Soluciones para la videoconferencia con NAT Zonas desmilitarizadas.

Establecer un NAT implica, en cierta medida, colocar un firewall que protege a la red local, ya que al no saber los equipos externos la direccin privada de los sistemas internos, no solicita la conexin. Todo enlace hacia Internet debe generarse bajo peticin de los equipos locales. En videoconferencia detrs de un NAT, es el equipo local el que debe iniciar la llamada: cuando el sistema remoto contesta, es el equipo NAT quien le responde, y al no tener capacidades de negociacin H.323, la llamada se termina. Una solucin que permiten algunos dispositivos NAT es la ubicacin de un sistema en un apartado denominado Zona Desmilitarizada (DMZ) y que, generalmente, corresponde al sistema que responder a todas las peticiones entrantes. En esa DMZ se debe dar de alta al equipo de videoconferencia. Direccionamiento de puertos. Usar la DMZ parece una solucin prctica, pero puede comprometer la seguridad de la red local y del equipo de videoconferencia, al quedar totalmente expuesto a ataques externos. Varios sistemas NAT incluyen redireccionamiento de puertos. En este modelo, un equipo externo hace una peticin hacia la direccin IP pblica; el NAT revisa el puerto que se solicita y lo compara con su tabla de redireccionamiento, enviando la solicitud hacia el equipo local cuya IP privada est definida como quien atiende a las solicitudes en ese puerto. Desafortunadamente H.323 usa ms de un puerto y no siempre los mismos, salvo contadas excepciones. Para solucionar la comunicacin por videoconferencia mediante la ubicacin de puertos, se deben efectuar dos procedimientos: a) Configurar el equipo NAT para enviar las peticiones entrantes en ciertos puertos hacia la IP privada del equipo de videoconferencia. Los puertos fundamentales son 1720. Inicio de llamada H.323. 1719. Registro en gatekeeper H.323. 1503. Datos compartidos T.120. 3230 al 3235. Audio, video y control de llamada H.323. Importante: los puertos debern asignarse tanto en TCP como en UDP. b) Configurar el equipo de videoconferencia indicndole que est detrs de un NAT, y cul ser el margen de puertos en donde deber hacer las transferencias de audio, video y control de llamada. La mayora de los sistemas de videoconferencia tienen mens u opciones para definir estos puertos. Los sistemas ms simples, como aquellos basados slo en software y webcams, tienen menos opciones y generalmente no se pueden configurar detrs de un NAT para marcacin por IP. Servidores duales H.323/NAT. Esta solucin, ms sofisticada que las anteriores, involucra a otro sistema en la conexin de los servicios de videoconferencia. Tambin conocidos como gatekeepers duales, registran la direccin IP privada de el o los sistemas

de videoconferencia en la red local y los homologan con otro gatekeeper con IP pblica. La ventaja es una comunicacin ms transparente entre los puntos terminales, pero se debe hacer la inversin en al menos dos gatekeepers. Recientemente, algunos fabricantes de dispositivos NAT han agregado funciones de compatibilidad con H.323, de conformidad con lo estipulado en el documento RFC 3103, para la presencia en la red global de sistemas dentro de una zona NAT. Solucionar los problemas de la videoconferencia que se ubican detrs de un dispositivo NAT requiere configurar el sistema de audio y video interactivo, y el equipo que genera las direcciones IP privadas. No todos los usuarios tienen la facilidad de hacer esto, menos an cuando estn no detrs de una, sino varias traducciones de direccin IP. Otra alternativa que poco a poco gana terreno, consiste en el uso de servidores del Protocolo de Inicio de Sesin (SIP), donde la marcacin de videoconferencia no es indispensable realizarla por medio de la direccin IP del equipo remoto, sino a travs de la identificacin del usuario. Los servicios de mensajera instantnea usan extensivamente SIP, y la aplicacin de este protocolo a la ubicacin no slo de equipos, sino de personas, har ms omnipresente el servicio de videoconferencia.