Seguridad en Comunicaciones Unificadas #colaboramx

Detrás del uso que hacemos cotidianamente del correo electrónico, de Google, de Facebook, de Twitter y de un sinnúmero de otras aplicaciones con lo que llamamos “Internet”, existe una gran variedad de protocolos y tecnologías que, completamente ajenas a nosotros, realizan su trabajo (casi) ininterrumpidamente para habilitar la colaboración entre personas utilizando cualquier tipo de dispositivo, desde cualquier lugar y a cualquier hora.

Uno de los conjuntos de protocolos y tecnologías que usamos diariamente, de manera directa o indirecta, es áquel que nos permite colaborar mediante la voz, el video o el texto utilizando la infraestructura de redes de datos como medio de transporte (Unified Communications, UC por sus siglas en inglés).

Términos como SIP, H.323, Señalización, SRTP, MGCP, Proxing, TFTP, Certificados Digitales, Trunking, entre otros, quizás no se escuchen cotidianamente, pero sin ellos no sería posible levantar una extensión telefónica en una oficina de una filial remota de nuestro negocio y poder establecer una conversación utilizando, ya sea la propia infraestructura de redes de datos de nuestra organización, o una infraestructura de transporte tercera como Internet.

Cada uno de estos componentes, como si fueran piezas de un Lego, tienen que desplegarse e integrarse entre ellos mismos y entre el resto de la infraestructura de datos, de acuerdo a criterios de arquitectura tecnológica, de operación y de administración que minimicen el riesgo que, derivado de una falla en uno solo de los componentes,  la experiencia de los usuarios con la tecnología se vea afectada.

Entre los diferentes criterios de diseño tecnológico que un arquitecto de una solución de  UC puede disponer están: temas de calidad de servicio (Quality of Service) y temas alta disponibilidad (HA, High Availability). Uno de los criterios de diseño que siempre juega un papel especial en este tipo de diseños, son los criterios de seguridad.

Para ejemplificar cuales son estos criterios de seguridad, es útil servirse de un modelo de pirámide de tres pisos.

Seguridad de la infraestructura de la red de datos

En la base de la pirámide se encuentran todos los servicios de seguridad que deben implementarse en la infraestructura de transporte de datos sobre la cual se va a montar la solución de UC.

En esta capa entran criterios como el aseguramiento de protocolos de capa dos: ARP (Address Resolution Protocol), DHCP (Dynamic Host Configuration Protocol, no propiamente protocolo de capa dos),  STP (SpanningTree Protocol)¸ VTP (Vlan Trunking Protocol), DTP (Dynamic Trunking Protocol, 802.1q (Trunking) entre otros. Todos estos protocolos tienen en común que la mejor, y muchas veces el único lugar en donde se puede implementar controles para evitar su abuso, es directa y únicamente  en el switch. El switch por naturaleza propia es por sí mismo un dispositivo de seguridad tanto como los son un firewall o un IPS (Intrusion Prevention System) en el mundo de la seguridad “tradicional”.

También en esta capa se deben considerar criterios de aseguramiento del plano de control de la infraestructura de redes de datos. Temas como aseguramiento de protocolos de ruteo (EIGRP, OSPF, RIPv2, por favor, no utilizar RIPv1) y temas de instrumentación de red. Cuando hablamos de instrumentar la red, lo que queremos decir es activar en switches y en ruteadores todas aquellas funcionalidades que nos permitan observar los parámetros operativos y de seguridad de la red: Netflow v5/v9, SNMP, RMON, syslog y, especialmente importante en una infraestructura de UC, IP SLAs (IP Service Level Agreements, funcionalidad que permite medir parámetros como jitter, packet loss o delay punto a punto utilizando únicamente la infraestructura de red como instrumento).

Seguridad de la infraestructura de UC

En la capa intermedia se encuentran todos aquellos mecanismos que permiten asegurar los protocolos y los dispositivos especializados en una solución de UC: Teléfonos IP, gateways de voz, servidores de señalización, cliente de voz basados en software, enlaces de voz y proxies entre muchos otros.

Temas como firma digital de archivos de configuración de teléfonos IP para evitar que puedan descargar una copia apócrifa de configuración o la utilización de certificados digitales para asegurar que solamente dispositivos autorizados puedan firmarse a la plataforma de señalización. También en esta capa entran temas como la utilización de dispositivos con la capacidad de inspección de tráfico (capas 5, 6, y 7) de los protocolos utilizados en una solución de UC (SIP, H.323, RSTP, entre otros) para evitar que abusos en estos protocolos tengan un impacto en la solución como un todo.

También temas como la protección de la confidencialidad del contenido, voz y video, en una solución de UC son críticos. Temas como la encriptación de los flujos de señalización, voz y video son básicos y es impensable no implementarlos cuando este contenido tiene que viajar por redes terceras potencialmente hostiles.

Por último y no por eso menos importante, están todos los criterios de arquitectura y de tecnología que minimicen la posibilidad de que terceros no-autorizados puedan hacer uso de la infraestructura de UC, potencialmente desde fuera de las instalaciones de nuestra organización (i.e. Internet, redes de proveedores/clientes). En particular todas aquellas técnicas que tratan de impedir que nuestra organización sea víctima de fraude telefónico (Toll Fraud).

Seguridad de la capa aplicativa de UC

Finalmente, en la cúspide de la pirámide se encuentran todos aquellos mecanismos para forzar la aplicación de políticas sobre la plataforma de UC.

En esta capa tenemos temas tales como: garantizar el acceso a la plataforma de UC solamente a usuarios autorizados. La asignación de privilegios para permitir que solamente un conjunto de usuarios tengan acceso a ciertas funcionalidades de la plataforma de UC (larga distancia o establecimiento de juntas de video, o la capacidad de mensajería instantánea.). Límites en las quotas de uso de cada uno de los servicios a los que el usuario tiene acceso. Límites en los accesos a servicios de movilidad. Límites en el acceso a aplicativos propios de la plataforma de UC (i.e. correo de voz, acceso a aplicativos desarrollados sobre la plataforma de UC cómo difusión de noticias corporativas, IVR), entre muchos otros. Pero es también fundamental recalcar que existen elementos que hay que cuidar independientemente de si se trata una solución de UC o una solución de Telefonía Tradicional, tales como la correcta creación del plan de numeración.

Conclusión

Hace muchos años, Jorge Luis Borges, representante máximo de la literatura mundial y latinoamericana, escribió un poema/cuento llamado “Las Causas”. En este poema, Borges describe cada uno de los hechos históricos (y otros mitológicos) que se tuvieron que dar, todo ellos en una cadena de causas y efectos, para que al final las manos de dos enamorados se juntaran.

De manera semejante y con el único punto en común con la gran obra de J.L. Borges de que ambos textos están escritos en español (e incluso eso podría perfectamente debatirse por mi mal uso del español) en este documento he tratado de describir de manera muy general los diferentes componentes de seguridad que toda infraestructura de UC debe tener para que la comunicación entre dos personas se pueda dar de manera segura. Ojalá lo haya logrado.

Javier Liendo, CSE Security
Cisco México

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s