Permítame empezar por lo obvio: VoIP no es inmune a los ataques cibernéticos. Una vez que logramos la convergencia de voz y data, apareció el tema de la seguridad. Por ello, el uso de un Session Border Controller (SBC) se ha convertido en una gran herramienta de seguridad para la VoIP. Todos estamos familiarizados con el concepto de Firewall dado que ha estado entre nosotros desde los ochenta. Básicamente, un Firewall es una barrera que colocamos en la entrada de nuestra red para controlar el acceso desde el exterior. Definimos una Política para el Firewall y solamente aquellos “visitantes” que se ajustan a esta política se les permite “entrada”. Los Firewalls fueron el resultado de la popularización del Modelo Cliente-Servidor en redes, donde el servidor se convirtió en blanco de ataque. Los Session Border Controllers (SBC) pueden ser considerados el equivalente a un Firewall en el ámbito de Voz sobre IP (VoIP). Uno de nuestros proveedores de equipos usa un comentario que considero captura la esencia de la funcionalidad del SBC: “Usted no pondría su Red de Datos en Internet sin un Firewall – ¿porqué expondría su Red de Voz sin un Session Border Controller?”. La mejor manera de visualizar el SBC es como un portero que protege la entrada principal o el acceso a su comunidad (red). El término Session (Sesión) es tomado prestado de la telefonía tradicional y significa, simplemente, una llamada. El Internet SIP está inspirado en la comunicación origen-destino entre dos interlocutores (end-to-end). El SBC rompe este comportamiento ya que se ubica entre ambos interlocutores y, como tal, es centro de mucho debate ya que sus detractores consideran este comportamiento el regreso al antiguo paradigma de manejo de comunicaciones de la telefonía tradicional. Los SBC fueron introducidos hace más de 12 años como una manera de sobreponerse a ciertas limitaciones del SIP (Session Initiation Protocol) como protocolo para iniciar sesiones interactivas entre usuarios donde muchos elementos son procesados (video, voz, chat, juegos, y similares), basado en solicitudes (requests) y respuestas, las primeras desde los clientes y las segundas desde los servidores. Sin entrar en mucho detalle técnico, lo cual no es el objetivo de este artículo, deseo señalar deficiencias que los SBC corrigieron: primero, los protocolos estándar que imponen serias restricciones en la diversidad; segundo, la falla de SIP de reconocer cruzamiento NAT (Network Address Translation; NAT traversal) como resultado del entonces criterio vigente de que las direcciones IP se acabarían rápidamente lo cual hacía el NAT traversal innecesario; hoy todos sabemos que ésto no sucedió. Como nota aclaratoria, un NAT es simplemente el re-mapping de una dirección IP sobre otra. Estas dos razones, junto con algunas imprecisas definiciones para ítems que son indispensables en la operación día a día de las telecomunicaciones, facilitó la adopción de los SBC. Adicionalmente, se integraron otras funcionalidades, tales como seguridad, enrutamiento, y, más recientemente, facilidades de procesamiento de media.
Cada vez que usted agrega VoIP origen-destino o SIP trunking, usted confronta el problema del Firewall: usted tendrá que abrir un puerto en su Firewall para que el tráfico de voz pueda pasar. Esto crea una vulnerabilidad que solamente un SBC puede solucionar. Por ello, una vez que el SBC está instalado y funcionando, está ayudando al Firewall a cumplir con su misión. También debo mencionar aquí los tres esquemas fraudulentos emergentes: PBX Hacking, Fraude de Subscripción (Subscription Fraud), y VoIP Hacking, todos los cuales desaparecen con un SBC.
Hoy le debemos mucho de la seguridad de VoIP a los SBC dado que, tal como anoté anteriormente, es el agente que está entre los dos puntos de la comunicación; por esta razón, son comúnmente designados como B2BUA que significa Back-to-Back User Agent. ¿Y dónde es el sitio más lógico para recolectar información de tráfico? Justo en el SBC, por lo que han adquirido funcionalidades administrativas tales como facturación, y algo de gerencia de llamadas como desconexión automática de llamadas y otras más. Los SBC juegan un rol fundamental porque permiten esconder información vital de la red, lo cual es conocido como “topology hiding”. Solamente en el tema de seguridad, los SBC protegen las redes de DoS, DDoS, Fraude Tarifario (Toll Fraud), QoS, QoE, y muchos más.
Nosotros hemos estado instalando SBC y topologías relacionadas con SBC por muchos años. Le invito a visitar el website de TelOnline donde hemos colocado una matriz comparativa de todas las funcionalidades de la combinación hardware-software que es nuestro SBC, así como una descripción de solamente el software, lo cual es siempre interesante revisar. Éste es el link: http://www.telonline.com/en/telonline-technology/session-border-controllers .
La línea final es que la seguridad VoIP, hoy, es principalmente basada en equipo, por lo que la correcta combinación de hardware y software y Buenas Prácticas funcionando en concierto produce un anillo de protección a su red con poca o ninguna intervención humana. Hemos implantado muchas soluciones basadas en SBC y una vez que está andando, hacen el trabajo pesado de la protección VoIP. Y volviendo a nuestro proveedor, otra máxima que comparto totalmente: Dondequiera que usted tenga un Firewall, ¡agregue un SBC!
0 comentarios:
Publicar un comentario