Vous êtes ici : Accueil Glossaire / H323
(article de Julien Letellier provenant du site http://www.europainternet.info/mmqos/index.php/Sujet/letellij)

1 Tour d'horizon du protocole H.323

1.1 Le protocole H.323

1.1.1 Les applications de la norme H.323
1.1.2 L'impacte de H.323
1.1.3 Principaux avantages du H.323

1.2 Les briques de l'architecture H.323

1.2.1 Les Terminaux
1.2.2 Le Gatekeeper
1.2.3 La Gateway
1.2.4 La MCU (Multipoint Control Unit)

2 Les communications H.323

2.1 Les flux de Contrôle
2.2 Le flux audio
2.3 Le flux vidéo
2.4 Le flux de données

3 Aspects QoS en visioconférence

3.1 Les Contraintes liées à la QoS en visioconférence
3.2 Les mécanismes de QoS en visioconférence

3.2.1 DiffServ (Differentiated Services)
3.2.2 IP Precedence
3.2.3 COS (Class of Service)
3.2.4 Les files d'attentes (Queuing)
3.2.5 Le contrôle de congestion

4 Aspects sécurité en visioconférence

4.1 La traversée des Firewalls
4.2 Le cryptage

Tour d'horizon du protocole H.323

Le protocole H.323

La norme H.323 englobe les protocoles de communications audio, vidéo et de transmission de données à travers les réseaux à commutation de paquets IP : réseaux LAN, Intranet, Extranet et Internet. La norme H.323 a été développée pour permettre aux différents produits et applications multimédia de différents constructeurs d'être compatibles. L'interopérabilité étant le souci principal que ça soit pour les constructeurs ou pour les utilisateurs. L'Union Internationale des Télécommunications (ITU) fixe les normes pour les communications multimédia sur les réseaux : Les réseaux LAN : Ethernet, Fast Ethernet, Token Ring interconnectés à leur tour par divers réseaux WAN, privés ou publics de type RNIS, V.35, E1/T1, FR, ATM et autres. Cette interconnexion est assurée par le protocole IP que la norme H.323 exploite pour généraliser les services de téléphonie et de visioconférence. C'est sur les services de visioconférence que l'on va axer le propos.

L'ITU a approuvé les spécifications H.323 depuis 1996. La norme couvre largement tout type de dispositifs, allant des studios de visioconférence autonomes jusqu'au ordinateurs personnels aussi bien en mode point à point qu'en conférences multipoints. Nous reviendrons sur ces différents point plus en détailles.

La norme aborde précisément les questions relatives à la signalisation des communications audio/vidéo sur IP, ainsi que la gestion de la bande passante et des utilisateurs. H.323 fait partie de la série des normes H.32x de l'ITU qui permettent de faire la visioconférence sur différents réseaux cette série inclut H.320 pour la visioconférence sur ISDN et H.324 pour la visioconférence sur le réseau téléphonique commuté RTC.

Les applications de la norme H.323

  • Visioconférence en salles équipées et aux postes de travail individuels.
  • Téléphonie et vidéo sur Internet.
  • CTI (Computer Telephony Integration).
  • Travail collaboratif
  • Réunion de travail via Intranet et Internet.
  • E-learning et formation à distance.
  • Applications de support et de Help Desk.
  • Commerce interactif.
  • Banque interactive.
  • Télé-medecine
  • Systèmes de sécurité et de vidéosurveillance.
  • Messagerie Audio/Video
  • Diffusion de contenu Audio/Vidéo
  • Video-on-demand
  • Autres…

L'impacte de H.323

Les recommandations de la norme H.323 sont flexibles et complètes, plusieurs raisons nous laissent présager de la percée de cette technologie dans le marché actuel des nouvelles technologies:

