INTRODUCTION GENERALE

Depuis quelques années, la technologie VoIP commence à intéresser les

entreprises, surtout celles de service comme les centres d’appels. La
migration des entreprises vers ce genre de technologie n’est pas pour rien.
Le but est principalement de : minimiser le coût des communications ;
utiliser le même réseau pour offrir des services de données, de voix, et
d’images ; et simplifier les coûts de configuration et d’assistance.

Plusieurs fournisseurs offrent certaines solutions qui permettent aux

entreprises de migrer vers le monde IP. Des constructeurs de PABX tels
que Nortel, Siemens, et Alcatel préfèrent la solution de l’intégration
progressive de la VoIP en ajoutant des cartes d’extensions IP. Cette
approche facilite l’adoption du téléphone IP surtout dans les grandes
sociétés possédant une plateforme classique et voulant bénéficier de la voix
sur IP. Mais elle ne permet pas de bénéficier de tous les services et la bonne
intégration vers le monde des données.

Le développement des PABXs software, est la solution proposée par des

fournisseurs tels que Cisco et Asterisk. Cette approche permet de bénéficier
d’une grande flexibilité, d’une très bonne intégration au monde des données
et de voix, et surtout d’un prix beaucoup plus intéressant.
Ce rapport se compose de trois parties. La première partie se compose de
deux chapitres, le premier chapitre introduit (VoIP) la voix sur IP et ces
éléments, son principe de fonctionnement, ses avantages et inconvénients.
Le deuxième chapitre s’intéresse à une étude détaillée des protocoles VoIP
ainsi que leurs principes de fonctionnement.

La deuxième partie du rapport s’intéresse à l’études et au déploiement d’une

solution de VoIP basée sur le serveur Asterisk.

La troisième partie concerne les différents risques et la recommandation de

sécurisation de la VoIP.
 CAHIER DE CHARGE :
Enonciation de la problématique :
Nous savons que les entreprises utilisent plusieurs machines et plusieurs
téléphones pour pouvoir communiquer. Cependant pour établir la
connexion entre ces derniers, il faut trouver un moyen qui facilite la tâche
et qui coute moins chère avec moins de pannes et qui se base sur la VoIP
et la fonctionnalité de cette dernière est de passer des appels vocaux dans
un réseau local sans devoir payer.

Travail demandé :
Ce travail a pour objectif de faire une étude des protocoles de VoIP et des
architectures proposées ; et la mise en œuvre d’une solution VoIP, basée
sur des outils open source, précisément le serveur Asterisk et le client «
X-Lite ».
Le serveur sur lequel l'installation sera faite aura un système d'exploitation
Linux (Ubuntu 14.04 LTS).

Plan élaboré :
Le plan que nous avons dressé se compose des démarches suivantes :
• L’installation de Ubuntu et configuration de Base (paquets).
• L’Installation du serveur Asterisk.
• Configuration d’Asterisk et création des comptes d’utilisateurs.
• Installation et configuration des SoftPhone et le serveur
• Recommandation de sécurité
 PARTIE I :

VOICE OVER INTERNET

PROTOCOL
 CHAPITRE I : Généralités sur la VoIP

INTRODUCTION

La Voix sur IP (en anglais, Voice over IP ou VoIP) est le nom d'une
nouvelle technologie de télécommunication vocale en pleine émergence
qui transforme la téléphonie. Cette technologie marque un tournant dans le
monde de la communication en permettant de transmettre de la voix sur un
réseau numérique et sur Internet.

L'objectif de la Voix sur IP est d'appliquer à la voix le même traitement

que les autres types de données circulant sur Internet. Grâce au protocole
IP, des paquets de données, constitués de la voix numérisée, y sont
transportés. En effet, à force de transférer des fichiers d'information en
temps de plus en plus réel, les utilisateurs d'Internet en vinrent à transférer
de la voix, en temps suffisamment réel pour faire une compétition au
téléphone.

Dans cette banalisation des données voix, deux contraintes majeures sont
présentes : transmettre ces paquets dans le bon ordre et le faire dans un
délai raisonnable. La téléphonie IP et la téléphonie mobile, deux
technologies appelées à se généraliser au cours des prochaines années,
auront un impact majeur sur la façon dont les gens communiquent, au
bureau comme à la maison.

Les fonctions offertes par VoIP ne se limitent pas à la transmission de la

voix. Grâce à VoIP, il est possible d’émettre et de recevoir les messages
vocaux ; les emails ; le fax ; de créer un répondeur automatique ; d’assister
à une conférence audio et/ou vidéo ; etc.
 Définition :

❖ IP (Internet Protocol) Internet Protocol, généralement abrégé IP,

est un protocole de communication de réseau informatique, il
correspond à un protocole de niveau 3 dans le modèle OSI et du
modèle TCP/IP (Figure.1) permettant un service d'adressage
unique pour l'ensemble des terminaux connectés.

Figure 1: Modèle OSI (OPEN SYSTEMS INTERCONNECTION)

et du modèle TCP/IP

❖ VoIP (Voice Over IP) :

VoIP qui signifie Voice over Internet Protocol ou voix sur IP est une
technique qui permet de transmettre la voix sur des réseaux IP filaires ou
non, qu’ils s’agissent des réseaux privés ou d’Internet.
 Principe de transformation de la voix en IP :

La bande voix (qui est un signal électrique analogique) est d'abord

échantillonnée numériquement par un convertisseur puis compressée selon
une certaine norme de compression variable selon les codecs utilisés, puis
ensuite on peut éventuellement supprimer les pauses de silences observées
lors d'une conversation, pour être ensuite habillée RTP, UDP et enfin en
IP. Une fois que la voix est transformée en paquets IP, ces paquets IP
identifiés et numérotés peuvent transiter sur n'importe quel réseau IP
(ADSL, Ethernet, Satellite, routeurs, switchs, PC, Wifi, etc.)

Figure 2: Principe pour transformer la voix en IP

 Principe de fonctionnement de VoIP :

Contrairement à la téléphonie classique, par commutation de circuits, qui

repose exclusivement sur un réseau téléphonique commuté, la technologie
VoIP permet de téléphoner sur des réseaux spécialisés ou sans fil, y
compris des réseaux informatiques. Ces nouveaux types de réseaux
utilisent des protocoles " commutation par paquets ". En plus des données
vocales (voix numérisée), un paquet comporte les adresses réseau de
l'expéditeur et du destinataire. Les paquets VoIP sont transmis à travers
n'importe quel réseau compatible VoIP et peuvent être acheminés par des
chemins différents : la VoIP est donc inter opérable. Par la suite, une
application se chargera de la transformation inverse (des paquets vers la
voix). « En termes plus simples, vous décrochez, composez, et l'appel
passe par Internet plutôt que par les canaux traditionnels. Sans parler des
éventuelles fonctions comme le lien entre la boite vocale et l'ordinateur ».
En effet, toutes les informations à transmettre sur le réseau sont divisées
en paquets de données.
Chaque paquet se compose :
• D'un en-tête indiquant sa source et sa destination ;
• D'un numéro de séquence ;
• D'un bloc de données ;
• D'un code de vérification des erreurs.
Les routeurs et les serveurs acheminent ces paquets sur le réseau jusqu'à
leur destination. Lorsque les paquets arrivent à destination, le numéro de
séquence permet de reclasser les paquets dans l'ordre d'origine. A la
différence de la téléphonie RTC qui dédie un circuit à un appel
téléphonique, les paquets de données partagent un circuit avec d'autres
transmissions.
Les systèmes téléphoniques basés sur un réseau local sont utiles tant aux
petites qu'aux grandes organisations. L'emplacement physique des
périphériques de téléphonie importe peu. En fait, un système de téléphonie
basé sur un réseau local fonctionne parfaitement dans l'environnement
d'une entreprise ou des sites distants sont connectés au bureau principal
via un réseau étendu (WAN). Les ressources de téléphonie disponibles en
un point spécifique peuvent être disponibles sur le réseau étendu.
Par ailleurs, la téléphonie sur IP permet de combiner le téléphone et
l'ordinateur, grâce à une infrastructure intégrée, basée sur le protocole
Internet (IP). De cette façon, il est possible de traiter et de transmettre sur
la même infrastructure des communications de différents types, que ce soit
de la voix, des données, des images ou de la vidéo. Cette nouvelle
technologie pourrait permettre à une organisation de fusionner, sur un seul
et même réseau, le réseau informatique et le réseau téléphonique
commuté. De plus, la téléphonie sur IP permet les fonctionnalités les plus
populaires du PABX traditionnel (Private Automatic Branch eXchange ou
central téléphonique privé). Parmi celles-ci, mentionnons entre autres :
• Renvoi d'appel (tous, sur occupation, sur non-réponse) ;
• Mise en attente d'appels ;
• Affichage du numéro et du nom de l'appelant ; Sonnerie distincte
(appel interne vs externe) ; Indicateur de message en attente ;
Conférence et transfert.

Types de téléphonie sur IP :

La voix sur IP comprend ainsi les communications de PC à PC. Si les

deux correspondants possèdent un PC équipé en conséquence, avec des
hautparleurs et des microphones (Figure.3). Ces derniers pourront
communiquer s‘ils connaissent leurs adresses IP respectives. De plus, ce
mode de fonctionnement nécessite actuellement que les correspondants se
fixent un rendez-vous préalable sur Internet ou soient connectés en
permanence et, bien sûr, qu'ils utilisent des logiciels de Voix sur IP
compatibles.

Dans un contexte d‘entreprise, on peut passer par internet ou par intranet.

Figure 3: Communication de PC à PC

Deuxième catégorie de voix sur IP, les communications de PC à téléphone

(PC to Phone). Si un correspondant utilisant un PC souhaite appeler une
personne sur son téléphone, il doit passer par un fournisseur de service sur
Internet. Ce dernier met en place une passerelle, entre Internet et le RTC
(réseau téléphonique commuté), qui gérera les échanges de données.
Dans le sens inverse, le correspondant peut contacter la passerelle de son
téléphone, il devra appeler le numéro spécial d'une passerelle qui gérera
l'établissement de la communication avec le réseau Internet et le
correspondant sur ce réseau pourvu, là aussi, qu'il soit au rendez-vous.
(Figure.4).
 Figure 4: Communication de PC à téléphone

La ToIP s'inscrit dans la troisième catégorie de communications en voix

sur IP, les échanges de téléphone à téléphone. Si les deux correspondants
possèdent un téléphone normal, ils devront chacun passé par une
passerelle. Ensuite, les deux passerelles communiquent entre elles par un
réseau de type Internet. Les deux passerelles dont dépendent les deux
correspondants gèrent alors la communication, y compris la signalisation
avec le réseau téléphonique et les conversions à l'entrée et à la sortie du
réseau IP (Figure.5).

