Laboratorio

Comunicaciones Unificadas Móviles: Territorio tablet

Juan Blázquez — Mon, 14 May 2012 06:57:00 GMT

La informática empresarial es móvil. ¿Porque no pueden serlo las comunicaciones Unificadas? La potencia de los dispositivos de mano, la reducción de su tamaño y la mejora de las líneas de comunicaciones están posibilitando servicios y aplicaciones inviables hasta hace muy poco tiempo. Mantener una videollamada por wifi o 3G con el teléfono móvil ya resulta trivial y el consiguiente traspaso a las comunicaciones unificadas sólo cuestión de tiempo. Lo realmente difícil, es decidir qué terminales poner a los usuarios.

Como no podía ser de otra forma, definitivamente el video es también móvil. Como una conversación telefónica, como el acceso a Internet, como el correo electrónico y un largo etcétera de aplicaciones y servicios que los usuarios utilizan todos los días, en cualquier momento y lugar, tanto en su esfera privada como profesional, sin ningún remordimiento de conciencia. Y cuando se dice video, se dice video en toda su extensión. No se trata únicamente de poder ver en el móvil la última ocurrencia colgada en youtube o un largometraje por streaming. Se trata de eso y de mucho más. Como puede ser una videoconferencia. Hoy, un usuario de cualquier edad y condición, en su móvil, puede ver y oír en tiempo real a su interlocutor, con la misma dificultad que supone hacer una llamada telefónica. Aplicaciones para móvil como Skipe o Tango permiten estas comunicaciones por wifi o 3G, sin que suponga ningún dispendio extra para el usuario. Los chicos de Steve Jobs, con Facetime, por el momento sólo dejan que sea por wifi, aunque los entusiastas “aifoneros” esperan que la versión 5 del sistema operativo lo remedie.

Obviamente, asimilar estas facilidades técnicas a las comunicaciones unificadas y llevar sus prestaciones allí donde se encuentre el usuario, es inmediato. Como atestigua los desarrollos que varios fabricantes tienen ya en catálogo. Pero, las comunicaciones unificadas móviles no pueden serlo si no se cuenta con los dispositivos que la hagan posible. En un principio y hasta hace muy poco tiempo, se consideraba que los smartphones con capacidad wifi, con pantallas mas amplias y mejoradas iban a marcar la línea evolutiva en la movilidad de las comunicaciones unificadas. Sin embargo el desarrollo vertiginoso y la aceptación entusiasta por parte de los usuarios de esos nuevos dispositivos denominados “tabletas” han trastocado todo el panorama y está obligando a repensar el futuro inmediato de los dispositivos para UC y, por extensión, la conveniencia del resto de dispositivos informáticos ahora en uso dentro de la empresa.

Tendencias

Aunque las tabletas fueron ideadas y lanzadas para uso privado, su onda expansiva también ha llegado a la empresa de tal forma que algunas prospecciones de mercado, como las hechas por Deloite, estiman para este año que el 25% de los compradores de estos dispositivos serán corporativos. Porque aunque la irrupción de esta nueva especie de dispositivo en el ecosistema hardware de las empresas era a nivel directivo, su versatilidad ha posibilitado que el resto de niveles y funciones sean permeables a su empleo y su adopción se extiende de forma imparable. Algunos analistas los plantean ya como sustitutos del teléfono y PC de sobremesa para los sedentarios y el complemento ideal para el teléfono móvil, para los nómadas de la empresa. Una tableta actual no tiene ningún complejo frente a un think client, son muy fáciles de utilizar y pueden transportarse más cómodamente que cualquier portátil.

En su aplicación para las comunicaciones unificadas, se dislumbran actualmente 2 tendencias para incorporar estos dispositivos al hardware corporativo. Tabletas generalistas y tabletas especializadas. Ambas son muy similares y sólo se diferencian en algunas capacidades, principalmente voz, tomando, claro está, tablets equivalentes y la incorporación de aplicaciones específicamente escritas para las funciones de las comunicaciones unificadas que son válidas sólo para la tableta en la que van a ejecutarse. En un extremo esta la inefable IPad y toda la cohorte de dispositivos con los que compite directamente Apple, Samsung con Galaxy Tab y Motorola con Xoom, como los más acérrimos y de sobra conocidos por el gran público. En el otro, los principales actores son Cisco y Avaya, con la tableta Cius el primero y la ADVD el segundo, dispositivos familiares a los iniciados en las comunicaciones unificadas.

Por cual decidirse

Las tabletas se han revelado como un dispositivo idóneo para aquellos empleados que pasan la mayor parte de su jornada fuera de la empresa, como los técnicos de reparaciones. Para el personal de campo, en la práctica, las tabletas resultan un híbrido entre portátil y un teléfono móvil, que les proporciona un alto grado de autonomía y portabilidad.

Las ventajas de una tableta frente a otros dispositivos para la movilidad son principalmente que tienen una pantalla más grande y de mejor calidad que un Smartphone, un peso más reducido que un portátil junto a una batería de larga duración.

Que hay que incorporar tabletas para las comunicaciones unificadas actualmente parece inevitable. Pero a la hora de definir el criterio con el que elegir qué tableta estandarizar en la compañía, los responsables de la decisión no lo tienen fácil. Aunque a priori las tabletas especializadas en UC tienen un mayor grado de integración y esta elección parece la más acertada, quien verdaderamente va a validar el acierto de la elección será el empleado con el uso que haga del dispositivo. No parece que la comparativa de la relación calidad/precio/prestaciones de las tabletas generalistas o especializadas que hay disponibles en el mercado sea ya un indicador fiable para acertar en la elección. Triunfará, evidentemente, aquella que el empleado más utilice. Y esa, ineludiblemente, será la que le resulte más fácil de usar, acarrear y pueda aplicar en otros ámbitos que no sean sus ocupaciones estrictamente profesionales. Con usuarios altamente tecnificados y con una fuerte dependencia de sus dispositivos para trabajar, ocio, relaciones personales y otras actividades cotidianas, la tableta que les resultará más satisfactoria es aquella que puedan echar en la maleta cuando viajen de vacaciones. Esta es una valoración que parece tan evidente que los desarrolladores de tabletas especializadas, los fabricantes de tabletas para UC, están liberando sus aplicaciones para que puedan ser instaladas y ejecutadas en otras tabletas generalistas y de otros fabricantes.

Con estos nuevos dispositivos, posiblemente ocurra algo similar a los teléfonos móviles en donde no es raro encontrarse empleados que utilizan terminales de su propiedad, que son más potentes y sofisticados que los que les entrega su empresa y de esta forma pueden tener en un único aparato combinada su actividad profesional y su actividad privada. Una tendencia con nombre propio, BYOD, Bring Your Own Device, que inicialmente puede parecer “barata” para la empresa pero que plantea problemas serios para la gestión, confidencialidad y seguridad de datos y programas.