  • H.323 établit un standard multimédia qui s'applique à une infrastructure déjà existante (typiquement, le réseau IP de l'entreprise)
  • Les réseaux LAN IP d'entreprises deviennent de plus en plus capacitaire en bande passante. Ils sont passés de 10 Mbps à 100 Mbps, et tendent à évoluer vers le Gigabit Ethernet.
  • H.323 présente encore plus d'avantages lorsque certaines fonctions du réseau sont implémentées comme la QoS, les protections Firewalls, etc. Nous reviendront sur ces point plus en détaille.
  • H.323 pose une ligne directrice permettant l'interopérabilité de tout appareil ou application quel que soit le constructeur. Cependant chaque constructeur est libre d'implémenter ses propres spécifications en plus de celles existantes, à condition qu'elles ne nuisent pas à l'interopérabilité générale.
  • La charge totale du réseau peut être gérée de façon centralisée ou distribuée grâce aux Gatekeepers. En limitant la bande passante maximale allouée pour les communications et pour les visioconférences.
  • H.323 est capable d'intégrer la sécurité du réseau et des communications (contrôle des appels, Firewalls, cryptage des communications, etc.)

Principaux avantages du H.323

  • Indépendance vis à vis du réseau

Les solutions H.323 fonctionnent au dessus d'architectures réseaux classiques et bénéficie donc de toutes les évolutions technologiques à ce niveau.


  • Gestion de la bande passante

Le trafic audio et vidéo est très gourmand en bande passante. Si aucun contrôle n'est assuré cela risque de pénaliser lourdement le réseau. H.323 permet une bonne gestion de la bande passante en posant des limites au flux audio/vidéo afin d'assurer le bon fonctionnement des applications critiques sur le LAN. Chaque terminal H.323 peut procéder à l'ajustement de la bande passante et la modification du débit en fonction du comportement du réseau en temps réel (latence, perte de paquets et gigue).


  • Communications Inter Réseaux

Les utilisateurs peuvent être dispersés sur des sites distants mais l'environnent H.323 leur permet de communiquer via des connections PPP directes sur l'Intranet ou l'Extranet de l'entreprise voir même via Internet. H.323 permet également de continuer à utiliser les technologies à commutation de circuit (ISDN, RTC) à travers des Gateway spécifiques. Cela en supportant les codecs utilisés par ces standard, ce qui permet d'éliminer par la même occasion le transcoding (cf. 4.5.5) qui diminue les performances.


  • Indépendance vis-à-vis de la plateforme

H.323 ne dépends pas d'un type donné de matériel ou de système opératoire. Libre à chacun d'implémenter les spécifications : il existe des solutions commerciales, mais aussi des solution libres en licence GPL (ex. openH323).


  • Support Multipoint

H.323 permet de faire des conférences multipoint via une structure centralisée de type MCU (Multipoint Control Unit) ou en mode ad - hoc. Support Multicast H.323 permet également de faire des transmissions en multicast.


  • Interopérabilité

H.323 permet aux utilisateurs de ne pas se préoccuper de la manière dont se font les communications, les paramètres (les codecs, le débit…) sont négociés de manière transparente. Utilisation des codecs standards H.323 établit les standards de compression et de décompression audio (g.7xx) et vidéo (H.26x).


  • Flexibilité

Une conférence H.323 peut inclure des terminaux hétérogènes (studio de visioconférence, PC, téléphones…) qui peuvent partager selon le cas, de la voix de la vidéo et même des données grâce aux spécifications T.120.


Les briques de l'architecture H.323

L'infrastructure H.323 repose sur quatre briques principales : les terminaux, les Gateways, les Gatekeepers, et les MCU (Multipoint Control Units).

Les Terminaux

Il existe différents types de terminaux selon les modes d'utilisation :

  • Les systèmes de groupe permettent d'équiper des salles de réunion et de supporter des visioconférences impliquant plusieurs utilisateurs. Selon les modèles ils se connectent en ISDN et/ou en IP.
  • Les systèmes individuels se trouvent sous la forme de visiophones autonomes ou directement intégrés dans le poste de travail.

