Planificación de las implementaciones de VoIP Con Soluciones Microsoft

Este artículo aborda la gestión de la centralita de VoIP, y propone que sea tratado como un servicio que debe de estar integrado por el administrador de la red. Se demostrará cómo la conectividad de voz se refiere a redes de datos y cómo implementar de manera efectiva y segura de una PBX en el contexto de una infraestructura de red.

convergencia 
 
Los administradores de red tienen ahora múltiples y variados métodos de comunicación que se ejecutan en su red. Mientras que los protocolos y servicios tales como Internet y correo electrónico, SMTP y HTTP, son bien conocidas y las técnicas para satisfacer esos son ampliamente conocidos y discutidos, la comprensión de VoIP a veces escasea. Con la convergencia de redes de voz y datos provienen de la convergencia de los roles dentro de una organización. Personal de TI y de telecomunicaciones no están claramente separados y no puede haber una superposición de funciones. Esto a menudo puede dar lugar a malentendidos por parte del personal que se hacen suposiciones acerca de los sistemas que no están familiarizados, en ambientes que no están acostumbrados.

Sin embargo, esto no significa que el manejo de las comunicaciones de voz y de datos necesita ser complejo y difícil de entender. De hecho, debido a la convergencia y el hecho de que la VoIP utiliza necesariamente IP, que es también la base para nuestra red de datos, no tenemos que tratar la infraestructura de VoIP de forma diferente a nuestra infraestructura de datos. Al observar las configuraciones de red comunes que verá lo fácil que es diseñar una infraestructura de VoIP segura y estable mediante el uso de principios similares a los utilizados en el diseño de redes de datos. En el ejemplo de principio vamos a discutir aquí es el de Front End y Back End, comunes en el uso del correo electrónico, entre muchas otras aplicaciones.

 
Los puntos de entrada 
 
Cuando se habla de la seguridad y la accesibilidad de un servicio dentro de una red, una gran parte de nuestra atención se centra en los puntos de entrada. Las preguntas que deberíamos preguntarnos incluyen:
¿Dónde están nuestros clientes?
– Están en el Internet, PSTN, Voz Interna y redes de datos internas
¿Dónde están nuestras amenazas?
– Cada punto de conexión podría representar una amenaza para los demás
Lo que la conectividad entre los servidores y servicios hay?
– Entrante y saliente de VoIP a través de Internet desde / hacia la central (SIP/H.323/IAX/RTP/etc ..)
– Las llamadas entrantes y salientes a la PSTN, a través de ISDN/T1/E1/POTS
– VoIP clientes de la red interna de datos utilizando los protocls VoIP mencionados anteriormente
– Teléfonos analógicos y digitales en la red de voz interna
El problema de colocación PBX

 
Es muy común para un sistema PBX para ser instalado directamente en la LAN corporativa y conectado a la PSTN, y cuando las comunicaciones IP se establecen éstos a menudo se permite directamente a la PBX. Véase la figura 1.
 
 Esto podría representar una amenaza significativa a la red interna ya que la red no está protegida de un compromiso de la central de alguien que acceder a través de la PSTN y ha limitado la protección de la Internet. Una vulnerabilidad en nuestra parte delantera (o de hecho, solamente) PBX da rienda suelta a los atacantes en nuestra red interna, con el único obstáculo es la única puerta de enlace y firewall / IDS en la interfaz de Internet.

Frente a una topología similar que implica a servidores de correo expuestos directamente a la Internet y también conectado a nuestra red LAN corporativa, que probablemente sería muy preocupado por la falta de protección por capas. Tenemos que preguntarnos, por tanto, cómo podemos añadir capas a proteger a una centralita de VoIP, que tiene conexiones no sólo a Internet sino también a los diversos proveedores de PSTN.

 
Una solución que funciona con otros servicios
 
Si bien hay una variedad de dispositivos de telefonía específicos disponibles para proteger a nuestros sistemas de VoIP, servidor de seguridad IP y sistemas IDS que tienen conciencia de VoIP son a menudo pasados por alto. Estos deben figurar en nuestro plan de diseño y ayudar a nosotros por la adición de capas de protección entre nuestros sistemas internos y externos. La figura 2 nos muestra, desde un punto de vista de red de datos, cómo manejar un sistema de VoIP dentro de nuestra infraestructura. Para mayor seguridad que realmente debemos separar esta más allá y tener una clara zona de despeje para nuestra central.
 

