JcMamiah
Formations · Systèmes & Réseaux

Chapitre 7 — Ports réseau

SIP, RTP, firewall & sécurité

Photo du formateur
Formateur
Jean Christophe Mamiah
🔌Chapitre 7 · Réseau & sécurité

Les ports réseau de la VOIP

En VOIP, plusieurs protocoles cohabitent : SIP pour la signalisation, RTP pour le transport audio, TLS et SRTP pour la sécurisation. Chacun utilise des ports réseau spécifiques qui doivent être identifiés, filtrés intelligemment et sécurisés au niveau du firewall et du NAT. Maîtriser cette cartographie est essentiel pour déployer et dépanner une VOIP.

🔢 5060 · SIP 🔒 5061 · SIP TLS 🎵 RTP dynamique 🛡️ Firewall & NAT

Introduction Rappel : qu'est-ce qu'un port réseau ?

Un port réseau est un numéro entre 0 et 65535 qui permet à un équipement d'identifier un service et de diriger les données vers la bonne application. L'adresse IP désigne la machine, le port désigne le service sur cette machine.

ServicePortProtocole transport
HTTP80TCP
HTTPS443TCP
SIP5060UDP / TCP
SIP TLS5061TCP
RTP10000-20000UDP (dynamique)

Vue d'ensemble Deux catégories de ports en VOIP

📨 Signalisation

SIP (Session Initiation Protocol) — gère l'établissement, le suivi et la fin des appels.

  • Port 5060 (UDP/TCP, en clair)
  • Port 5061 (TCP/TLS, chiffré)
  • Toujours sur des ports fixes

🔊 Transport audio

RTP (Real-time Transport Protocol) — transporte la voix en temps réel.

  • Plage typique 10000-20000 UDP
  • Ports dynamiques par appel
  • Négociés dans la signalisation SIP (SDP)

Détail Les ports VOIP en détail

5060

SIP standard

Port universel de la signalisation SIP. Transporte les messages REGISTER, INVITE, BYE, ACK… Communication en clair, à proscrire au-delà du LAN sans VPN.

UDP / TCP En clair LAN / interne
5061

SIP sécurisé (TLS)

SIP encapsulé dans TLS. Les échanges sont chiffrés et authentifiés par certificats. À utiliser dès qu'on traverse Internet ou des zones non maîtrisées.

TCP/TLS Chiffré Internet / WAN
10000
-20000

RTP — plage dynamique

Plage UDP typique pour les flux audio. Chaque appel consomme deux ports (un par sens). Les bornes varient selon l'éditeur : Asterisk/FreePBX 10000-20000, 3CX variable, Cisco souvent 16384-32767.

UDP Dynamique Négocié SDP
2000

SCCP — bonus Cisco

Port SCCP/Skinny utilisé par les téléphones Cisco classiques (à la place de SIP). C'est ce port que vous observerez dans vos TP Packet Tracer. Rôle équivalent à SIP 5060.

TCP Cisco propriétaire

Plages RTP Selon la solution VOIP

SolutionPlage RTP typiqueConfigurable
Asterisk10000 – 20000 UDPOui (rtp.conf)
FreePBX10000 – 20000 UDPOui
3CX9000 – 10999 UDP (variable)Oui
Cisco CME / CUCM16384 – 32767 UDPLimité

Schéma Le flux VOIP complet

📞 Téléphone A Client SIP 🖥️ Serveur SIP IPBX 📞 Téléphone B Client SIP SIP 5060/5061 SIP 5060/5061 🔊 RTP UDP dynamique (audio direct) ① Signalisation (ports fixes) REGISTER · INVITE · 200 OK · BYE ② Négociation RTP (SDP) IP + ports + codecs ex: 12034/UDP ex: 18244/UDP

1️⃣ Signalisation

Le téléphone contacte le serveur SIP sur le port 5060 (clair) ou 5061 (TLS).

2️⃣ Négociation RTP

SIP échange dans son SDP : adresses IP, ports RTP que chaque téléphone va utiliser, codecs proposés.

