VoIP et les réseaux sans fil

Report
VoIP 1
Chapitre 5 – Infrastructure du réseau supportant la VoIP
Sommaire
1) Interconnexion entre la VoIP et la téléphonie
classique
2) Infrastructure LAN
3) Infrastructure WAN
1) Interconnexion VoIP/téléphonie classique

Interconnexion entre la VoIP et la téléphonie
classique possible grâce à une passerelle IP/TDM

Passerelles reliées à un opérateur télécom au
travers d’un trunk

Utilisation de technologies variables allant d’une
une simple connexion PSTN à une liaison E1
1) Interconnexion VoIP/téléphonie classique

Totale liberté offerte quant au choix des identifiants
d’appel sur les réseaux VoIP

Ces identifiants d’appel peuvent être des chaines de
caractères alphanumériques (et non des numéros
de téléphone)
1) Interconnexion VoIP/téléphonie classique

Problème lié à l’utilisation de numéros de
téléphones compatibles sur les réseaux VoIP et TDM

Nécessité d’obtenir des numéros de téléphones
auprès d’un opérateur spécialisé
2) Infrastructure LAN

QoS et VLAN

Sécurité

VoIP et les réseaux sans fil
QoS et VLAN

Le transport de la voix sur IP nécessite un minimum
de bande passante

C’est pourquoi la différentiation des flux audio et
des flux de données couplée avec une gestion de
priorité des trafics devient nécessaire (QoS)

Objectifs :


Garantir une bande passante suffisante pour le réseau
téléphonique IP
Assurer son bon fonctionnement (élément critique)
QoS et VLAN

Exemple de priorité pouvant être appliquée :
Flux
Priorité
Exemple(s)
Convergence du réseau
1
Trames BPDU, mises à jour de routage
Signalisation des appels
2
Paquets SIP
Flux voix
3
Paquets RTP
Données prioritaires
4
Réplication Active Directory
Authentification (Kerberos, LDAP, RADIUS)
Données non prioritaires
5
Pages Web, téléchargements
QoS et VLAN

La mise en place d’une QoS (Quality of Service)
suppose la création de 2 VLAN :



VLAN Voix (flux audio)
VLAN Data (tout flux qui n’est pas audio
L’utilisation des VLAN permet


la séparation complète des flux
la création de classes de service
QoS et VLAN

Sur ces classes de service pourront être appliqué :




Des priorité de trafics
Des quotas de bande passante
Des limitations du nombre de requêtes
Eléments configurés en prenant en compte
l’architecture réseau ainsi que les besoins des
utilisateurs
QoS et VLAN

Méthode de Queuing très utilisée en VoIP :


LLQ (Low Latency Queuing)
Celle-ci favorise les trafics sensibles à la latence,
comme c’est le cas pour les flux voix
QoS et VLAN

Il est donc recommandé de mettre en place :




Une priorité des trafics
Une réservation de bande passante
Une séparation des trafics avec des VLANs
La disponibilité est un élément critique dans une
infrastructure utilisant la VoIP
Sécurité

Risques encourus en VoIP



Obtention d’informations confidentielles
Détournement de conversations téléphoniques
Perte de fonctionnalité de l’infrastructure VoIP

Nécessité de mettre en place une politique de
sécurité pour éviter la corruption ou l’indisponibilité
de l’ensemble du service de téléphonie IP

Les communications audio doivent absolument
rester fiables quoi qu’il arrive
Sécurité

De nombreux éléments sont à sécuriser dans une
telle infrastructure, dont entre autre :

Les équipements réseaux

Les terminaux téléphoniques

Les serveurs et équipements utilisés pour gérer les
communications téléphoniques

Les systèmes d’exploitations utilisés par les softphones ou
les serveurs SIP par exemple
Sécurité

Sécurité au niveau des utilisateurs :




Demande d’un mot de passe
Utilisation d’un certificat numérique
Mise en place d’une PKI
Inconvénients :


Les mots de passe peuvent être trouvés en utilisant une
attaque de type « bruteforce »
Les certificats numériques peuvent être dérobés
Sécurité

Garantir l’étanchéité des informations échangées

S’assurer qu’une information transitant au sein d’un VLAN
ne puisse pas être accessible depuis un utilisateur
appartenant à un autre VLAN

Empêcher l’accessibilité aux équipements en charge des
communications audio pour éviter une tentative
d’exploitation d’une vulnérabilité de ceux-ci ou encore une
attaque de type DoS (Denial of Service)
Sécurité

Dangers possibles via l’utilisation du protocole UDP

Détournement des conversations téléphoniques

Usurpation d’identité

Enregistrement d’une conversation

Détérioration de la qualité d’une conversation
Sécurité

Attaques fréquemment utilisées

« Man in the middle » (Gratuitous ARP)

IP Spoofing

DoS (Denial of Service)

Sniffing

Bruteforce
Sécurité

Il y aura toujours un moyen de détourner les
sécurités mises en place pour accéder aux flux
audio

Solution : le cryptage des données

Inconvénient : augmentation de la latence
Sécurité

Cryptage des données :

Utilisation du protocole TLS pour sécuriser les requêtes SIP

Utilisation du protocole SSL pour crypter les informations
transportées par le protocole RTP (alias SRTP)
Sécurité

