DIEZ PRECAUCIONES PARA COMUNICACIONES UNIFICADAS SEGURAS

¿Qué riesgos pueden generar la Comunicaciones Unificadas en la continuidad de las operaciones empresariales?
El siguiente artículo del Gerente de Ingeniería de Logicalis Andina, Luis Alberto Guembes, responde a esta interrogante presentando los diez errores más comunes cuando se implementan las Comunicaciones Unificadas.

(americasistemas.com.pe. Lima, Perú – 09/09/2009) Implementar Comunicaciones Unificadas (UC) es una buena idea y está cada vez más al alcance de todo tipo y tamaño de empresa, incluyendo al trabajador móvil y remoto. Sin embargo, en el proceso de aplicarlas a nuestra organización suelen cometerse errores que pueden poner en riesgo la continuidad de nuestras operaciones. El Gerente de Ingeniería de Logicalis Andina, Luis Alberto Guembes, reseña en este artículo los puntos que no debemos descuidar.

Las Comunicaciones Unificadas son fundamentalmente aplicaciones y, por lo tanto, deberían estar sujetas a todas las medidas de seguridad informática periféricas e internas que se tomarían con cualquier servidor de aplicaciones (base de datos, CRM, ERP, etc.).

Este artículo trata sobre los diez errores más comunes que se dan en su implementación.

Primero: Implementar los procesadores de llamadas y servidores de aplicaciones UC fuera de la DMZ. Al exponer los servidores de UC al tráfico y alcance de la capa de acceso, se propician los ataques y abusos internos, poniendo en riesgo la continuidad del servicio.

Segundo: No integrar los servidores de UC a las políticas de control de acceso, sistemas de directorio y dominios. Si se excluyen los servidores UC de estas políticas, es posible que terminen siendo atacados tanto desde el interior como desde el exterior de la red, explotando vulnerabilidades que pueden ser incluso propias de otras plataformas intermedias.

Tercero: Omitir la política de contraseñas fuertes en las aplicaciones y clientes UC. Es una invitación a que cualquier usuario ponga en riesgo la configuración de los servicios UC de toda la empresa simplemente adivinando las contraseñas débiles o de fábrica de los servidores UC.

Cuarto: Desestimar la encriptación y certificados de confianza entre servidores de UC y clientes. La aparente complejidad de la encriptación y el uso de certificados digitales privados o públicos, desalienta a los administradores de red y servicios UC a implementar esta forma de seguridad, sin embargo, no hacerlo permite que conversaciones telefónicas sean grabadas o el servicio sea atacado libremente por cualquier terminal de la red.

Quinto: Publicar los servidores de UC para omitir el uso de VPNs seguras en clientes móviles y teletrabajadores. Exponer a redes públicas los servicios de UC es una mala idea por sentido común, sin embargo, existen formas seguras de hacerlo usando firewalls especializados para movilidad y para integración con plataformas 3G.

MÁS CUIDADOS
El hecho de que los operadores telefónicos usen ya masivamente Voz sobre IP para las comunicaciones de larga distancia nacional e internacional y la oferta creciente de telefonía sobre plataformas triple play, no son sino indicadores de que la adopción de soluciones de Comunicaciones Unificadas avanza inexorablemente hacia su posición final de plataforma incumbente en todos los entornos concebibles de las comunicaciones personales, empresariales e institucionales del planeta. Aquí continuamos con la segunda mitad de la lista de errores en la implementación de Comunicaciones Unificadas.

Sexto: Excluir a los servidores de UC de la protección contra intrusión y ataques de negación de servicio. La creencia general de que un procesador de llamadas o un servidor de aplicaciones UC están protegidos intrínsecamente contra intrusión y ataques de negación de servicio es falsa. Si bien es cierto, las plataformas de UC se basan en sistemas operativos “endurecidos” por el fabricante, necesitan la misma protección ante intrusos y negación de servicio que por ejemplo, un ERP, ya que finalmente son servidores y corren aplicaciones sobre una red IP.

Séptimo: Usar un servicio de DHCP no autenticado para los clientes locales y remotos. Un ataque sencillo de agotamiento del servicio de DHCP puede dejar fuera de la red a todas las aplicaciones IP simplemente evitando que los clientes obtengan automáticamente direcciones IP de manera segura, adicionalmente, sin un servicio DHCP seguro, es posible que un terminal intruso obtenga automáticamente una dirección válida de la red de UC.

Octavo: Excluir a los usuarios de UC de las políticas de RBAC y Logging (Self Service Border Policy). Las Comunicaciones Unificadas ofrecen el beneficio de que el usuario final del servicio tenga capacidades cada vez mayores de personalizar su forma de usar UC, sin embargo, excluir a los usuarios de las políticas de control de acceso basado en roles (RBAC) y no registrar sus acciones (Logging) es un riesgo temerario que muchas corporaciones toman sin sopesar el peligro de la pérdida de control e información forense al mismo tiempo.

Noveno: Omitir la segmentación básica de red para UC y datos, incluyendo políticas de QoS. La separación de VLANs de datos y VLANs de UC es básica, sencilla y directa, sin embargo es crítica como primer paso de aseguramiento de UC y para poder establecer políticas diferenciales de calidad de servicio (QoS). No es una gran idea que las aplicaciones UC compitan por control de tráfico con otras aplicaciones empresariales por que ponen en riesgo tanto la calidad como la integridad de las mismas.

Décimo: Omitir las aplicaciones UC que corren en la PC del cliente de las políticas de seguridad y remediación.