Firewall Traversal, videoconferencia segura en IP

La convergencia IP es uno de los objetivos más deseados de muchos responsables de informática y comunicaciones de las empresas, de forma que aplicaciones como el correo electrónico, la navegación web, la transferencia de ficheros, la voz o la videoconferencia puedan realizarse utilizando la misma red de comunicaciones, y alcanzando cualquier punto conectado a la misma.

Todas las aplicaciones anteriores, por lo tanto, no se deben limitar a un entorno de red de área local o LAN sino que su utilización debe ser posible en entornos más extensos, atravesando en la mayoría de los casos routers y firewalls. En el caso de la navegación web, por ejemplo, accedemos cómodamente desde nuestra empresa a páginas que se sirven desde cualquier punto del mundo sin más complejidad que la que tendríamos si el servidor estuviera en nuestras oficinas. Sin embargo, si intentamos hacer una videoconferencia IP, utilizando el protocolo más común para ello, es decir H.323, desde nuestra oficina hasta otro punto más allá de un firewall, nos encontraremos con numerosos problemas y probablemente no tengamos éxito, ¿a qué se debe dicha diferencia? ¿por qué en un caso tenemos éxito y en el otro no? La razón tiene que ver con la complejidad de cada uno de los protocolos que sustentan dichas aplicaciones, veamos dichos problemas así como la forma de resolverlos mediante la tecnología de Firewall Traversal o videoconferencia segura en IP.

En efecto, el protocolo detrás de la navegación web, o http, emplea únicamente un puerto, el número 80, mediante el cual nuestro navegador accede a los servidores externos y nos presenta la información en nuestro PC. Por el contrario, si queremos hacer una videoconferencia IP entre dos terminales, el número de puertos que se utilizan es muy elevado y los protocolos muy complejos. Así, en una comunicación entre un terminal A y un terminal B, ambos registrados en un elemento de control o Gatekeeper (GK), veríamos que en un primer momento el terminal A que origina la llamada se comunica con el GK para que éste le indique donde se encuentra el terminal B, el protocolo utilizado se denomina RAS y empleamos el puerto 1719. A continuación, y mediante el protocolo H.225, se establece la comunicación entre ambos terminales y se negocia el número del puerto a utilizar por el protocolo siguiente, H.245, éste, se encarga, entre otras cosas, de negociar también los números de puerto a utilizar para el tráfico de media (audio, video y datos), para finalmente establecerse la comunicación utilizando los puertos negociados, por donde se envía la información de media usando los protocolos RTP y RTCP.

Como hemos visto, son varios los puntos de complejidad que tiene la videoconferencia en IP o H.323, uno es el que los puertos que se utilizan en cada comunicación, además de ser un número muy elevado, se negocian de forma dinámica, conexión a conexión, por lo que no podemos garantizar que siempre sean los mismos, esto obliga a los responsables de seguridad a abrir un número muy elevado de ellos en los firewalls sólo por si acaso son utilizados. Asimismo, es muy común que los terminales desde los que queremos hacer una videoconferencia se encuentren en una LAN, y por lo tanto con un direccionamiento privado, por lo que para salir al exterior necesitan un NAT, o traslación de direcciones, convirtiendo la dirección IP privada del terminal en una dirección IP pública. El problema de utilizar NAT para una videoconferencia H.323 es que el protocolo H.323 utiliza la dirección IP del terminal de origen para que el terminal destino le responda, y por lo tanto, al ser ésta una dirección IP privada, el paquete no puede viajar de vuelta desde el terminal destino.

Aunque los dos problemas anteriores, firewalls y NAT, pueden ser resueltos en las empresas mediante diferentes métodos, como por ejemplo utilizando equipos que estén directamente fuera del firewall con direcciones IP públicas o utilizando equipos que soporten la funcionalidad de NAT H.323, ninguna de estas soluciones son posibles en todos los casos, ya que unas representan potenciales problemas de seguridad y las otras requieren un cambio, o actualización en el mejor de los casos, de gran parte de la electrónica de red. Por lo tanto, era necesario el desarrollo de un estándar de conexión que permitiera realizar videoconferencias en IP de forma segura atravesando firewalls y obviando la problemática del NAT, y esto es exactamente lo que hace el protocolo H.460 y sus apéndices .17, .18 y .19, más conocidos como protocolos de Firewall Traversal.

Así, en el caso de los puertos necesarios, reducimos todo el amplio rango dinámico anterior a tan sólo tres puertos fijos, siendo además necesario que éstos únicamente se abran en el sentido dentro – fuera, para ello se utiliza la técnica conocida como pinhole, que básicamente consiste en que cualquiera que sea el terminal que quiera iniciar la comunicación, el terminal protegido por el firewall abre una conexión contra el de fuera por la que ambos intercambiarán el media. En el caso del NAT, el problema se resuelve debido a que la solución Firewall Traversal incorpora un elemento hardware adicional, más conocido como Border Controller (BC), que se sitúa fuera de la protección del firewall y a través del cual pasa todo el tráfico H.460, haciendo la gestión de direcciones IP de forma adecuada.

De esta forma, mediante la solución Firewall Traversal, la videoconferencia entre terminales que se encuentran en distintas redes, y por lo tanto que necesitan utilizar NAT y firewalls, se ve simplificada y queda reducida a la utilización de tres puertos fijos en sentido dentro – fuera entre los equipos protegidos por el firewall y el BC. Asimismo, el BC debe ser visible por todos los elementos de la red para que éstos se puedan registrar en él tal y como lo harían en un GK, y poder hacer videoconferencias seguras entre ellos, pudiendo establecer, además, un plan de numeración único para toda la empresa. Adicionalmente, Firewall Traversal también permite realizar videoconferencias seguras entre empresas, para ello necesitaremos dar de alta en el DNS la dirección IP del BC de nuestra empresa y utilizaremos marcación URI, similar a las direcciones de correo electrónico, por ejemplo jose@empresaA.com, para llamar al destino. El DNS resolverá la consulta del dominio de la empresa destino (@empresaA.com) devolviendo la dirección IP de su BC, progresando la llamada hasta él para posteriormente llegar hasta el terminal, jose, en nuestro ejemplo anterior.
Por último, simplemente destacar que la técnica de Firewall Traversal no sólo es válida para la videoconferencia IP en H.323, sino que también lo es para SIP, y dará mucho que hablar próximamente.

José Carlos Martín Marco es director técnico de Tandberg – España y Portugal.

URL: http://www.datati.es/?p=857

Escrito por Redaccion el may 14 2009. Archivado bajo Prod. de comunicaciones. Puedes seguir las respuestas de esta entrada por RSS 2.0. Puedes dejar una respuesta o un trackback a esta entrada