3️⃣ Flux RTP

L'audio passe en direct entre les téléphones via RTP UDP sur les ports dynamiques négociés.

Interactif Simulateur de firewall

Cochez les ports que vous autorisez dans votre firewall et observez le comportement de la VOIP.

Règles du firewall

SIP (signalisation) 5060/UDP ✅ OUVERT
SIP TLS 5061/TCP ❌ FERMÉ
RTP (audio) 10000-20000/UDP ✅ OUVERT
Administration SSH 22/TCP ❌ FERMÉ
👆 Cliquez sur une règle pour basculer son état et voir l'impact sur le diagnostic à droite.
📞 Enregistrement SIPOK — les téléphones peuvent s'enregistrer.
🔒 Signalisation chiffréeIndisponible — pas de communication TLS sécurisée.
🔊 Audio bidirectionnelOK — les flux RTP passent dans les deux sens.
🎯 Bilan globalConfiguration minimaliste fonctionnelle (5060 + RTP).

Diagnostic Problèmes fréquents liés aux ports

Cliquez sur un symptôme pour voir la cause probable et la résolution.

🚨 Symptômes

📵 Téléphone non enregistré
🔇 Pas de son du tout
↕️ Son dans un seul sens
📞 Appels impossibles
🌐 Appels qui coupent en cours

📵 Téléphone non enregistré

Cause probable :Port SIP 5060 bloqué côté firewall, IPBX ou réseau intermédiaire.
Résolution :Vérifier l'ouverture du port 5060 UDP/TCP entre le téléphone et l'IPBX. Tester avec telnet IPBX 5060 ou nc -uvz IPBX 5060.

Vigilance SIP, RTP & le piège du NAT

🚧 Pourquoi le NAT pose problème en VOIP

Lorsque les paquets traversent un routeur effectuant du NAT, les adresses IP sources sont modifiées. Or, SIP écrit les adresses IP et les ports RTP dans le corps du message (SDP). Le routeur change l'IP au niveau réseau mais pas dans le SDP → le destinataire renvoie l'audio à la mauvaise adresse.

⚠️ Symptômes typiques

  • Audio unidirectionnel (one-way audio)
  • Coupures aléatoires
  • Appels instables, qualité variable
  • REGISTER OK mais pas d'audio

✅ Solutions

  • SIP ALG (Application Layer Gateway) sur le routeur
  • SBC (Session Border Controller)
  • STUN / TURN / ICE
  • Tunnel VPN ou IPsec entre sites
⚠️ Paradoxe SIP ALG : sur certains routeurs grand public, l'ALG est buggé. Le désactiver améliore souvent la VOIP. À tester systématiquement en cas de souci.

Sécurité Sécurisation des ports VOIP

🚨 Risques

Les ports SIP exposés sur Internet sont des cibles privilégiées. Les attaques classiques :

  • Brute force SIP — tentatives massives de devinettes de mots de passe d'extension.
  • Scan réseau — repérage automatique d'IPBX vulnérables.
  • Fraude téléphonique — passage d'appels surtaxés via votre IPBX compromis.

Bonnes pratiques Checklist sécurité

🔑
Mots de passe forts
Aucun mot de passe par défaut, minimum 12 caractères, aléatoires, par extension.
🎯
Limiter les IP autorisées
Filtrer SIP par ACL / whitelist : seules les IP du trunk opérateur et du LAN sont autorisées.
🔒
Utiliser TLS
Chiffrer la signalisation avec SIP-TLS (port 5061) dès que possible, surtout sur Internet.
🎵
Utiliser SRTP
Chiffrer aussi le flux audio avec SRTP, sinon une capture suffit à écouter les appels.
🛡️
Mettre un firewall
Filtrer strictement les ports VOIP en entrée/sortie, fermer tout le reste.
Installer fail2ban
Bannir automatiquement les IP qui multiplient les tentatives d'authentification SIP.

Activité pratique TSSR TP Packet Tracer — Analyser et filtrer les ports VOIP

🎯 Objectif

Sur la maquette VOIP des chapitres précédents, identifier les ports utilisés par la téléphonie en mode Simulation, puis appliquer une ACL Cisco sur le routeur pour observer concrètement l'impact du blocage d'un port sur la VOIP — comme le ferait un firewall mal configuré.