Le respect du standard H.323 permet de garantir un contrôle sur l'utilisation des ressources réseau et des contraintes de qualité de service. Tous les terminaux H.323 doivent supporter :

  • Le protocole H.245, pour négocier l'ouverture et l'utilisation des canaux ainsi que les paramètres de la communication.
  • Le protocole Q.931 (version allégée) pour la signalisation et l'établissement d'appels
  • Le protocole RAS (Registration/Admission/Status), qui est le protocole utilisé par le terminal pour communiquer avec le Gatekeeper.
  • Les protocoles RTP/RTCP pour les flux audio et vidéo.

Pile protocolaire H.323

Le Gatekeeper

Dans la norme H323, Le Gatekeeper est le point d'entrée au réseau pour un client H.323. Il définit une zone sur le réseau, appelée zone H.323, regroupant plusieurs terminaux, Gateways et MCU dont il gère le trafic, le routage LAN, et l'allocation de la bande passante. Les clients ou les Gateway s'enregistrent auprès du Gatekeeper dés l'activation de celui-ci, ce qui leur permet de retrouver n'importe quel autre utilisateur à travers son identifiant fixe obtenu auprès de son Gatekeeper de rattachement.


Les Gatekeepers assurent :

1. La translation des alias H.323 vers des adresses IP, selon les spécifications RAS.

2. Le contrôle d'accès, en interdisant les utilisateurs et les sessions non autorisés.

3. La gestion de la bande passante, permettant à l'administrateur du réseau de limiter le nombre de visioconférences simultanées. Concrètement on alloue une fraction de la bande passante à la visioconférence pour ne pas gêner les applications critiques sur le LAN.

4. Le support des conférences multipoint ad hoc. Dans le cas ou cette fonctionnalité est implémentée.

La Gateway

Les Gateways assurent l'interconnexion entre le monde IP/H.323 et les autre types de terminaux (ISDN/H.320 ou RTC/H.324). Elle assure la translation des formats de transmission (ex. H.225 vers H.221) et les procédures de communications (ex. H.245 vers H.242). Les terminaux communiquent avec la Gateway via les protocoles H.245 et Q.931.

La MCU (Multipoint Control Unit)

La MCU offre aux utilisateurs la possibilité de faire des visioconférences à trois terminaux et plus en « présence continue » ou en « activation à la voix ». Une MCU consiste en un Contrôleur Multipoint (MC), auquel est rajouté un ou plusieurs Processeurs Multipoints (MP). Le MC prends en charge les négociations H.245 entre tous les terminaux pour harmoniser les paramètres audio et vidéo de chacun. Il contrôle également les ressources utilisées. Mais le MC ne traite pas directement avec les flux audio, vidéo ou données, c'est le MP qui se charge de récupérer les flux et de leurs faire subir les traitements nécessaires. Un MC peut contrôler plusieurs MP distribués sur le réseau et faisant partie d'autres MCU.

Les communications H.323

Les communications en H.323 sont un mélange de flux audio, vidéo, données et contrôle de paquets. Les fonctionnalités audio et la signalisation Q.931, RAS et H.245 sont essentiels, alors que la vidéo et le partage de données sont optionnels car à la base H.323 était bien une généralisation de la téléphonie classique au monde IP. Lorsque un élément de l'architecture a le choix entre les algorithmes (codecs audio et vidéo) à utiliser pour encoder ou décoder les flux multimédia, il opte pour celui négocié durant l'échange H.245 qui précède toute communication. Cependant H.323 permet de faire des communications asymétriques en transcodant les flux hétérogènes.

Les flux de Contrôle

Les fonctions de contrôle d'appels sont le cœur de n'importe quel élément H.323 Il y a trois canaux de contrôle regroupés au sein d'une seule couche de contrôle : Le canal de contrôle H.245, le canal de signalisation Q.931, le canal RAS. Ces flux, une fois transformés en messages assurent l'établissement de l'appel, l'échange des paramètres de la communication, l'indication du contenu et des descriptions des canaux logiques audio et vidéo. Le canal de contrôle H.245 assure plus particulièrement l'ouverture et la fermeture de ces canaux logiques, la négociation des paramètres et le contrôle de flux. Il n'y a qu'un seul canal de contrôle entre deux terminaux H.323. Le canal Q.931 établit les connexions entre ces terminaux alors que RAS qui n'est utilisé qu'en présence du Gatekeeper assure le contrôle d'admission, l'enregistrement de l'utilisateur, les changements de débits et des états entre les terminaux et le Gatekeeper dont ils dépendent.


Exemple d'un échange protocolaire H.323

La première phase se sert du protocole H.225/RAS. Le terminal qui lance l'établissement d'appel (setup) requiert, au préalable, l'autorisation de la part du Gatekeeper. Ensuite, par l'intermédiaire du protocole Q.931, il ouvre la connexion vers le partenaire. Le partenaire doit également demander son admission au Gatekeeper, avant de confirmer l'établissement de connexion. Lorsque les deux terminaux ont achevé la phase de connexion, une phase d'échange de paramètres, basée sur H.245, se déroule. Aussitôt que le canal logique est disponible, la communication audio et vidéo peut débuter. Elle utilise les protocoles RTP (Real Time Protocol) et RTCP (Real Time Control Protocol).

Le flux audio

Le signal audio résulte de la numérisation et de la compression de la voix. Le codec principal normalisé par l'ITU est le G.711 basé sur l'algorithme de compression PCM, classiquement utilisé dans la téléphonie. Les autres codecs sont optionnels.

Rappelons les algorithmes de compression audio utilisés :

PCM (Pulse Code Modulation) -Le plus simple. Pas de calcul spécifique

-Débit de 64kbps

DPCM (Differential Pulse Code Modulation)

-Prédiction, encodage de l'échantillon et de sa prédiction

-Réduction du nombre de bits nécessaires

-Suppose que l'amplitude du signal varie lentement

ADPCM (Adaptive Differential Pulse Code Modulation)

-Corrige le défaut du DPCM

-Adaptif aux différences importantes d'amplitude du signal

-Débits de 16 à 40kbps

-Mode 32kbps très proche en qualité du PCM

CELP (Code Excited Linear Prediction)

-Analyse de la voix

-Faibles débits de 4,8 à 16kbps

-Gourmand en ressources

-Délai important (50 à 100ms)

LD-CELP (Low Delay CELP)

-Proche du CELP

-Délai de 2ms

CS-ACELP (Conjuge Structure – Algebraic CELP)

-8kbps

-Bonne résistance à la perte de paquets


Les différents codecs de compression audio reflètent les compromis que l'on peut faire entre la qualité de la voix, le débit, le délai introduit et les ressources CPU nécessaires pour traiter la voix en temps réel lors de la communication.

G711

-PCM, pas de compression

-Utilisé en téléphonie, standard

-56kbps, 64 kbps

-50 à 3400Hz

G722

-ADPCM

-Très bonne qualité

-32, 48 et 56kbps

-50 à 7000Hz

G723

-ADPCM

-16, 24 et 40kbps

-Qualité inférieure au G722

G728

-LD-CELP

-16kbps

-300 à 3400Hz

G729

-CS-ACELP

-8kbps

-Qualité proche du G722

G.711 permet de transmettre la voix à un débit de 56 kbps ou 64 kbps. G.723 est très populaire car il opère à très bas débit et est supporté dans la téléphonie RTC ce qui permet de s'affranchir du transcoding dans les Gateways H.323-H.324. G.723 est compatible avec les systèmes audio full-duplex et half-duplex car il permet de mieux optimiser la bande passante grâce à la détection de silences. Pour les terminaux H.323 les plus performants c'est le codec G.728 qui est utilisé. Il est nécessairement implanté en hardware car il utilise beaucoup de ressources pour le calcul et l'encodage du flux.