 

Consideremos el diagrama de red simplificada en la figura 2, que muestra un número de segmentos de red distintos y los cortafuegos / IDS separaciones entre ellos. Más de segregación es ofrecido por esta topología de la instalación anterior, y demuestra claramente la forma en que puede utilizar con eficacia las tecnologías ya desarrolladas para nuestras redes IP para ofrecer una protección para VoIP. En este punto no ha implementado nada que no sea el estándar de firewall basadas en IP y los sistemas de detección de intrusos que usaríamos si estuviéramos protección web y servidores de correo electrónico. Si examinamos cada segmento y su función más de cerca podemos ver que nuestra protección se ajusta pulg

Internet

Desde Internet a menudo hay dos grupos de usuarios del sistema de VoIP. Estos conjuntos son los siguientes:
Anónimo llamadas de VoIP – Esto podría ser usuarios de otras organizaciones piden nuestros usuarios a través de protocolos SIP/H.323/IAX/RTP directa o podrían venir a través de los troncos que hemos creado con el tercer partido ITSP.
Usuario remoto a los usuarios que pueden iniciar sesión en su extensión de forma remota.

Estos usuarios sólo pueden acceder a la central parte delantera directamente. Esto proporciona nuestra primera capa de defensa cuando se reciben llamadas de VoIP y es exactamente lo que haría con web / correo electrónico y otros servidores de aplicaciones. Podemos ver ejemplos de estos servidores en el diagrama como un ejemplo de cómo esta configuración es parecida a la común backend / frontend de configuración.

PSTN

Nuestra conectividad PSTN podría estar compuesto por cualquier número de conexiones T1/E1/ISDN/POTS a los proveedores de telecomunicaciones distintos. En una PBX tradicional de estas conexiones se conecta directamente a nuestro sistema central único con nuestros usuarios internos también conectado a este sistema. Para evitar esto, en este diseño, hemos propuesto la utilización de la central en la parte delantera de la misma manera que lo haría para la web y de correo electrónico basados en sistemas para ayudar a proteger el servidor de los ataques que se originan fuera de las fronteras de nuestras redes. Al colocar el segmento de RTC al lado de la Internet, podemos ver que pueden ser tratados de manera similar. El tráfico entre la conexión PSTN y la PBX parte delantera serían nuestras llamadas telefónicas entrantes y salientes a los troncos de PSTN. Para cualquier cosa para pasar más hacia atrás que sería necesario pasar a través de nuestra central de fondo y por lo tanto, un firewall / IDS.

Front End

Nuestro servidor front-end se encarga de todo el tráfico que plantea una amenaza externa. Tiene una conexión directa a la red PSTN e Internet y procesará todas las conexiones entrantes antes de pasarlas a la más profunda en nuestra red. La central parte delantera dispone de una conexión basada en IP, tales como enlaces troncales SIP o IAX a la parte de atrás. Todos y cada uno la comunicación entre éstos pasan por un sistema de cortafuegos e IDS antes de llegar a la LAN corporativa.

Red de datos interna

Esta red tiene nuestras estaciones de trabajo y otros dispositivos de datos internas. Si nuestras estaciones de trabajo tienen teléfonos de software instalado se puede comunicar con los servidores back-end y si tienen que hacer o recibir llamadas con los usuarios con sede fuera de nuestra LAN (a través de Internet oa través de la PSTN) lo hacen por tener sus llamadas sean transferidas a la PBX front-end para el enrutamiento.

Red de Voz Interna

Esta red contiene nuestros teléfonos tradicionales de hardware que es probable que la conexión directa a nuestra central. Sin embargo, ahora que nos hemos separado de nuestra red con el frente y los servidores back-end, a fin de que estos dispositivos para llamar a un dispositivo en cualquier otro segmento, deben pasar a través de un firewall y un IDS, como el tráfico IP.

Resumen

Un sistema de VoIP, mientras que la introducción del elemento de telefonía a una red de datos, todavía puede ser tratada de la misma manera que trataría cualquier otro servicio que tiene un componente de investigación. Hemos visto aquí que puedan efectivamente acceder a segmentos y control de la red en relación con los servicios de VoIP utilizando técnicas y tecnologías que ya están inexistente en nuestra red. Podemos reducir los riesgos que conlleva la implementación de VoIP con cuidado todos los aspectos de planificación y teniendo en cuenta que la mitad de la VoIP es “Protocolo de Internet”.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s


A %d blogueros les gusta esto: