1 / 19

Claire VIGODA Romain LAHOCHE

État de l'art et fonctionnement des firewalls applicatifs compatibles avec les protocoles "multimédia" H323 et SIP. FI 2005 - Option RIO le 28/09/2004. Claire VIGODA Romain LAHOCHE. PLAN. I. Difficultés des flux multimédias Différents protocoles : H323, SIP, MGCP, MEGACO

leann
Download Presentation

Claire VIGODA Romain LAHOCHE

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. État de l'art et fonctionnement des firewalls applicatifs compatibles avec les protocoles "multimédia" H323 et SIP FI 2005 - Option RIO le 28/09/2004 Claire VIGODA Romain LAHOCHE

  2. PLAN • I. Difficultés des flux multimédias • Différents protocoles : H323, SIP, MGCP, MEGACO • Problèmes de traversé des routeurs NAT et firewalls • II. Solutions • Communication relais : Serveur d ’application, agent, proxy et TURN • Communication directe : tunnel, UPnP, Midcom, STUN et ICE • III. Produits

  3. Flux Multimédias • Né des lacunes d’IP • H323 : orienté téléphonie • 1996, Microsoft & UIT. • H320 (visiophonie sur RNIS). • Stratégie de bout à bout. • Nombreux protocoles :communication (RTP, RTCP) codec audio /vidéo inéraction de signalisation (RAS, Q931) • SIP : orienté IP • 1997, EITF. • Ouverture de session • Niveau applicatif. • MGCP : couche 3 et 4 • MEGACO : évolution de MGCP

  4. Pile de protocoles et ports utilisés parH323

  5. Pile de protocoles et ports utilisés par SIP

  6. Problème Firewall & NAT • Firewall : • détruits tous les paquets transitant non autorisés explicitement • Problème de la dynamique des ports utilisés par les protocoles multimédia • NAT: • Attribue {@Ip;n°port) aux flux sortants rendant invisible les stations situées derrière. • Problème de communication de bout en bout.

  7. Solution : les relais Serveur d’application • Déploiement d ’un serveur d ’application dans le réseau privé ou dans une DMZ • Le serveur joue le rôle de relais entre des postes désireux de communiquer ensemble • L’utilisation de cette technique permet la traversée de tous les dispositifs de sécurité et de toutes les topologies

  8. Solution : les relais Serveur d’application avec agent • Ajout d ’un agent à la solution précédente à l ’intérieur du réseau privé • Création d ’un tunnel d ’information grâce aux deux entités (serveur et agent) • Communications effectuées par des ports prédéfinis • Avantage : serveur public facilement accessible • Inconvénient : maintenance plus difficile et temps de latence accru dû à l ’ajout de l ’agent dans le réseau.

  9. Solution : les relais Passerelle de la couche d ’application • Firewall et routeur NAT « intelligents  » capables de travailler au niveau 7 • Inspection complète du contenu du paquet pour « filtrage applicatif »

  10. Solution : les relais Traversal Using Relay NAT (TURN) • Protocole en cours de développement • Serveur de relais • Comble les lacunes de STUN : • indépendant vis-à-vis de la topologie, • des éléments de sécurité déployés • et du protocole de communication utilisé • Points forts : indépendance, aucune modification sur le réseau • Points faibles : peu répandu, intégration de TURN dans les programmes

  11. Avantages Inconvénients Traverse tous les dispositifs de sécurité. Traverse tous les réseaux. Aucune modification de l’existant. Besoin d’un RPV + maintenance Solution : directe Tunnel de données • Canal de communication grâce à un Réseau Privé Virtuel (VPN)

  12. Avantages Inconvénients Convivial Produit UPnP sur le marché Brèche de sécurité Ne traverse pas les chaînes de routeurs NAT et firewalls Solution : directe UPnP Universal Plug and Play • Extension du standard Plug and Play • Détection des NAT et Firewall de façon automatique • Création de trous de communication de façon automatique

  13. Avantages Inconvénients Authentification Encore théorique Ne traverse pas les chaînes de routeurs NAT et firewalls Solution : directe Midcom • En cours de développement • Donne de l’« intelligence » aux équipements • Trous en manière dynamique avec contrôle d’accès

  14. Avantages Inconvénients Standardiser Aucune modification de l’existant. Ne traverse pas les routeurs NAT symétrique et les firewalls Solution : directe STUN Simple Traverse of UDP Through Network Address Translation devices • RFC 3489 - Groupe de travail Midcom • Donne {@ip; n port} publique pour établir des canaux de communication

  15. Avantages Inconvénients Traverse tous les types de NAT Traverse tous les types de réseaux STUN/TURN standardisé Peu de déploiement Temps d’établissement d’un appel long. Ne traverse pas les firewalls Solution : directe ICE Interactive Connectivity Establishment • Intègre STUN et TURN au sein des clients SIP pour déterminer toutes les connections possibles entre deux postes • gère une liste d ’@IP

  16. Produits • Il s’agit de matériels réseaux regroupant plusieurs fonctions : • Firewall • Nat • Proxy d ’application (SIP, H323, MGCP) • Exemple : Session Controllers de Netrake

  17. Vos questions… … nos réponses!

More Related