Le flux vidéo

Le codec vidéo principal utilisé en H.323 est le H.261. Son implémentation flexible lui permet de s'adapter à la bande passante disponible et de fonctionner à n'importe quel débit. Par exemple, pour une bande passante de 128 kbps, le codec G.728 utilisera 16kbps et le codec H.261 en utilisera 100kbps, selon le débit des données et la taille des entêtes. H.263 utilise l'estimation du mouvement dans l'image, la prédiction des trames et une table de Code d'Huffman optimisée pour les bas débits.

H261

-Standard

-Débit adaptif

-30, 15 et 7,5 fps

-CIF et QCIF

H263

-Meilleure qualité d'image

-SQCIF, QCIF, CIF, 4CIF et 16CIF

-H263+ et H263++

H264

-Codage différent (MPEG)

-Bande passante réduite / qualité équivalente

-Gourmand en ressources


H.263 définit cinq formats d'images standard

Format de l'image en visioconférence Taille de l'image en Pixels H.261 H.263
Sub-QCIF 128 x 96 Optionnel Obligatoire
QCIF 176 x 144 Obligatoire Obligatoire
CIF 352 x 288 Optionnel Optionnel
4CIF 702 x 576 - Optionnel
16CIF 1408 x 1152 - Optionnel


Un terminal en H.261 peut communiquer avec un terminal en H.263 si les deux utilisent le format QCIF. H.261 est à utiliser pour les communications à hauts débits, alors que H.263 est plus recommandé pour les bas débits.

Le flux de données

Le partage de données (tableau blanc, transfert de fichiers) est optionnel. L'ITU a normalisé les spécifications T.120 pour l'intégrer à la norme H.323. Il concerne les échanges point à point et multipoint et est parfaitement interopérable à partir de la couche réseau.

Aspects QoS en visioconférence

Les Contraintes liées à la QoS en visioconférence

Les réseaux actuels sont amenés de plus en plus à supporter un trafic mixte audio, vidéo et données sur une infrastructure partagée. La Qualité de Service QoS est tout ce qui assure différents niveaux de traitements, selon les besoins des applications concernés.

Le trafic de visioconférence (audio et vidéo) est un trafic dont le comportement est prédictible, il ne présente pas de variations importantes de bande passante, et il ne dépasse jamais le maximum fixé par le terminal H.323. Ce maximum est calculé en rajoutant 20% au débit d'appel, à cause de l'entête. Par exemple un appel à 384 kbps nécessite une bande passante de 384 x 1.2 soit 461 kbps Le trafic des autres applications (www, ftp…) partageant les mêmes ressources est très variable. La QoS permet donc de garantir le trafic de visioconférence.

Une visioconférence interactive ne peut pas tolérer de longs délais car il n' y a pas assez de temps pour retransmettre les paquets perdus. Les paquets perdus ou très en retard sont simplement ignorés ce qui provoque une détérioration de l'image et du son. Les paramètres importants qu'il faut contrôler sont donc :

• Un Délai de transit < 200ms

• Une Perte de paquet < 1%

• Une Gigue < 30ms

Les précautions à prendre pour éviter une détérioration importante de la qualité passent par une bonne métrologie du réseau et une politique efficace de QoS.

Les mécanismes de QoS en visioconférence

DiffServ (Differentiated Services)

Permet de marquer le trafic selon sa classe de priorité en utilisant le champ ToS (Type of Service) de 6 bit dans l'entête du paquet IP. Les valeurs de ce champ définissent un code pour classer les priorités appelé DSCP (Differentiated Services Code Point) autorisant 64 niveaux différents. Deux Classes de DSCP existent EF (Expedited Forwarding) et AF (Assured Forwarding) : EF définie un service premium alors que AF est constitué de quatre classes indépendantes, chacune comportant trois niveaux de priorités de rejet des paquets.

