Les ports réseau de la VOIP
En VOIP, plusieurs protocoles cohabitent : SIP pour la signalisation, RTP pour le transport audio, TLS et SRTP pour la sécurisation. Chacun utilise des ports réseau spécifiques qui doivent être identifiés, filtrés intelligemment et sécurisés au niveau du firewall et du NAT. Maîtriser cette cartographie est essentiel pour déployer et dépanner une VOIP.
Introduction Rappel : qu'est-ce qu'un port réseau ?
Un port réseau est un numéro entre 0 et 65535 qui permet à un équipement d'identifier un service et de diriger les données vers la bonne application. L'adresse IP désigne la machine, le port désigne le service sur cette machine.
| Service | Port | Protocole transport |
|---|---|---|
| HTTP | 80 | TCP |
| HTTPS | 443 | TCP |
| SIP | 5060 | UDP / TCP |
| SIP TLS | 5061 | TCP |
| RTP | 10000-20000 | UDP (dynamique) |
Vue d'ensemble Deux catégories de ports en VOIP
📨 Signalisation
SIP (Session Initiation Protocol) — gère l'établissement, le suivi et la fin des appels.
- Port 5060 (UDP/TCP, en clair)
- Port 5061 (TCP/TLS, chiffré)
- Toujours sur des ports fixes
🔊 Transport audio
RTP (Real-time Transport Protocol) — transporte la voix en temps réel.
- Plage typique 10000-20000 UDP
- Ports dynamiques par appel
- Négociés dans la signalisation SIP (SDP)
Détail Les ports VOIP en détail
SIP standard
Port universel de la signalisation SIP. Transporte les messages REGISTER, INVITE, BYE, ACK… Communication en clair, à proscrire au-delà du LAN sans VPN.
SIP sécurisé (TLS)
SIP encapsulé dans TLS. Les échanges sont chiffrés et authentifiés par certificats. À utiliser dès qu'on traverse Internet ou des zones non maîtrisées.
-20000
RTP — plage dynamique
Plage UDP typique pour les flux audio. Chaque appel consomme deux ports (un par sens). Les bornes varient selon l'éditeur : Asterisk/FreePBX 10000-20000, 3CX variable, Cisco souvent 16384-32767.
SCCP — bonus Cisco
Port SCCP/Skinny utilisé par les téléphones Cisco classiques (à la place de SIP). C'est ce port que vous observerez dans vos TP Packet Tracer. Rôle équivalent à SIP 5060.
Plages RTP Selon la solution VOIP
| Solution | Plage RTP typique | Configurable |
|---|---|---|
| Asterisk | 10000 – 20000 UDP | Oui (rtp.conf) |
| FreePBX | 10000 – 20000 UDP | Oui |
| 3CX | 9000 – 10999 UDP (variable) | Oui |
| Cisco CME / CUCM | 16384 – 32767 UDP | Limité |
Schéma Le flux VOIP complet
1️⃣ Signalisation
Le téléphone contacte le serveur SIP sur le port 5060 (clair) ou 5061 (TLS).
2️⃣ Négociation RTP
SIP échange dans son SDP : adresses IP, ports RTP que chaque téléphone va utiliser, codecs proposés.
3️⃣ Flux RTP
L'audio passe en direct entre les téléphones via RTP UDP sur les ports dynamiques négociés.
Interactif Simulateur de firewall
Cochez les ports que vous autorisez dans votre firewall et observez le comportement de la VOIP.
Règles du firewall
Diagnostic Problèmes fréquents liés aux ports
Cliquez sur un symptôme pour voir la cause probable et la résolution.
🚨 Symptômes
📵 Téléphone non enregistré
telnet IPBX 5060 ou nc -uvz IPBX 5060.Vigilance SIP, RTP & le piège du NAT
🚧 Pourquoi le NAT pose problème en VOIP
Lorsque les paquets traversent un routeur effectuant du NAT, les adresses IP sources sont modifiées. Or, SIP écrit les adresses IP et les ports RTP dans le corps du message (SDP). Le routeur change l'IP au niveau réseau mais pas dans le SDP → le destinataire renvoie l'audio à la mauvaise adresse.
