Estrategias de seguridad en telefonía IP
La seguridad de las redes de telefonía y datos de la empresa, hasta ahora separadas, se benefician precisamente de esa diferenciación: al operar independientemente, la pérdida de servicio en una no causa problemas en la otra. Así, cuando se migra a una red convergente es preciso dotarla de los mayores niveles de disponibilidad posible, algo, habitual tradicionalmente en las redes de voz y menos presente de lo aconsejable en las de datos. Pero conseguir una gran disponibilidad exige algo más que depender de la vieja táctica de las best practices: es preciso diseñar una red con redundancia de sus componentes clave para eliminar los puntos únicos de fallas, e incluso desplegar alimentación de respaldo para asegurar la continuidad del servicio en caso de cortes eléctricos. Aquí la clave es conseguir un objetivo de disponibilidad del 99,999%, los "cinco nueves" que los responsables de las redes de datos continuamente se esfuerzan por alcanzar y que resulta vital para las comunicaciones de voz. Al final, se podría obtener incluso una mejora de la disponibilidad ofrecida por una infraestructura de PBX convencional, muchas veces carente de una amplia redundancia y respaldo de componentes.
Implementación
Puesto que la telefonía IP es simplemente uno de los muchos servicios que soporta la red corporativa, aunque en un segmento distinto, su seguridad puede ser contemplada como un nivel adicional en la parte alta de la seguridad ya existente en la empresa para la red de datos. Al igual que una cadena es tan fuerte como su enlace más débil, la seguridad de la telefonía IP resulta de poco valor si la red subyacente no está asegurada adecuadamente. La implementación de la seguridad de la telefonía IP comienza en la red central.
Una implementación de seguridad de éxito comprende múltiples acciones, y no todas de orden técnico. Políticas de control de accesos para toda la corporación, prácticas de autenticación y rotación forzosa de contraseñas forman una sólida base sobre la que deben desplegarse las tecnologías de seguridad. De hecho, en cada vez más entornos sensibles, como las organizaciones médicas y los organismos administrativos, los tokens de autenticación física o la autenticación biométrica avanzada, como el reconcomiendo de voz o de huella digital, van ganando popularidad. El "endurecimiento" de la red ayuda a protegerse de todos los males de los que puede ser presa, desde la denegación de servicio y el spoofing al esnifado de paquetes, virus o gusanos. Aquí la máxima protección de la red de datos subyacente a Nivel 2 y Nivel 3 es esencial. Incluye el reforzamiento de la seguridad en ruteador y conmutadores con tecnologías como firewalls de inspección a fondo y sistemas de detección y de prevención de intrusiones. Es preferible desplegar estos potentes firewalls en dos localizaciones clave: donde se encuentran los segmentos o VLAN de voz y de datos y donde siempre sea necesario una monitorización a fondo para proteger los servicios de voz.
En el nivel LAN, también donde los segmentos de red se encuentran la detección de intrusiones resulta una solución apropiada, así como en conmutadores y ruteadores, en los clusters de administración de llamadas y distribuida por todo el entorno del campus. Esta tecnología observa los patrones de bits conocidos y envía una alarma cuando detecta paquetes maliciosos, como lo hace la prevención de intrusiones, que, en vez de patrones de bits, analiza comportamientos específicos para detectar los que potencialmente suponen una amenaza.
Por otra parte, reforzar la seguridad de un ruteador, por ejemplo, puede incluir el bloqueo del acceso SNMP, cerrando puertos por defecto y abriéndoles sólo cuando es necesario, empleando Secure Shell y otros métodos de gestión aprobados, y autenticando las actualizaciones de ruteadores. Asimismo, el endurecimiento de los procedimientos para un conmutador que opere a Nivel 2 del modelo OSI (la capa de enlace de datos) podría incluir inspección Address Resolution Protocol o VLAN privadas, implementación de IP que permite crear listas con las que controlar el acceso al puerto de gestión y deshabilitar los puertos inutilizados.
Otras prácticas consisten en cambiar el nombre y contraseña de usuario de los dispositivos de hardware de red que vienen por defecto ("administrador", por lo general), asegurar que se aplica todo el firmware y los parches asociados al sistema operativo, y desactivar servicios y puertos innecesarios para mitigar el reto de los programas que aprovechan la "puerta trasera".
Siempre con cautela en definitiva, la implementación de una solución de telefonía IP corporativa no es una tarea que pueda tomarse a la ligera. Dado el incremento sustancial de tráfico que genera, se ha de abordar un prudente análisis del diseño de la red y sus capacidades, con la convicción de que implementar la telefonía IP en segmentos aislados requerirá equipamiento y ancho de banda adicionales. Más allá de estas cuestiones de diseño, el reto de los ataques a la red IP en general y a los servicios de voz en particular es enorme. Se impone, pues, como requisito inicial una estrategia de seguridad a escala corporativa fruto de una auditoría a fondo del entorno. Siguiendo estos pasos, e instalando firewalls de inspección a fondo, sistemas de prevención y detección de intrusiones y reforzando el entorno operativo de la red, junto con el reforzamiento de las políticas de seguridad corporativas y las bien conocidas "mejores prácticas", será posible conseguir una plataforma de comunicaciones IP segura que haga posible sacar partido de todas las ventajas que conlleva la convergencia.
Fernando Javier Lobo
Sistema de comunicaciones ópticos
URL:http://iworldcommx.web124.discountasp.net/iw_SpecialReport_read.asp?iwid=3976&back=2&HistoryParam=E
Invite your mail contacts to join your friends list with Windows Live Spaces. It's easy! Try it!
No hay comentarios:
Publicar un comentario