Attention, ceci est la deuxième partie d'une minisérie dont la première partie a été postée sur le blog le lundi 12 Mars.
résultats du scan
informations génériques
J’ai finalement décidé d’arrêter l’opération de scan à 18 millions d’adresses. A ce stade, je ne constate plus de rupture dans les profils comme cela put être le cas au démarrage de l’expérimentation. Une éventuelle inversion des tendances demanderait de scanner 20 ou 30 millions d’adresses supplémentaires, ce qui représente à la fois de nombreux jours consacrés à cette activité pour une machine et un nombre d’heures significatif pour compiler les résultats et préparer les scans.
A ce stade, il est déjà intéressant de constater des différences significatives avec les résultats présentés par HD Moore. En effet, le nombre de périphériques H323 trouvés par ce dernier pour 3% de l’espace publique d’Internet, correspond à plus de 50% de ma projection pour l’adressage IP V4 public complet. Il eut été intéressant de connaître la méthodologie et les subnets pour comprendre d’où peut provenir une différence aussi significative. En effet, ce résultat pourrait se retrouver uniquement en considérant les zones les plus riches en termes de périphériques H323 au détriment d’une recherche homogène sur l’ensemble des groupes disponibles.
répartition de la recherche par zone géographique
poids de chaque zone dans la recherche
La variable « poids » représente la totalité des subnets scannés, quelque soit le résultat en terme de présence de périphériques H323.
répartition des périphériques H323 trouvés par zone
synthèse
Remarque : un écart de 4% et plus sera considéré comme significatif dans l’analyse ci-dessous.
En partant du postulat suivant « le % de périphériques H323 pour une zone géographique donnée devrait être proche de la représentation globale de la dite zone », il est possible de constater quelques variantes :
- Zone géographique riche en périphériques H323
- ASIE : écart de 24% à la hausse entre le poids de la zone géographique et celui du nombre de périphériques H323 trouvés.
- Zone géographique à iso-pondération
- AAAME : écart quasi nul entre le poids de la zone géographique et celui du nombre de périphériques H323 trouvés.
- Zone géographique pauvre en périphériques H323
- Europe : écart de 9% à la baisse entre le poids de la zone géographique et celui du nombre de périphériques H323 trouvés.
- USA : écart de 14% à la baisse entre le poids de la zone géographique et celui du nombre de périphériques H323 trouvés.
répartition de la recherche par "tranche" de subnets
poids de chaque tranche dans la recherche
répartition des périphériques H323 trouvés par tranche
synthèse
Sur les six tranches déterminées pour classifier les classes B scannées, certaines différences sont apparues avec l’augmentation des volumes analysés.
Remarque : un écart de 4% et plus sera considéré comme significatif dans l’analyse ci-dessous.
En partant du postulat suivant « le % de périphériques H323 pour une tranche donnée devrait être proche de la représentation globale de la dite tranche », il est possible de constater quelques variantes :
- Tranches plus riches en périphériques H323 :
- 40.0.0.0-59.0.0.0 (écart de 4% à la hausse)
- Tranches à iso pondération
- 60.0.0.0-79.0.0.0 (écart de 2% à la hausse)
- 120.0.0.0-139.0.0.0 (écart de 2% à la hausse)
- Tranches moins riches en périphériques H323
- 80.0.0.0-99.0.0.0 (écart de 7% à la baisse)
- 140.0.0.0-159.0.0.0 (écart de 9% à la baisse)
répartition des différents types de périphériques H323 par zone
préambule
Les périphériques propres au monde de la visioconférence sont globalement facilement identifiables car faisant explicitement référence à un constructeur et à un modèle la plupart du temps (ex : polycom HDX 8000).
La catégorie « PBX et gw » est plus délicate en terme de segmentation précise. Elle recouvre les périphériques identifiés lors du scan par les termes « asterix », « PBX », « VoIP », « gateway VoIP », bref tout terme permettant de qualifier un usage explicite tourné vers la voix.
La dernière catégorie, « unknown », regroupe les équipements n’ayant pas pu être identifiés en termes de constructeur ou d’usage, ou ayant tout simplement une représentation très faible qui ne permet pas de les suivre dans la classification.
répartition des différents types sur le périmètre global
répartition des différents types sur l'Europe
répartition des différents types sur les USA
répartition des différents types sur l'ASIE
répartition des différents types sur AAME
synthèse
Remarque : un écart de 4% et plus sera considéré comme significatif dans l’analyse ci-dessous.
- Zone à iso pondération entre la voip et la visio
- Europe avec 39% pour la visio et 40% pour la voip
- AAAME avec 39% pour la visio et 42% pour la voip
- Zone plus riche en périphériques visio
- USA avec 80% de périphériques visio pour seulement 4% de voip
- Zone plus riche en périphériques voip
- ASIE avec 56% de voip pour seulement 10 de visio
Pour les zones marquées par une forte dysimétrie entre la voix et la visio, même la prise en compte des solutions non identifiées dans l’un des domaines ne permettra pas de rétablir un équilibre. Le phénomène semble donc être vraiment marqué.
répartition en fonction des éditeurs
répartition en fonction des éditeurs: vision globale
répartition en fonction des éditeurs: zone Europe
répartition en fonction des éditeurs: zone USA
répartition en fonction des éditeurs: zone ASIE
répartition en fonction des éditeurs: vision globale
synthèse
Pour rappel, le terme « PBX et gw » recouvre les périphériques identifiés lors du scan par les termes « asterix », « PBX », « VoIP », « gateway VoIP », bref tout terme permettant de qualifier un usage explicite tourné vers la voix.
Remarque : si Polycom semble indéniablement le leader sur la visio conférence, il est intéressant de voir que les acteurs restent encore variés en fonction du territoire. On voit ainsi apparaître Sorenson, Lifesize et Sony.
Plus surprenant, les scans sur la zone US ont montré l’apparition de clients visio H323 sur smartphone Android. L’application identifiée est la suivante : Android MVRS (Sorenson). Ce développement inattendu semble montrer que le protocole H323 est encore loin d’avoir disparu dans les usages et que de nouveaux développements se basent encore sur lui. Il reste donc encore à prendre pleinement en compte dans certains environnements.
FIN DE LA DEUXIEME PARTIE.
- Partie 1 : Introduction et définition de la démarche mise en oeuvre. Parue le lundi 12 Mars.
- Partie 3 : Le détail des points sécurité sera fourni dans un post qui devrait paraitre le vendredi 16 Mars.
Cedric
credit photo : © Secret Side - Fotolia.com
Membre actif de la communauté sécurité d'orange Business Services, je suis aujourd'hui en charge, au sein de l'équipe marketing « sécurité », de la bonne prise en compte de la sécurité dans nos offres traitant des communications sur IP, et cela du mode cloud à l'intégré classique. Un large périmètre pour rencontrer des problématiques complexes sur le plan technique comme sur le plan organisationnel. Bref, un océan de motivation pour toute personne qui marche au challenge et à l'envie d'apprendre.