⚠️ Symptômes typiques
- Audio unidirectionnel (one-way audio)
- Coupures aléatoires
- Appels instables, qualité variable
- REGISTER OK mais pas d'audio
✅ Solutions
- SIP ALG (Application Layer Gateway) sur le routeur
- SBC (Session Border Controller)
- STUN / TURN / ICE
- Tunnel VPN ou IPsec entre sites
Sécurité Sécurisation des ports VOIP
🚨 Risques
Les ports SIP exposés sur Internet sont des cibles privilégiées. Les attaques classiques :
- Brute force SIP — tentatives massives de devinettes de mots de passe d'extension.
- Scan réseau — repérage automatique d'IPBX vulnérables.
- Fraude téléphonique — passage d'appels surtaxés via votre IPBX compromis.
Bonnes pratiques Checklist sécurité
Activité pratique TSSR TP Packet Tracer — Analyser et filtrer les ports VOIP
🎯 Objectif
Sur la maquette VOIP des chapitres précédents, identifier les ports utilisés par la téléphonie en mode Simulation, puis appliquer une ACL Cisco sur le routeur pour observer concrètement l'impact du blocage d'un port sur la VOIP — comme le ferait un firewall mal configuré.
Identifier les ports utilisés en condition normale
Reprenez la maquette du Chapitre 1. Activez le mode Simulation, filtrez SCCP et RTP, puis passez un appel complet 101 → 102. Pour chaque paquet, ouvrez le PDU Inspector et notez :
# Tableau à remplir +------------------+------------+--------------+--------------+ | Type de paquet | Protocole | Port source | Port destin. | +------------------+------------+--------------+--------------+ | Enregistrement | SCCP (TCP) | _____ | 2000 | | Signalisation | SCCP (TCP) | _____ | 2000 | | Audio RTP | RTP (UDP) | _____ | _____ | | Audio RTP | RTP (UDP) | _____ | _____ | +------------------+------------+--------------+--------------+
Créer une ACL bloquant la signalisation
Sur la CLI du routeur, créez une ACL étendue qui bloque le port 2000 entrant sur Fa0/0 (équivalent à un firewall qui aurait fermé SIP 5060) :
configure terminal access-list 110 deny tcp any any eq 2000 access-list 110 permit ip any any interface FastEthernet0/0 ip access-group 110 in exit
Attendez 30 secondes (timeout d'enregistrement SCCP). Que se passe-t-il sur les téléphones ? Leur écran perd-il le numéro d'extension ? Pouvez-vous encore appeler ?
Restaurer puis bloquer la plage RTP
Supprimez l'ACL précédente puis appliquez-en une nouvelle qui bloque la plage RTP dynamique tout en laissant passer la signalisation :
no access-list 110 access-list 110 deny udp any any range 16384 32767 access-list 110 permit ip any any interface FastEthernet0/0 ip access-group 110 in
Refaites un appel 101 → 102. Vous devez constater :
- Les téléphones restent enregistrés (signalisation OK)
- L'appel s'établit (sonnerie, décroché)
- Mais aucun audio ne passe — c'est le fameux « no audio » du cours !
Vérifier l'ACL et restaurer le service
Constatez les paquets bloqués avec :
show access-lists 110 ! Vous verrez les compteurs (match) augmenter sur la ligne deny
Puis supprimez l'ACL pour restaurer le service :
configure terminal interface FastEthernet0/0 no ip access-group 110 in exit no access-list 110
Compte-rendu
- Le
.pktde la maquette finale (ACL retirée, VOIP fonctionnelle). - Le tableau des ports de l'étape 1 complété avec vos relevés.
- Captures d'écran montrant les téléphones après blocage du port 2000 (déconnexion).
- Capture d'écran d'un appel établi mais sans audio après blocage RTP.
- La sortie de
show access-lists 110avec les compteurs de matches. - Une analyse pédagogique de 5 lignes max : pourquoi un firewall qui laisse passer SIP mais bloque RTP est une erreur typique en entreprise ?
Évaluation Quiz Ports réseau VOIP
10 questions pour valider la maîtrise des ports et de leur filtrage.

