H323 est-il mort (part 2/3) ?

Publié le 13 mars 2012 par Orangebusinessservices

Attention, ceci est la deuxième partie d'une minisérie dont la première partie a été postée sur le blog le lundi 12 Mars.

résultats du scan

informations génériques

J’ai finalement décidé d’arrêter l’opération de scan à 18 millions d’adresses. A ce stade, je ne constate plus de rupture dans les profils comme cela put être le cas au démarrage de l’expérimentation. Une éventuelle inversion des tendances demanderait de scanner 20 ou 30 millions d’adresses supplémentaires, ce qui représente à la fois de nombreux jours consacrés à cette activité pour une machine et un nombre d’heures significatif pour compiler les résultats et préparer les scans.

A ce stade, il est déjà intéressant de constater des différences significatives avec les résultats présentés par HD Moore. En effet, le nombre de périphériques H323 trouvés par ce dernier pour 3% de l’espace publique d’Internet, correspond à plus de 50% de ma projection pour l’adressage IP V4 public complet. Il eut été intéressant de connaître la méthodologie et les subnets pour comprendre d’où peut provenir une différence aussi significative. En effet, ce résultat pourrait se retrouver uniquement en considérant les zones les plus riches en termes de périphériques H323 au détriment d’une recherche homogène sur l’ensemble des groupes disponibles.

répartition de la recherche par zone géographique

poids de chaque zone dans la recherche


La variable « poids » représente la totalité des subnets scannés, quelque soit le résultat en terme de présence de périphériques H323.

répartition des périphériques H323 trouvés par zone.

 

synthèse

Remarque : un écart de 4% et plus sera considéré comme significatif dans l’analyse ci-dessous.

En partant du postulat suivant « le % de périphériques H323 pour une zone géographique donnée devrait être proche de la représentation globale de la dite zone », il est possible de constater quelques variantes :

  • Zone géographique riche en périphériques H323
    • ASIE : écart de 24% à la hausse entre le poids de la zone géographique et celui du nombre de périphériques H323 trouvés.
  • Zone géographique à iso-pondération
    • AAAME : écart quasi nul entre le poids de la zone géographique et celui du nombre de périphériques H323 trouvés.
  • Zone géographique pauvre en périphériques H323
    • Europe : écart de 9% à la baisse entre le poids de la zone géographique et celui du nombre de périphériques H323 trouvés.
    • USA : écart de 14% à la baisse entre le poids de la zone géographique et celui du nombre de périphériques H323 trouvés.

répartition de la recherche par "tranche" de subnets

poids de chaque tranche dans la recherche

répartition des périphériques H323 trouvés par tranche

synthèse

Sur les six tranches déterminées pour classifier les classes B scannées, certaines différences sont apparues avec l’augmentation des volumes analysés.

Remarque : un écart de 4% et plus sera considéré comme significatif dans l’analyse ci-dessous.

En partant du postulat suivant « le % de périphériques H323 pour une tranche donnée devrait être proche de la représentation globale de la dite tranche », il est possible de constater quelques variantes :

  • Tranches plus riches en périphériques H323 :
    • 40.0.0.0-59.0.0.0 (écart de 4% à la hausse)
  • Tranches à iso pondération
    • 60.0.0.0-79.0.0.0 (écart de 2% à la hausse)
    • 120.0.0.0-139.0.0.0 (écart de 2% à la hausse)
  • Tranches moins riches en périphériques H323
    • 80.0.0.0-99.0.0.0 (écart de 7% à la baisse)
    • 140.0.0.0-159.0.0.0 (écart de 9% à la baisse)

répartition des différents types de périphériques H323 par zone

préambule 

Les périphériques propres au monde de la visioconférence sont globalement facilement identifiables car faisant explicitement référence à un constructeur et à un modèle la plupart du temps (ex : polycom HDX 8000).

La catégorie « PBX et gw » est plus délicate en terme de segmentation précise. Elle recouvre les périphériques identifiés lors du scan par les termes « asterix », « PBX », « VoIP », « gateway VoIP », bref tout terme permettant de qualifier un usage explicite tourné vers la voix.

La dernière catégorie, « unknown », regroupe les équipements n’ayant pas pu être identifiés en termes de constructeur ou d’usage, ou ayant tout simplement une représentation très faible qui ne permet pas de les suivre dans la classification. 

répartition des différents types sur le périmètre global 

répartition des différents types sur l'Europerépartition des différents types sur les USArépartition des différents types sur l'ASIErépartition des différents types sur AAMEsynthèse

Remarque : un écart de 4% et plus sera considéré comme significatif dans l’analyse ci-dessous.

  • Zone à iso pondération entre la voip et la visio
    • Europe avec 39% pour la visio et 40% pour la voip
    • AAAME avec 39% pour la visio et 42% pour la voip
  • Zone plus riche en périphériques visio
    • USA avec 80% de périphériques visio pour seulement 4% de voip
  • Zone plus riche en périphériques voip
    • ASIE avec 56% de voip pour seulement 10 de visio

Pour les zones marquées par une forte dysimétrie entre la voix et la visio, même la prise en compte des solutions non identifiées dans l’un des domaines ne permettra pas de rétablir un équilibre. Le phénomène semble donc être vraiment marqué.

répartition en fonction des éditeurs

répartition en fonction des éditeurs: vision globale

répartition en fonction des éditeurs: zone Europe

répartition en fonction des éditeurs: zone USA

répartition en fonction des éditeurs: zone ASIE

répartition en fonction des éditeurs: vision globale

synthèse

Pour rappel, le terme « PBX et gw » recouvre les périphériques identifiés lors du scan par les termes « asterix », « PBX », « VoIP », « gateway VoIP », bref tout terme permettant de qualifier un usage explicite tourné vers la voix.

Remarque : si Polycom semble indéniablement le leader sur la visio conférence, il est intéressant de voir que les acteurs restent encore variés en fonction du territoire. On voit ainsi apparaître Sorenson, Lifesize et Sony.  

Plus surprenant, les scans sur la zone US ont montré l’apparition de clients visio H323 sur smartphone Android. L’application identifiée est la suivante : Android MVRS (Sorenson). Ce développement inattendu semble montrer que le protocole H323 est encore loin d’avoir disparu dans les usages et que de nouveaux développements se basent encore sur lui. Il reste donc encore à prendre pleinement en compte dans certains environnements. 

FIN DE LA DEUXIEME PARTIE.

  • Partie 1 : Introduction et défintion de la démarche mise en oeuvre. Parue le lundi 12 Mars.
  • Partie 3 : Le détail des points sécurité sera fourni dans un post qui devrait paraitre le vendredi 16 Mars.

Cedric

credit photo : © Secret Side - Fotolia.com