FLASH INFORMATIQUE FI



Le Gatekeeper H.323 en test à l’EPFL ou la visioconférence sécurisée




Franck PERROT



Introduction

Il existe aujourd’hui plusieurs outils de visioconférence, chacun utilisant des protocoles différents (d’authentification, de localisation, de négociation sur les types de média, ...), certains standardisés, d’autres non. Citons en vrac :

les clients H.323 :
visioconférence dite classique et historique, conférence entre deux individus, mais aussi et surtout de grande qualité sur grand écran entre plusieurs sites distants (terminaux de type hardware pouvant coûter jusqu’à 30’000 CHF ou logiciel tel que Netmeeting, Gnomemeeting ...)
les clients SIP :
VoIP, ToIP, softphones, etc. Il est intéressant de noter que depuis quelques années, de nombreux terminaux H.323 peuvent également utiliser SIP. Les clients SIP sont très nombreux : Wengophone, Ekiga, X-lit, SJphone, Gizmo, GoSIP, Zfone, etc. À noter, les clients directement accessibles depuis une page Web tels que Gizmo Call, écrit en Flash) ou Mozilla SIP Client. Avec de tels clients, il serait donc possible de m’appeler sur mon vrai téléphone simplement en cliquant sur une URL ! Ceci posera à l’avenir les mêmes problèmes de SPAM que nous connaissons avec le courrier électronique, mais à la puissance 10 ...
les outils de collaboration sur le Web :
Web conferencing tel que Breeze, Webex...
la messagerie instantanée ou chat :
initialement textuelle, elle inclut dorénavant l’audio, la vidéo et le tableau blanc. Quelques clients connus : AIM, ICQ, Yahoo et MSN Messenger, Skype, Google Talk, iChat... Très répandu, ce type d’outil est malheureusement cloisonné à l’extrême. Ainsi, quatre ou cinq grands réseaux propriétaires sont utilisés par plusieurs centaines de millions d’utilisateurs incapables de communiquer en dehors de leur propre réseau. Il est à noter que certains logiciels propriétaires de messagerie instantanée, tels que Microsoft Windows Messenger, Google Talk et Yahoo Messenger offrent ou prévoient d’offrir bientôt le support SIP. Ceci montre bien la force de ce jeune protocole de communication ouvert et standardisé.

Quoi que nous réserve l’avenir, il faut bien résoudre les problèmes de sécurité actuels que nous posent la visioconférence H.323, toujours largement utilisée à l’EPFL. Ce nouveau Gatekeeper H.323, ou garde barrière, en apporte une réponse simple et efficace même s’il ne résout pas tout. Afin de vérifier son bon fonctionnement et d’évaluer la montée en charge d’un tel dispositif, il sera en test pendant quelques mois.

Généralité

Brève présentation de la visioconférence H.323

H323 est une norme englobant les protocoles de communications audio, vidéo et de transmission de données qui permettent la réalisation de visioconférences sur IP. Elle est une adaptation pour IP, difficile et tortueuse, de la norme H320 qui assure la réalisation de visioconférences en RNIS (ISDN). Pour rappel, H.324 est la norme qui régit la visioconférence sur le réseau téléphonique commuté (RTC). La norme H.323 a été développée pour permettre aux différents produits et applications multimédia de différents constructeurs d’être compatibles. L’ITU (Union Internationale des Télécommunications) a approuvé les spécifications H.323 depuis 1996.

Brève présentation du Gatekeeper

Un Gatekeeper H.323 (en abrégé : GK), ou opérateur de contrôle d’appel en français, est un élément capable de router un appel H.323 sur le réseau. Les GK répartis sur le réseau Internet déterminent le chemin entre l’émetteur de l’appel H.323 et le destinataire, puis mettent en place le routage.

Le Gatekeeper comme Proxy renforce la sécurité

Pour fonctionner, les terminaux (matériel ou logiciel) H.323 utilisent de très nombreux ports. Or, tout système informatique qui utilise le réseau de l’EPFL a tous ses ports fermés pour l’extérieur par défaut. Il vous faut donc soit demander l’ouverture à DIODE de tous vos ports, soit utiliser un proxy H.323, rôle que sait parfaitement remplir le GK de l’EPFL. Il est évident qu’ouvrir tous ses ports pose de sérieux problèmes de sécurité pour tous les utilisateurs de l’EPFL et vous en seriez responsable. La principale raison d’être de ce nouveau service est donc de vous éviter d’avoir à ouvrir tous les ports de votre système pour faire de la visioconférence H.323.