IP Precedence

IP Precedence est la technique de QoS la plus utilisée à cause de sa simplicité et de son interopérabilité avec les éléments du réseau. Elle utilise les 3 bits de poids fort du DSCP ce qui assure la compatibilité avec la technique précédente, mais n'offre,par conséquent, que 8 niveaux de classifications. Les valeurs 6 et 7 sont réservées pour le contrôle du réseau et les protocoles de routage. Il reste 6 niveaux de priorités. L'implémentation utilise généralement une priorité 5 pour la voix sur IP, 4 pour la vidéo et la visioconférence en général, 0 pour le trafic Best effort.

Traffic DSCP PHB DSCP Decimal IP Precedence and MPLS EV
Voice EF 46 5
Video AF41 34 4
Voice Control AF31 26 3
Data – High Priority1 AF21 18 2
Data – High Prioirty2 AF22 20 2
Data – High Priority3 AF23 22 2
Data – Medium Priority 1 AF11 10 1
Data – Medium Priority 2 AF12 12 1
Data – Medium Priority 3 AF13 14 1
Data – Best Effort BE 0 0


Les schéma de marquage QoS ( Source: Cisco Systems )

COS (Class of Service)

Cette technique permet de faire de la QoS, mais au niveau des trames Ethernet (niveau 2) contrairement au deux techniques précédente qui marquent le paquet IP (niveau 3). On marque les 3 bits du champ 802.1Qp présents dans la trame 802.1Q ou VLAN (Virtual LAN). Il est également possible de mapper les valeurs du CoS vers DSCP et IP Precedence et vice-versa ce qui est très utile dans le cas d'utilisation de terminaux qui marquent au niveau de la trame. Cependant, cela reste possible si tous les éléments du cœur du réseau sont de type switch/routeur pouvant faire le mapping des champs d'un niveau à l'autre.

Il existe une autre technique de QoS que nous ne détaillerons pas ici, il s'agit de IntServ qui se base sur RSVP pour faire de la réservation de ressources cependant cela n'est pas très recommandé dans un environnement H.323 car RSVP introduit des délais très importants .

Les files d'attentes (Queuing)

Dans les routeurs d'accès au réseau les paquets sont placés dans des files d'attente pour permettre au routeurs de pouvoir contrôler des éventuelles congestions. Il existe différents types de files d'attentes :

First in First Out Queuing (FIFO): Les premiers paquets arrivés sont les premiers traités.

Fair Queuing (FQ) : Cette technique partage la bande passante et sépare les flux en leur assignant un poids selon leurs tailles. Ce poids détermine la fréquence de service, ainsi les flux de petite taille sont transmis plus souvent.

Weighted Fair Queuing (WFQ) : Cette technique fait la même chose que FQ mais se base également sur les priorités IP Precedence en donnant un poids plus important au flux prioritaires selon ce marquage.

Low Latency Queuing (LLQ) : Cette technique place le flux de plus haute priorité dans une file spéciale servie en priorité. Les autres flux sont servis que si cette file est vide.

Class Based Weighted Fair Queuing (CBWFQ) : Cette technique classe le trafic en utilisant une combinaison de LLQ pour les flux haute priorité et WFQ pour le reste du trafic.

Le contrôle de congestion

Il y a plusieurs méthodes pour détecter les congestions (en plus de celles propres à TCP), nous nous intéresserons à deux d'entre elles:

Random Early Detection (RED) La longueur de la file est surveillée au niveau du routeur, les paquets sont rejetés dès qu'ils atteignent une certaine limite. TCP détecte le rejet des paquets et ralentit à son tour la transmission. Weighted RED (WRED) Fait la même chose que RED mais le rejet des paquets est fait selon la priorité marquée sur le paquet par une des techniques précédentes.

