Universidad Nacional Autónoma de México
Dirección General de Servicios de Cómputo Académico
Año 7 Núm. 74, Publicación Mensual, 27 de Noviembre de 2008

ARTÍCULOS

 

Año 4, Número 35, Enero de 2005

La videoconferencia en las redes de datos: Firewall

José Fabián Romo Zamudio

 

No se podría hablar de Internet, las redes locales, las aplicaciones compartidas y el comercio electrónico sin mencionar los firewall (cortafuegos). Estos componentes de software, hardware, o combinación de ellos, son fundamentales para salvaguardar la integridad de la información en una sociedad cada vez más dependiente de las redes de datos.

Un firewall es un dispositivo o programa encargado de filtrar la información entrante hacia una red local o una computadora. Cuando ciertos datos coinciden con las limitantes de protección definidas en el firewall, se evita su ingreso al sistema local. Sin este tipo de protección los usuarios se verían expuestos a ataques o intentos de ataque por parte de personas o programas dedicados a revisar dónde existen “agujeros” en la seguridad para infiltrarse y recuperar o destruir información.

Los firewalls pueden contener reglas para el acceso a servicios WWW, FTP o de mensajería instantánea, entre otros. Por ello, muchos usuarios detrás de un firewall no pueden recibir archivos a través de la mensajería instantánea, o tampoco pueden acceder a algunos sitios WWW que pueden estar catalogados como distribuidores de spyware.

Hay tres formas de operar los firewalls (se pueden usar una o varias de ellas):

  1. Filtrado de paquetes. Cada paquete de información se analiza con respecto a una serie de filtros. Los paquetes que logran pasar los filtros se envían al sistema que los solicitó y todos los demás se descartan.
  2. Servicio Proxy. La información solicitada del exterior es recuperada por el firewall y después enviada al sistema que la requirió originalmente.
  3. Inspección estática. No se examinan los paquetes de la información, pero se comparan ciertas partes clave de cada paquete en búsqueda de datos confiables. Los datos que salen de la red local se analizan registrando patrones específicos, de tal manera que la información entrante debe cumplir con esos patrones. Si hay un cierto margen de coincidencia, el material entrante pasa sin problema; en otro caso, se descarta.

Los filtros de un firewall se definen a partir de ciertos criterios, tales como:

  • Direcciones IP. Se puede bloquear el acceso desde una IP específica, evitando ataques o consultas masivas a equipos servidores y clientes.
  • Nombres de dominio. Consiste en tablas con nombres de computadoras vinculadas al DNS a donde no se permite el acceso de los usuarios locales.
  • Palabras clave. Programas detective (sniffer) en los firewalls revisan el contenido de la información en búsqueda de palabras vinculadas con información o sitios no permitidos.
  • Puertos. Cada aplicación o servicio que usa la red IP, genera una conexión hacia un puerto. El 80 es el común para los servidores WWW y el 21 para las transferencias de archivos. Un firewall registra estos servicios, qué computadoras pueden acceder a ellos y cuáles no.
  • Protocolos. Es factible restringir el uso de algunos protocolos, como HTTP (el que sirve las páginas WWW) o Telnet (para sesiones remotas). Así se evita que usuarios mal intencionados del exterior de la red, intenten acceder a un equipo local mediante un protocolo específico.

Para un administrador de firewall es mucho más sencillo aplicar el filtrado por puertos o protocolos que los anteriores, dado que los métodos 1 al 3 requieren de más vigilancia y administración del firewall, aunque ninguno método excluye a los demás de ser empleados.

Para el caso de la videoconferencia, los firewalls con filtrado de paquetes, que basan su operación en el direccionamiento contenido en el encabezado del paquete de datos, reducen la posibilidad de conexión. H.323 incluye el direccionamiento, pero también emplea conexiones UDP que no requieren una respuesta del otro sitio (en especial para el envío de audio y video) porque el control de la llamada se traslada a un puerto TCP. Un síntoma característico de estar pasando por un firewall durante una videoconferencia, es que la llamada se establece, pero no hay negociación de audio y video. Si a lo anterior sumamos el hecho de que un equipo de videoconferencia elige dinámicamente los puertos para audio y video, la solución aparente sería liberar el filtrado de paquetes por puertos arriba del puerto 1024. Esto ya le daría poco sentido al firewall, pues su protección sería mínima.

Los firewalls por inspección estática toleran que una solicitud UDP inicie la selección dinámica de puertos durante cierto tiempo, siendo más flexibles con algunos protocolos como FTP y Telnet. La videoconferencia funciona bien con estos firewalls, siempre y cuando se configuren para asociar el direccionamiento contenido en los paquetes con las transmisiones de audio y video en UDP. Sin embargo, esta configuración resulta ser algo complicada e induce latencia en la señal.

En los firewalls a nivel de aplicación, como lo son los Proxy Firewalls, se realiza una traducción de puertos internos y externos, por lo que estos sistemas participan en la señalización de la videoconferencia abriendo los puertos de datos que se solicitan. Estos firewalls resultan transparentes para los clientes locales y remotos, pero ambos deben configurarse para realizar y recibir llamadas a través del firewall.

Soluciones para la videoconferencia con firewall

  • Zonas desmilitarizadas. La mayoría de los firewalls permiten la creación de grupos de direcciones IP que no estarán protegidas por los filtros. Dar de alta en la DMZ a los equipos de videoconferencia es una solución inmediata y factible, pero incluye el riesgo de que dichos sistemas estén expuestos a ataques externos.
  • Firewalls compatibles con H.323. Productos de protección más recientes ya soportan el tráfico H.323 y SIP, identificando sus peticiones de conexión y abriendo los puertos respectivos para el tráfico saliente y entrante. Sin embargo, todavía subsisten dos desventajas: aún los firewalls modernos perfectamente configurados son equipos o computadoras que poseen un manejo limitado del tráfico, por lo que inducen latencia y jitter en la videoconferencia. Al seleccionar un firewall compatible con H.323, se debe estar seguro de que tiene capacidad suficiente para distribuir el tráfico.
  • Redes privadas virtuales. En tanto se tenga un control punto a punto de la conexión, los firewalls permiten el paso de una red privada virtual (VPN), con una asignación de puertos dinámica.
  • Multipuntos con firewall. Algunos fabricantes de equipo de red han integrado firewalls en ruteadores que también operan como unidades multipunto para aplicaciones de videoconferencia y voz sobre IP (VoIP). Solución altamente factible, pero de mayor costo.

Debido a la expansión de servicios de comunicación multimedia (videoconferencia, voz sobre IP, televisión y video interactivo de alta definición, etcétera) el reto para los fabricantes de firewalls es diseñar productos más flexibles y fáciles de configurar, que detecten el tipo de dato que está pasando a través de los filtros y proporcionen una mejor calidad de servicio en redes como Internet e Internet 2.

Inicio | Contacto |