> Qu'est-ce que STUN, dans quel cadre est-il utilisé ?
L'acronyme STUN signifie Simple Traversal of UDP Trough NAT
(Network Adress Translators). Ce protocole permet d'établir
des communications par le biais de la couche transport UDP
à partir d'un poste sur réseau privé vers un réseau public,
une étape essentielle lors de la mise en place d'une infrastructure
de téléphonie sur IP.
L'intérêt de STUN est de reconnaître les dispositifs
de sécurité placés entre le routeur NAT (les routeurs NAT agissent
comme des pare-feu, faisant le lien entre les adresses privés
et les adresses publiques lors de communication IP) et le réseau
public afin d'établir les communications malgré le filtrage.
> Comment fonctionne-t-il ?
STUN identifie les différents dispositifs de sécurité NAT
en émettant un message de l'infrastructure cliente vers le
serveur STUN situé en aval du routeur NAT. Ce message explore
ainsi quels sont les ports et les adresses IP utilisés par
les dispositifs de sécurité NAT pour router le message. Ce
sont ces données qui seront utilisées par la suite lors d'appels
entrants ou sortants pour établir la communication.
> Quels
sont les cas non pris en compte par STUN ?
Les pare-feu additionnels au système NAT ne peuvent être traités
par le protocole STUN car les paquets sont systématiquement
filtrés par le pare-feu. Les messages de découverte lancés
par STUN peuvent être interprétés comme une tentative d'attaque.
L'autre cas non pris en compte par ce protocole est celui
des routeurs NAT symétriques. Un routeur NAT symétrique établit
un chemin en fonction de l'adresse IP de l'émetteur et de
son port d'accès mais aussi en fonction de ses mêmes informations
chez le destinataire. Le chemin ainsi créé échappe au serveur
STUN puisqu'il peut changer en fonction du destinataire appelé.
> Quels sont les avantages et les inconvénients de STUN
?
L'atout principal de STUN demeure son coût car il ne nécessite
qu'un serveur à ajouter à l'infrastructure en place mais sans engendrer de modification
de l'existant. Deuxième intérêt, STUN est une technique standardisée,
ce qui garantit à l'utilisateur une compatibilité entre matériels.
Cependant, mettre STUN en place requiert parfois une adaptation
des programmes existants dans l'entreprise pour des raisons
d'autorisation de sécurité. Autre inconvénient,
cette technique ne peut être exploitée sur des réseaux où
les passerelles se situent au niveau de la couche application,
étant donné que cette dernière modifie les adresses des paquets
SIP. Dernier désavantage, STUN nécessite un routeur NAT capable
de communiquer les ports qu'il utilise. Cela signifie qu'en
cas d'attaque, un pirate risque d'accéder à ses informations.
> Quelle évolution pour ce protocole ?
L'IETF, l'organisme de normalisation d'Internet, travaille
sur un procédé additionnel baptisé TURN qui autorisera les
communications à travers des routeurs NAT symétriques pour
garantir une meilleure sécurité des communications en voix
sur IP.
Le TURN, à l'instar de STUN, s'initialise par l'envoi
de messages des clients vers un serveur TURN isolé de l'infrastructure
réseau. Une fois ce paquet reçu, le serveur TURN détermine
avec le routeur NAT quels sont les adresses IP et les ports
valides lors de l'initiation de la prochaine session SIP de
communication.
|