slide1 n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Claire VIGODA Romain LAHOCHE PowerPoint Presentation
Download Presentation
Claire VIGODA Romain LAHOCHE

Loading in 2 Seconds...

play fullscreen
1 / 19

Claire VIGODA Romain LAHOCHE - PowerPoint PPT Presentation


  • 108 Views
  • Uploaded on

État de l'art et fonctionnement des firewalls applicatifs compatibles avec les protocoles "multimédia" H323 et SIP. FI 2005 - Option RIO le 28/09/2004. Claire VIGODA Romain LAHOCHE. PLAN. I. Difficultés des flux multimédias Différents protocoles : H323, SIP, MGCP, MEGACO

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Claire VIGODA Romain LAHOCHE' - leann


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide1

État de l'art et fonctionnement des firewalls applicatifs compatibles avec les protocoles "multimédia" H323 et SIP

FI 2005 - Option RIO

le 28/09/2004

Claire VIGODA

Romain LAHOCHE

slide2
PLAN
  • I. Difficultés des flux multimédias
    • Différents protocoles : H323, SIP, MGCP, MEGACO
    • Problèmes de traversé des routeurs NAT et firewalls
  • II. Solutions
    • Communication relais : Serveur d ’application, agent, proxy et TURN
    • Communication directe : tunnel, UPnP, Midcom, STUN et ICE
  • III. Produits
flux multim dias
Flux Multimédias
  • Né des lacunes d’IP
  • H323 : orienté téléphonie
    • 1996, Microsoft & UIT.
    • H320 (visiophonie sur RNIS).
    • Stratégie de bout à bout.
    • Nombreux protocoles :communication (RTP, RTCP)

codec audio /vidéo

inéraction de signalisation (RAS, Q931)

  • SIP : orienté IP
    • 1997, EITF.
    • Ouverture de session
    • Niveau applicatif.
  • MGCP : couche 3 et 4
  • MEGACO : évolution de MGCP
slide6

Problème Firewall & NAT

  • Firewall :
    • détruits tous les paquets transitant non autorisés explicitement
    • Problème de la dynamique des ports utilisés par les protocoles multimédia
  • NAT:
    • Attribue {@Ip;n°port) aux flux sortants rendant invisible les stations situées derrière.
    • Problème de communication de bout en bout.
slide7

Solution : les relais

Serveur d’application

  • Déploiement d ’un serveur d ’application dans le réseau privé ou dans une DMZ
  • Le serveur joue le rôle de relais entre des postes désireux de communiquer ensemble
  • L’utilisation de cette technique permet la traversée de tous les dispositifs de sécurité et de toutes les topologies
slide8

Solution : les relais

Serveur d’application avec agent

  • Ajout d ’un agent à la solution précédente à l ’intérieur du réseau privé
  • Création d ’un tunnel d ’information grâce aux deux entités (serveur et agent)
  • Communications effectuées par des ports prédéfinis
  • Avantage : serveur public facilement accessible
  • Inconvénient : maintenance plus difficile et temps de latence accru dû à l ’ajout de l ’agent dans le réseau.
slide9

Solution : les relais

Passerelle de la couche d ’application

  • Firewall et routeur NAT « intelligents  » capables de travailler au niveau 7
  • Inspection complète du contenu du paquet pour « filtrage applicatif »
slide10

Solution : les relais

Traversal Using Relay NAT (TURN)

  • Protocole en cours de développement
  • Serveur de relais
  • Comble les lacunes de STUN :
    • indépendant vis-à-vis de la topologie,
    • des éléments de sécurité déployés
    • et du protocole de communication utilisé
  • Points forts : indépendance, aucune modification sur le réseau
  • Points faibles : peu répandu, intégration de TURN dans les programmes
slide11

Avantages

Inconvénients

Traverse tous les dispositifs de sécurité.

Traverse tous les réseaux.

Aucune modification de l’existant.

Besoin d’un RPV + maintenance

Solution : directe

Tunnel de données

  • Canal de communication grâce à un Réseau Privé Virtuel (VPN)
slide12

Avantages

Inconvénients

Convivial

Produit UPnP sur le marché

Brèche de sécurité

Ne traverse pas les chaînes de routeurs NAT et firewalls

Solution : directe

UPnP Universal Plug and Play

  • Extension du standard Plug and Play
  • Détection des NAT et Firewall de façon automatique
  • Création de trous de communication de façon automatique
slide13

Avantages

Inconvénients

Authentification

Encore théorique

Ne traverse pas les chaînes de routeurs NAT et firewalls

Solution : directe

Midcom

  • En cours de développement
  • Donne de l’« intelligence » aux équipements
  • Trous en manière dynamique avec contrôle d’accès
slide14

Avantages

Inconvénients

Standardiser

Aucune modification de l’existant.

Ne traverse pas les routeurs NAT symétrique et les firewalls

Solution : directe

STUN Simple Traverse of UDP Through Network Address Translation devices

  • RFC 3489 - Groupe de travail Midcom
  • Donne {@ip; n port} publique pour établir des canaux de communication
slide15

Avantages

Inconvénients

Traverse tous les types de NAT

Traverse tous les types de réseaux

STUN/TURN standardisé

Peu de déploiement

Temps d’établissement d’un appel long.

Ne traverse pas les firewalls

Solution : directe

ICE Interactive Connectivity Establishment

  • Intègre STUN et TURN au sein des clients SIP pour déterminer toutes les connections possibles entre deux postes
  • gère une liste d ’@IP
slide16

Produits

  • Il s’agit de matériels réseaux regroupant plusieurs fonctions :
    • Firewall
    • Nat
    • Proxy d ’application (SIP, H323, MGCP)
    • Exemple : Session Controllers de Netrake