Como se ve, no es sólo evaluar uno u otro dispositivo, si no también decidir quién lo proporciona: el empleador o el empleado.

GESTIÓN DE IDENTIDAD EN EL CLOUD: AUTENTICACION SAML

Juan Blázquez — Tue, 10 Apr 2012 14:45:00 GMT

Uno de los aspectos que para muchos aún no queda suficientemente claro en el cloud computing es la seguridad. Concretamente de qué lado cae la identificación de los usuarios y el control de acceso a los recursos y aplicaciones que tienen disponibles: ¿Lo gestiona el proveedor o el cliente? ¿Por qué no ambos?

Esta es la propuesta de los sistemas de Identidad Federada, proporcionar un sistema de autentificación entre organizaciones que permita que los usuarios de una organización puedan acceder, de forma controlada, a los servicios y/o aplicaciones disponibles en otra compañía. Una situación que se da con más frecuencia de lo que a los responsables de sistemas les gustaría y que con el cloud computing adquiere más relevancia si cabe. Los escenarios de cliente-proveedor, la relación de fabricante-distribuidor o los distintos contextos que se pueden dar entre empresas de un mismo grupo o multinacionales, han sido hasta ahora los entornos en los que disponer de un login único, Single Sing-On, SSO, hubiera facilitado mucho su interrelación y hubieran permitido conseguir procesos más simples y eficaces. El advenimiento del cloud computing y las ventajas evidentes que tiene para cualquier organización la instalación de su informática en ese limbo virtual, hace más necesario que nunca contar con un sistema de gestión de identidades que permita una fácil relación entre el proveedor de servicios que tiene que dar acceso a los recursos y/o aplicaciones y el cliente corporativo, quien determina qué usuarios utilizarán y cómo, los servicios contratados. Y, por supuesto, tanto para unos como para otros, proveedor y cliente, con total garantías de que se hace un uso seguro de aplicaciones y contenidos.

De los distintos modelos barajados para atender esta necesidad, la Identidad Federada es el que finalmente se ha impuesto y han sido varias las tecnologías que han surgido a lo largo del tiempo hasta desembocar en el estándar propuesto por OASIS SAML, Security Assertion Markup Language, que con la versión 2.0 parece que se impone claramente sobre el resto de propuestas que seguían este modelo.
Las identidad Federada que propone SAML permite crear un “círculo de confianza” entre distintas organizaciones para que puedan emplear entre ellas una misma autentificación de usuario de forma nativa, sin necesidad de tener que compartir la misma tecnología de directorio, modelo de seguridad y mecanismos de autentificación o recurrir a pasarelas de conversión que les permita entenderse entre ellos. Permite una gestión de identidad eficiente, puesto que permite la sincronización de datos identificativos entre las entidades federadas, gestión de acceso, agrupación y auditorias e informes.

¿Cómo funciona?

Cuando un usuario acude a iniciar sesión en un sitio web que exige autentificación y que opera en un dominio externo al suyo, el servidor web, al no disponer de ninguna información que valide el acceso del usuario, redirecciona su petición a un servidor local de federación de identidad. Este servidor, tampoco dispone de información para verificar las credenciales del usuario por lo que tiene que reenviar la petición de inicio de sesión a un servidor remoto de la federación, capaz de autenticar al usuario. Será este último servidor quien se encargue de recoger el login de usuario, normalmente nombre y contraseña aunque puede ser cualquier otro mecanismo de comprobación de identidad, como los “tokens”, hardware o software. Una vez que el servidor de federación remoto ha verificado la identidad del usuario, normalmente a través de un servidor LDAP de su dominio local, se genera un ticket, una “aserción” en la nomenclatura de SAML, un mensaje XML en la práctica, que el usuario validado integra en su navegador y que presenta al servidor de federación del sitio web al que quiere acceder. Este servidor, extrae el mensaje XML y lo sustituye por una cookie de sesión que el sitio web reconoce como autenticación validada y podrá utilizar para el control de acceso al contenido albergado.

Como se desprende de la descripción, el proceso seguido por las entidades implicadas para la autenticación es trasparente para el usuario, quién sólo ha de hacer un único inicio de sesión, frente al proveedor del servicio, la entidad que le proporciona el recurso al que quiere acceder. Su identidad es verificada por el proveedor de identidad, cliente, que es quien verdaderamente se responsabiliza de toda la gestión de identidad del usuario. Ambos proveedores aunque son organizaciones o, si se prefiere, dominios diferentes, pueden utilizar una firma única y un único login de acceso gracias al mensaje que intercambian en el documento XML que, de forma estandarizada, contiene información sobre el método de autenticación utilizado y los atributos de identidad que puedan ser necesarios para el control de acceso a los recursos y aplicaciones. El intercambio de estos mensajes puede ser iniciado por cualquiera de las dos entidades, utilizando diferentes medios convencionales como es el socorrido HTTP en el modo más básico o entornos más complejos, como son los desarrollos SOA, Service Oriented Architecture, Arquitectura Orientada a Servicios de cliente. Sea cual sea el iniciador de los mensajes, el proveedor de servicio no dará acceso a un recurso o aplicación hasta que no reciba del proveedor de identidad la “aserción” que permita el acceso o, en su caso, la denegación.

Nada nuevo bajo el sol.

Aunque la identidad federada pueda parecer un modelo de autenticación que surge con el impulso del cloud computing, lo cierto es que esta tecnología entro en vigencia hace ya varios años, tratando de resolver la problemática de gestión de identidad que se han encontrado las organizaciones desde el momento en que han tenido opción de conectar y establecer una relación telemática más efectiva y eficiente para sus negocios. Hasta la normalización de SAML 2.0, la IdM, Identity Management, Gestión de Identidad, para relacionar varias organizaciones independientes pasaba por la negociación y despliegue de los protocolos y los mecanismos de conversión a emplear, que no siempre resultaban viables para todas las organizaciones que se querían federar, por lo que rápidamente se abandonaba cualquier conato de federación y se optaba por el prosaico método de proporcionar cuentas de usuario en el dominio propio, a personas de otras organizaciones, previa petición y autorización. Asumiendo, claro, la problemática de alta, bajas y modificaciones que toda cuenta conlleva. Al adoptar la plataforma de IdM que proporciona SAML, el esfuerzo de administración y comisión que conlleva la gestión de usuarios se simplifica, puesto que ya no es necesario mantener en el sistema propio las cuentas de los usuarios externos. El dominio local del usuario es quien se encarga de su gestión y a través de esta tecnología federativa se normalizar y elimina la comunicación de la validación, entre los federados sin necesidad de recurrir a soluciones complejas y confusas, nunca baratas de implantar y mantener.

