| |
| |
| |
|
Convergencia IP y Seguridad |
| Ing. Gonzalo G. Ayllón Salinas |
| Alpha Systems S.R.L. |
Bolivia
|
|
Desde el punto de vista de la seguridad, la convergencia IP representa un verdadero desafío, basta con entender su concepto y modo de comunicación para detectar un gran número de amenazas y vulnerabilidades a la red. En este artículo se analizarán conceptos de seguridad cuando la empresa ha elegido una solución de telefonía IP.
El primer concepto está referido a la política de seguridad de la empresa. Esta debe ser la que guíe todo el proceso, desde las recomendaciones para la adquisición de equipos, requerimientos y procedimientos de instalación física y de configuración y la puesta en marcha de la solución.
El segundo concepto que se debe considerar en la telefonía IP es la inseguridad intrínseca. Los protocolos que utiliza para su funcionamiento son vulnerables, tanto SIP como H323 ofrecen demasiados huecos de seguridad. En el diseño de la red, los enrutadores, firewalls y detectores de intrusos de la empresa tienen que ser capaces de realizar inspección de tráfico de estado completo para minimizar estas vulnerabilidades. Además deben considerarse configuraciones especiales en los dispositivos de red para equilibrar la seguridad con la funcionalidad.
Otro concepto que se debe tener siempre en cuenta es que los dispositivos de telefonía IP son precisamente eso, dispositivos IP susceptibles a las mismas amenazas y vulnerabilidades que cualquier computadora dentro de la empresa. Por ejemplo, los teléfonos IP cargan su configuración y actualizan su firmware a través de dhcp, http ó tftp. El servidor de correo de voz utiliza smtp y pop3. Todos estos protocolos son normalmente permitidos dentro de la empresa y por los que se pueden inyectar scripts o comandos para tomar control o ejecutar acciones remotas de denegación de servicio o acceso no autorizado dentro de la red.
El cuarto concepto se refiere a mantener la idea antigua de las redes separadas – aunque estas sean IP – los datos y la voz deben operar en segmentos de red separados. VLANs y listas de acceso proporcionan una herramienta muy útil a la hora de aplicar este concepto, mejor aún si se puede realizar una segmentación física a través de un firewall. Si el teléfono IP incluye un switch para permitir la conexión de una PC, se debe asegurar que se pueda pasar tráfico de VLANs por el aparato para poder mantener la idea de las redes separadas. Estas recomendaciones son válidas no solamente desde el punto de vista de seguridad sino también desde el punto de vista del performance de la red en su conjunto.
Los teléfonos IP requieren ser identificados dentro de la red. El registro de todas las direcciones MAC de los teléfonos evitará que dispositivos ajenos o falsos consigan acceso, además de permitirle al administrador llevar un registro siempre actualizado de dispositivos operativos. Se debe evitar utilizar la funcionalidad de registro automático de los teléfonos IP.
Si se requiere el acceso remoto, utilizando el software de teléfonos IP cargados en la computadora, es mejor establecer la comunicación segura y autenticar al usuario dentro de la red antes de permitir la conexión del teléfono, mejor aún si es posible ejecutar control de admisión del usuario remoto. Así se evitarán posibles infecciones a través del equipo remoto dentro de la red.
Los competidores tecnológicos no minimizan esfuerzos ni recursos a la hora de lanzar al mercado productos “IP enabled”, precisamente, hoy puede encontrarse una gran variedad de dispositivos listos para conseguir una dirección IP. No hablamos exclusivamente de dispositivos relacionados con el área de IT, el efecto también ha llegado a los artículos de uso cotidiano, los cuales ofrecen a los compradores – entre sus beneficios – alguna forma de conexión a la red.
Desde el punto de vista de la seguridad, la convergencia IP representa un verdadero desafío.
|
|
