Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

H323 est-il mort (part 2/3) ?

H323 est-il mort (part 2/3) ?
2012-03-142014-07-01sécurité des communications unifiéesfr
Depuis que le protocole de signalisation SIP est devenu le standard en termes de signalisation pour les communications unifiées (téléphonie, visioconférences, ...), le protocole H323 est décrit par beaucoup comme un dinosaure, soit un protocole obsolète et désormais en voie de...
Publié le 14 Mars 2012 par Cedric Baillet dans sécurité des communications unifiées
H323 est-il mort (part 2/3) ?

Attention, ceci est la deuxième partie d'une minisérie dont la première partie a été postée sur le blog le lundi 12 Mars.

résultats du scan

informations génériques

H323

J’ai finalement décidé d’arrêter l’opération de scan à 18 millions d’adresses. A ce stade, je ne constate plus de rupture dans les profils comme cela put être le cas au démarrage de l’expérimentation. Une éventuelle inversion des tendances demanderait de scanner 20 ou 30 millions d’adresses supplémentaires, ce qui représente à la fois de nombreux jours consacrés à cette activité pour une machine et un nombre d’heures significatif pour compiler les résultats et préparer les scans.

A ce stade, il est déjà intéressant de constater des différences significatives avec les résultats présentés par HD Moore. En effet, le nombre de périphériques H323 trouvés par ce dernier pour 3% de l’espace publique d’Internet, correspond à plus de 50% de ma projection pour l’adressage IP V4 public complet. Il eut été intéressant de connaître la méthodologie et les subnets pour comprendre d’où peut provenir une différence aussi significative. En effet, ce résultat pourrait se retrouver uniquement en considérant les zones les plus riches en termes de périphériques H323 au détriment d’une recherche homogène sur l’ensemble des groupes disponibles.

répartition de la recherche par zone géographique

poids de chaque zone dans la recherche

poids de chaque zone dans la recherche

La variable « poids » représente la totalité des subnets scannés, quelque soit le résultat en terme de présence de périphériques H323.

répartition des périphériques H323 trouvés par zone

répartition des périphériques H323 trouvés par zone

synthèse

Remarque : un écart de 4% et plus sera considéré comme significatif dans l’analyse ci-dessous.

En partant du postulat suivant « le % de périphériques H323 pour une zone géographique donnée devrait être proche de la représentation globale de la dite zone », il est possible de constater quelques variantes :

  • Zone géographique riche en périphériques H323
    • ASIE : écart de 24% à la hausse entre le poids de la zone géographique et celui du nombre de périphériques H323 trouvés.
  • Zone géographique à iso-pondération
    • AAAME : écart quasi nul entre le poids de la zone géographique et celui du nombre de périphériques H323 trouvés.
  • Zone géographique pauvre en périphériques H323
    • Europe : écart de 9% à la baisse entre le poids de la zone géographique et celui du nombre de périphériques H323 trouvés.
    • USA : écart de 14% à la baisse entre le poids de la zone géographique et celui du nombre de périphériques H323 trouvés.

répartition de la recherche par "tranche" de subnets

poids de chaque tranche dans la recherche

poids de chaque tranche dans la recherche

répartition des périphériques H323 trouvés par tranche

répartition des périphériques H323 trouvés par tranche

synthèse

Sur les six tranches déterminées pour classifier les classes B scannées, certaines différences sont apparues avec l’augmentation des volumes analysés.

Remarque : un écart de 4% et plus sera considéré comme significatif dans l’analyse ci-dessous.

