tat de l'art et fonctionnement des firewalls applicatifs compatibles avec les protocoles "multimdia"

1
État de l'art et fonctionnement des firewalls
applicatifs compatibles avec les protocoles
"multimédia" H323 et SIP
FI 2005 - Option RIO le 28/09/2004
Claire VIGODA Romain LAHOCHE
2
PLAN

• I. Difficultés des flux multimédias
• Différents protocoles H323, SIP, MGCP, MEGACO
• Problèmes de traversé des routeurs NAT et
  firewalls
• II. Solutions
• Communication relais Serveur d application,
  agent, proxy et TURN
• Communication directe tunnel, UPnP, Midcom,
  STUN et ICE
• III. Produits

3
Flux Multimédias

• Né des lacunes dIP
• H323 orienté téléphonie
• 1996, Microsoft UIT.
• H320 (visiophonie sur RNIS).
• Stratégie de bout à bout.
• Nombreux protocoles communication (RTP, RTCP)
• codec audio /vidéo
• inéraction de signalisation
  (RAS, Q931)
• SIP orienté IP
• 1997, EITF.
• Ouverture de session
• Niveau applicatif.
• MGCP couche 3 et 4
• MEGACO évolution de MGCP

4
Pile de protocoles et ports utilisés par H323
5
Pile de protocoles et ports utilisés par SIP
6
Problème Firewall NAT

• Firewall
• détruits tous les paquets transitant non
  autorisés explicitement
• Problème de la dynamique des ports utilisés par
  les protocoles multimédia
• NAT
• Attribue _at_Ipnport) aux flux sortants rendant
  invisible les stations situées derrière.
• Problème de communication de bout en bout.

7
Solution les relais
Serveur dapplication

• Déploiement d un serveur d application dans le
  réseau privé ou dans une DMZ
• Le serveur joue le rôle de relais entre des
  postes désireux de communiquer ensemble
• Lutilisation de cette technique permet la
  traversée de tous les dispositifs de sécurité et
  de toutes les topologies

8
Solution les relais
Serveur dapplication avec agent

• Ajout d un agent à la solution précédente à
  l intérieur du réseau privé
• Création d un tunnel d information grâce aux
  deux entités (serveur et agent)
• Communications effectuées par des ports
  prédéfinis
• Avantage serveur public facilement accessible
• Inconvénient maintenance plus difficile et
  temps de latence accru dû à l ajout de l agent
  dans le réseau.

9
Solution les relais
Passerelle de la couche d application

• Firewall et routeur NAT  intelligents  
  capables de travailler au niveau 7
• Inspection complète du contenu du paquet pour
   filtrage applicatif 

10
Solution les relais
Traversal Using Relay NAT (TURN)

• Protocole en cours de développement
• Serveur de relais
• Comble les lacunes de STUN
• indépendant vis-à-vis de la topologie,
• des éléments de sécurité déployés
• et du protocole de communication utilisé
• Points forts indépendance, aucune modification
  sur le réseau
• Points faibles peu répandu, intégration de TURN
  dans les programmes

11
Solution directe
Tunnel de données

• Canal de communication grâce à un Réseau Privé
  Virtuel (VPN)

12
Solution directe
UPnP Universal Plug and Play

• Extension du standard Plug and Play
• Détection des NAT et Firewall de façon
  automatique
• Création de trous de communication de façon
  automatique

13
Solution directe
Midcom

• En cours de développement
• Donne de l intelligence  aux équipements
• Trous en manière dynamique avec contrôle daccès

14
Solution directe
STUN Simple Traverse of UDP Through Network
Address Translation devices

• RFC 3489 - Groupe de travail Midcom
• Donne _at_ip n port publique pour établir des
  canaux de communication

15
Solution directe
ICE Interactive Connectivity Establishment

• Intègre STUN et TURN au sein des clients SIP
  pour déterminer toutes les connections possibles
  entre deux postes
• gère une liste d _at_IP

16
Produits

• Il sagit de matériels réseaux regroupant
  plusieurs fonctions
• Firewall
• Nat
• Proxy d application (SIP, H323, MGCP)
• Exemple Session Controllers de Netrake

17
Vos questions nos réponses !
18
(No Transcript)
19
(No Transcript)