Figure 5: Communication de téléphone à téléphone

Dans la littérature il arrive souvent de tomber sur le terme « ToIP » qui
désigne les mêmes technologies que la VoIP, ToIP signifie « Telephony
Over IP » ou, plus prosaïquement les techniques employées pour faire
circuler la voix sur un réseau informatique dont la couche transport est
prise en charge par le protocole IP.
PABX

PABX (signifie : Private Automatic Branch eXchange) sert

principalement à relier les postes téléphoniques d'un établissement (lignes
internes) avec le réseau téléphonique public (lignes externes). Il permet en
plus la mise en œuvre d'un certain nombre de fonctions, notamment :
a. Relier plus de lignes internes qu'il n'y a de lignes externes.
b. Permettre des appels entre postes internes sans passer par le réseau
public.
c. Programmer des droits d'accès au réseau public pour chaque poste
interne.
d. Proposer un ensemble de services téléphoniques (conférences,
transferts d'appel, renvois, messagerie, appel par nom…).
 e. Gérer la ventilation par service de la facture téléphonique globale
(taxation).
f. Apporter des services de couplage téléphonie-informatique (CTI).
g. Gérer les appels d'urgence dans les structures d'accueil
hospitalières, maisons de retraite, etc.
h. Gérer un portier interphone d'immeuble et commander une gâche
électrique
Il s'agit en quelque sorte d'un Switch doté de fonctionnalités particulières
et peut être considéré comme étant le cœur d'un réseau privé de
téléphonie.
Le terme "IP-PABX" (ou "IPBX") désigne un PABX (ou PBX) utilisant la
technologie IP pour accéder à son réseau.

Les avantages de VoIP :

La VoIP offre plusieurs nouvelles possibilités aux opérateurs et aux

utilisateurs qui bénéficient d‘un réseau basé sur IP. Ses avantages les plus
marqués sont les suivants :
Flexibilité:
Les solutions de téléphonie sur IP sont conçues pour assumer une
stratégie de migration à faible risque à partir de l‘infrastructure
existante. La transition de la solution actuelle vers la téléphonie sur IP
peut donc s'effectuer en douceur. De plus, la communication par
Internet offre la gratuité des communications intersites ainsi qu‘une
facilité d‘intégration des sièges distants. La convergence facilite
l‘intégration avec le système d‘information et simplifie
l‘infrastructure.
Réduction des coûts:
La téléphonie sur IP exploite un réseau de données IP pour offrir des
communications vocales sur un réseau unique de voix et de données.
Cette convergence s‘accompagne des avantages liés à la réduction des
coûts d‘investissement, à la simplification des procédures d‘assistance
et de configuration et à l‘intégration accrue de filiales et de sites
distants aux installations du réseau d‘entreprise. La diminution des
coûts est donc perçue non seulement sur les frais de communication,
mais également sur les dépenses opérationnelles (un seul réseau à
gérer). De plus, la téléphonie IP permet d‘utiliser et d‘intégrer les
postes analogiques déjà en place, ainsi que de réduire les coûts reliés
aux frais interurbains. Par ailleurs, la mise en place de la téléphonie IP
permet de diminuer et même d‘éliminer les coûts et la complexité
associés aux utilisateurs ayant à se déplacer, car ceux-ci accèdent à
tous les services du réseau partout où ils peuvent s‘y connecter.
Simplification de la gestion des réseaux voix, données et vidéo:
En positionnant la voix comme une application supplémentaire du
réseau IP, l‘entreprise ne va pas uniquement substituer un transport
opérateur RTC à un transport IP, mais va également simplifier la
gestion des trois réseaux (voix, données et vidéo) par ce seul
transport. La téléphonie IP permet ainsi de contrôler les réseaux de
communication de données et de voix à partir d‘une interface unique
sur Internet.
Amélioration de la productivité et du service à la clientèle:
Les applications et les services IP intégrés, améliorent la productivité
et le service à la clientèle. Les bénéfices récurrents seront apportés par
les gains de productivité liés à l‘utilisation de nouveaux services et de
nouvelles applications pour lesquels le déploiement est accéléré. En
effet, l'utilisation d'une infrastructure IP commune et d’interface
standard ouverte permet de développer et de déployer très rapidement
des applications innovantes.
L‘accessibilité :
Les utilisateurs accèdent à tous les services du réseau partout où ils
peuvent s'y connecter notamment par la substitution de postes, ce qui
permet de maximiser les ressources et mieux les gérer afin de réaliser
des économies substantielles sur l‘administration et l‘infrastructure.
 Inconvénients :

Lorsqu‘on parle de téléphonie IP, quelques problèmes restent à régler. Les

principaux inconvénients de la téléphonie IP sont les suivants:
Fiabilité et qualité sonore:
Un des problèmes les plus importants de la téléphonie sur IP est la qualité
de la retransmission qui n'est pas encore optimale. En effet, des
désagréments tels que la qualité de la reproduction de la voix du
correspondant ainsi que le délai entre le moment où l'un des interlocuteurs
parle et le moment où l'autre entend peuvent être extrêmement
problématiques dans le milieu professionnel.
De plus, il se peut que des morceaux de la conversation manquent (des
paquets perdus pendant le transfert) sans être en mesure de savoir si des
paquets ont été perdus et à quel moment.
Technologie émergente et constante évolution des normes:
La technologie IP n‘est pas encore mature : des nouveaux standards de
téléphonie IP sont annoncés presque à chaque mois. Cependant, même si
des gros progrès ont été faits et qu‘elle est à présent utilisable, la
téléphonie IP demeure une technologie émergente sujette à de nombreuses
évolutions qui risquent d‘avoir des impacts à chaque fois sur le CRC.
Dépendance de l‘infrastructure technologique et support
administratif exigeant:
Les centres de relations IP peuvent être particulièrement vulnérables en
cas d‘improductivité de l‘infrastructure. Par exemple, si la base de
données n‘est pas disponible, les centres ne peuvent tout simplement pas
recevoir d‘appels. La convergence de la voix et des données dans un seul
système signifie que la stabilité du système devient plus importante que
jamais et l‘organisation doit être préparée à travailler avec efficience ou à
encourir les conséquences.
Cette nouvelle technologie étant difficile à intégrer, le choix du partenaire
devient déterminant afin de permettre la maîtrise de l'installation après
l'intégration. Il devient important pour toute organisation, avant de s'y
lancer, de considérer certains éléments selon leurs besoins spécifiques et
d‘éviter de le faire pour être à la mode.
Il faut prendre en considération que la qualité sonore sera différente (un
peu comme quand les cellulaires numériques sont arrivés) et que cette
technologie dépend d'Internet (légers délais à prévoir, pannes, etc.).
 CHAPITRE II : Etudes sur les protocoles de
VoIP

Les protocoles RTP & RTCP:

Le protocole RTP (Real Time Transport Protocol) sert au transport de

l'information à proprement parler. Il assure le synchronisme des paquets
lors de l'entrée sur le réseau ainsi qu'au moment de la sortie. Ce protocole
se situe au niveau transport du modèle de référence afin de lutter contre les
gènes du réseau. RTP possède plusieurs fonctions et fournit des
mécanismes de contrôle élaboré. Il permet tout d'abord de réaliser un
séquencement des paquets par le biais d'un système de numérotation.
Grâce à des paquets numérotés, il devient très facile d'identifier ceux qui
ont été perdus lors de la transmission (si un numéro est manquant dans la
séquence, on sait alors qu'il y a eu perte). Cette séquence de paquets est
déterminante dans la reconstitution de la voix. L'avantage de détecter la
perte d'un paquet permet dans certains cas de reconstituer le paquet
manquant en réalisant une synthèse des paquets qui précèdent et
succèdent. RTP effectue également une identification du corps des
paquets, afin de savoir ce que chaque paquet transporte. Ici aussi, en cas
de perte, on peut envisager une recomposition du message perdu.
Identifier la source de la transmission est également une fonction assurée
par RTP. Cependant, pour assurer ses fonctions, RTP se base sur un autre
protocole, RTCP (Real-Time Control Protocol), afin de transporter des
informations complémentaires et nécessaires à la gestion d'une session.
Ainsi, RTCP permet de gérer les rapports de qualité de service (QoS)
renvoyés par le destinataire d'une communication à l'émetteur afin de
connaître le nombre de paquets perdus ainsi que d'autres informations
comme le temps nécessaire pour effectuer un aller-retour. En consultant
ces rapports, l'émetteur est alors capable de répondre à une contrainte de
temps obligatoire, notamment en termes de réduction de temps allerretour,
par le biais d'une meilleure compression afin de garantir la qualité de
service. RTCP fournit également une meilleure synchronisation des
médias, un mécanisme d'identification (numéro de téléphone, nom d'un
destinataire...) et de contrôle de session (arrivée ou départ d'une personne
au sein d'une conférence audio...). Ces informations sont envoyées de
manière cyclique par les utilisateurs en communication.
 Les protocoles MGCP/MEGACO :

Le protocole MGCP (Media Gateway Control Protocol) est

complémentaire à H.323 ou SIP et traite des problèmes d'interconnexion
avec le monde téléphonique. Dans une première approche, la passerelle
qui fait le lien entre le réseau téléphonique et le réseau de Voix sur IP est
mise de côté et toute l'information est intègre dans un contrôleur de
passerelle. Ainsi, les services proposés sont indépendants de la passerelle
utilisée et de son constructeur. Le protocole MEGACO/H248 définit les
échanges entre ces deux parties. Cette approche permet la construction de
terminaux simples et bons marchés

Le standard H.323 :

L'utilisation d'un système de téléphonie sur IP induit indubitablement la

présence de médias de communication. Ces médias de communication
proviennent principalement de la parole mais peuvent également venir de
la vidéo. La normalisation de la signalisation et des commandes permet de
simplifier la gestion des médias. La dénomination H.323 définit un
ensemble de protocoles réseau qui sont mis en œuvre au sein d'un
équipement multimédia (soft phone ou IP phone par exemple). Cet
équipement doit porter la qualification "compatible H.323". Ainsi, cet
ensemble de protocoles, également appelé codeur, doit être implémenté
dans l'équipement compatible H.323. Ci-après, un tableau synthétique
regroupant les principaux protocoles définit par H.323 : Le diagramme
cidessus (Figure.6) représente le standard H.323 minimaliste. On retrouve
des codecs audio fondamentaux comme G.711/722/728/729 mais
également des protocoles tels que H.225/245
 Figure 6: Le standard H.323

Le protocole H.225 est chargé d'établir, de contrôler et de terminer les

sessions d'appel. Les signalisations employées sont similaires à celles
utilisées dans l'établissement des connexions RNIS. Le protocole H.245
est un canal assurant le contrôle, ouvert dès le début de la communication,
et qui est chargé de négocier les codecs communs aux équipements
multimédias. Ce protocole gère également les flux issus des médias.
La norme G.711 est en réalité un codec de compression audio performant
qui occupe une bande passante de 64 Kbps.
La G.729 fait également partie de la famille des codecs audio mais opère
sur une bande passante de 8 Kbps. Cette dernière est très utilisée par les
fournisseurs d'accès Internet pour le transport de la voix sur les réseaux
étendus WAN.

