Los servicios de voz y video y la seguridad informática. Experiencias del CIGB Jorge Lodos Vigil, Yossué Rodríguez Cruz, Nelson Gamazo Sánchez Centro de Ingeniería Genética y Biotecnología (CIGB) Ave. 31 e/ 158 y 190 PO Box 6162 Tel: +53(7)218200 Fax: +53(7)218070 E-mail: [email protected] Resumen En el CIGB existe una red corporativa de mas de 500 computadoras y más de 900 usuarios, que soporta servicios tradicionales de datos. El desarrollo de las tecnologías de comunicación y sistemas de cómputo ha permitido la introducción de servicios no tradicionales, entre los que se encuentran servicios de voz y video. La implementación de estos servicios implica retos importantes a la seguridad informática. En este trabajo se describen estos retos y los recursos disponibles para los administradores de red para enfrentarlos, como la configuración adecuada de proxies y firewalls. Se discuten también las soluciones de seguridad adoptadas para los servicios de voz y video disponibles actualmente en la red del CIGB. Introducción La red corporativa del CIGB comprende en la actualidad más de 500 computadoras enlazadas localmente y en algunos segmentos por enlaces de área amplia. La red está dividida en 6 segmentos enlazados a través de 4 enrutadores y tiene más de 900 usuarios registrados en su directorio. El backbone de la red contiene segmentos con velocidades de 1Gbps y 100Mbps. Esta infraestructura soporta los servicios comunes de transmisión de datos como acceso a sitios WWW, correo electrónico etc., así como otros servicios corporativos de la institución. Con el desarrollo constante de las aplicaciones y los sistemas de comunicaciones, aparece la posibilidad de utilizar las redes tradicionales no sólo como transporte de datos, sino también de otro tipo de información, como voz y video. Esto abre nuevas posibilidades de uso y explotación de las redes instaladas. Así, con la adopción de ciertos estándares, la incorporación de algunos elementos de hardware y la instalación de determinados servicios, se hizo posible en la red corporativa del CIGB implementar servicios de mensajería de voz, transmisión de video en vivo y en demanda, videoconferencias y otros. Algunos de los servicios mencionados anteriormente se utilizan no solamente en la red interna de la institución, sino también a través de Internet. Esta situación establece requerimientos adicionales a la instalación y configuración, de forma tal que se garantice la seguridad informática no sólo de los servicios mismos, incluyendo los datos de voz y video generados, sino también del resto de la red, que pudiera verse comprometida por la necesidad de abrir nuevos puertos al tráfico de voz y video. Problemas de seguridad en los servicios de voz y video. Los problemas de seguridad de estos servicios podemos dividirlos en 2 categorías: 1) Seguridad de los datos transmitidos como voz y video, por ejemplo, una conversación confidencial y 2) Problemas aparecidos como resultado de la introducción de los servicios de voz y video, por ejemplo, nuevos puertos abiertos en los firewalls y/o nuevos programas ejecutándose susceptibles de ser penetrados o de ataques de denegación de servicio. Seguridad de los datos de voz y video: Los problemas de esta categoría se “resuelven” usando protocolos de cifrado o redes privadas virtuales. En el mundo de hoy, las agencias de inteligencia de muchos gobiernos y algunas compañías privadas tienen los recursos para obtener la información cifrada con cualquiera de los programas y protocolos de cifrado disponibles comercialmente. La garantía absoluta de que esta información pueda ser protegida no existe. En el CIGB, la política de uso de estos servicios establece que los mismos no pueden ser utilizados para transmitir información confidencial, ni a través de Internet ni usando la red local. A pesar de lo anterior, es conveniente tener la capacidad de usar el cifrado, para casos en los que el costo de obtener la información sea superior a las ventajas que pudiera representar la información misma. La tecnología de cifrado se utiliza en el CIGB solamente con los servicios de mensajería de voz y videoconferencias, todas las transmisiones de video consisten de información pública que no necesitan protección adicional a las brindadas por las listas de acceso en los servidores de WWW. Para garantizar el cifrado de toda la información entre cliente y servidor o entre clientes en el caso de las comunicaciones punto a punto, es necesario instalar y mantener una infraestructura de llaves públicas, (PKI de sus siglas en inglés). Con los mecanismos de llave pública y llave privada implementados con la utilización de certificados digitales, tanto los clientes como el servidor garantizan su identidad y cifran sus datos. En el CIGB todos los usuarios tienen el derecho de solicitar a la autoridad de certificación de la institución un certificado digital que les permita firmar digitalmente y recibir información cifrada a partir de la llave pública contenida en el certificado. Utilizando los certificados digitales los usuarios codifican la información contenida en los mensajes de correo electrónico, incluyendo los datos de voz. En el caso de las videoconferencias, los clientes pueden seleccionar el cifrado de toda la información transmitida en el caso de las conferencias entre 2 personas, en el caso de videoconferencias entre múltiples usuarios, el organizador establece la obligatoriedad o no de utilizar información cifrada. Los clientes pueden participar en la videoconferencia solamente si tienen correctamente instalados sus certificados digitales. De la misma forma, un certificado digital debe estar correctamente instalado en el servidor y los clientes configurados para confiar en la autoridad de certificación que emitió estos certificados. Amenazas a la seguridad como consecuencia de la introducción de servicios de voz y video: Los servicios de voz y video actuales utilizan el protocolo UDP, con puertos aleatorios por encima de 1024. Esto significa que estos puertos deberían estar abiertos permanentemente al exterior en las barreras protectoras o firewalls. Aunque esta situación por sí sola no representa un problema grave, en muchas ocasiones hay otros servicios utilizando puertos en ese rango que no pueden estar expuestos. Además se contradice uno de los principios de seguridad, que plantea prohibir todo primero y permitir solamente lo necesario después. La solución a esta situación es utilizar firewalls que soporten puertos dinámicos. Las conexiones con el protocolo UDP para los servicios de voz y video son siempre conexiones secundarias, establecidas por protocolos encargados de iniciar la conexión como el H323. El uso de puertos dinámicos permite que los puertos estén abiertos solamente mientras están siendo usados en una conexión de voz o video. En el CIGB se utilizan como firewalls el Firewall IOS de los enrutadores CISCO en su versión 11.3, y el ISA server de Microsoft corriendo en servidores Windows 2000. Aunque la introducción de cualquier nuevo servicio aumenta los riesgos de seguridad y los servicios de voz y video por sus características incrementan este riesgo, la utilización de puertos dinámicos los reduce al mínimo posible. Los administradores de red deben estar conscientes de que cuando utilicen servicios de voz y video en Internet, con las tecnologías actuales, tendrán abiertos un número de puertos por encima de 1024 para el protocolo UDP, además de los puertos necesarios para el inicio de las transmisiones de video y datos como H323 y T120. Si se utilizan puertos dinámicos la cantidad estará determinada por el número de usuarios que utilicen el servicio simultáneamente. Conclusiones Las redes necesitan una preparación para implementar servicios de voz y video, debido a las características particulares de los mismos. Los problemas de seguridad introducidos como resultado del uso de servicios de voz y video pueden ser minimizados y no impiden el uso de estas tecnologías en Internet. Actualmente se encuentran funcionando en la red del CIGB los servicios de mensajería electrónica, servicios de transmisión de televisión y video en vivo, video en demanda y videoconferencias entre 2 o más personas, sin que se hayan detectado violaciones de seguridad en los mismos servicios o la materialización de amenazas debido a la introducción de los mismos.