans fil
VoIP 1
Chapitre 5 – Infrastructure du réseau supportant la VoIP
Sommaire
1) Interconnexion entre la VoIP et la téléphonie
classique
2) Infrastructure LAN
3) Infrastructure WAN
1) Interconnexion VoIP/téléphonie classique
Interconnexion entre la VoIP et la téléphonie
classique possible grâce à une passerelle IP/TDM
Passerelles reliées à un opérateur télécom au
travers d’un trunk
Utilisation de technologies variables allant d’une
une simple connexion PSTN à une liaison E1
1) Interconnexion VoIP/téléphonie classique
Totale liberté offerte quant au choix des identifiants
d’appel sur les réseaux VoIP
Ces identifiants d’appel peuvent être des chaines de
caractères alphanumériques (et non des numéros
de téléphone)
1) Interconnexion VoIP/téléphonie classique
Problème lié à l’utilisation de numéros de
téléphones compatibles sur les réseaux VoIP et TDM
Nécessité d’obtenir des numéros de téléphones
auprès d’un opérateur spécialisé
2) Infrastructure LAN
QoS et VLAN
Sécurité
VoIP et les réseaux sans fil
QoS et VLAN
Le transport de la voix sur IP nécessite un minimum
de bande passante
C’est pourquoi la différentiation des flux audio et
des flux de données couplée avec une gestion de
priorité des trafics devient nécessaire (QoS)
Objectifs :
Garantir une bande passante suffisante pour le réseau
téléphonique IP
Assurer son bon fonctionnement (élément critique)
QoS et VLAN
Exemple de priorité pouvant être appliquée :
Flux
Priorité
Exemple(s)
Convergence du réseau
1
Trames BPDU, mises à jour de routage
Signalisation des appels
2
Paquets SIP
Flux voix
3
Paquets RTP
Données prioritaires
4
Réplication Active Directory
Authentification (Kerberos, LDAP, RADIUS)
Données non prioritaires
5
Pages Web, téléchargements
QoS et VLAN
La mise en place d’une QoS (Quality of Service)
suppose la création de 2 VLAN :
VLAN Voix (flux audio)
VLAN Data (tout flux qui n’est pas audio
L’utilisation des VLAN permet
la séparation complète des flux
la création de classes de service
QoS et VLAN
Sur ces classes de service pourront être appliqué :
Des priorité de trafics
Des quotas de bande passante
Des limitations du nombre de requêtes
Eléments configurés en prenant en compte
l’architecture réseau ainsi que les besoins des
utilisateurs
QoS et VLAN
Méthode de Queuing très utilisée en VoIP :
LLQ (Low Latency Queuing)
Celle-ci favorise les trafics sensibles à la latence,
comme c’est le cas pour les flux voix
QoS et VLAN
Il est donc recommandé de mettre en place :
Une priorité des trafics
Une réservation de bande passante
Une séparation des trafics avec des VLANs
La disponibilité est un élément critique dans une
infrastructure utilisant la VoIP
Sécurité
Risques encourus en VoIP
Obtention d’informations confidentielles
Détournement de conversations téléphoniques
Perte de fonctionnalité de l’infrastructure VoIP
Nécessité de mettre en place une politique de
sécurité pour éviter la corruption ou l’indisponibilité
de l’ensemble du service de téléphonie IP
Les communications audio doivent absolument
rester fiables quoi qu’il arrive
Sécurité
De nombreux éléments sont à sécuriser dans une
telle infrastructure, dont entre autre :
Les équipements réseaux
Les terminaux téléphoniques
Les serveurs et équipements utilisés pour gérer les
communications téléphoniques
Les systèmes d’exploitations utilisés par les softphones ou
les serveurs SIP par exemple
Sécurité
Sécurité au niveau des utilisateurs :
Demande d’un mot de passe
Utilisation d’un certificat numérique
Mise en place d’une PKI
Inconvénients :
Les mots de passe peuvent être trouvés en utilisant une
attaque de type « bruteforce »
Les certificats numériques peuvent être dérobés
Sécurité
Garantir l’étanchéité des informations échangées
S’assurer qu’une information transitant au sein d’un VLAN
ne puisse pas être accessible depuis un utilisateur
appartenant à un autre VLAN
Empêcher l’accessibilité aux équipements en charge des
communications audio pour éviter une tentative
d’exploitation d’une vulnérabilité de ceux-ci ou encore une
attaque de type DoS (Denial of Service)
Sécurité
Dangers possibles via l’utilisation du protocole UDP
Détournement des conversations téléphoniques
Usurpation d’identité
Enregistrement d’une conversation
Détérioration de la qualité d’une conversation
Sécurité
Attaques fréquemment utilisées
« Man in the middle » (Gratuitous ARP)
IP Spoofing
DoS (Denial of Service)
Sniffing
Bruteforce
Sécurité
Il y aura toujours un moyen de détourner les
sécurités mises en place pour accéder aux flux
audio
Solution : le cryptage des données
Inconvénient : augmentation de la latence
Sécurité
Cryptage des données :
Utilisation du protocole TLS pour sécuriser les requêtes SIP
Utilisation du protocole SSL pour crypter les informations
transportées par le protocole RTP (alias SRTP)
Sécurité
Une sécurité parfaite à 100% n’existe pas
Cependant il est possible de sécuriser au mieux une
infrastructure pour limiter les risques
Sécurité
Il est donc recommandé de mettre en place :
Authentification des utilisateurs et terminaux
téléphoniques
Garantir l’étanchéité des données
Cryptage des informations envoyées
VoIP et les réseaux sans fil
Evolution de la VoIP vers les réseaux sans fil
(VoWiFi, pour Voice over WiFi)
Permet l’interconnexion des équipements mobiles
(smartphones, PDA, ordinateurs portables etc.)