Fonctionnement de H.323 :
Les divers protocoles définissant le standard H.323 servent à établir de la
signalisation, négocier des codecs et transporter l'information. Nous allons
brièvement décrire l'intérêt de chacun :
La signalisation est la première étape réalisée lors d'un appel. L'appelant
émet une demande de mise en relation avec un destinataire. L'équipement
de ce dernier peut alors indiquer que la ligne est libre et que le téléphone
peut donc sonner ou au contraire que la ligne est en cours d'utilisation.
La négociation est le processus permettant de s'accorder mutuellement sur
la manière dont les informations échangées vont être codées. Il faut que
les équipements parlent le même langage pour se comprendre, à l'image
des protocoles qui définissent une "langue" de communication. Il est ainsi
décidé quel codec sera utilisé (meilleure qualité de son, meilleure
occupation de la bande passante). Le protocole H.245 traite cette
négociation de codecs.
Le protocole RTP (Real time Transport Protocol) est chargé de transporter
les données (la voix dans notre contexte) pour assurer une diffusion quasi
temps réel.
Les architectures H.323 peuvent bénéficier de diverses implémentations.
Nous allons voir l’architecture point à point, multipoint et Gatekeeper.

Architecture point à point :

Dans cette architecture, la couche protocolaire est gérée par chaque client
et l'ensemble du trafic ne transite qu'entre l'émetteur et le destinataire.
Pour commencer un appel, l'adresse IP du destinataire est appelée. La
phase de signalisation s'engage alors et les protocoles associés envoient un
message au destinataire en lui proposant d'établir la connexion.
L'identifiant H.323 est également envoyé pendant la phase de
signalisation. Le destinataire regarde son statut et deux réponses peuvent
être envoyées à l'émetteur: libre ou occupé. Lorsque le destinataire est prêt
à recevoir l'appel, la phase de négociation des codecs débute et chaque
partie énumère les codecs disponibles afin de s'accorder sur un standard.
Enfin, la communication débute et les flux sont envoyés généralement en
RTP. Lorsque les deux parties terminent la communication, tous les
sockets se ferment. Le schéma ci-après représente une architecture point à
point (Figure.7):

Figure 7: Architecture Point à Point

 Architecture GateKeeper :
Dans cette architecture, un nouvel élément entre en ligne de compte dans
le processus de signalisation : le gatekeeper. Il s'agit d'un dispositif
assurant une translation adresse IP / numéro de téléphone ainsi que toute la
partie autorisation.
Les clients VoIP sont alors configurés pour s'enregistrer auprès du
gatekeeper. Ainsi, lorsqu'ils se connectent au réseau, ces derniers
annoncent leur adresse IP et leur identifiant H.323 au gatekeeper.
Pour appeler, le client a besoin d'utiliser l'identifiant H.323 du destinataire
et ainsi effectuer une requête auprès du gatekeeper chargé d'autoriser ou
non l'émetteur. Si le gatekeeper permet à l'émetteur d'appeler le
destinataire, le gatekeeper contacte le destinataire pour connaître son
statut.
Si le destinataire est prêt à recevoir un appel, son adresse IP est transmise à
l'émetteur qui va pouvoir établir la connexion. La communication
s'effectue ensuite directement entre les clients et le gatekeeper n'a plus
aucun rôle à jouer.
La phase de négociation des codecs débute, à l'image d'une architecture
point à point. Le gatekeeper ré intervient lors de la fin de la
communication. Le schéma ci-après résume l'architecture gatekeeper
(Figure.8)

Figure 8: Architecture Gatekeeper

Architecture multipoints:
Dans cette architecture, un nouvel élément prend place: le multipoint
control unit ou MCU. Ce dispositif permet de gérer plusieurs
communications simultanées, très utiles pour les conférences téléphonies.
Il permet également d'assurer des services comme la diffusion d'une
tonalité.
Lors de la mise en service du système VoIP, le multipoint control unit
signale sa présence au gatekeeper et lui fournit un certains nombres
d'informations (nombre de clients simultanés possibles, les débits
possibles ainsi que l'identifiant H.323). Tout se passe ensuite comme dans
l'architecture gatekeeper. Les clients VoIP s'enregistrent auprès du
gatekeeper.
Cette architecture est la plus recommandée et s'accompagne très souvent
de passerelles vers le réseau RTC ou vers d'autres réseaux téléphoniques
privés. Le schéma ci-après représente une architecture multipoints
(Figure.9):

Figure 9: Architecture Multipoints

Les protocoles SIP :

Définition :
Le protocole SIP (Session Initiation Protocol) est un protocole normalisé
et standardisé par l'IETF (décrit par le RFC 3261qui rend obsolète le RFC
2543, et complété par le RFC 3265) qui a été conçu pour établir, modifier
et terminer des sessions multimédia. Il se charge de l'authentification et de
la localisation des multiples participants. Il se charge également de la
négociation sur les types de média utilisables par les différents participants
en encapsulant des messages SDP (Session Description Protocol). SIP ne
transporte pas les données échangées durant la session comme la voix ou
la vidéo. SIP étant indépendant de la transmission des données, tout type
de données et de protocoles peut être utilisé pour cet échange. Cependant
le protocole RTP (Real-time Transport Protocol) assure le plus souvent les
sessions audio et vidéo. SIP remplace progressivement H323.
SIP est le standard ouvert de VoIP, interopérable, le plus étendu et vise à
devenir le standard des télécommunications multimédia (son, image, etc.).
Skype par exemple, qui utilise un format propriétaire, ne permet pas
l'interopérabilité avec un autre réseau de voix sur IP et ne fournit que des
passerelles payantes vers la téléphonie standard. SIP n'est donc pas
seulement destiné à la VoIP mais pour de nombreuses autres applications
telles que la visiophonie, la messagerie instantanée, la réalité virtuelle ou
même les jeux vidéo.

Fonctionnement :
SIP permet donc de mettre en place une communication. Pour cela avant
que la connexion soit établie, il se charge d’envoyer plusieurs paquets
entre les postes afin de définir le début et la fin de la conversation, son
type, et sa composante (type d’encodage utilisé pour l’audio). Ces requêtes
sont répertoriées sous divers codes:
SIP intervient aux différentes phases de l'appel :
➢ Localisation du terminal correspondant,
➢ Analyse du profil et des ressources du destinataire,
➢ Négociation du type de média (voix, vidéo, données...) et des
paramètres de communication,
➢ Disponibilité du correspondant, détermine si le poste appelé
souhaite communiquer, et autorise l'appelant à le contacter.
➢ Etablissement et suivi de l'appel, avertit les parties appelant et
appelé de la demande d'ouverture de session, gestion du transfert et
de la fermeture des appels.
➢ Gestion de fonctions évoluées : cryptage, retour d'erreurs.
Voici les différents éléments intervenant dans l'ouverture de session :
➢ Suivant nature des échanges, choix des protocoles les mieux
adaptés (Rsvp, Rtp, Rtcp, Sap, Sdp).
➢ Détermination du nombre de sessions, comme par exemple, pour
véhiculer de la vidéo, 2 sessions doivent être ouvertes (l'une pour
l’image et l'autre pour la vidéo).
➢ Chaque utilisateur et sa machine est identifié par une adresse que
l'on nomme Url SIP et qui se présente comme une Url Mail to.
➢ Requête Uri permettant de localiser le proxy server auquel est
rattachée la machine de l'appelé.
 ➢ Requête SIP, une fois le client (machine appelante) connecté à un
serveur SIP distant, il peut lui adresser une ou plusieurs requêtes
SIP et recevoir une ou plusieurs réponses de ce serveur. Les
réponses contiennent certains champs identiques à ceux des
requêtes, tels que : Call-ID, Cseq, To et From.

Les requêtes SIP (messages) et les

réponses : Les requêtes :
Les échanges entre un terminal appelant et un terminal appelé se font par
l'intermédiaire de requêtes :
Invite : Cette requête indique que l'application (ou utilisateur)
correspondante à l'Url SIP spécifié est invité à participer à une
session. Le corps du message décrit cette session (Par ex : média
supportés par l’appelant). En cas de réponse favorable, l'invité doit
spécifier les médias qu'il supporte.
Ack : Cette requête permet de confirmer que le terminal appelant a
bien reçu une réponse définitive à une requête Invite.
Options : Un proxy server en mesure de contacter l'UAS (terminal)
appelé, doit répondre à une requête Options en précisant ses
capacités à contacter le même terminal.
Bye : Cette requête est utilisée par le terminal de l'appelé afin de
signaler qu'il souhaite mettre un terme à la session.
Cancel : Cette requête est envoyée par un terminal ou un proxy
server à fin d'annuler une requête non validée par une réponse
finale comme, par exemple, si une machine ayant été invitée à
participer à une session, et ayant accepté l'invitation ne reçoit pas
de requête Ack, alors elle émet une requête Cancel.

Les réponses de ces requêtes SIP:

Une réponse à une requête est caractérisée, par un code et un motif,
appelés code d'état et raison phrase respectivement. Un code d'état est un
entier codé sur 3 bits indiquant un résultat à l'issue de la réception d'une
requête. Ce résultat est précisé par une phrase, texte based (UTF8),
expliquant le motif du refus ou de l'acceptation de la requête. Le code
d'état est donc destiné à l'automate gérant l'établissement des sessions SIP
et les motifs aux programmeurs. Il existe 6 classes de réponses et donc de
codes d'état, représentées par le premier bit :
 1xx : Information - La requête a été reçue par le destinataire et
continue à être traitée (ex :180 = 'en train de sonner')
2xx : Succès (ex : 200 ='OK', 202='acceptée')
3xx : Redirection - Une autre action doit avoir lieu afin de valider la
requête
4xx : Erreur du client - La requête contient une syntaxe fausse ou
bien elle ne peut pas être traitée par ce serveur (ex : 404 = 'Not
found')
5xx : Erreur du serveur - Le serveur n’a pas réussi à traiter une
requête qui semble être correcte.
6xx : Echec général, la requête ne peut être traitée par aucun
serveur.
On distingue également 2 modes précis d’ouverture de sessions avec SIP
que L’on va détailler :
Mode Point à point : communication entre deux
postes Mode diffusif : Plusieurs postes membre d’un
serveur.