En partant du postulat suivant « le % de périphériques H323 pour une tranche donnée devrait être proche de la représentation globale de la dite tranche », il est possible de constater quelques variantes :

  • Tranches plus riches en périphériques H323 :
    • 40.0.0.0-59.0.0.0 (écart de 4% à la hausse)
  • Tranches à iso pondération
    • 60.0.0.0-79.0.0.0 (écart de 2% à la hausse)
    • 120.0.0.0-139.0.0.0 (écart de 2% à la hausse)
  • Tranches moins riches en périphériques H323
    • 80.0.0.0-99.0.0.0 (écart de 7% à la baisse)
    • 140.0.0.0-159.0.0.0 (écart de 9% à la baisse)

répartition des différents types de périphériques H323 par zone

préambule 

Les périphériques propres au monde de la visioconférence sont globalement facilement identifiables car faisant explicitement référence à un constructeur et à un modèle la plupart du temps (ex : polycom HDX 8000).

La catégorie « PBX et gw » est plus délicate en terme de segmentation précise. Elle recouvre les périphériques identifiés lors du scan par les termes « asterix », « PBX », « VoIP », « gateway VoIP », bref tout terme permettant de qualifier un usage explicite tourné vers la voix.

La dernière catégorie, « unknown », regroupe les équipements n’ayant pas pu être identifiés en termes de constructeur ou d’usage, ou ayant tout simplement une représentation très faible qui ne permet pas de les suivre dans la classification. 

répartition des différents types sur le périmètre global

répartition des différents types sur le périmètre global

répartition des différents types sur l'Europe

répartition des différents types sur l'Europe

répartition des différents types sur les USA

répartition des différents types sur les USA

répartition des différents types sur l'ASIE

répartition des différents types sur l'ASIE

répartition des différents types sur AAME

répartition des différents types sur AAME

synthèse

Remarque : un écart de 4% et plus sera considéré comme significatif dans l’analyse ci-dessous.

  • Zone à iso pondération entre la voip et la visio
    • Europe avec 39% pour la visio et 40% pour la voip
    • AAAME avec 39% pour la visio et 42% pour la voip
  • Zone plus riche en périphériques visio
    • USA avec 80% de périphériques visio pour seulement 4% de voip
  • Zone plus riche en périphériques voip
    • ASIE avec 56% de voip pour seulement 10 de visio

Pour les zones marquées par une forte dysimétrie entre la voix et la visio, même la prise en compte des solutions non identifiées dans l’un des domaines ne permettra pas de rétablir un équilibre. Le phénomène semble donc être vraiment marqué.

répartition en fonction des éditeurs

répartition en fonction des éditeurs: vision globale 

répartition en fonction des éditeurs: vision globale

répartition en fonction des éditeurs: zone Europe

répartition en fonction des éditeurs: zone Europe

répartition en fonction des éditeurs: zone USA

répartition en fonction des éditeurs: zone USA

répartition en fonction des éditeurs: zone ASIE

répartition en fonction des éditeurs: vision globale

répartition en fonction des éditeurs: vision globale

synthèse

Pour rappel, le terme « PBX et gw » recouvre les périphériques identifiés lors du scan par les termes « asterix », « PBX », « VoIP », « gateway VoIP », bref tout terme permettant de qualifier un usage explicite tourné vers la voix.

synthèse

Remarque : si Polycom semble indéniablement le leader sur la visio conférence, il est intéressant de voir que les acteurs restent encore variés en fonction du territoire. On voit ainsi apparaître Sorenson, Lifesize et Sony.  

Plus surprenant, les scans sur la zone US ont montré l’apparition de clients visio H323 sur smartphone Android. L’application identifiée est la suivante : Android MVRS (Sorenson). Ce développement inattendu semble montrer que le protocole H323 est encore loin d’avoir disparu dans les usages et que de nouveaux développements se basent encore sur lui. Il reste donc encore à prendre pleinement en compte dans certains environnements. 

FIN DE LA DEUXIEME PARTIE.

Cedric

credit photo : © Secret Side - Fotolia.com

1 Commentaire

  • 15 Mars 2012
    2012-03-15
    par
    Pascal
    Comment, comment ???
    Les terminaux ne font pas tous du SIP ??
    Voila une nouvelle qui va faire de la peine à toute un génération de responsables marketing !!!

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage