Firewall traversal, la via segura para realizar videoconferencias

Firewall traversal, la via segura para realizar videoconferencias

Habilitar la seguridad de una videoconferencia es un permanente desafío, que deriva de una inherente diferencia de diseños entre los equipos de video y los sistemas de firewall.

Las firewall han sido diseñadas de forma bien asimétrica, porque confían en el tráfico del interior; no así con aquel iniciado desde el exterior. Por su parte, los endpoints deben abrir conexiones desde el interior y también desde el exterior para poder establecer una llamada, volviéndolo todo bastante simétrico.

Un síntoma común que indica que hay problemas con la firewall, al momento de estar en una videoconferencia se da cuando uno de los usuarios puede ver y oír al otro, mientras que éste no ve más que una pantalla negra; lo cual corresponde a la firewall bloqueando el video y el audio desde Internet.

Por lo tanto, ¿cómo podríamos habilitar la seguridad de la videoconferencia, y permitirle atravesar esta firewall sin comprometer la protección que entrega el firewall? Firewall traversal, la via segura para realizar videoconferencias

1. Conexión directa a Internet – IP pública

Obviamente, la opción más simple de todas. Un endpoint de video en una oficina pequeña puede estar conectado sin problemas a la Internet. Un computador habilitado para video también podría estarlo; sin embargo en muchos de los casos el usuario estaría conectado a través de una firewall abierta en un punto de Wi-Fi o en un hotel. ¿Seguro? Mh, no mucho. Firewall traversal, la via segura para realizar videoconferencias

2. En la DMZ

Un endpoint de video conectado a la DMZ puede dirigir todo el tráfico externo, pasando a través de ésta misma. Es una configuración bastante común en oficinas pequeñas donde no hay más servidores DMZ.

La firewall redirige todo el tráfico entrante que no fue iniciado de forma interna hacia el endpoint de video, por lo que se comporta como si estuviera conectado directamente a la Internet.

3. A través de la firewall

Un endpoint de video puede ser conectado a un firewall si acaso hubiese una dirección estática y dedicada de Internet disponible para ese equipo. Firewall traversal, la via segura para realizar videoconferencias

El firewall se configura de modo que éste realice traducciones de NATeo entre esa dirección dedicada y la dirección IP interna del equipo de video, y así todo el tráfico que viene desde esa dirección específica es después re-enviado hacia el endpoint. Firewall traversal, la via segura para realizar videoconferencias

Si bien el usar este método para asegurar la videoconferencia funciona bastante bien, es difícil de apoyarlo en ecosistemas donde las direcciones cambian constantemente, donde a los equipos de videoconferencia los mueven, o donde un gran número de equipos está localizado en el mismo lugar. Firewall traversal, la via segura para realizar videoconferencias

Finalmente, puede ser un poco caro el comprar y mantener a un gran número de direcciones de internet dedicadas solo para ése propósito.

4. Servidor Firewall Traversal

Estos equipos separados se conectan directamente a la Internet, o a veces pasan desde detrás de la DMZ de la firewall, y han sido diseñados para soportar videoconferencia basada en el protocolo H.323.

Los equipos de video, a través del protocolo H.460 se conectan al servidor. Si los endpoints no son capaces de soportar este protocolo de forma nativa, se puede implementar un equipo proxy en la red corporativa que haga de gateway entre los endpoints y el servidor firewall traversal.

Aquellas empresas que trabajan de forma conjunta pueden unificar sus servidores firewall traversal y compartir un plan de discado para simplificar las llamadas de video. Este es por ejemplo, el modelo que utiliza el Cisco VCS-Expressway, del cual ya hablamos aquí. 

Los servidores traversal funcionan bien para las empresas con pequeñas oficinas, porque un solo servidor se necesita para cubrir toda la organización. Ojo si, en que todo el video que venga desde internet va a pasar a través del servidor, por lo que pueden aparecer límites sobre el volumen de tráfico.

La idea es que revise los detalles de vuestras instalaciones, y vea cual es la que mejor funciona.

¿Cómo podríamos ayudarlo con su proyecto de comunicación interna? Conversemos en www.dinecom.cl