Mode Point à point:

Le mode point à point est donc une communication simple entre deux sans
passer par une passerelle.

Figure 10: Mode point à point

Pour ouvrir une session, un utilisateur émet une invitation transportant un

descripteur de session permettant aux utilisateurs souhaitant communiquer
de s’accorder sur la comptabilité de leur média.
L’appelant et l’appelé doivent être identifiés via son URL SIP qui est du
même type qu’une URL mail (utilisateur@machine). Pour le mode point
à point on utilise donc l’adresse IP du poste à joindre dans le logiciel de
communication : sip:nom@adresseip.
Est utilisée par le terminal de l’appelé afin de signaler qu’il souhaite
mettre un terme à la session.
 Mode diffusif:
Le mode diffusif, contrairement au mode point à point, utilise une
passerelle pour réaliser une communication entre deux éléments. Les
clients sont enregistrés sur un serveur appelé M.C.U. qui va les identifier
par rapport à un numéro. Lorsqu’un client veut appeler quelqu’un, il ne va
donc plus utiliser l’adresse IP mais sont identifiant.

Figure 11: Mode diffusif

 Architecture de SIP :
Contrairement à H.323, largement fondé sur une architecture physique, le
protocole SIP s’appuie sur une architecture purement logicielle.
L’architecture de SIP s’articule principalement autour des cinq entités
suivantes :
Terminal utilisateur.
Serveur d’enregistrement.
Serveur de localisation.
Serveur de redirection.
Serveur proxy.
 Figure 12: Architecture de SIP

On peut observer qu’il existe deux catégories de services : l’un fourni au

niveau de l’utilisateur par le terminal, l’autre fourni au niveau des serveurs
du réseau. Ces derniers sont répartis en deux classes : les serveurs de
redirection et de proxy, qui facilitent le routage des messages de
signalisation et jouent le rôle d’intermédiaires, et les serveurs de
localisations et d’enregistrement, qui ont pour fonction d’enregistrer ou de
déterminer la localisation des abonnées du réseau.

L’adressage SIP :
L’objectif de l’adressage est de localiser les utilisateurs dans un réseau.
C’est une des étapes indispensables pour permettre à un utilisateur d’en
joindre un autre. Pour localiser des utilisateurs, il faut pouvoir les
identifier de manière univoque. SIP propose des moyens très performants
pour nommer les utilisateurs, grâce au concept d’URI, classique sur
Internet.

1. URI (Universel Ressource Identifier) :

Un URI définit une syntaxe permettant de désigner de manière unique,
formelle et normalisée une ressource, qu’il s’agisse d’un document
textuel, audio, vidéo ou plus généralement d’une entité logique ou
physique. Les URL
(Universel Ressource Locator) que l’on manipule couramment dans
l’adressage Web pour joindre un site Internet, constituent un sousensemble
des URI. Une URL se contente d’apporter une localisation et non une
définition de la ressource. Ainsi un même document peut se trouver à deux
emplacements différents, donc à deux URL différentes dans le réseau
Internet, alors qu’il fait référence à une même ressource.

2. Format des adresses SIP :

Tout utilisateur SIP dispose d’un identifiant unique. Cet identifiant
constitue l’adresse de l’utilisateur permettant de le localiser. Le format
d’une adresse SIP se présente sous la forme :
SIP: identifiant [:mot_de_passe] @serveur [? paramètres] On
distingue dans cette adresse plusieurs parties :

• Le mot-clé SIP spécifie le protocole à utiliser pour la

communication, il précise que ce qui va suivre est l’adresse d’un
utilisateur.
• La partie identifiant définit le nom ou le numéro de l’utilisateur. Cet
identifiant est Nécessairement unique pour désigner l’utilisateur de
manière non ambigüe.
• La partie mot_de_passe est facultative. Le mot de passe peut-être
utile pour S’authentifier auprès du serveur, notamment à des fins de
facturation. De manière Générale, cette possibilité offre le moyen
de restreindre l’utilisation de certains services.
• La partie serveur spécifie le serveur chargé du compte SIP. Le
serveur est indiqué par Son adresse IP ou par un nom qui sera
résolu par DNS. C’est serveur qui sera contacté Pour joindre
l’abonné correspondant.
• La partie paramètres est facultative. Les paramètres permettent soit
de modifier le comportement par défaut, soit de spécifier des
informations complémentaires.
Ce mécanisme d’adressage particulièrement souple permet de supporter la
mobilité des Utilisateurs et le monde Internet.

Différence H.323/SIP:
SIP est un protocole jeune, contrairement à H.323 qui existe depuis un
certain temps, il propose plus d’option tout en restant plus léger et plus
facile d’utilisation.
 Tableau 1 : Différence entre H323 et SIP

Résumé :
Indiscutablement le protocole H.323 possède une avance historique par
rapport au protocole SIP. Son interaction avec les réseaux téléphoniques
RTC est parfaitement maîtrisée, alors qu’elle n’est pas totalement spécifiée
avec le protocole SIP. Globalement, H.323 est plus riche en termes de
fonctionnalités que SIP.

Le protocole IAX (Inter Asterisk eXchange)

Protocole de signalisation de voix/ vidéo sur IP. IAX (Inter Asterisk
eXchange), utilisé par Asterisk (Asterisk est un PABX (Private Automatic
Branch eXchange) et surtout un IPBX (Internet Protocole Branche
eXchange)). Ce protocole fonctionne sur le port 4569 en UDP et
transporte à la fois les données (voix) et la signalisation. L’intérêt principal
de ce protocole est d’être fait pour traverser le NAT (Network Address
Translation un routeur fait la traduction d'adresse réseau) et qu’il est
possible de créer des trunks IAX (appelés également Canaux (définissant
le nombre d'appels simultanés entre un opérateur IP et un IPBX)), entre les
serveurs dans lesquels les communications RTP sont multiplexées ainsi on
économise les surcharges d'entêtes IP

Figure 13: Rôle du protocole IAX

L’avantage principal d’IAX est qu’il permet à plusieurs appels d'être

rassemblés dans un seul ensemble de paquets IP, transportant des
informations concernant plusieurs appels en cours. Et ça réduit la
consommation de bande passante pour un ensemble d'appels (par
l'utilisation du trunking).
En bref, la simplicité, la rapidité et la légèreté d'utilisation, tout en étant
très complet, du protocole SIP sont autant d'arguments qui pourraient nous
permettre d'opter pour son choix. De plus, ses avancées en matière de
sécurité des messages sont un atout important par rapport à ses
concurrents.
 PARTIE II :
ETUDES ET DEPLOIEMENT
D’UNE SOULUTION BASEE SUR
ASTERISK
 ETUDES COMPARATIVES ENTRE ASTERISK ET 3CX

Il existe plusieurs logiciels Open Source ou logiciels libres utilisés en tant

qu’autocommutateur téléphonique privé, appelé aussi PABX Open Source.
Ces logiciels disposent tous de l’ensemble des fonctionnalités PBX. Il
s’agit donc de standards téléphoniques qui se substituent aux PBX/PABX
traditionnels dont les logiciels et matériels sont issus du même fabricant et
généralement en code propriétaire (ce qui entraîne souvent des coûts de
licences). Contrairement aux centraux physiques, les logiciels de
téléphonie ne sont pas souvent limités par des licences. Pour n’en citer que
quelques-uns : Asterisk, FreePBX, FreeSWITCH, 3CX…

Asterisk est utilisé dans les systèmes d’exploitation GNU/Linux, il se sert

généralement des protocoles suivants pour fonctionner : H.320, H.323, SIP
et IAX ou Inter-Asterisk Exchange. Asterisk est un logiciel multiplate-
forme publier sous licence GPL. Ensuite, FreePBX qui est utilisé pour
gérer et contrôler Asterisk. Il s’agit donc d’un outil graphique convivial
pour configurer Asterisk. Il constitue donc l’interface du système
téléphonique des utilisateurs.

3CX quant à lui, est conçu spécialement pour Microsoft Windows, il

fonctionne avec le protocole SIP. Il existe une version gratuite avec des
fonctionnalités limitées et des versions payantes dotées d’une multitude de
fonctionnalités. C’est un logiciel très facile à administrer qui peut
fonctionner avec tous les téléphones SIP.

Le point commun à tous ces systèmes logiciels, c’est qu’ils nécessitent un

certain savoir-faire technique autant serveurs, réseau que téléphonie afin
de le configurer sur une machine et de le déployer en toute sécurité.
 ASTERISK

Asterisk est un PABX logiciel libre, multi plateforme, publié sous licence
GPL. Asterisk permet, entre autres, la messagerie vocale, la conférence,
les serveurs vocaux, la distribution des appels.
Asterisk implémente les protocoles H.323 et SIP, ainsi qu'un protocole
spécifique nommé IAX. Il permet la communication entre client et
serveur Asterisk ainsi qu'entre deux serveurs.
Historique :

Le PBX open source Asterisk a vu le jour quand Mark Spencer, a voulu

acquérir un PBX traditionnel pour sa société. Le créateur d'Asterisk,
trouvant que le prix d'acquisition d'un PBX traditionnel était démesuré,
initia un projet open source. Il a donc commencé à développer Asterisk.
Son équipe s'est rapidement rapprochée de celle de Jim Dixon (Zapata
Telephony Project), dans le but de construire des cartes d'interface "bon
marché" avec le réseau téléphonique classique. Leur but était de construire
des cartes compatibles avec des plateformes basées sur Intel et ainsi de
permettre à n'importe quel PC, avec le système d'exploitation Linux, une
carte d'interface et le logiciel Asterisk d'avoir un PBX entièrement
fonctionnel.
Pour info : Le nom Asterisk fait référence au symbole "*" qui signifie
"wildcard" en ligne de commande Unix et DOS. Ce choix a été fait car
Asterisk est conçu dans le but d'offrir une très grande souplesse dans des
réseaux de voix.
 Fonctionnalités :

Asterisk offre les fonctionnalités suivantes :

• Messagerie vocale ;
• Conférence téléphonique ;
• Répondeur vocal interactif ;
• Mise en attente d’appels ;
• Services d'identification de l'appelant ;
• VoIP ;
De la téléphonie à moindre coût :
Dans l'interconnexion avec les équipements de téléphonie numériques et
analogiques, Asterisk reconnaît une large gamme de dispositifs matériels,
et notamment ceux fabriqués par ses sponsors, tels que Digium ou encore
Quicknet.

