Title: tat de l'art et fonctionnement des firewalls applicatifs compatibles avec les protocoles "multimdia"
1État de l'art et fonctionnement des firewalls
applicatifs compatibles avec les protocoles
"multimédia" H323 et SIP
FI 2005 - Option RIO le 28/09/2004
Claire VIGODA Romain LAHOCHE
2PLAN
- I. Difficultés des flux multimédias
- Différents protocoles H323, SIP, MGCP, MEGACO
- Problèmes de traversé des routeurs NAT et
firewalls - II. Solutions
- Communication relais Serveur d application,
agent, proxy et TURN - Communication directe tunnel, UPnP, Midcom,
STUN et ICE - III. Produits
3Flux Multimédias
- Né des lacunes dIP
- H323 orienté téléphonie
- 1996, Microsoft UIT.
- H320 (visiophonie sur RNIS).
- Stratégie de bout à bout.
- Nombreux protocoles communication (RTP, RTCP)
- codec audio /vidéo
- inéraction de signalisation
(RAS, Q931) - SIP orienté IP
- 1997, EITF.
- Ouverture de session
- Niveau applicatif.
- MGCP couche 3 et 4
- MEGACO évolution de MGCP
4Pile de protocoles et ports utilisés par H323
5Pile de protocoles et ports utilisés par SIP
6Problème Firewall NAT
- Firewall
- détruits tous les paquets transitant non
autorisés explicitement - Problème de la dynamique des ports utilisés par
les protocoles multimédia - NAT
- Attribue _at_Ipnport) aux flux sortants rendant
invisible les stations situées derrière. - Problème de communication de bout en bout.
7Solution les relais
Serveur dapplication
- Déploiement d un serveur d application dans le
réseau privé ou dans une DMZ - Le serveur joue le rôle de relais entre des
postes désireux de communiquer ensemble - Lutilisation de cette technique permet la
traversée de tous les dispositifs de sécurité et
de toutes les topologies
8Solution les relais
Serveur dapplication avec agent
- Ajout d un agent à la solution précédente à
l intérieur du réseau privé - Création d un tunnel d information grâce aux
deux entités (serveur et agent) - Communications effectuées par des ports
prédéfinis - Avantage serveur public facilement accessible
- Inconvénient maintenance plus difficile et
temps de latence accru dû à l ajout de l agent
dans le réseau.
9Solution les relais
Passerelle de la couche d application
- Firewall et routeur NAT intelligents
capables de travailler au niveau 7 - Inspection complète du contenu du paquet pour
filtrage applicatif
10Solution les relais
Traversal Using Relay NAT (TURN)
- Protocole en cours de développement
- Serveur de relais
- Comble les lacunes de STUN
- indépendant vis-à-vis de la topologie,
- des éléments de sécurité déployés
- et du protocole de communication utilisé
- Points forts indépendance, aucune modification
sur le réseau - Points faibles peu répandu, intégration de TURN
dans les programmes
11Solution directe
Tunnel de données
- Canal de communication grâce à un Réseau Privé
Virtuel (VPN)
12Solution directe
UPnP Universal Plug and Play
- Extension du standard Plug and Play
- Détection des NAT et Firewall de façon
automatique - Création de trous de communication de façon
automatique
13Solution directe
Midcom
- En cours de développement
- Donne de l intelligence aux équipements
- Trous en manière dynamique avec contrôle daccès
14Solution directe
STUN Simple Traverse of UDP Through Network
Address Translation devices
- RFC 3489 - Groupe de travail Midcom
- Donne _at_ip n port publique pour établir des
canaux de communication
15Solution directe
ICE Interactive Connectivity Establishment
- Intègre STUN et TURN au sein des clients SIP
pour déterminer toutes les connections possibles
entre deux postes - gère une liste d _at_IP
16Produits
- Il sagit de matériels réseaux regroupant
plusieurs fonctions - Firewall
- Nat
- Proxy d application (SIP, H323, MGCP)
- Exemple Session Controllers de Netrake
17Vos questions nos réponses !
18(No Transcript)
19(No Transcript)