190 likes | 342 Views
État de l'art et fonctionnement des firewalls applicatifs compatibles avec les protocoles "multimédia" H323 et SIP. FI 2005 - Option RIO le 28/09/2004. Claire VIGODA Romain LAHOCHE. PLAN. I. Difficultés des flux multimédias Différents protocoles : H323, SIP, MGCP, MEGACO
E N D
État de l'art et fonctionnement des firewalls applicatifs compatibles avec les protocoles "multimédia" H323 et SIP FI 2005 - Option RIO le 28/09/2004 Claire VIGODA Romain LAHOCHE
PLAN • I. Difficultés des flux multimédias • Différents protocoles : H323, SIP, MGCP, MEGACO • Problèmes de traversé des routeurs NAT et firewalls • II. Solutions • Communication relais : Serveur d ’application, agent, proxy et TURN • Communication directe : tunnel, UPnP, Midcom, STUN et ICE • III. Produits
Flux Multimédias • Né des lacunes d’IP • H323 : orienté téléphonie • 1996, Microsoft & UIT. • H320 (visiophonie sur RNIS). • Stratégie de bout à bout. • Nombreux protocoles :communication (RTP, RTCP) codec audio /vidéo inéraction de signalisation (RAS, Q931) • SIP : orienté IP • 1997, EITF. • Ouverture de session • Niveau applicatif. • MGCP : couche 3 et 4 • MEGACO : évolution de MGCP
Problème Firewall & NAT • Firewall : • détruits tous les paquets transitant non autorisés explicitement • Problème de la dynamique des ports utilisés par les protocoles multimédia • NAT: • Attribue {@Ip;n°port) aux flux sortants rendant invisible les stations situées derrière. • Problème de communication de bout en bout.
Solution : les relais Serveur d’application • Déploiement d ’un serveur d ’application dans le réseau privé ou dans une DMZ • Le serveur joue le rôle de relais entre des postes désireux de communiquer ensemble • L’utilisation de cette technique permet la traversée de tous les dispositifs de sécurité et de toutes les topologies
Solution : les relais Serveur d’application avec agent • Ajout d ’un agent à la solution précédente à l ’intérieur du réseau privé • Création d ’un tunnel d ’information grâce aux deux entités (serveur et agent) • Communications effectuées par des ports prédéfinis • Avantage : serveur public facilement accessible • Inconvénient : maintenance plus difficile et temps de latence accru dû à l ’ajout de l ’agent dans le réseau.
Solution : les relais Passerelle de la couche d ’application • Firewall et routeur NAT « intelligents » capables de travailler au niveau 7 • Inspection complète du contenu du paquet pour « filtrage applicatif »
Solution : les relais Traversal Using Relay NAT (TURN) • Protocole en cours de développement • Serveur de relais • Comble les lacunes de STUN : • indépendant vis-à-vis de la topologie, • des éléments de sécurité déployés • et du protocole de communication utilisé • Points forts : indépendance, aucune modification sur le réseau • Points faibles : peu répandu, intégration de TURN dans les programmes
Avantages Inconvénients Traverse tous les dispositifs de sécurité. Traverse tous les réseaux. Aucune modification de l’existant. Besoin d’un RPV + maintenance Solution : directe Tunnel de données • Canal de communication grâce à un Réseau Privé Virtuel (VPN)
Avantages Inconvénients Convivial Produit UPnP sur le marché Brèche de sécurité Ne traverse pas les chaînes de routeurs NAT et firewalls Solution : directe UPnP Universal Plug and Play • Extension du standard Plug and Play • Détection des NAT et Firewall de façon automatique • Création de trous de communication de façon automatique
Avantages Inconvénients Authentification Encore théorique Ne traverse pas les chaînes de routeurs NAT et firewalls Solution : directe Midcom • En cours de développement • Donne de l’« intelligence » aux équipements • Trous en manière dynamique avec contrôle d’accès
Avantages Inconvénients Standardiser Aucune modification de l’existant. Ne traverse pas les routeurs NAT symétrique et les firewalls Solution : directe STUN Simple Traverse of UDP Through Network Address Translation devices • RFC 3489 - Groupe de travail Midcom • Donne {@ip; n port} publique pour établir des canaux de communication
Avantages Inconvénients Traverse tous les types de NAT Traverse tous les types de réseaux STUN/TURN standardisé Peu de déploiement Temps d’établissement d’un appel long. Ne traverse pas les firewalls Solution : directe ICE Interactive Connectivity Establishment • Intègre STUN et TURN au sein des clients SIP pour déterminer toutes les connections possibles entre deux postes • gère une liste d ’@IP
Produits • Il s’agit de matériels réseaux regroupant plusieurs fonctions : • Firewall • Nat • Proxy d ’application (SIP, H323, MGCP) • Exemple : Session Controllers de Netrake