Firewall Traversal: videoconferencia segura en IP

Aunque los dos problemas anteriores, firewalls y NAT, pueden ser resueltos en las empresas mediante diferentes métodos, como por ejemplo utilizando equipos que estén directamente fuera del firewall con direcciones IP públicas o utilizando equipos que soporten la funcionalidad de NAT H.323, ninguna de estas soluciones son posibles en todos los casos, ya que unas representan potenciales problemas de seguridad y las otras requieren un cambio, o actualización en el mejor de los casos, de gran parte de la electrónica de red. Por lo tanto, era necesario el desarrollo de un estándar de conexión que permitiera realizar videoconferencias en IP de forma segura atravesando firewalls y obviando la problemática del NAT, y esto es exactamente lo que hace el protocolo H.460 y sus apéndices .17, .18 y .19, más conocidos como protocolos de Firewall Traversal.

Así, en el caso de los puertos necesarios, reducimos todo el amplio rango dinámico anterior a tan sólo tres puertos fijos, siendo además necesario que éstos únicamente se abran en el sentido dentro – fuera, para ello se utiliza la técnica conocida como “pinhole”, que básicamente consiste en que cualquiera que sea el terminal que quiera iniciar la comunicación, el terminal protegido por el firewall abre una conexión contra el de fuera por la que ambos intercambiarán el media. En el caso del NAT, el problema se resuelve debido a que la solución Firewall Traversal incorpora un elemento hardware adicional, más conocido como Border Controller (BC), que se sitúa fuera de la protección del firewall y a través del cual pasa todo el tráfico H.460, haciendo la gestión de direcciones IP de forma adecuada.

De esta forma, mediante la solución Firewall Traversal, la videoconferencia entre terminales que se encuentran en distintas redes, y por lo tanto que necesitan utilizar NAT y firewalls, se ve simplificada y queda reducida a la utilización de tres puertos fijos en sentido dentro – fuera entre los equipos protegidos por el firewall y el BC. Asimismo, el BC debe ser visible por todos los elementos de la red para que éstos se puedan registrar en él tal y como lo harían en un GK, y poder hacer videoconferencias seguras entre ellos, pudiendo establecer, además, un plan de numeración único para toda la empresa. Adicionalmente, Firewall Traversal también permite realizar videoconferencias seguras entre empresas, para ello necesitaremos dar de alta en el DNS la dirección IP del BC de nuestra empresa y utilizaremos marcación URI, similar a las direcciones de correo electrónico, por ejemplo jose@empresaA.com, para llamar al destino. El DNS resolverá la consulta del dominio de la empresa destino (@empresaA.com) devolviendo la dirección IP de su BC, progresando la llamada hasta él para posteriormente llegar hasta el terminal, jose, en nuestro ejemplo anterior.

Por último, simplemente destacar que la técnica de Firewall Traversal no sólo es válida para la videoconferencia IP en H.323, sino que también lo es para SIP, y dará mucho que hablar próximamente.