Le Gatekeeper comme routeur simplifie les appels

La deuxième raison principale qui justifie un GK à l’EPFL est la simplification de la mise en relation des terminaux H323 entre eux. Pour cela le Gatekeeper de l’EPFL intègre le plan de numérotation international nommé GDS (Global Dialing Scheme) qui respecte la norme E.164. Un numéro E.164 (ou H.323 extension) est une adresse composée de numéros et structurée comme un numéro de téléphone. En particulier, un numéro de téléphone est une adresse E.164. E.164 est le nom de la norme qui définit ces adresses. Par exemple, le numéro E.164 0041216932283 se décompose ainsi :

  • 00 : code d’accès international
  • 41 : code du pays (Suisse)
  • 21693 : préfixe de l’organisation (EPFL)
  • 2283 : numéro du terminal.

Pour que votre terminal soit joignable facilement depuis l’extérieur, vous devez l’enregistrer auprès du GK et devrez utiliser comme numéro E.164 les quatre derniers chiffres de votre téléphone ou de celui de la salle dans laquelle se trouve votre système de visioconférence, qu’il soit matériel ou logiciel et ceci pour des raisons de commodités.
Par exemple, si votre téléphone est le 0216932283, alors vous devrez utiliser 2283 comme numéro E.164. Vos correspondants de l’EPFL qui utilisent le GK de l’EPFL pourront alors vous appeler par ce numéro (2283), vos correspondants en Suisse reliés au GDS pourront vous appeler par le numéro 0216932283 et vos correspondants hors de Suisse reliés au GDS par le numéro 0041216932283. Ainsi, le réseau de GK qui respecte le GDS s’occupera normalement de bien rediriger les appels de vos correspondants.

Configuration de votre terminal H.323

  • Vérifier que votre système a tous ses ports fermés (network.epfl.ch/cgi-bin/annumach/annu.pl ?etape=affiche_mach_ouvertes).
  • Si ce n’est pas le cas, demander la fermeture à DIODE de tous les ports de votre système de visioconférence (mailto:diode@epfl.ch).
  • Configurer votre système de visioconférence comme suit :
    • dans les préférences de votre terminal H.323, demandez-lui de s’enregistrer auprès du GK de l’EPFL en lui spécifiant explicitement : gatekeeper.epfl.ch.
    • Numéro de poste H.323 (E.164) : Utiliser les quatre derniers chiffres de votre téléphone à l’EPFL ou celui de la salle de visioconférence où se trouve votre système (ex : 2283)
    • Si vous en avez la possibilité, entrez dans le champ Alias (H.323 name) votre username GASPAR, par exemple (ex : fdupont).

Voilà, votre système utilisera dorénavant le GK de l’EPFL en tant que Proxy H.323 et votre système sera protégé par DIODE. Sur les questions du Firewall et du NAT, consultez la page dédiée aux terminaux H.323.

Avec quel numéro vous appeler ?

Pour que votre correspondant vous joigne, plusieurs possibilités existent selon son emplacement géographique :

  • Votre correspondant est connecté au GDS :
    • il est à l’EPFL : pour vous appeler, il devra utiliser soit votre numéro E.164 (ex : 2283) soit votre username GASPAR (ex : fdupont).
    • il se trouve en Suisse hors de l’EPFL : il devra alors utiliser 021693 suivi de votre numéro E.164 (Ex : 0216932283).
    • il se trouve hors de Suisse : il devra alors utiliser 004121693 suivi de votre numéro E.164 (ex : 0041216932283).
  • Votre correspondant n’utilise pas de GK connecté au GDS
    • demandez-lui de se connecter au GDS
    • sinon, donnez lui la procédure à suivre pour qu’il utilise le GK de l’EPFL et qu’il entre comme numéro E.164 un numéro à quatre chiffres quelconques non utilisé. Dans ce cas, uniquement du point de vue H.323, il fera partie de l’EPFL.