Architecture interne d’Asterisk:

Asterisk est composé d’un noyau central de commutation, de quatre API
(Interface de programmation d’applications) de chargement modulaire des
applications téléphoniques, des interfaces matérielles, de traitement des
formats de fichier, et des codecs. Il assure la commutation transparente
entre toutes les interfaces supportées, permettant à cette commutation de
relier entre eux une diversité de systèmes téléphoniques en un unique
réseau commuté.

Principales fonctions :
Les principales fonctions d’Asterisk sont :
✓ La commutation de PBX (PBX Switching Core) :
Système de commutation de central téléphonique privé, reliant ensemble
les appels entre divers utilisateurs et des tâches automatisées. Le noyau de
commutation relie d'une manière transparente des appels arrivant sur
diverses interfaces de matériel et de logiciel.
 ✓ Lanceur d’application (Application Launcher) :
Lance les applications qui assurent des services pour des usagers, tels que
la messagerie vocale, la lecture de messages et le listage de répertoires
(annuaires).
✓ Traducteur de code (Codec Translator) :
Utilise des modules de codec pour le codage et le décodage de divers
formats de compression audio utilisés dans l'industrie de la téléphonie. Un
certain nombre de codecs sont disponibles pour pallier aux divers besoins
et pour arriver au meilleur équilibre entre la qualité audio et l'utilisation de
la bande passante.
✓ Planificateur Manager d'I/O (Scheduler & I/O Manager) :
Ils traitent la planification des tâches de bas niveau et la gestion du
système pour une performance optimale dans toutes les conditions de
charge.
Les APIs : (Application Programming Interface)
L'abstraction matérielle et protocolaire passe par l'utilisation de 4 APIs
✓ Asterisk Application API :
Elle autorise différents modules de tâches à être lancé pour exécuter
diverses fonctions : communication, audioconférence, pagination, liste
d'annuaire, messagerie vocale, transmission de données intégrée, et
n'importe quelle autre tâche qu'un système PBX standard exécute
actuellement ou exécuterait dans l'avenir, sont mises en œuvre par ces
modules distincts.
✓ Asterisk Translator API :
Charge les modules de codec pour supporter divers formats de codage et
de décodage audio tels que le GSM, la Mu-Law, l'A-Law, et même le
MP3.
✓ Asterisk Channel API :
Cette API gère le type de raccordement sur lequel arrive un appelant, que
ce soit une connexion VoIP, un RNIS, un PRI, une signalisation de bit
dérobé, ou une autre technologie. Des modules dynamiques sont chargés
pour gérer les détails de la couche basse de ces connexions.
✓ Asterisk File Format API :
Elle permet la lecture et l'écriture de divers formats de fichiers pour le
stockage de données dans le file system.
Sa particularité modulaire permet à Asterisk d’intégrer de façon continue
le matériel de commutation téléphonique actuellement mise en œuvre, et
les technologies de Voix par paquet en constante augmentation, émergeant
aujourd'hui.

Fonctionnement évolué :
Asterisk ne permet pas seulement l’utilisation d'équipements traditionnels
de téléphonie, il augmente aussi en nombre leurs capacités.
En utilisant le protocole de voix sur IP Inter-Asterisk eXchange (IAX ou
inter central Asterisk), Asterisk mêle progressivement la voix et le trafic de
données à travers des réseaux disparates. Tant que l’on transporte de la
voix par paquets, il est possible d’envoyer des données telles que des
documents URL et des images, en conformité avec le trafic Voix,
permettant ainsi une intégration plus grande des informations

Installation et configuration du serveur Asterisk pour la VoIP:

Architecture du réseau
La figure montre l’architecture adoptée au cours de la configuration de la
solution de VoIP basée sur Asterisk :
 Matériels requis :
• Machine serveur : Sur laquelle installé un système d’exploitation
Linux Ubuntu 14.04 LTS et le serveur de VoIP, « Asterisk ».
• Deux ordinateur avec un logiciel VoIP : deux machines sur
laquelle on installe un système d’exploitation Windows et un client
X-Lite.
• Deux Android : Deux Smartphones sur lesquels nous avons
installé l’application Zoiper.
•

Mise en place d’un PABX-IP avec Asterisk :

Installation du système d’exploitation :

Le serveur qui héberge la plateforme Asterisk est un serveur GNU/Linux
fonctionnant avec un système d’exploitation Ubuntu 14.04 LTS.
 Installation d’Asterisk
Préparation à l’installation
En commençant par mettre à jour notre distribution. Pour cela on utilisera
les commandes suivantes :
sudo apt-get update sudo apt-get upgrade

Installation
d’Asterisk On tape la
commande:
sudo apt-get install asterisk
Après l’installation on modifie ces paramètres pour que Asterisk démarre à
l’allumage de l’ordinateur
sudo vim /etc/default/asterisk

RUNASTERISK=yes RUNASTSAFE=no
Ensuite on installe les paquets français d’Asterisk ave la commande:
sudo apt-get install asterisk-prompt-fr

Commandes utiles :

Le serveur Asterisk permet d’interagir directement avec le système sans

avoir à modifier les fichiers de configuration avec la CLI « Interface de
ligne de commande ». Nous utiliserons cette interface uniquement pour
afficher et vérifier la configuration et l’état des téléphones.
Cette CLI est exécutée en tapant la commande suivante :
Pour se connecter à la CLI d'Asterisk : # asterisk –r
Une fois connecté à Asterisk via la console, plusieurs commandes utiles,
internes à la console sont disponibles :
❖ « help » : liste des commandes et aide associée ;
 ❖ « reload » : recharge tous les fichiers de configurations ;
❖ « restart now » : relance complètement et immédiatement Asterisk ;
❖ « sip reload » : recharge le fichier sip.conf ;
❖ « sip show peers » : voir le status des peers SIP ;
❖ « sip show channels » : permet de voir les canaux actifs ;
❖ « sip set debug » : permet de voir les messages SIP qui passent par
le serveur ;
❖ « dialplan reload » : recharge le fichier extensions.conf ;
❖ « agent show » : voir le status des agents ;
❖ « agent logoff name » : déconnecter l’agent name ; « sip show
users » : voir le statut des utilisateurs SIP.

Configuration d’Asterisk :
Pour configurer notre serveur Asterisk nous allons modifier les fichiers
suivants:
❖ Le fichier sip.conf : pour la configuration général d’Asterisk.
❖ Le fichier users.conf : pour la configuration des utilisateurs.
❖ Le fichier extensions.conf : pour la configuration du Dialplan.
❖ Le fichier voicemail.conf : pour la configuration de la boite vocale.
C’est fichiers se trouvent dans le dossier /etc/asterisk

Configuration générale d’Asterisk (Sip.conf) :

Nous allons commencer par éditer le fichier sip.conf qui va nous permettre
pour l’instant de mettre les sons par défauts en Français.

Recherchez la ligne :;language=en et remplacer la par : language=fr en

enlevant le point-virgule.
A chaque fois que vous modifiez un fichier de configuration il faut
recharger ce fichier de configuration dans Asterisk.
Dans la console d’Asterisk (CLI) il vous suffit de taper la commande :
reload cette commande permet de recharger les fichiers de configurations
d’Asterik sans redémarrer le serveur.
Création des utilisateurs (Users.conf) :
La configuration de nouveaux clients SIP se fait dans le fichier
/etc/asterisk/users.conf dans lequel on ajoute une entrée pour chaque
client.
Plusieurs options permettent de définir et de paramétrer un client :
❖ type : Type de client (peer, user ou friend)
 ❖ username : Identifiant de l'utilisateur
❖ secret : Mot de passe de l'utilisateur
❖ host : Méthode pour trouver le client (dynamique, nom d'hôte ou
adresse IP)
❖ callerid : Identité de l'utilisateur
❖ language : Langue par défaut pour l'utilisateur
Description des paramètres : Pour chacun des paramètres précédents,
plusieurs valeurs sont disponibles selon la configuration désirée.
Type :
➢ Peer : Client SIP auquel Asterisk pourra envoyer des appels
➢ user : Client SIP qui pourra passer des appels via Asterisk
➢ Friend : Client qui sera à la fois en mode 'peer' et 'user' Host
:
➢ dynamic : Le client s'enregistre auprès du serveur
➢ nom d'hôte : Nom d'hôte du client
➢ adresse IP : Adresse IP du client
Voici un exemple de fichier users.conf avec trois utilisateurs Adja, Mariam
et Awa avec comme numéros respectifs le 9011, 9012 et 9013 :
[general] hasvoicemail=yes
hassip = yes
hasiax = yes
callwaiting = yes
threewaycalling =yes
callwaitingcallerid = yes
transfer = yes
canpark = yes
cancallforward = yes
callreturn = yes
callgroup = 1
pickupgroup = 1
nat = yes
-------------------------------------------------------
--------------------------
[template](!) type
=friend
host = dynamic
dtmfmode = rfc2833
disallow =all
allow = ulaw
allow = gsm
context = appels

[9011](template) fullname
= Clovis Peudem
username = Clovis
secret = secret

[9012](template) fullname
= Ralph Steve
username = Ralph
secret = secret

[9013](template) fullname
= Brise Brise
user = Brise
secret = secret
EXPLICATION
➢ [9011] : Numéro SIP.
➢ type=friend : type d’objet SIP, friend = utilisateur.
➢ host=dynamic : Vous pouvez vous connecter à ce compte SIP à
partir de n’importe quelle adresse IP
➢ dtmfmode=rfc2833 : type de rfc utilisé.
➢ disallow=all : Désactivation de tous les codecs. allow=ulaw :
Activation du codec ulaw.
➢ allow=gsm : Activation du codec gsm
➢ fullname = Clovis Peudem : Prénom et Nom de l’utilisateur (ce qui
sera afficher sur le téléphone lors d’un appel)
➢ username = Clovis : Nom d’utilisateur
➢ secret = secret : Mot de passe du compte SIP
➢ context = appels : Contexte (on verra ça dans le fichier
extensions.conf)
Dans ce fichier de configuration nous avons créé un template appelé
(template) et ce template est appelé pour la création des trois utilisateurs.
Ce qui réduit la création d’un utilisateur à quatre lignes au lieu de dix.
Une fois le fichier users.conf enregistré nous allons dans la console
Asterisk, tapez reload enfin puis on tape la commande Sip show users.
Les trois comptes d’utilisateurs que nous venons de créer, devrait y
apparaitre.
Nos utilisateurs sont créés, mais ils n’ont pas encore la possibilité de
s’appeler.
Nous allons maintenant éditer le fichier extensions.conf qui permet de
configurer le Dialplan.

