04 marzo 2009

IP: el anillo para gobernarlos a todos

Mucho hemos hablado en este blog sobre diferentes tecnologías, productos, buenas prácticas, para proteger las comunicaciones de las organizaciones a nivel IP. Al menos, lo hemos hecho, dando por supuesto que los datos que gestionábamos eran tráfico de red referente a protocolos normales, como la navegación web, el envío y recogida de correo, gestión SNMP, el de intercambio de ficheros mediante FTP o redes P2P incluso,... Y es que el protocolo IP (Internet Protocol) quizá por llevar la palabra "Internet" como parte de su nombre ha sido explotado para bien y para mal a lo largo de la última década.

De hecho, desde hace algún tiempo, en algunas organizaciones, se ha sumado a dicho tráfico el correspondiente a las comunicaciones de voz: la VoIP. En líneas generales, los dispositivos teléfonicos modernos compatibles con esta tecnología permiten efectuar virguerías gracias a la potencia del software de las centralitas. Mediante las mismas, es posible gestionar las extensiones en virtud de una IP en concreto del dispositivo en el que nos encontremos. Si vamos a estar físicamente en una sala de reuniones, se puede configurar la cdntralita para que las llamadas destinadas a las personas convocadas a dicha reunión, sean transferidas a la extensión del dispositivo IP situado en dicha sala de forma automática, o a un buzón de mensajes, a una persona de backup que se designe para contestar las llamadas mientras estás ocupado, y mil combinaciones y opciones más. Dada la naturaleza IP, tanto de los teléfonos como de las centralitas, abre el abanico de ataques a este tipo de tecnología, aunque le dedicaremos un post a esta parte en otra ocasión. Este tráfico telefónico (VoIP) circula de forma "protegida" a través de las redes, tanto internas como externas o sucursales, gracias a mecanismos IP utilizando normalmente VLAN tagging con 802.1Q. Para ello se establece una etiqueta previa a los paquetes que corresponden a dicho tráfico de manera que los elementos que gestionan esas comunicaciones, las conmuten por circuitos virtuales diferentes. En ocasiones es posible utilizar electrónica de red, únicamente y de forma paralela para VoIP, aunque lo más común es compartir el medio físico de la forma explicada anteriormente.
A la lista de novias que le han salido a la tecnología IP se suma ahora (y por los estudios de tendencias a los que he tenido acceso) una de las formas más antiguas de protección: la seguridad física. En el material de estudio del CISSP (entre otras) se dedicaba un capítulo entero a la seguridad física. Entre otras medidas (procedimientos establecidos ante situaciones para hacer frente a ataques de ingeniería social, cerraduras, controles de presencia, RFID, medidas de los muros de las instalaciones, materiales, tipos de extintores, etc...) se hacía referencia a lo más típico en las organizaciones e incluso en algunas ciudades: las cámaras de vigilancia (CCTV). De hecho, y dado que la red IP se considera algo de acceso universal, se pasa de tener una red cerrada de televisión a una red abierta. Esto, unido a las posibilidades de las redes wireless, incluso las de área extensa (como lo que se pretende hacer con WiMAX), se pasa de tener un despliegue de cámaras con cableado independiente (véase la similitud con la electrónica de red específica para VoIP expuesta anteriormente) a utilizar la infraestructura de switches y puntos de acceso inalámbricos junto a cámaras de vigilancia IP. A partir de aquí se abre un nicho nuevo de posibilidades, tanto de optimización y funcionalidad, como de ataques. Para ello, la electrónica de red deberá contar con mecanismos de priorización de este tipo de tráfico (casi al mismo nivel que para VoIP). Igualmente, el resto de los dispositivos que gestionen estos paquetes deberán estar provistos de "inteligencia" para discriminar entre tráfico lícito y malicioso, con una base de reglas sobre ataques (tanto a nivel IP como de aplicación) que exploten vulnerabilidades relacionadas con dichas comunicaciones.

Asimismo, las antiguas máquinas de grabar el video procedente de las cámaras viajan al museo, dejando paso a grandes sistemas digitales de almacenamiento que permitan mantener las evidencias visuales que puedan servir como prueba ante un incidente. Además, estos medios digitales de almacenamiento deberán estar protegidos a nivel físico como lógico de ataques con intentos de lectura, modificación, borrado de la información contenida (garantizando la privacidad de dichos contenidos) o denegación de servicio de la plataforma de almacenamiento en sí misma.

Fabricantes como Axis, Netgear y D-Link proveen tanto de los dispositivos de videovigilancia IP como del software necesario para la monitorización por parte de seres humanos (menos mal que aún seguimos siendo necesarios) y el control del almacenamiento de las grabaciones.

Desde el punto de vista opensource, recomendamos dos implementaciones estables y actualizadas: Motion y ZoneMinder. Ambas permiten integrar cámaras IP (o incluso algunas USB conectadas directamente a la máquina que las gestiona) de naturaleza y fabricante heterogéneo, unificando las grabaciones en una misma plataforma de gestión e incluso optimizando el espacio y rendimiento, de manera que se puede seleccionar que únicamente se grabe a disco cuando las imágenes recibidas contengan algún movimiento únicamente, de manera que las horas inproductivas de datos (cuando no ha habido cambios en lo grabado) no se almacena, ahorrando espacio de almacenamiento.

¿Qué será lo siguiente a integrar dentro del mundo IP?

3 comments :

Anónimo dijo...

Nota: D-Link no es Cisco. La compañía propiedad de Cisco es LINKSYS.

Lorenzo Martínez dijo...

@Anónimo -> Tienes toda la razón. Se me ha ido la pinza completamente. Lo he editado y solucionado.

lain dijo...

Gollum ahora dirá: "IP... mii tesooooro"

;P