Verlo para creerlo.

Son ya muchos los proveedores de servicios que permiten integrar los dominios de sus clientes en sus sistemas de autenticación federados. Google Apps es uno de ellos, tal vez el más conocido, extendido e inmediato de experimentar. La autenticación federada de Google puede servir para entender el mecanismo de autenticación conceptualmente, pero si lo que se necesita es tocarlo más de cerca para comprobar su funcionamiento y posibilidades, cabe la posibilidad de montar un laboratorio de servicios federados. Se necesita poco. Por ejemplo, en Microsoft, también lo más extendido, este modelo de gestión de identidades se implementa mediante Active Directory Federation Services que viene de serie con Windows 2008 Server R2.

En el sitio de Microsoft es posible recopilar abundante documentación sobre este servicio para diseñar e implementar su despliegue, desde el lado de las infraestructuras de sistemas, así como ejemplos e información sobre cómo integrar esta autenticación en los sitios web. Porque no todo es federar dominios, relacionándolos mediante una tecnología estandarizada. Es necesario que las aplicaciones web sepan como localizar la información de autenticación de la federación y cómo manejarla para dar acceso a los contenidos. Por ejemplo, los servicios federados del Active Directory supone una buena oportunidad de comprobar como los usuarios de nuestros socios de negocio pueden acceder de forma controlada al sharepoint corporativo e integrarse en los procesos propios, sin necesidad de tener que preocuparse de que esos usuarios externos vuelvan a olvidar cual era su usuario y contraseña.

WIFI EN TELEVISION: WRAN----> Wifi de Red de Area Regional

Juan Blázquez — Mon, 20 Feb 2012 14:05:00 GMT

El pasado mes de Julio, el IEEE aprobaba para su implementación comercial el nuevo estandar inalámbrico 802.22, que será conocido como WRAN, el wifi que llevará Internet a los confines de la sociedad de la información por la señal de TV.

La problemática para llevar servicios de datos a las zonas alejadas de los núcleos urbanos o a zonas de baja densidad de población es, qué duda cabe, económica. Para alcanzar las zonas menos pobladas y remotas, los operadores tienen que afrontar importantes inversiones en equipamiento para superar distancias y dificultades orográficas, en unas condiciones de dudosa rentabilidad comercial. Una situación que puede parecer, simplemente, un problema “comercial” de los operadores. Sólo decidir si asumen o no los riesgos de dar cobertura a una determinada zona, dentro de su estrategia de negocio. Sin embargo, en la práctica, para los usuarios afectados es una decisión que condiciona directamente sus posibilidades de desarrollo personal y profesional.

Para todos es evidente la gran diferencia en los servicios que hay disponibles dentro de las infraestructuras de comunicación de las zonas muy pobladas, las ciudades, respecto a aquellas otras en donde la densidad de habitantes es mucho más reducida, el ámbito rural. Un problema que no es exclusivo de España. Se da en todos los países en mayor o menor medida y el tamaño de esta brecha tecnológica está condicionado por el nivel de desarrollo del país, su extensión geográfica y, por supuesto, el número de habitantes. Afecta por igual a ciudadanos en su actividad privada como a las empresas en su acción de negocio. Mientras que para su ámbito privado los usuarios pueden aclimatarse a las carencias de los servicios de datos que tengan disponibles en su zona de residencia, no ocurre lo mismo en su esfera profesional y mucho menos a nivel empresarial: Hoy por hoy, las posibilidades de acceso que tenga el emplazamiento de las compañías y profesionales a los servicios de datos marcan sus costes y sus posibilidades de negocio. Prácticamente se puede afirmar que sus posibilidades de éxito y supervivencia están en proporción directa a la calidad y uso de sus comunicaciones. En esta “sociedad de la información”, el acceso a los servicios de datos no es algo que pueda ser considerado secundario o accesorio.

Para atender estas necesidades, las tecnologías basadas en Wifi, los estándares 802.11 en todas sus variaciones, se han perfilado como el medio de conexión que puede aportar los mejores resultados para ampliar la cobertura de zonas remotas y llevar Internet a un grupo mayor de población. Esta es una de las razones que explican la rápida evolución de esta tecnología y la innovación constante que han dado lugar a estándares como WIMAX, Worldwide Interoperability for Microwave Access, Interoperabilidad Mundial para Acceso por Microondas, que basada en la tecnología inalámbrica 802.11 ofrece un potente alcance y caudal, hasta 75 Kms con velocidades de hasta 75 Mbps, según condiciones. Estas tecnologías se presentaron como la solución definitiva para dar cobertura a aquellas zonas de difícil alcance, pero en la práctica, ni WIMAX ni otras tecnologías similares, no han logrado cumplir con sus expectativas. Seguramente porque no resuelven totalmente la ecuación de rentabilidad comercial a la que están obligados los operadores de telecomunicaciones. A pesar de la madurez de las conexiones inalámbricas, sigue siendo necesaria una tecnología fácil, rápida y barata de desplegar, de muy amplio radio de cobertura y buena velocidad de transmisión de datos.

Y es por ello que la industria no ha dejado de buscar soluciones que mejoren las prestaciones y despliegue de las tecnologías actualmente en uso y una de las posibles alternativas es WRAN: Wireless Regional Area Network, Wifi de Red de Área Regional. Un muy reciente estándar Wifi que se presenta como el medio con el que se resolverán las carencias de las actuales tecnologías para llevar Internet allí a donde ahora resulta difícil y poco beneficioso para los operadores poder llegar.

Radio cognitiva en TV

La principal novedad que incorpora el recientísimo estándar IEEE 802.22 es que se trata del primer estándar inalámbrico que implementa el paradigma de la radio cognitiva. Un modelo de transmisión en donde los parámetros de la conexión en emisión y/o recepción de señal pueden ser modificados en cualquier momento por los nodos interconectados, según su observación de varios factores del medio de transmisión, como es el espectro de radiofrecuencia disponible, la actividad del nodo o el estado de la red. Un modo de funcionamiento que hace más eficiente la conexión inalámbrica ya que proporciona al usuario los servicios y recursos de conexión más adecuados a la actividad de cada momento, sin que el usuario tenga que intervenir resultándole totalmente transparente su operativa. La radio cognitiva es una retransmisión adaptativa al medio que se comporta con un esquema de “caja negra” para el usuario.