pour établir des conversations téléphoniques
VoIP et les réseaux sans fil
Avantages de la VoWiFi
Maintiens d’une seule infrastructure radio
Limitation du câblage physique des bâtiments
Avantage au niveau financier
VoIP et les réseaux sans fil
Inconvénients de la VoWiFi
Difficulté de mise en place de QoS sur les points d’accès
Problèmes engendrés par la concurrence d’accès au niveau
des utilisateurs
Problèmes liés à la mobilité (Roaming)
VoIP et les réseaux sans fil
Problèmes liés au Roaming
Coupure des communications si un système
d’authentification centralisé est utilisé (méthodes EAP)
Dégradation de la qualité de la communication si latence
supérieur à 150ms
Solutions
Utilisation du Fast Roaming
Utilisation d’une infrastructure WDS
VoIP et les réseaux sans fil
Evolution de la téléphonie mobile
Arrivée de téléphones « dual mode »
Utilisation du réseau sans fil lorsqu’il est à porté
Utilisation du réseau GSM lorsque le réseau sans fil est hors
d’atteinte
3) Infrastructure WAN
QoS
Sécurité
NAT / PAT
Fiabilité et disponibilité des liaisons WAN
Implémentation sur différents médias et
technologies WAN
QoS
La QoS (Quality of Service) peut être maitrisée au
sein d’une infrastructure LAN jusqu’au routeur
frontière
Au-delà de cette limite, seul le fournisseur d’accès à
Internet (FAI) peut étendre une QoS au niveau d’un
réseau WAN
QoS
Le FAI doit pouvoir répondre au besoin de
l’entreprise et lui garantir une qualité de service
suffisante
Tous les FAI n’en sont pas forcément capables
Impossibilité de garantir une QoS de bout en bout
si les réseaux ne sont pas gérés par le même FAI
QoS
Il est impossible, sans l’utilisation de classes de
service de différencier de la voix par rapport à de la
donnée sur Internet
Il est conseillé de louer une liaison symétrique
dédiée à la voix chez un FAI
Certains FAI sont spécialisés dans ce type d’offres
Sécurité
Le FAI doit s’assurer que les informations
transmises par ses clients ne puissent pas être
détournées ou dérobées
La confidentialité des informations du client doit
être maintenue quoi qu’il arrive
Sécurité
Solutions mises en place par le FAI
Cryptage des données
Utilisation de connexions VPN (tunnels cryptés)
Utilisation d’une liaison dédiée pour la voix
Utilisation de firewall (peut créer des problèmes)
NAT/PAT
Le NAT permet aux utilisateurs d’un LAN d’accéder
à Internet grâce à une translation d’adresse IP
Cependant le NAT translate uniquement les
adresses au niveau du paquet IP et non de l’en-tête
des requêtes SIP
NAT/PAT
Le NAT et le firewall ont un problème en commun :
Les requêtes provenant de l’extérieur (appels entrants)
sont bien souvent bloquées au niveau du routeur gérant la
connexion à Internet
NAT/PAT
Solutions mises en place pour le NAT
Serveurs TURN (Traversal Using Relay NAT)
Serveurs STUN (Simple Traversal of UDP through NAT)
Fiabilité et disponibilité des liaisons WAN
Au niveau de l’infrastructure LAN, tout peut être
maitrisé
Au niveau de l’infrastructure WAN, il faut espérer
que le FAI tienne ses engagements en termes de
délai et de fiabilité de ses liaisons
Fiabilité et disponibilité des liaisons WAN
Pour connaître les besoins en bande passante d’une
entreprise, il faut analyser ses communications
Il suffit ensuite de multiplier le nombre de kb/s que
génère une communication par le nombre de
communications simultanées utilisées
Fiabilité et disponibilité des liaisons WAN
En moyenne une communication demande 8kb/s
L’algorithme G729A (payant) peut atteindre jusqu’à
6kb/s (en-tête comprise)
Cet algorithme est actuellement le meilleur
compromis au niveau entre la bande passante
utilisée et la qualité du son
Implémentation sur différents médias et technologies WAN
Chaque liaison WAN a ses propres capacité en
terme de bande passante
Certaines sont symétriques
D’autres sont asymétriques
Implémentation sur différents médias et technologies WAN
Il faut privilégier les liaisons qui offrent le moins de
latence et une bande passante suffisante en
émission et réception
C’est pourquoi les liaisons à forte capacité en bande
passante sont fortement recommandés :
LS
SDSL
PRI (E1, T2, etc…)
Implémentation sur différents médias et technologies WAN
D’autres liaisons rencontrent deux problèmes
La bande passante
Ex: liaisons asymétriques comme le RTC, les RNIS BRI
(Numéris) ou encore l’ADSL
La latence réseau
Ex: les liaisons satellite