Une sécurité parfaite à 100% n’existe pas

Cependant il est possible de sécuriser au mieux une
infrastructure pour limiter les risques
Sécurité

Il est donc recommandé de mettre en place :

Authentification des utilisateurs et terminaux
téléphoniques

Garantir l’étanchéité des données

Cryptage des informations envoyées
VoIP et les réseaux sans fil

Evolution de la VoIP vers les réseaux sans fil
(VoWiFi, pour Voice over WiFi)

Permet l’interconnexion des équipements mobiles
(smartphones, PDA, ordinateurs portables etc.)
pour établir des conversations téléphoniques
VoIP et les réseaux sans fil

Avantages de la VoWiFi



Maintiens d’une seule infrastructure radio
Limitation du câblage physique des bâtiments
Avantage au niveau financier
VoIP et les réseaux sans fil

Inconvénients de la VoWiFi



Difficulté de mise en place de QoS sur les points d’accès
Problèmes engendrés par la concurrence d’accès au niveau
des utilisateurs
Problèmes liés à la mobilité (Roaming)
VoIP et les réseaux sans fil

Problèmes liés au Roaming



Coupure des communications si un système
d’authentification centralisé est utilisé (méthodes EAP)
Dégradation de la qualité de la communication si latence
supérieur à 150ms
Solutions


Utilisation du Fast Roaming
Utilisation d’une infrastructure WDS
VoIP et les réseaux sans fil

Evolution de la téléphonie mobile



Arrivée de téléphones « dual mode »
Utilisation du réseau sans fil lorsqu’il est à porté
Utilisation du réseau GSM lorsque le réseau sans fil est hors
d’atteinte
3) Infrastructure WAN

QoS

Sécurité

NAT / PAT

Fiabilité et disponibilité des liaisons WAN

Implémentation sur différents médias et
technologies WAN
QoS

La QoS (Quality of Service) peut être maitrisée au
sein d’une infrastructure LAN jusqu’au routeur
frontière

Au-delà de cette limite, seul le fournisseur d’accès à
Internet (FAI) peut étendre une QoS au niveau d’un
réseau WAN
QoS

Le FAI doit pouvoir répondre au besoin de
l’entreprise et lui garantir une qualité de service
suffisante

Tous les FAI n’en sont pas forcément capables

Impossibilité de garantir une QoS de bout en bout
si les réseaux ne sont pas gérés par le même FAI
QoS

Il est impossible, sans l’utilisation de classes de
service de différencier de la voix par rapport à de la
donnée sur Internet

Il est conseillé de louer une liaison symétrique
dédiée à la voix chez un FAI

Certains FAI sont spécialisés dans ce type d’offres
Sécurité

Le FAI doit s’assurer que les informations
transmises par ses clients ne puissent pas être
détournées ou dérobées

La confidentialité des informations du client doit
être maintenue quoi qu’il arrive
Sécurité

Solutions mises en place par le FAI




Cryptage des données
Utilisation de connexions VPN (tunnels cryptés)
Utilisation d’une liaison dédiée pour la voix
Utilisation de firewall (peut créer des problèmes)
NAT/PAT

Le NAT permet aux utilisateurs d’un LAN d’accéder
à Internet grâce à une translation d’adresse IP

Cependant le NAT translate uniquement les
adresses au niveau du paquet IP et non de l’en-tête
des requêtes SIP
NAT/PAT

Le NAT et le firewall ont un problème en commun :

Les requêtes provenant de l’extérieur (appels entrants)
sont bien souvent bloquées au niveau du routeur gérant la
connexion à Internet
NAT/PAT

Solutions mises en place pour le NAT


Serveurs TURN (Traversal Using Relay NAT)
Serveurs STUN (Simple Traversal of UDP through NAT)
Fiabilité et disponibilité des liaisons WAN

Au niveau de l’infrastructure LAN, tout peut être
maitrisé

Au niveau de l’infrastructure WAN, il faut espérer
que le FAI tienne ses engagements en termes de
délai et de fiabilité de ses liaisons
Fiabilité et disponibilité des liaisons WAN

Pour connaître les besoins en bande passante d’une
entreprise, il faut analyser ses communications

Il suffit ensuite de multiplier le nombre de kb/s que
génère une communication par le nombre de
communications simultanées utilisées
Fiabilité et disponibilité des liaisons WAN

En moyenne une communication demande 8kb/s

L’algorithme G729A (payant) peut atteindre jusqu’à
6kb/s (en-tête comprise)

Cet algorithme est actuellement le meilleur
compromis au niveau entre la bande passante
utilisée et la qualité du son
Implémentation sur différents médias et technologies WAN

Chaque liaison WAN a ses propres capacité en
terme de bande passante


Certaines sont symétriques
D’autres sont asymétriques
Implémentation sur différents médias et technologies WAN

Il faut privilégier les liaisons qui offrent le moins de
latence et une bande passante suffisante en
émission et réception

C’est pourquoi les liaisons à forte capacité en bande
passante sont fortement recommandés :



LS
SDSL
PRI (E1, T2, etc…)
Implémentation sur différents médias et technologies WAN

D’autres liaisons rencontrent deux problèmes

La bande passante
 Ex: liaisons asymétriques comme le RTC, les RNIS BRI
(Numéris) ou encore l’ADSL

La latence réseau
 Ex: les liaisons satellite

similar documents