Y no es la única novedad que trae WRAN. Su desarrollo se ha centrado en el aprovechamiento de las frecuencia de televisión, aquellas frecuencias no utilizadas, que hay dentro del espectro radioeléctrico dedicado a estas transmisiones audiovisuales. Es decir, los nodos que se interconectan con WRAN son capaces de detectar aquellas frecuencias del rango dedicadas a la TV que no están en uso e introducir en ellas su señal. Se utilizan las bandas de TV ya que es un sistema implantado en todo el mundo y no está totalmente ocupado, no como ocurre con otros espectros, licenciados o de libre acceso, que se encuentran ya saturados y es difícil introducir nuevas señales claras. Añade la ventaja de que al aprovechar la infraestructura de retransmisión televisiva se facilita el despliegue e implantación de esta nueva tecnología inalámbrica, ya que no se requiere de otros medios básicos a los ya disponibles. El nuevo wireless puede utilizar frecuencias de la TV Analógica, así como canales de TV Digital. Incluso, puede aprovechar las frecuencias en las que funcionan los micrófonos inalámbricos, según situaciones puntuales.

Alcance hasta 100 Kms.

También es llamativo en este nuevo estándar el área geográfica que puede llegar a cubrir: Puede llegar a propagar la señal hasta 100 Kms. Un alcance máximo de señal espectacular que consigue según la potencia de los dispositivos emisores que están sujetos a la legislación de cada país. Lo habitual será, en estos primeros compases del estándar, contar con dispositivos con una potencia de radiación que alcancen los 33 Kms. y es previsible que en poco tiempo vayan incrementando su radio de acción manteniendo la potencia de radiación, a medida que las sucesivas generaciones de dispositivos vayan completando su desarrollo comercial y se perfeccione su tecnología. Poca comparación se puede hacer con el otro wireless con el que podría entrar en competencia directa, WIMAX, porque todo apunta a que ésta es una tecnología que ya no cuenta para los operadores como solución genérica para dar un servicio masivo comercial de abonado.

Posiblemente el abandono de WIMAX y el previsible desarrollo de WRAN se deba a que el amplio radio de cobertura que alcanza éste último conseguido con un equipamiento e infraestructura relativamente sencillos. Sobre el papel, plantea una solución que es viable para que las operadoras puedan desplegar una infraestructura de conexión de coste asumible para captar a esos clientes dispersos y atractiva para los posibles abonados, empresariales y residenciales, que pueden esperar un suministro de datos consecuente con las necesidades de conexión de hoy en día y, no menos importante, pagando unas cuotas previsiblemente asequibles. Y es que WRAN a cobertura une capacidad. Las tasas de transmisión de este wifi no tienen nada que envidiar a las que se ofrecen en ADSL. WRAN puede llegar a velocidades equiparables tanto en subida, con 384 Kbps, como en bajada, en donde entrega 1,5 Mbps. Unas velocidades de transferencia más que suficientes para atender los requerimientos de las aplicaciones más habituales en Internet, incluyendo las más complejas. Eso sí, son velocidades de conexión que asumen la presencia de 12 usuarios conectados simultáneamente, puesto que WRAN tiene un caudal máximo de 18 Mbps por canal. A primera vista es una densidad de conexiones cortas para alcanzar esas velocidades, pero hay que tener en cuenta que son referidas a células y que es una tecnología orientada a atender unas necesidades de cobertura de servicio complicadas. Cuando se lleve a cabo su despliegue, en algunos lugares será más que suficiente una célula, mientras que en otros será necesario atender la demanda con un número mayor.

Al hablar de velocidad, cabe destacar que WAN puede avalar el caudal de datos ofrecido gracias a su capacidad para poder utilizar, simultáneamente y en la misma transmisión, más de un canal. Lo que se denomina Channel Bonding o agrupación de canales salteados. Es una característica opcional de funcionamiento y su activación depende de la existencia de canales desocupados y que las condiciones del estado de la red provoquen su uso.. En televisión es frecuente que alrededor del canal de emisión de una cadena televisiva, para evitar interferencias, queden vacios dos o más canales adyacentes. WRAN con su capacidad de detección y movilidad espectral puede aprovechar esos huecos para introducir su señal sin perturbar las retransmisiones televisivas.

Y en lo que respecta a seguridad, este importante aspecto de la comunicación hereda la experiencia de las tecnologías wifi más veteranas y parece bien resuelto. Incorpora mecanismos de seguridad que impidan la intrusión en la comunicación, con protocolos de cifrado fuerte con 3DES y AES de 128 y 192 bits respectivamente, así como el empleo de certificados X.509 para autenticar el acceso al medio y evitar suplantaciones del usuario final. También, a nivel de acceso al medio, cuenta con protocolos de seguridad con la que proteger la privacidad de la conexión, por lo que es un estándar que está lo suficientemente preparado para responder a las exigencias de seguridad que se dan actualmente.

Imprevisible futuro.

En lo que respecta a sus perspectivas de futuro, al nivel de despliegue e implantación que puede llegar a alcanzar esta tecnología, sólo cabe hacer un pronóstico incierto. Es un estándar muy reciente y la tecnología que lo sustenta aún le queda bastante recorrido en su desarrollo. El aprovechamiento de la infraestructura de TV es lo que puede decidir a los operadores a impulsar este nuevo wifi, aunque no hay que olvidar que ya existen tecnologías inalámbricas que ofrecen unos parámetros de funcionamiento similares, en alcance y caudal de datos, que apenas ha tenido avance evolutivos y de implantación. En muchos países, parece claro que las frecuencias de TV no utilizadas se dedicarán a dar acceso a Internet y WRAN es una tecnología que ha sido diseñada para soportar técnicamente este tipo de conexiones, por lo que cabría esperar que este nuevo estándar tenga más éxito que otras tecnologías equivalentes. Es por ello que, sin duda, su expansión dependerá del empuje comercial que le den los operadores de telecomunicaciones que vean en el aprovechamiento de la infraestructura de TV ya existente un medio fácil, rápido y asequible de ampliar su red de difusión y, por ende, el número de abonados. Si no es así, posiblemente este nuevo wifi acabe en el cajón del olvido como ya ha ocurrido con otras tecnologías igual de prometedoras en sus arranques.

Lo que si es un hecho incuestionable es que incorpora avances novedosos y significativos que seguro tendrán influencia en el desarrollo y evolución de las tecnologías de conectividad ya utilizadas y en otras que están por llegar, independientemente del éxito o fracaso de WRAN.

Seguridad en VoIP: Fuzzing

Juan Blázquez — Thu, 25 Aug 2011 07:03:00 GMT

Retomando el anterior post, una cosa es comentar la necesidad de securizar la infraestructura de voz tanto o más que la de datos, por los riesgos e implicaciones que entraña llevar la voz en IP, predicar. Y otra muy distinta, dar trigo. Que es de lo que se trata ahora. O dicho de otro modo. ¿Como saber que el sistema de telefonía es seguro?

Puede parecer que la voz en IP es un tráfico complejo y la realidad es bien distinta. Para muestra un botón. Las escuchas telefónicas se puede llevar a cabo utilizando programas analizadores de red, sniffers, que incorporan entre sus funciones capacidad para capturar tráfico de voz, analizar flujos de datos e, incluso, salvarlos como archivos de audio para su reproducción posterior. Para ello no hay que ser un consagrado hacker, ni utilizar programas complejos sólo al alcance de los iniciados. Sin ir más lejos, un programa como Ethereal también conocido como Wireshark, aparentemente inocuo, de sobra conocido por todos, tiene capacidad de recuperar tráfico UDP del protocolo RTP, seleccionado las opciones oportunas, analizar una sesión capturada como flujo continuo de datos, no como paquetes aislados, y guardarla como un fichero de sonido, reproducible con cualquier programa de audio convencional. Y lo más sangrante es que no es necesario saber hacer “arcos de catedrales” para manejar un programa como este.

Para conocer el estado de la seguridad de cualquier sistema de voz en IP, nada mejor que recurrir al testeo funcional de protocolos. Es decir, hacer fuzzing de VoIP. Se llama fuzzing a diferentes técnicas para sondear programas en busca de defectos o de vulnerabilidades, comprobar que las aplicaciones funcionan correctamente, encontrar posibles errores de operación y descubrir brechas de seguridad. Se aplica a todo tipo de programas y/o servicios y, como no, también se puede utilizar para comprobar el estado de salud de nuestro sistema de VoIP.

Para esta telefonía, existen multitud de herramientas que se pueden utilizar para realizar estas comprobaciones, tanto comerciales como de libre disposición. En la página http://www.voipsa.org/Resources/tools.php, se puede encontrar una completa relación de estos programas, perfectamente categorizadas y descritas. Herramientas muy útiles para que los técnicos de soporte verifiquen su sistema de telefonía.

…..pero desgraciadamente también pueden ser temibles en manos desaprensivas……..

VoIP: hablar sobre seguro

Juan Blázquez — Tue, 14 Jun 2011 13:04:00 GMT

El ahorro de costes en comunicaciones y la mejora de la productividad de los usuarios, son las principales razones para implantar telefonía por ip, voip. Pero además de todos sus beneficios también introduce un nuevo nivel de riesgo en la seguridad del sistema que no puede dejar de ser tratado.

Como bien saben todos, la tecnología de VoIP se ocupa de la transmisión de señal audiovisual sobre un medio diseñado específicamente para transportar datos, como es la red TCP/IP. Encapsula voz e imagen en paquetes IP de forma que una llamada telefónica o una videoconferencia puede ser manejada, desde el punto de vista de infraestructura, igual que cualquier otro servicio del ordenador; como el correo electrónico o las páginas web, salvando, claro etá, las diferencias y particularidades que tiene cada servicio. Como aplicación informática que es, VoIP está sujeta a las mismas contingencias que el resto de los servicios, además de otros que le son propios, consecuencia de su propósito, características y modo de funcionamiento.

Aunque es una tecnología relativamente reciente, las amenazas que se cierne sobre ella son las mismas que desde siempre se vienen produciendo en la red de datos para otras aplicaciones. Viejos riesgos y ataques que afectan a VoIP modificados con las lógicas adaptaciones a las características del servicio. Es por ello, que, para cualquier proyecto de implantación y gestión de telefonía IP que se acometa, además de las especificaciones de rendimiento y funcionalidades, se han de incluir requisitos que tengan en consideración la protección del servicio, cubriendo aquellos aspectos relacionados con las garantías de continuidad del servicio, la privacidad de las comunicaciones y la protección frente a fraudes. Es imprescindible adoptar medidas de protección frente a las eventualidades que puedan afectarlas.

Para la disponibilidad de la telefonía IP, hay que tener en cuenta que el tráfico de voz y/o imagen, es especialmente sensible a los ataques de denegación de servicio generalistas como los basados en la sobrecarga de paquetes circulantes en la red, fragmentación IP, malformación de paquetes y spoofing. La telefonía IP es especialmente vulnerable a los ataques de denegación de servicio convencionales DoS y a las nuevas técnicas de agresión distribuidas, DDoS. Hay que tener en cuenta que, hasta hace relativamente poco, el estado de la tecnología hacía más recomendable que estos servicios multimedia tuvieran una electrónica independiente, por lo que el riesgo de fallo por saturación de la red resultaba poco probable. Ahora, sin embargo, las comunicaciones unificadas han cambiado radicalmente este modelo de despliegue y, en consecuencia, las precauciones que se deben adoptar.

En las tretas para la denegación de servicio, VoIP tiene su propio talón de Aquiles. Al operar sobre ciertos puertos específicos bien conocidos, se han desarrollado ataques específicos orientados a provocar la saturación de tráfico sobre ellos con la intención de impedir que los usuarios puedan utilizar su teléfono. Los teléfonos IP individuales, como dispositivos informáticos que son, pueden ser perfectamente objetivos individualizados para ataques de denegación de servicio. Ataques que pueden ser generalistas, que afecten a todos los usuarios, al sistema en su conjunto. O muy selectivo, desconectando a un determinado grupo de usuarios o, incluso, a una persona en concreto, interrumpiendo sus llamadas o impidiendo que pueda hacerlas. Algo que se puede conseguir fácilmente provocando el “cuelgue” del teléfono o reinicios continuos, aprovechando vulnerabilidades del software de los teléfonos, técnicas de fuzzing, flooders o de desbordamiento de buffers. Configuraciones de fábrica no modificadas y vulnerabilidades conocidas en el software de estos teléfonos no corregidas suelen ser, a menudo, la causa directa de que prosperen estos ataques.

Y el funcionamiento normal de esta telefonía no se está exento de sufrir agresiones. Uno de los riesgos a los que se ha de prestar especial atención en VoIP es la posibilidad de sufrir ataques dirigidos a obtener datos o lograr la intrusión en el sistema, con el objetivo único de perpetrar algún fraude. Los accesos no autorizados y/o el compromiso de datos sobre facturación, registro, funciones telefónicas o configuraciones pueden permitir que los intrusos provoquen una factura telefónica que provoquen el colapso cardiaco del responsable financiero de la compañía. Los fraudes telefónicos están a la orden del día y los atacantes cuentan con una experiencia heredada directamente de las ancestrales técnicas “phreakers” que se vienen utilizando en el hackeo de líneas telefónicas convencionales, desde que el teléfono se relacionó con el ordenador. Gatekeepers y gateways mal posicionados en la red, sin la suficiente seguridad y la ausencia de monitorización en el control-registro de llamadas es terreno abonado para que puedan prosperar estos peligrosos ataques.

Privacidad amenazada.
Igualmente, se ha de cuidar con atención las medidas de protección de la privacidad del servicio, pues el quebranto de la esta privacidad transciende a la cuantificación de daños de otros delitos informáticos serios y tienen implicaciones legales mucho más graves. Como puede ocurrir con las escuchas telefónicas ilegales.

En la protección de la privacidad de las llamadas en telefonía IP, la primera preocupación, la protección de las sesiones. Es imprescindible que se produzca la autenticación, reconocimiento mutuo, de los interlocutores implicados en el intercambio de información, en este caso voz/imagen. En esta telefonía, como almagaba de protocolos y procedimientos, esta seguridad presenta las virtudes y los defectos de cada uno de ellos. Con carácter general, la amenaza a la que más proclive es VoIP, a nivel de aplicación, es el robo de contraseñas. Para conseguir averiguar password de comunicaciones unificadas, un hacker puede recurrir a programas tipo “todo en uno” que constan de varios módulos, escritos para llevar a cabo todo el proceso de crackeo de contraseñas para telefonía. Otro método es, sencillamente, recurrir a la patada en la puerta, sin contemplaciones. Emplear ataques de fuerza bruta mediante crackeadores de diccionario. Una vez conseguidas unas credenciales de sesión válidas en el sistema, el atacante puede llevar a cabo el fin que se haya propuesto.

Pero la suplantación de identidad en telefonía IP no siempre pasa por averiguar contraseñas. El proceso de registro es uno de los procedimientos preferido de los hackers para la suplantar la identidad de los usuarios. Estos son ataques más sofisticados, pues requieren hacer varias acciones combinadas para lograr que sean exitosos: se necesita desconectar al usuario legítimo y registrarse en su nombre, especificando el dispositivo desde el que se hará efectiva la suplantación. Esta situación es factible debido al intercambio en texto claro de mensajes de señalización entre servidores, clientes y/o terminales telefónicos. La desconexión, mediante ataques DoS sobre los terminales en los que se ha registrado el usuario. La suplantación, mediante el envío de mensajes oportunistas de registro con los datos del usuario suplantado y la dirección IP que le interesa al atacante.

Y en este sentido, otro de los ataques específicos que pueden sufrir los usuarios de VoIP es la redirección de llamadas. En estos ataques, los intrusos consiguen llevar las llamadas a terminales telefónicos, internos o externos, distintos al que el usuario pretende cuando inicia la llamada, con el consiguiente dislate que esta situación provoca en la actividad de las personas afectadas y los técnicos de soporte que tratan de resolver una anomalía que no es tal. Existen programas que pueden escuchar la red y estar atentos al tráfico de telefonía para interceptar las peticiones de inicio de llamada y responder en nombre del terminal de destino, con una dirección diferente, de modo que el dispositivo que inicia la llamada, rectifica su petición para lanzar la invitación de conexión a la localización que marque el atacante. También es posible recurrir a programas que, mediante mensajes de cabecera de control telefónico, cambian la ruta de los paquetes de voz para encauzarlos sobre un “proxy” telefónico, desde donde se redireccionan a la localización que elija el entrometido.

La redirección de llamadas puede enmascarar un ataque más sofisticado para obtención de datos confidenciales, mediante artimañas de ingeniería social. Aunque por ahora resultan ataques que se producen de forma esporádica, no deja de ser una seria amenaza, cada vez más factible. Tanto que tiene ya su propia denominación: Vishing, VoIP Phishing. Termino que hereda la denominación del phising, engaño, que se produce todos los días con harta frecuencia en la bandeja de entrada de todos los usuarios de correo electrónico, en todo el mundo. En Vishing, una persona que cree tener como interlocutor a alguien conocido y de confianza, puede facilitar datos confidenciales. De cualquier índole y no sólo de ámbito personal. Pueden facilitar datos bancarios de la compañía, de tarjetas de crédito, planes estratégicos, detalles sobre propiedad intelectual o industrial y un largo etcétera. Datos que en manos desalmadas pueden causar un daño irreparable para la organización, tanto a nivel económico, como para su reputación. Y lo que puede ser más grave, proporcionar información sobre terceros, como empleados, clientes o proveedores; filtraciones por trampa que, además, pueden dar lugar a incidentes legales con los afectados.

Pero no es la única situación en la que se puede manipular la señal de este servicio como llamada telefónica, como comunicación hablada. Sobre el encapsulado que se produce en UDP, por definición, no hay un control exhaustivo de la secuencia de tramas transmitidas entre los interlocutores, y esto puede ser aprovechado por un atacante puede conseguir insertar su propio audio en una conversación telefónica. Aunque sobre el papel puede parecer que se requiere una técnica hacker sofisticada y experimentada, de nuevo está al alcance de muchos irresponsables con un poco de maña, mediante programas que tienen incorporadas funciones específicas para realizar estas acciones.

Remedio.
Aunque, por lo comentado, VoIP parece muy vulnerable, ya están disponibles versiones seguras de los principales protocolos utilizados en esta telefonía, como es SRTP, Secure Real Time Protocol, que es para RTP lo que SSL para HTP. Eso si, estas características son opcionales en el uso y pueden ser habilitadas o deshabilitadas por separado, salvo la autenticación de mensajes que forzosamente se ha de utilizar cuando la comunicación es por canal seguro. Y lo más importante, no penaliza el rendimiento y puede ser utilizado en combinación con técnicas de compresión de cabeceras, para que apenas tenga impacto sobre los valores de Calidad de Servicio, QoS. Con SIP, sucede algo similar. Ya es posible utilizar este protocolo en TLS, Transport Layer Security, Seguridad de Capa de Transporte, el sucesor de SSL, que proporciona autenticación y privacidad de la información entre extremos, utilizando criptografía de clave pública, como RSA, de cifrado, como es DES y Triple DES, y hash, con MD5. Esto permite mantener a salvo las contraseñas de inicio de sesión y poner muy difícil la posibilidad de suplantación y las escuchas telefónicas. Como inconveniente, requiere el despliegue de PKI, Infraestructura de Clave Pública, para la autenticación de los clientes. Avances en los estándares que se implementan ya en los desarrollos comerciales y que se complementan con funcionalidades específicas que permiten detectar situaciones de riesgo y remediarlas.

Junto al empleo de estos mecanismos de seguridad, en líneas generales, se puede conseguir un buen nivel de protección en telefonía IP, si se adoptan una serie de recomendaciones básicas. Así, en la red, si cabe la posibilidad, separar el tráfico telefónico de la red de datos. No es necesario desplegar una electrónica independiente. El empleo de Vlan permite hacer esta diferenciación de forma fácil y eficaz. La subred de voz, interesa que se delimite por cortafuegos, bien configurados y administrados que prevengan cualquier tráfico innecesario y limiten al máximo el contacto con el exterior, principalmente de los servidores de control y pasarelas. Los puntos de acceso al sistema sobre todo wireless, deben estar convenientemente protegidos, empleando mecanismos de protección WPA, WiFi Protected Access, preferentemente a WEP, Wired Equivalent Privacy.

En cuanto a operación y soporte, imprescindible abandonar las configuraciones por defecto, cambiar las contraseñas de fábrica, desactivar las funciones no utilizadas y emplear siempre canales seguros en los puertos de administración y monitorización, en donde interesa activar el registro de actividad. Conviene la revisión periódica de estos logs en los servidores de telefonía, pues resulta útil para detectar comportamientos extraños y corregir a tiempo las anomalías. Muy importante, que los dispositivos tengan instaladas las últimas actualizaciones y se sigan las recomendaciones del fabricante sobre aplicación de parches. Medida que debe incluir al resto de componentes del sistema, sean o no parte de la telefonía IP y sobre el que hay que poner énfasis en el antivirus, como principal arma frente al código malicioso que acecha a VoIP.

En definitiva, la implantación de VoIP aporta muchos beneficios al conjunto de las organizaciones que la adoptan, pero introduce una nueva preocupación para aquellos administradores de sistemas que descuiden su protección. El personal de soporte informático se debe responsabilizar de una tecnología que no destaca por tener un buen nivel de seguridad en sus configuración estándar, con el agravante que la materialización de las amenazas que acechan pueden llegar a tener consecuencias muy graves a nivel económico y legal. Para conseguir un nivel de seguridad adecuado en telefonía IP, sus responsables no pueden conformarse con las medidas de seguridad que proporcione el fabricante y/o integrador y han de invertir una atención mínima en mantener una infraestructura de red que en su conjunto sea segura.

Versión definitiva del Cliente VPN CISCO 5.0.0.7 para Windows 7 x64

Juan J.Muñoz — Mon, 10 May 2010 13:03:00 GMT

El cliente VPN de CISCO para Windows 7 de 64 bits que os comentaba el pasado Marzo que estaba accesible en versión BETA (http://www.itblog.a-e.es/Seguridad/tabid/79/entryid/99/Default.aspx), está desde el 13 de Abril de 2010 disponible en su versión definitiva en la página de descargas de CISCO

El siguiente enlace lleva a las notas de la versión 7.0.0.5, donde podéis ver las novedades y limitaciones de su uso en Windows 7:

http://www.cisco.com/en/US/docs/security/vpn_client/cisco_vpn_client/vpn_client5007/release/notes/vpnclient5007.html

Por lo pronto permite usar compresión LZS en la conexión VPN, pero no permtie establecer VPN mediante conectividad WWAN (por ejemplo modems wireless o UMTS USB) pero esto último habrá que comprobarlo para ver en que consiste exactamente la limitación.

Protección de Datos con Microsoft BitLocker

Juan J.Muñoz — Wed, 21 Apr 2010 16:57:00 GMT

BitLocker es un componente de seguridad que aparece en por primera vez en Windows Vista en sus versiiones Ultimate y Enterprise, estando disponible también en Windows 7 (Ultimate/Enterprise) y Windows Server 2008.

Su función es encriptar discos completos (concretamente volúmenes) y reforzar el acceso autenticado a la información, de este modo evita el acceso a la información alacenada conectando el disco duro como unidad secundaria a otro ordenador.

En su primera aparición con Windows Vista sólo permitía cifrar la unidad del sistema, pero en Windows 7 y 2008 se puede operar sobre cualquier volumen. Ademas ahora también permite trabajar con discos extraibles, lo que posibilita desplegar políticas para prevenir la Perdida de Información tales como:

Toda la información en los portatiles estará cifrada
Sólo se podrán usar medios de almacenamiento extraible que tengan activo el cifrado con BitLocker

A diferencia de otras herramientas de cifrado de particiones y sistemas de ficheros, BitLocker cifra el contenido almacenado en un Volumen, que como entidad lógica puede extenderse a través de varias particiones de uno o varios discos.

Existen tecnicas de "Cool Boot Hacking" que pueden violar esta protección, debido a la persistencia durante un intervalo de tiempo de las claves en la memoria después de un apagado o un reset, pero si nuestro PC o Portatil cuenta en su placa madre con un chip de cifrado TPM la solución es tremendamente confiable, ya que este componente almacena información cifrada que se utilizará que se usa junto con BitLocker y autenticación de dos factores (two-factor authentication) para asegurar que el entorno de arranque es el esperado.

Otra cuestión que nos puede hacer dudar es el rendimiento, el cifrado del volumen incluye el fichero de paginación y el de hibernación, de modo que la continua atención de la CPU para realizar el cifrado AES repercute en el rendimiento del sistema. Sin embargo las nuevas series de CPUs Intel Core5i y 7i incluyen instrucciones para acelerar el cifrado AES (AES-NI), reduciendo el impacto en el rendimiento.

Referencias

Guia de uso de Microsoft BitLocker:

http://technet.microsoft.com/es-es/library/dd835565(WS.10).aspx

Ejemplo de pruebas de rendimiento de AES en Dual-Core 5i con AES-NI frente a Quad-Core 7i sin AES-NI:

http://www.tomshardware.com/reviews/clarkdale-aes-ni-encryption,2538-7.html

Sobre el conjunto de instrucciones Intel AES-NI:

http://en.wikipedia.org/wiki/AES_instruction_set

Cifrado 802.1AE MACSEC en los nuevos CISCO Catalyst C3750-X y C3560-X

Juan J.Muñoz — Wed, 24 Mar 2010 22:07:00 GMT

Cisco acaba de lanzar al mercado la tercera generación de conmutadores ethernet de las familias Catalyst C3750 y Catalyst C3560. Sus denominaciones es son Catalyst 3750-X y Catalyst C3560-X diferenciandose como hasta ahora básicamente en la capacidad de los Catalyst C3750 de formar un conmutador virtual mediante un bus dedicado de interconexión en doble anillo de hasta nueve conmutadores.

