¿Tener tráfico en VLAN separadas enfrenta riesgos de seguridad VoIP?
Mantener datos y tráfico VoIP en VLAN separadas puede enfrentar riesgos de seguridad VoIP. Matt Brunk, experto en VoIP, aconseja al respecto.
Leí algo de información sobre mantener el tráfico de Voz sobre IP (VoIP) en VLANs separadas y estaba ansioso por ver si esta práctica de seguridad todavía se usa en 2012. ¿Debemos utilizar softphones como una cuestión común? Si es así, mi empresa no puede ejecutarlas en distintas Redes de Área Local Virtual (VLAN), porque tener dos tarjetas de interfaz de red (NIC) estaría fuera de contexto para nosotros.
Mantener los datos y el tráfico de VoIP en redes VLAN separadas es sin duda una buena práctica de seguridad, pero puede ser más fácil decirlo que hacerlo. Si se necesita una NIC adicional y un puerto de switch para separar el tráfico del softphone VoIP del tráfico de datos en la misma estación de trabajo, sería difícil vender esta idea en un entorno empresarial. ¿Existen alternativas seguras y económicamente justificables?
Es necesario analizar este tema. Si bien no es posible abordar todas las variables, me referiré sólo a las que tenemos.
Algunos teléfonos IP tienen puertos Ethernet primario y secundario programables. El primario es para el teléfono y el secundario es para el escritorio, es decir, hay un cable dedicado a la PC de escritorio.
Ahora, el switch que admite esto debe soportar, al menos, VLAN. Para tener acceso a las comunicaciones unificadas o habilitar sus computadoras de escritorio o servidores para la comunicación con la red telefónica, debe darse el enrutamiento entre las VLAN. Se necesitará un servidor de seguridad (firewall), y la mayoría de estos tienen capacidades de enrutamiento.
Si su red carece de alguno de los anteriores, entonces ¿por qué adoptar los teléfonos IP? Sin una tarjeta de red adicional y un puerto de switch, no tiene sentido ni siquiera intentar desplegar softphones. Mientras que los problemas de rendimiento con una PC pongan en peligro la aplicación de voz, se pueden implementar aplicaciones de teléfono sin tarjetas de red duales.
Las NIC duales eran alg oque probamos por lo menos hace 10 años con las primeras Centrales Telefónicas (PBX) IP. Esta idea fue bien intencionada, pero no es posible controlar o prevenir los problemas de rendimiento del PC que requieren que el usuario reinicie su computadora.
Los softphones son más confiables que en el pasado, pero prevalecen las mismas preocupaciones. El tamaño del escritorio sigue siendo importante, pero quedan otras opciones para los clientes softphone que se ejecutan en clientes ligeros, y hay numerosos dispositivos USB para voz que ofrecen opciones para mejorar la experienciade voz del usuario en un cliente de software.
Con el fin de valorar las VLAN hay que pensar en ellas como "comunidades virtuales de interés". Colocar datos en la VLAN-1 y voz en la VLAN-2, como ejemplo básico, permitirá un mejor rendimiento general de la red, ya que se está aislando el tráfico de difusión por el lado de los datos a la VLAN y lo mismo para voz. Usted no quiere la música en espera o el tráfico de paginación ejecutándose en su red de datos.
Entonces, para hacer frente a una solución segura y económicamente justificable de VoIP, necesita por lo menos los siguientes elementos básicos:
• Un servidor de seguridad (firewall)
• Un ruteador (router)
• Switches (conmutadores) administrados de Capa 2
No se puede renunciar a los elementos básicos en cualquier entorno empresarial porque sin ellos, es imposible justificar la realización del rol adicional de tráfico en tiempo real en una red centrada en los datos.