Configuration du Dialplan (extensions.conf)

: Sur ce fichier on va configurer le Dialplan :
Le Dialplan ou plan de numérotation est le fichier de configuration
d’Asterisk qui permet de configurer en gros: « Que se passe-t’il si
j’appelle tel numéro? »
Nous allons donc configurer Asterisk de tel sorte que l’utilisateur 9011
puisse appeler le numéro 9012.
Voici donc pour exemple mon fichier extensions.conf.
 [general] static = yes
writeprotect = no
clearglobalsvars = no

[globals]
CONSOLE = Console/dsp ;console interface for demo
IAXINFO = guest ;IAXtel username/password
TRUNK = DAHDI/G2 ;Trunk interface
TRUNKMSD = 1 ;MSD digits to strip (usually 1 or 0)

[appels]
exten => _9XXX,1,Answer()
exten => _9XXX,2,Background(hello-world) exten =>
_9XXX,3,Playback(digits/1) exten =>
_9XXX,4,Dial(SIP/${EXTEN},20) exten =>
_9XXX,5,Voicemail(${EXTEN}@jokko) exten =>
_9XXX,6,Hangup()
------------Numéro de la boîte vocale ----------------------
------------------ exten => 900,1
Answer()
exten => 900,2,VoiceMailMain(${CALLERID(num)}@jokko)

Explication:
[appels] : est le contexte c’est une sorte de conteneur dans lequel les
utilisateurs faisant partis de ce contexte pourront communiquer entre eux.
Lors de la création de nos trois utilisateurs nous avons spécifié le contexte
appels.
exten => : déclare l’extension (on peut aussi simplement dire numéros) ;
_9XXX : Prend les extensions (ou numéros) de 9000 à 9999 ;
1 : Ordre de l’extension ;
Answer() : une application qui répond à un canal qui sonne. On l’utilise
très souvent comme première application pour extension ;
Playback() : une application qui joue un fichier sonore à destination de
l’interlocuteur ; elle est similaire à l’application background ;
Dial : application fondamentale qui fait sonner l’extension passée en
paramètre ;
SIP: Protocole qui va être utilisé ;
${EXTEN} : variable de l’extension composé, si on appelle le 9011 la
variable ${EXTEN} prendra comme valeur 9011 ;
20: temps d’attente avant de passer à l’étape suivante.
Donc la ligne exten => _9XXX,4,Dial(SIP/${EXTEN},20) se traduit par :
Quand un utilisateur appelle un autre utilisateur par exemple 9011 appelle
le numéro 9012 et si au bout de 20 secondes il n’y a pas de réponse on
passe à la ligne du dessous.
Dans le cas du numéro 9011 la ligne devient comme ceci :
exten => 9011,4,Dial(SIP/9011,20) , mais l’avantage de la ligne
précédente est qu’elle permet d’appeler les numéros de 9000 à 9999.

La seconde ligne: exten => _9XXX,5,Voicemail(${EXTEN}@jokko) se

traduit par : quand un utilisateur appelle un autre et que ce dernier n’est
pas joignable cette ligne te permet de laisser message ;
Hangup : permet de raccrocher le canal en cours. Cela permet de libérer
un canal proprement ;
La dernière ligne :
exten =>900,2,VoiceMailMain(${CALLERID(num)}@jokko) est
configurée pour la boite vocale quand un utilisateur appelle le numéro 900
il pourra écouter sa messagerie vocale.
Maintenant, vous pouvez enregistrer votre fichier extensions.conf et faire
un reload dans la console d’Asterisk.

Configuration de la boite vocale

(voicemail.conf) On va éditer le fichier
/etc/asterisk/voicemail.conf
Voici le contenu du fichier :

[general] format = wav49|gsm|wav maxsilence = 10 silencethreshold = 128

maxlogins = 3
 [jokko] 9011 => , Clovis Peudem 9012 => , Ralph Steve 9013 => , Brise Brise

- format : Il est possible de définir les différents formats dans

lesquels seront sauvegardés les messages vocaux. (Plusieurs
formats séparées par un | permettent de sauvegarder dans plusieurs
format)
- [jokko] : Contexte pour la boite vocale
- 9011, 9012, 9013 => : Numéro de l’utilisateur
- , : on n’utilise pas un mot de passe pour accéder à la boite vocale
- : Prénom et nom de l’utilisateur
Maintenant nous allons éditer le fichier extensions.conf pour configurer
deux choses :

- Après un certain temps Asterisk bascule sur la boite vocale de

l’utilisateur si celui-ci ne répond pas,
- Création d’une extension pour créer le numéro qui servira à
consulter la boite vocale.
Voici le fichier extensions.conf modifié :

exten => 900,1 Answer() exten =>

900,2,VoiceMailMain(${CALLERID(num)}@jokko)

Clients :
Le client SIP (Softphone) est un programme logiciel qui offre des
fonctionnalités de téléphonie. Un softphone utilisera, comme un téléphone
matériel, les protocoles aux standards ouverts SIP et RTP pour
l’initialisation des appels et la transmission de la voix.
Tout appareil tel que :
• Ordinateurs (Windows, Mac, Linux)
• Tablettes (Android, iOS)
• Smartphones (Android, iOS) ; peut héberger des programmes de
type softphones, offrant ainsi de nombreuses options d’utilisation.
Tout ordinateur possédant un micro et des haut-parleurs (ou un
casque) peut être utilisé en tant que softphone. Les seuls prérequis
sont une connexion IP avec un opérateur VoIP ou un serveur SIP,
qui prend souvent la forme d’un IPBX.
 X-Lite :

Quelques informations sur l'outil X-lite :

X-Lite est un programme de téléphonie passant par le web, ce qu'on
nomme un softphone. Il s'agit d'un service VoIP utilisant le protocole SIP
donnant accès à plusieurs réseaux.
Ce logiciel téléphonique vous permettra de gérer efficacement et
facilement vos communications.
Associant appels vocaux, appels vidéo et messages instantanés, X-lite
vous propose une interface simple.
X-lite est disponible sur les systèmes d’exploitation Windows, Mac et
Linux, mais aussi sur Android et IPhone.

Configuration du client X-lite en protocole SIP :

Pour le mettre en place avec la passerelle Asterisk, cliquer sur le logiciel
X-Lite dans le menu qui s’affiche on clique sur Softphone puis sur
Account Settings. On renseigne les champs User ID, Domain, Password
et Display Name, qui permettent au client de s’identifier sur le serveur.
Les champs Authorization name est le même que pour User ID et on
rentre l’adresse IP du serveur dans le champ Domain (on notera que
l’adresse IP du proxy est la même que celle du serveur).
Remarque : Pour que l’authentification soit possible, ces valeurs doivent
être conformes à celles saisies dans le fichier sip.conf du serveur Asterisk.
Une fois la configuration est achevée, le softphone se connectera
automatiquement au serveur et s’enregistrera.
Un message « Available » s’affichera, indiquant que les communications
sont désormais possibles. Sinon, un message d’erreur explique le motif qui
a fait échouer le processus.

Le softphone X-lite est connecté

Zoiper :
Zoiper fonctionne sur une multitude de plates-formes différentes. Peu
importe si vous utilisez MacOS, Linux ou Windows. iOS, Android ou un
navigateur.
On a téléchargé Zoiper pour Android.
Configuration :
On remplit les champs suivants :
username@pbx : 9012@192.168.2.130
password : secret
9012 : le numéro de l’utilisateur Mariam Keita
192.168.2.130 : l’adresse IP du serveur Asterisk
On clique sur create an account.

On met le hostname qui est l’adresse du serveur SIP

Si les informations sont les mêmes que sur le serveur Asterisk, on verra
que le compte prendra une couleur verte.
Les utilisateurs peuvent s’appeler maintenant.

CHAPITRE II
DIFFERENTS RISQUES ET RECOMMANDATION
DE SECURISATION DE LA VoIP .

Principaux risques
Cette étape permet de déterminer les menaces et d’identifier les sources de
menaces. Une menace est une violation potentielle de la politique de
service à cause d’une attaque ou d’une action involontaire ou négligente
qui compromet la sécurité.
Les sources de menaces peuvent être classées en deux types : les attaques
internes et les attaques externes. Les attaques externes sont lancées par des
personnes autres que celle qui participe à l’appel, et ils se produisent
généralement quand les paquets VoIP traversent un réseau peu fiable et/ou
l’appel passe par un réseau tiers durant le transfert des paquets. Les
attaques internes s’effectuent directement du réseau local dans lequel se
trouve l’attaquant.
Les types d’attaques les plus fréquentes contre un système VoIP sont :
 Sniffing
Le Sniffing ou reniflement de trafics constitue l’une des méthodes
couramment utilisées par les pirates informatiques pour espionner le trafic
sur le réseau. Un reniflement peut avoir comme conséquence un vol
d'identité et la révélation d'informations confidentielles. Les pirates
informatiques utilisent des sniffers réseau ou renifleurs de réseau pour
pouvoir surveiller le réseau et soustraire frauduleusement les différents
types de données confidentielles susceptibles de les intéresser. Il permet
également aux utilisateurs malveillants perfectionnés de rassembler des
informations sur les systèmes VoIP.
Suivie des appels
Appelé aussi Call tracking, cette attaque cible les terminaux (soft/hard
phone). Elle a pour but de connaître qui est en train de communiquer et
quelle est la période de la communication. L’attaquant doit récupérer les
messages INVITE et BYE en écoutant le réseau et peut ainsi savoir qui
communique, à quelle heure, et pendant combien de temps.
Pour réaliser cette attaque, L’attaquant doit être capable d’écouter le réseau
et récupérer les messages INVITE et BYE.

L’écoute clandestine

L’eavesdropping est l'écoute clandestine d’une conversation téléphonique.

Un attaquant avec un accès au réseau VoIP peut sniffer le trafic et décoder
la conversation vocale.
Le principe de l’écoute clandestine est montré dans la figure comme suit :
• Déterminer les adresses MAC des victimes (client-serveur) par
l’attaquant ;
• Envoi d’une requête ARP non sollicités au client, pour l’informer
du changement de l'adresse MAC du serveur VoIP à l’adresse
MAC.
• Envoi d’une requête ARP non sollicités au serveur, pour l’informer
du changement de l'adresse MAC du client à l’adresse MAC.
• Désactiver la vérification des adresses MAC sur la machine
d’attaque afin que le trafic puisse circuler entre les 2 victimes
 Attaque Eaveasdropping
- Procédure
Cette attaque est utilisée pour écouter et enregistrer les conversations entre
les interlocuteurs mais aussi de récupérer un ensemble d’informations
confidentielles

- Prérequis
Il faut réaliser préalablement une attaque de type MITM (Man In The
Middle) pour rediriger le trafic vers la machine de pirate.
Wireshark : C’est l’un des logiciels les plus utilisés pour ce qui est de la
surveillance, intrusion et capture dans les réseaux. Non seulement il peut
capturer et analyser des trames, mais aussi, dans le cas de conversations
téléphoniques, convertir ces trames en fichiers audio.

- Lancer Wireshark
Il suffit de taper dans le terminal de la machine pirate Wireshark ou
installer le logiciel Wireshark pour Windows.
 Figure : Lancement d’outil WireShark sur la machine attaque
Maintenant, nous allons commencer la capture d'une partie du trafic. Pour
commencer de sniffer le trafic, lorsque le client 9011 appelle le client
9013.
Pour écouter le flux on clique sur Téléphonie puis sur Appels VoIP.
On clique sur l’appel puis sur Jouer Flux pour pouvoir écouter.
 Les vulnérabilités de l’infrastructure
Une infrastructure VoIP est composée de téléphones IP, Gateway, serveurs.
Ces derniers tournant sur un système d'exploitation, sont accessibles via le
réseau comme n'importe quel ordinateur et comportent un processeur qui
exécute des logiciels qui peuvent être attaqués ou employés en tant que
points de lancement d’une attaque plus profonde.

Faiblesses de configuration des dispositifs VoIP

Plusieurs dispositifs de la VoIP, dans leur configuration par défaut, peuvent
avoir une variété de ports TCP et UDP ouverts. Les services fonctionnant
sur ces ports peuvent être vulnérables aux attaques DoS ou buffer
overflow.
Plusieurs dispositifs de la VoIP exécutent également un serveur WEB pour
la gestion à distance qui peut être vulnérable aux attaques buffer overflow
et à la divulgation d’informations.
Si les services accessibles ne sont pas configurés avec un mot de passe, un
attaquant peut acquérir un accès non autorisé à ce dispositif.
Les services SNMP (Simple Network Management Protocol) offerts par
ces dispositifs peuvent être vulnérables aux attaques de reconnaissance ou
attaques d’overflow.
Plusieurs dispositifs de la VoIP sont configurés pour télécharger
périodiquement un fichier de configuration depuis un serveur par TFTP ou
d'autres mécanismes. Un attaquant peut potentiellement détourner ou
mystifier cette connexion et tromper le dispositif qui va télécharger un
fichier de configuration malveillant à la place du véritable fichier.

Les téléphones IP
Un pirate peut compromettre un dispositif de téléphonie sur IP, par
exemple un téléphone IP, un softphone et autres programmes ou matériels
clients. Généralement, il obtient les privilèges qui lui permettent de
commander complètement la fonctionnalité du dispositif.
Compromettre un point final (téléphone IP) peut être fait à distance ou par
un accès physique au dispositif. Le pirate pourrait modifier les aspects
opérationnels d'un tel dispositif:
La pile du système d'exploitation peut être changée. Ainsi la présence de
l'attaquant ne sera pas remarquée.
Aussi un firmware modifié de manière malveillante peut être téléchargé et
installé. Les modifications faites à la configuration des logiciels de
téléphonie IP peuvent permettre:
• Aux appels entrants d'être réorientés vers un autre point final sans
que l'utilisateur soit au courant.
• Aux appels d’être surveillés.
• A l'information de la signalisation et/ou les paquets contenant de la
voix d’être routés vers un autre dispositif et également d’être
enregistrés et/ou modifiés.
De compromettre la disponibilité du point final. Par exemple, ce dernier
peut rejeter automatiquement toutes les requêtes d’appel, ou encore,
éliminer tout déclenchement de notification tel qu’un son, une notification
visuelle à l’arrivée d’un appel. Les appels peuvent également être
interrompus à l’improviste (quelques téléphones IP permettent ceci via une
interface web).
Toutes les informations concernant l'utilisateur qui sont stockées sur le
dispositif pourraient être extraites.
L’acquisition d'un accès non autorisé sur un dispositif de téléphonie IP
peut être le résultat d'un autre élément compromis sur le réseau IP, ou de
l'information récoltée sur le réseau.
Les softphones ne réagissent pas de la même façon aux attaques comparés
à leur homologues téléphones IP. Ils sont plus susceptibles aux attaques
dues au nombre de vecteurs inclus dans le système, à savoir les
vulnérabilités du système d'exploitation, les vulnérabilités de l’application,
les vulnérabilités du service, des vers, des virus, etc. En plus, le softphone
qui demeure sur le segment de données, est ainsi sensible aux attaques
lancées contre ce segment et pas simplement contre l’hôte qui héberge
l’application softphone.
Les téléphones IP exécutent quant à eux leurs propres systèmes
d’exploitation avec un nombre limité de services supportés et possèdent
donc moins de vulnérabilités.

Les serveurs
Un pirate peut viser les serveurs qui fournissent le réseau de téléphonie sur
IP.
Compromettre une telle entité mettra généralement en péril tout le réseau
de téléphonie dont le serveur fait partie.
Par exemple, si un serveur de signalisation est compromis, un attaquant
peut contrôler totalement l'information de signalisation pour différents
appels. Ces informations sont routées à travers le serveur compromis.
Avoir le contrôle de l'information de signalisation permet à un attaquant de
changer n'importe quel paramètre relatif à l’appel.
Si un serveur de téléphonie IP est installé sur un système d'exploitation, il
peut être une cible pour les virus, les vers, ou n’importe quel code
malveillant.

Vulnérabilités du système d’exploitation

Ces vulnérabilités sont pour la plupart relatives au manque de sécurité lors
de la phase initiale de développement du système d'exploitation et ne sont
découvertes qu’après le lancement du produit.
Une des principales vulnérabilités des systèmes d'exploitation est le buffer
overflow. Il permet à un attaquant de prendre le contrôle partiel ou
complet de la machine.
Les dispositifs de la VoIP tels que les téléphones IP, Call Managers,
Gateway et les serveurs proxy, héritent les mêmes vulnérabilités du
système d'exploitation ou du firmware sur lequel ils tournent.
Il existe une centaine de vulnérabilités exploitables à distance sur
Windows et même sur Linux. Un grand nombre de ces exploits sont
disponibles librement et prêts à être téléchargés sur l'Internet.
Peu importe comment, une application de la VoIP s'avère être sûre, celle-ci
devient menacé si le système d'exploitation sur lequel elle tourne est
compromis.

Eléments de sécurité
On a déjà vu que les vulnérabilités existent au niveau protocolaire,
application et systèmes d’exploitation. Pour cela, on a découpé la
sécurisation aussi en trois niveaux : Sécurisation protocolaire, sécurisation
de l’application et sécurisation du système d’exploitation.

Sécurisation protocolaire
 Protocole TLS :

C'est un protocole de sécurisation des échanges au niveau de la couche

transport (TLS : Transport Layer Security). TLS, anciennement appelé
Secure Sockets Layer (SSL), est un protocole de sécurisation des
échanges sur Internet. C'est un protocole modulaire dont le but est de
sécuriser les échanges des données entre le client et le serveur
indépendamment de tout type d'application. TLS agit comme une couche
supplémentaire au-dessus de TCP.
Le protocole SSL et TLS est subdivisé en quatre sous protocoles
➢ Le protocole Hanshake : C’est un protocole qui permet au client
et au serveur de s'authentifier mutuellement, de négocier les
algorithmes de chiffrement, de négocier les algorithmes de MAC
(Message Authentification Code) et enfin de négocier les clés
symétriques qui vont servir au chiffrement.
➢ Le protocole Change Cipher Spec : Ce protocole contient un seul
message : change_cipher_spec. Il est envoyé par les deux parties
au protocole de négociation. Ce message transite chiffré par
l'algorithme symétrique précédemment négocié.
➢ Le protocole Alert: Ce protocole spécifie les messages d'erreur que
peuvent s'envoyer clients et serveurs. Les messages sont composés
de deux octets. Le premier est soit warning soit fatal. Si le niveau
est fatal, la connexion est abandonnée. Les autres connexions sur la
même session ne sont pas coupées mais on ne peut pas en établir de
nouvelles. Le deuxième octet donne le code d'erreur.
➢ Le protocole Record : Ce protocole chapeaute les autres protocoles
de SSL et TLS, en fournissant une interface unifiée pour la
transmission des données.

▪ Rôle
Encapsulation : Permet aux données SSL et TLS d'être transmises et
reconnues sous une forme homogène.
Confidentialité : Assure que le contenu du message ne peut pas être lu par
un tiers : les données sont chiffrées en utilisant les clés produites lors de la
négociation.
Intégrité et Identité : Permet de vérifier la validité des données
transmises, grâce aux signatures
MAC: cette signature est elle aussi générée à l'aide des clés produites lors
de la négociation.

▪ Processus d'encapsulation
Segmentation : Les données sont découpées en blocs de taille inférieure à
16 384 octets
Compression : Les données sont compressées en utilisant l'algorithme
choisi lors de la négociation. A partir de SSL 3.0, il n'y a plus de
compression.
Chiffrement: Le paquet obtenu est chiffré à l'aide de l'algorithme de
chiffrement. Le choix peut se faire entre RC2, RC4, DES avec une clef de
taille 40 bits ou de 64 bits, ou l'algorithme de Fortezza. Ce dernier
algorithme est un algorithme secret défense aux États Unis. Notons, qu'il
est possible de choisir des échanges en clair;
Algorithme de hachage utilisé, qui peut être soit le MD5, soit le SHA. Il
est possible de ne choisir aucun algorithme de hachage;
La négociation de cette suite de chiffrement se fait en clair pendant
l'établissement de la session.
▪ Réception des paquets
A la réception des paquets, le destinataire effectue les opérations suivantes
:
▪ Vérification de l'entête SSL
▪ Déchirage du paquet
▪ Vérification du champ HMAC (en appliquant la même fonction que
cidessus aux données déchiffrées puis en comparant le résultat au
HMAC reçu)
▪ Décompression des données
▪ Réassemblage des parties
Si au cours de ces vérifications ça se passe mal, une alarme est générée.
 Secure RTP (SRTP)
SRTP est conçu pour sécuriser la multiplication à venir des échanges
multimédias sur les réseaux. Il couvre les lacunes de protocoles de sécurité
existants comme IPsec (IP Security), dont le mécanisme d'échanges de
clés est trop lourd. Il aussi est bâti sur le protocole temps réel RTP (Real
Time Transport Protocol). Il associe aussi une demidouzaine de protocoles
complémentaires. Il est donc compatible à la fois avec des protocoles
d'initiation de session de voix sur IP tel que SIP (Session Initiation
Protocol), ainsi que le protocole de diffusion de contenu multimédia en
temps réel RTSP (Real Time Streaming Protocol). Mais, surtout, il
s'adjoint les services du protocole de gestion de clé MIKEY (Multimedia
Internet KEYing).