Petite variation sur les différences entre les standards H.323 et SIP

Bien que SIP semble prendre le pas sur H.323, rien n’est encore très clair sur l’issue du combat. Certains spécialistes, à mon avis à juste titre, pensent que ces deux protocoles subsisteront encore longtemps en parallèle. Ne serait-ce que pour rentabiliser des investissements relativement lourds (certains équipements H.323 valent de petites fortunes). Mais la raison principale je crois provient de la complémentarité historique entre les trois grands protocoles de communications que sont H.323, H.320 (ISDN) et H.324 (RTC, PBX, etc.). Le marché regorge de solutions pour qu’ils puissent intercommuniquer entre eux telles que les Gatekeepers, les passerelles H320/H323 et les MCU (pont multipoint), ce qui n’est pas encore tout à fait le cas pour les solutions SIP, même si ce marché rattrape son retard à très granda pas. Ce qui différencie H.323 de SIP se situe au niveau du protocole de signalisation, c’est-à-dire sur la manière dont sont échangés les messages d’information. Contrairement à H.323, SIP est indépendant du type des données (par exemple, la compression utilisée pour l’audio et la vidéo) et du protocole de transport.
Certains prétendent que H.323 est un mauvais protocole du fait de l’implémentation qu’en ont fait les fabricants laquelle a rendu ininteropérable des solutions propriétaires différentes. D’autres s’avancent en affirmant que le protocole SIP reprend les meilleurs aspects de H.323 pour la VoIP. Bref, il semblerait que H.323 est plus complexe à mettre en oeuvre que le protocole SIP (ce qui reste à démontrer puisque SIP, du point de vue de la signalisation, est semble-t-il tout aussi complexe qu’H.323). Il faut savoir que contrairement à H.323, SIP a été développé par la communauté Internet et se base sur la structure du protocole HTTP. Par conséquent, SIP réutilise de nombreux protocoles en commun avec Internet tels que DNS, DHCP et ICMP.
Mais ce qui fait la force de SIP, c’est qu’il peut être utilisé pour initier une multitude de sessions et pas seulement pour de la visioconférence. C’est pourquoi il est sans doute le protocole qui peut unifier le téléphone, la visioconférence et la messagerie instantanée, voire plus. SIP semble prometteur pour deux raisons principales :

  • les points d’extrémité seront plus flexibles, car ils pourront être identifiés par n’importe quel type d’adresse Internet. Les noms d’hôtes, les numéros de téléphone et même les adresses électroniques pourront donc servir de destinations d’appels ;
  • les systèmes et bases de données d’aujourd’hui seront beaucoup plus compatibles, car SIP se déploie sur le protocole LDAP qui est déjà utilisé sur de nombreux sites.

L’autre avantage de SIP par rapport à H.323, c’est de mieux surmonter la difficulté inhérente à ce genre de protocole, à savoir de traverser les NAT. Difficulté qui fait au jour d’aujourd’hui le succès des réseaux propriétaires (Skype, etc.) lesquels parviennent aisément à s’en affranchir. Plusieurs solutions efficaces existent sur certains terminaux SIP.
En conclusion provisoire, on pourrait dire que l’avantage de H.323 c’est son historique indiscutable alors que l’avantage de SIP c’est sa jeunesse discutée. À terme, probablement, seuls resteront les terminaux SIP et tous les téléphones mobiles auront une adresse SIP accessible depuis n’importe quel logiciel de téléphonie sur IP.



Cherchez ...

- dans tous les Flash informatique
(entre 1986 et 2001: seulement sur les titres et auteurs)
- par mot-clé

Avertissement

Cette page est un article d'une publication de l'EPFL.
Le contenu et certains liens ne sont peut-être plus d'actualité.

Responsabilité

Les articles n'engagent que leurs auteurs, sauf ceux qui concernent de façon évidente des prestations officielles (sous la responsabilité du DIT ou d'autres entités). Toute reproduction, même partielle, n'est autorisée qu'avec l'accord de la rédaction et des auteurs.


Archives sur clé USB

Le Flash informatique ne paraîtra plus. Le dernier numéro est daté de décembre 2013.

Taguage des articles

Depuis 2010, pour aider le lecteur, les articles sont taggués:
  •   tout public
    que vous soyiez utilisateur occasionnel du PC familial, ou bien simplement propriétaire d'un iPhone, lisez l'article marqué tout public, vous y apprendrez plein de choses qui vous permettront de mieux appréhender ces technologies qui envahissent votre quotidien
  •   public averti
    l'article parle de concepts techniques, mais à la portée de toute personne intéressée par les dessous des nouvelles technologies
  •   expert
    le sujet abordé n'intéresse que peu de lecteurs, mais ceux-là seront ravis d'approfondir un thème, d'en savoir plus sur un nouveau langage.