Una de las nuevas funcionalidades que incoporan estos conmutadores es el cifrado de tramas ethernet mediante los estandares 802.1AE también denominado MACSEC. El intercambio y gestión de claves de cifrado forma parte de una extensión del protocolo 802.1X recogida en la revisión de 2010 (802.1X-2010).

A todos los efectos, el funcionamiento es el mismo que el de un cliente Wi-Fi que sigue se comunica de forma segura con un punto de acceso siguiendo el estandar 802.11i, sólo que el medio físico de transmisión es el par trenzado. MACSEC refuerza la seguridad en el ultimo tramo físico entre el puerto del switch y el punto de red de dispositivo final, proporcionando integridad, acreditación y privacidad en las comunicaciones de datos evitando de este modo ataques de tipo "man-in-the-middle", y escucha y/o repetición alterada de la comunicación.

El cliente conectado al puerto del conmutador tiene que ser compatible con los protocolos 802.1AE y 802.1X, ya sea mediante un adaptador ethernet con el controlador intel 82567LM, o mediante un controlador software.

Novedades en la versión 8.3 de software para CISCO ASA5500

Juan J.Muñoz — Mon, 15 Mar 2010 15:45:00 GMT

Las sucesivas revisiones de software de la serie ASA550 van rellenando lagunas que dificultaban su posicionamiento frente a otros fabricantes, esto no quiere decir que sus funciones sean equiparables una a una con otras soluciones existentes, principalmente porque no está concebido como un router, sino como una solución de seguridad entre zonas bien definidas y delimitadas.

Entre las novedades que incluye me gustan los cambios en las reglas de firewall y en las reglas de traducción de direcciones, aquellos que hayan tenido que configurar políticas complicadas con NAT o con número muy elevado de objetos y reglas, sabrán agradecerlo como yo...

Reglas de ambito global

Son ACLs que no se aplican aun interfaz físico o virtual en concreto, permitiendo definir políticas que se aplican de forma global a todo el tráfico.

A nivel de ADSM al crear una regla hasta ahora había que elegir un interfaz al que aplicarla.

Sin embargo ahora se puede elegir la opción any de tal modo que la regla aplica de forma global a todos los interface.

De este modo se simplica el mantenimiento de reglas a aplicar en todos los interfaces a la vez, el ejemplo mas claro es la regla implícita que deniega todo el tráfico, que ahora se aplica de forma global en vez de por cada interfaz.

Cambios en las reglas de NAT

El tratamiento de NAT cambia para dar mayor flexibilidad.

Las reglas de nat y de policy nat son reemplazadas por una unica regla de NAT que permite aplicar la traducción de direcciones tanto a la dirección origen como a la dirección destino

En las reglas de versiones anteriores no se podía modificar ambas direcciones.

Las nuevas reglas de NAT unas un esquema de paquete original vs paquete traducido a la hora de configurar las reglas

También existe la posibilidad de establecer reglas de NAT a partir de la definición de los objetos, es decir, se crea un objeto al cual se le añade la dirección traducida y esto genera una regla automática de traducción de direcciones

Optimización del almacenamiento de reglas

Los Firewall ASA tenían una limitación en cuanto al número de reglas internas resultantes de la expansion de los objetos que representaban redes y servicios en las reglas configuradas a nivel CLI o ASDM. Esta expansión provocaba que politicas de seguridad muy grandes sobrepasaran los limites de memoria disponible para representar las reglas internamente, este problema se acentua cuando usamos contextos, ya que la memoria disponible para representar las reglas se divide a partes iguales entre los contextos.

En esta versión el almacenamiento y expansion de las reglas se ha optimizado para ahorrar memoria permitiendo políticas mas extensas que hasta ahora.

Requisitos de actualización

Por contra, la nueva versión tiene unos requisitos mas exigentes en cuanto a memoria RAM, los equipos liberados a partior de Febrero de 2010 viene ya de fabrica con mas memoria, pero los equipos de fechas anteriores requieren una ampliación de memoria atendiendo a la tabla que se puede consultar en el siguiente enlace:

http://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/product_bulletin_c25-586414.html

Por ejemplo un ASA5510 ya existente tiene 256MB de RAM y requiere una ampliación de memoria a 1GB (ASA5510-MEM-1GB=), para poder actualizar a la versión 8.3.

Cambios de licenciamiento

También hay una cambio en el modelo de licencias, alguno de los cambios son para dar entrada a nuevas caracteríticas y otros para dar cierta flexibilidad a las configuraciones de alta disponibilidad.

http://www.cisco.com/en/US/partner/docs/security/asa/asa83/license_standalone/license_management/license.html

Para más información sobre todas las novedades de la versión 8.3 el siguiente enlace es el boletín oficial de Cisco al respecto:

http://www.cisco.com/en/US/partner/prod/collateral/vpndevc/ps6032/ps6094/ps6120/product_bulletin_c25-526545.html

Cisco IronPort ofrece servicios gestionados de seguridad de correo

Juan J.Muñoz — Mon, 15 Mar 2010 09:38:00 GMT

Cisco incorpora a su gama de productos de seguridad, la posibilidad de contratar servicios de seguridad de correo electrónico basados en su producto IronPort Email Security, aportando la gestión e incluso infraestrucutra alojada sus propios Centros de Datos.

IronPort Email Security

En mi opinión IronPort es uno de los mejores productos antispam, por no decir el mejor. Todos los clientes en los que hemos instalado la solución experimentaron desde el primer día su efectividad en el filtrado de correo no deseado o malicioso.

Las razones para ello son:

La fiabilidad de sus motores y filtros de reputación que garantizan una alta precisión
Su facilidad de instalación y puesta en marcha
Su bajo coste de operación

Ahora además se puede contratar el servicios en modalida SaaS (Software as a Service), lo que puede aportar mayor lfexibilidad en aquellos casos en los que no se tenga claro el volumen de correo que se debe gestionar y por tanto la plataforma hardware a adquirir, o se quiera delegar parte o toda la administración y gestión de la solución de filtrado de correo.

Servicios gestionados de IronPort

Los servicios SaaS ofrecidos se estrucutran en tres posibilidades:

Managed Email Security. Los equipos se instalan en la infraestrucutra del cliente
Hosted Email Security. La infraestructura se aloja en los centros de datos de Cisco
Hibrid Hosted Email Security. Equipos IronPort tanto en el cliente final como en los centros de datos de Cisco

En las tres opciones la gestión puede ser asumida totalmente por Cisco o compartida con el cliente

Para mas información:

http://www.ironport.com/products/email_security_services.html