José Carlos Martín Marco, Director Técnico de TANDBERG para España y Portugal, nos explica la importancia de la seguridad cuando se llevan a cabo conexiones de vídeo a través del protocolo IP.
La convergencia IP es uno de los objetivos más deseados de muchos responsables de informática y comunicaciones de las empresas, de forma que aplicaciones como el correo electrónico, la navegación web, la transferencia de ficheros, la voz o la videoconferencia puedan realizarse utilizando la misma red de comunicaciones, y alcanzando cualquier punto conectado a la misma. Todas las aplicaciones anteriores, por lo tanto, no se deben limitar a un entorno de red de área local o LAN sino que su utilización debe ser posible en entornos más extensos, atravesando en la mayoría de los casos routers y firewalls.
En el caso de la navegación web, por ejemplo, accedemos cómodamente desde nuestra empresa a páginas que se sirven desde cualquier punto del mundo sin más complejidad que la que tendríamos si el servidor estuviera en nuestras oficinas. Sin embargo, si intentamos hacer una videoconferencia IP, utilizando el protocolo más común para ello, es decir H.323, desde nuestra oficina hasta otro punto más allá de un firewall, nos encontraremos con numerosos problemas y probablemente no tengamos éxito, ¿a qué se debe dicha diferencia? ¿por qué en un caso tenemos éxito y en el otro no? La razón tiene que ver con la complejidad de cada uno de los protocolos que sustentan dichas aplicaciones, veamos dichos problemas así como la forma de resolverlos mediante la tecnología de Firewall Traversal o videoconferencia segura en IP.
En efecto, el protocolo detrás de la navegación web, o http, emplea únicamente un puerto, el número 80, mediante el cual nuestro navegador accede a los servidores externos y nos presenta la información en nuestro PC. Por el contrario, si queremos hacer una videoconferencia IP entre dos terminales, el número de puertos que se utilizan es muy elevado y los protocolos muy complejos.
Así, en una comunicación entre un terminal A y un terminal B, ambos registrados en un elemento de control o Gatekeeper (GK), veríamos que en un primer momento el terminal A que origina la llamada se comunica con el GK para que éste le indique donde se encuentra el terminal B, el protocolo utilizado se denomina RAS y empleamos el puerto 1719. A continuación, y mediante el protocolo H.225, se establece la comunicación entre ambos terminales y se negocia el número del puerto a utilizar por el protocolo siguiente, H.245, éste, se encarga, entre otras cosas, de negociar también los números de puerto a utilizar para el tráfico de media (audio, video y datos), para finalmente establecerse la comunicación utilizando los puertos negociados, por donde se envía la información de media usando los protocolos RTP y RTCP.
Como hemos visto, son varios los puntos de complejidad que tiene la videoconferencia en IP o H.323, uno es el que los puertos que se utilizan en cada comunicación, además de ser un número muy elevado, se negocian de forma dinámica, conexión a conexión, por lo que no podemos garantizar que siempre sean los mismos, esto obliga a los responsables de seguridad a abrir un número muy elevado de ellos en los firewalls sólo por si acaso son utilizados. Asimismo, es muy común que los terminales desde los que queremos hacer una videoconferencia se encuentren en una LAN, y por lo tanto con un direccionamiento privado, por lo que para salir al exterior necesitan un NAT, o traslación de direcciones, convirtiendo la dirección IP privada del terminal en una dirección IP pública. El problema de utilizar NAT para una videoconferencia H.323 es que el protocolo H.323 utiliza la dirección IP del terminal de origen para que el terminal destino le responda, y por lo tanto, al ser ésta una dirección IP privada, el paquete no puede viajar de vuelta desde el terminal destino.