✓ Service de sécurités offertes par SRTP

Les principaux services offerts par SRTP sont :
▪ Rendre confidentielles les données RTP, que ce soit l’en-tête et la
charge utile ou seulement la charge utile.
▪ Authentifier et vérifier l’intégrité des paquets RTP. L’émetteur
calcule une empreinte du message à envoyer, puis l’envoie avec le
message même.
▪ La protection contre le rejet des paquets. Chaque récepteur tient à
jour une liste de tous les indices des paquets reçus et bien
authentifiés.

✓ Principe de fonctionnement de SRTP

Avec une gestion de clé appropriée, SRTP est sécurisé pour les
applications unicast et multicast de RTP. En théorie, SRTP est une
extension du protocole RTP dans lequel a été rajoutée des options de
sécurité. En effet, il a pour but d’offrir plusieurs implémentations de
cryptographie tout en limitant l’overhead lié à l’utilisation des
chiffrements. Il propose des algorithmes qui monopoliseront au minimum
les ressources et l’utilisation de la mémoire.
Surtout, il permet de rendre RTP indépendant des autres couches en ce qui
concerne l’application de mécanismes de sécurité.
Pour implémenter les différents services de sécurité précités, SRTP utilise
les composants principaux suivants :
 ▪ Une clé maîtresse utilisée pour générer des clés de session; Ces
dernières seront utilisées pour chiffrer ou pour authentifier les
paquets.
▪ Une fonction utilisée pour calculer les clés de session à partir de la
clé maîtresse.
SRTP utilise deux types de clés : clef de session et clef maîtresse. Par «
clef de session » nous entendons une clef utilisée directement dans les
transformations cryptographiques; et par «clef maîtresse », nous entendons
une chaîne de bit aléatoire à partir desquelles les clefs de sessions sont
dérivées par une voie sécurisé avec des mécanismes cryptographiques.

✓ Format du paquet SRTP

Un paquet SRTP est généré par transformation d’un paquet RTP grâce à
des mécanismes de sécurité (Figure.14). Donc le protocole SRTP effectue
une certaine mise en forme des paquets RTP avant qu’ils ne soient sur le
réseau. La figure suivante présente le format d’un paquet SRTP.

Figure 14: Format d'un paquet SRTP

On remarque que le paquet SRTP est réalisé en rajoutant deux champs au

paquet RTP :
▪ SRTP MKI (SRTP Master Key identifier) : sert à ré-identifier
une clef maîtresse particulière dans le contexte cryptographique. Le
MKI peut être utilisé par le récepteur pour retrouver la clef primaire
correcte quand le besoin d’un renouvellement de clefs survient.
▪ Authentication tag : est un champ inséré lorsque le message a été
authentifié. Il est recommandé d’en faire usage. Il fournit
l’authentification des en-têtes et données RTP et indirectement
fournit une protection contre le rejet de paquets en authentifiant le
numéro de séquence.
 L’authentification
L’une de méthode les plus importantes pour anticiper une attaque sur un
système de téléphonie est de déterminer clairement l’identité des
périphériques ou des personnes participant à la conversation.
Plusieurs solutions simples sont mises en œuvre pour cela, il est
recommandé d’utiliser des mots de passe complexes lors de la
configuration des clients SIP ; en effet, il faut savoir que certains hackers
développent des robots en charge de sonder les réseaux informatiques et
dès que l’un d’entre eux réponds au protocole SIP, un algorithme
sophistiqué est engagé et teste toutes les combinaisons possibles de mots
de passe. Ainsi, il faut éviter
▪ Les mots de passes trop courts
▪ Les suites numériques (123456) ou alphabétiques (abcd)
▪ Les suites logiques tels prénoms ou dates
▪ Un mot de passe unique pour toutes les extensions SIP
▪ Un mot de passe similaire pour le système Linux, la base de
données MySql et Asterisk
On ne saurait trop recommander un mot de passe complètement aléatoire
de 8 caractères au minimum, faisant intervenir une combinaison de
caractères spéciaux, lettres majuscules, lettres minuscules, chiffres non
suivis. A proscrire, l’utilisation de 1 et de l (L minuscule) ainsi que de 0
(Zéro) et O de Oscar.
La confidentialité des mots de passes est primordiale : lors de la
configuration des téléphones ou des softphones sur site, il est impératif
d’être discret au moment de la saisie des mots de passe, et bien entendu de
ne pas les communiquer aux utilisateurs.

Sécurisation de l’application
Plusieurs méthodes peuvent être appliquées pour sécuriser l'application,
ces méthodes varient selon le type d'application (serveur ou client). Pour
sécuriser le serveur il faut :
❖ L’utilisation d’une version stable, Il est bien connu que toute
application non stable contient surement des erreurs et des
vulnérabilités. Pour minimiser les risques, il est impératif d'utiliser
une version stable.
❖ Tester les mises à jour des softwares dans un laboratoire de test. Il
est très important de tester toute mise à jour de l'application dans un
laboratoire de test avant de les appliquer sur le système en
production
 ❖ Ne pas tester les correctifs sur le serveur lui-même:
❖ Ne pas utiliser la configuration par défaut qui sert juste à établir des
appels. Elle ne contient aucune protection contre les attaques.
❖ Ne pas installer une application client dans le serveur.
Certains paramètres doivent être appliqués de manière sélective. Ces
paramètres renforcent la sécurité de l’application, on peut les activer ou les
interdire sur la configuration générale de l’application, comme on peut
juste utiliser les paramètres nécessaires pour des clients bien déterminé et
selon le besoin bien sûr. Ces paramètres protègent généralement contre le
déni de service et ces différentes variantes. Il est conseiller d’utiliser les
paramètres qui utilise le hachage des mots de passe, et cela assure la
confidentialité.

Sécurisation du système d’exploitation

Il est très important de sécuriser le système sur lequel est implémenté le
serveur de VoIP.
En effet, si le système est compromis, l’attaque peut se propager sur
l’application serveur. Celle-ci risque d’affecter les fichiers de
configuration contenant des informations sur les clients enregistrés.
Il y a plusieurs mesures de sécurités à prendre pour protéger le système
d’exploitation :
❖ Utiliser un système d’exploitation stable. Les nouvelles versions
toujours contiennent des bugs et des failles qui doivent être corrigés
et maîtrisés avant.
❖ Mettre à jour le système d’exploitation en installant les correctifs de
sécurité recommandé pour la sécurité.
❖ Ne pas mettre des mots de passe simple et robuste. Ils sont
fondamentaux contre les intrusions. Et ils ne doivent pas être des
dates de naissances, des noms, ou des numéros de téléphones. Un
mot de passe doit être assez long et former d’une combinaison de
lettre, de chiffres et ponctuations.
❖ Ne pas exécuter le serveur VoIP avec un utilisateur privilège. Si un
utilisateur malveillant arrive à accéder au système via une
exploitation de vulnérabilité sur le serveur VoIP, il héritera tous les
privilèges de cet utilisateur.
❖ Asterisk in CHROOT : empêcher le serveur VoIP d’avoir une
visibilité complète de l’arborescence du disque, en l’exécutant dans
 un environnement sécurisé qui l’empêche d’interagir librement
avec le système.
❖ Sauvegarde des fichiers log à distance : les fichiers log sont très
importants, il est conseillé de les enregistrer sur un serveur distant.
❖ Installer seulement les composants nécessaires : pour limiter les
menaces sur le système d’exploitation. Il vaut mieux installer sur la
machine le système d’exploitation et le serveur.
❖ Supprimer tous programmes, logiciels ou des choses qui n’ont pas
d’importance et qui peuvent être une cible d’attaque pour accéder
au système.
❖ Renforcer la sécurité du système d’exploitation en installant des
patches qui permettent de renforcer la sécurité générale du noyau.
On peut aussi utiliser les pare feu ou/et les ACL pour limiter l’accès à des
personnes bien déterminé et fermer les ports inutiles et ne laisser que les
ports utilisés (5060, 5061, 4569, …). Le pare feu (firewall) est un software
ou hardware qui a pour fonction de sécuriser un réseau ou un ordinateur
contre les intrusions venant d’autres machines. Le pare feu utilise le
système de filtrage de paquet après analyse de l’entête des paquets IP qui
s’échange entre les machines.
On aura besoin d’ACL pour donner des droits à des personnes bien
déterminés selon leurs besoins et leurs autorités.
Pour un serveur VoIP, il est important d’implémenter les ACL pour
sécuriser le serveur en limitant l’accès à des personnes indésirables. Par
exemple, seuls les agents enregistrés peuvent envoyer des requêtes au
serveur.
La liste de contrôle d’accès peut être installée en réseau sur les pare feu ou
les routeurs, mais aussi ils existent dans les systèmes d’exploitation.
 CONCLUSION
La VoIP est la solution la plus rentable pour effectuer des conversations.
Actuellement il est évident que la VoIP va continuer à évoluer.
La téléphonie IP est une bonne solution en matière d’intégration, fiabilité
et de coût. On a vu que la voix sur IP étant une nouvelle technologie de
communication, elle n’a pas encore de standard unique. Chaque standard
possède ses propres caractéristiques pour garantir une bonne qualité de
service.
En effet, le respect des contraintes temporelles est le facteur le plus
important lors du transport de la voix.
Asterisk est ouvert à tous, gratuit et simple d’utilisation. Asterisk a de quoi
s’imposer. Ces vrais concurrents sont plutôt les PBX Hardware. Qui sont
chers mais performant et fiable. Les solutions libres peuvent fournir les
outils les plus performants et les mieux documentés sans procurer un
même service relationnel.
Ce projet nous a permis de mettre en pratique nos connaissances
théoriques acquises.
Nous nous sommes de ce fait, initier au travail collectif et avons acquis de
multiples connaissances tant dans la conception d'un réseau VoIP, que
dans les multiples fonctionnalités avancées d'un PABX logiciel. Nous
avons de ce fait constaté que le logiciel libre Asterisk pouvait faire de
l’ombre aux gros centraux téléphoniques.
Ce projet a été une expérience fructueuse qui nous a permis de mieux
s’approcher du milieu professionnel.
Cette expérience nous a permis de savoir comment gérer et optimiser le
temps dans le but d’en profiter au maximum.