Aspects sécurité en visioconférence

La traversée des Firewalls

La problématique de la sécurité se pose à partir du moment ou on passe d'une technologie IP à une technologie ISDN. La visioconférence dans un environnement ISDN est sécurisée par nature : Intercepter une communication sur ISDN est très difficile, l'intrus doit d'abord accéder à un des commutateurs ISDN pendant l'acheminement de l'appel. Puis, il doit identifier les multiples canaux B concernés par la communication, sachant qu'une même communication peut utiliser entre 2 et 6 canaux pouvant emprunter des chemins différents donc des commutateurs différents. Une fois tous les canaux B identifiés, ils devraient être réunis par l'intrus pour reconstituer la communication interceptée.

A l'inverse, la visioconférence dans un environnement IP peut poser des problèmes de sécurité si certains points essentiels ne sont pas pris en compte.

Le matériel servant à faire de la visioconférence doit fonctionner correctement sans compromettre les autres dispositifs sur le réseau IP déjà existant.

Il est nécessaire également d'adapter la politique de sécurité appliquée dans le réseau LAN de l'entreprise afin de prendre en compte les nouveaux types de flux qu'apporte la visioconférence IP. Cela passe généralement par le Firewall.

Les Firewalls sont la base d'un réseau d'entreprise sécurisé, il est donc nécessaire de les prendre en compte lors du déploiement d'une solution de visioconférence IP avec tout ce qu'elle génère comme nouveaux flux et ce qu'elle rajoute comme éléments au réseau.

H.323 utilise des ports statiques et des ports dynamiques. Ces derniers sont des ports UDP ou TCP choisis aléatoirement entre 1024 et 65535 lors de l'appel :

Port TCP : 1503 T.120
Port TCP : 1720 Q.931
Port TCP : 1731 Audio call control
Port TCP : [1024-65535] H.245
Port UDP : [1024-65535] RTP/RTCP (audio/vidéo)
Port TCP : 1718, 1719 Gatekeeper RAS

Lors de communications en dehors de l'Intranet et nécessitant le franchissement de Firewalls, ces ports doivent être ouverts à l'ensemble du trafic, car on ne peut pas prédire tous les ports ouverts dynamiquement. Le Firewall devient, par conséquent, inefficace, car il ne filtre rien sur une large plage de ports et un éventuel intrus pourrait exploiter cette faille pour s'introduire dans l'Intranet de l'entreprise.

Pour éviter cette situation, le Firewall doit pouvoir :

• Détecter la valeur des ports dynamiques utilisés au moment de l'établissement de l'appel H323. • Autoriser le trafic uniquement sur les canaux choisis et seulement pendant la durée de l'appel.

Certains Firewall supportent le contrôle d'accès dynamique en examinant les messages du canal de contrôle H323.

S'il n'y a pas de contrôle d'accès dynamique ou si la sécurité doit être renforcée, la solution consiste à utiliser un proxy dans le Firewall. Seul, le Proxy et le Gatekeeper pourront alors interagir avec l'extérieur. Les terminaux H323 à l'intérieur du réseau deviennent « invisibles ». Si le Firewall ne peut pas translater les adresses avec NAT (Network Address Translation), il faut également utiliser un Proxy.


Il est à noter que certains terminaux permettent de fixer les valeurs des ports UDP et TCP pour pouvoir traverser les Firewall en limitant les problèmes de sécurité.

Le cryptage

Il existe plusieurs algorithmes de cryptage qui commencent d'être de plus en plus implémentés dans les systèmes de visioconférence.

DES (Data Encryption Standard) utilise le cryptage symétrique par bloque, avec des clés de 56 bits. AES (Advanced Encryption Standard) est également du cryptage par bloque, mais il est beaucoup plus robuste que DES : la même méthode permettant de craquer une clé DES à 56 bits en 1 seconde, mettrais 149 trillion d'années pour craquer une clé AES à 128 bits.

Ces deux méthodes de cryptage peuvent être utilisé dans des environnements H.320 (ISDN) et H.323 (IP).