🖥️ Packet Tracer 8.x 📡 Routeur 2811 (CME) 📞 IP Phone 7960 (×2) 🛡️ ACL étendue
ℹ️ Rappel : Packet Tracer utilise SCCP port 2000 à la place de SIP 5060. Le principe pédagogique est identique : un port de signalisation fixe + des ports RTP dynamiques. Vous appliquerez ce que vous avez appris sur SIP/RTP directement à SCCP/RTP.
1

Identifier les ports utilisés en condition normale

Reprenez la maquette du Chapitre 1. Activez le mode Simulation, filtrez SCCP et RTP, puis passez un appel complet 101 → 102. Pour chaque paquet, ouvrez le PDU Inspector et notez :

# Tableau à remplir
+------------------+------------+--------------+--------------+
| Type de paquet   | Protocole  | Port source  | Port destin. |
+------------------+------------+--------------+--------------+
| Enregistrement   | SCCP (TCP) | _____        | 2000         |
| Signalisation    | SCCP (TCP) | _____        | 2000         |
| Audio RTP        | RTP (UDP)  | _____        | _____        |
| Audio RTP        | RTP (UDP)  | _____        | _____        |
+------------------+------------+--------------+--------------+
💡 Ce que vous devez observer : port 2000 fixe pour SCCP, ports UDP dynamiques (typiquement plage 16384-32767) pour RTP. C'est exactement le même comportement que SIP 5060 + RTP dans un environnement non-Cisco.
2

Créer une ACL bloquant la signalisation

Sur la CLI du routeur, créez une ACL étendue qui bloque le port 2000 entrant sur Fa0/0 (équivalent à un firewall qui aurait fermé SIP 5060) :

configure terminal
access-list 110 deny tcp any any eq 2000
access-list 110 permit ip any any

interface FastEthernet0/0
 ip access-group 110 in
exit

Attendez 30 secondes (timeout d'enregistrement SCCP). Que se passe-t-il sur les téléphones ? Leur écran perd-il le numéro d'extension ? Pouvez-vous encore appeler ?

3

Restaurer puis bloquer la plage RTP

Supprimez l'ACL précédente puis appliquez-en une nouvelle qui bloque la plage RTP dynamique tout en laissant passer la signalisation :

no access-list 110

access-list 110 deny udp any any range 16384 32767
access-list 110 permit ip any any

interface FastEthernet0/0
 ip access-group 110 in

Refaites un appel 101 → 102. Vous devez constater :

  • Les téléphones restent enregistrés (signalisation OK)
  • L'appel s'établit (sonnerie, décroché)
  • Mais aucun audio ne passe — c'est le fameux « no audio » du cours !
🎯 Lien avec le cours : vous reproduisez en lab le scénario réel d'un firewall qui laisse passer SIP mais bloque RTP. C'est une des pannes VOIP les plus fréquentes en entreprise.
4

Vérifier l'ACL et restaurer le service

Constatez les paquets bloqués avec :

show access-lists 110
! Vous verrez les compteurs (match) augmenter sur la ligne deny

Puis supprimez l'ACL pour restaurer le service :

configure terminal
interface FastEthernet0/0
 no ip access-group 110 in
exit
no access-list 110
5

Compte-rendu

📦 Livrables à remettre au formateur :
  • Le .pkt de la maquette finale (ACL retirée, VOIP fonctionnelle).
  • Le tableau des ports de l'étape 1 complété avec vos relevés.
  • Captures d'écran montrant les téléphones après blocage du port 2000 (déconnexion).
  • Capture d'écran d'un appel établi mais sans audio après blocage RTP.
  • La sortie de show access-lists 110 avec les compteurs de matches.
  • Une analyse pédagogique de 5 lignes max : pourquoi un firewall qui laisse passer SIP mais bloque RTP est une erreur typique en entreprise ?

Évaluation Quiz Ports réseau VOIP

10 questions pour valider la maîtrise des ports et de leur filtrage.

Score : 0 / 10