Nu voip (voice over internet protocol) eindelijk aan zijn langverwachte doorbraak is begonnen, lijkt het enthousiasme van de leveranciers over deze nieuwe groeimarkt geen grenzen te kennen. Je moet als gebruiker echter wel goed oppassen, zegt Bert Bakker, directeur van it-beveiligingsexpert Ascure. Beveiliging blijkt ook bij voip een punt te zijn waar voortdurend aandacht voor moet bestaan. Alleen wie doordachte maatregelen neemt, mag rekenen op een optimale beschikbaarheid en een veilige manier van telefoneren.
Eindelijk is het zover: na jarenlang te boek te hebben gestaan als veelbelovend is de commerciële doorbraak van voip een feit. Steeds meer bedrijven kiezen voor de beduidend lagere kosten die met deze technologie mogelijk zijn en de productiviteitsstijging die te realiseren valt door telefonie en applicaties te integreren.
Eén onderwerp komt tot nu toe veel te weinig aan de orde als het over ip-telefonie gaat: beveiliging. In principe is ieder element in de voip-infrastructuur gevoelig voor fouten en dus inbraken: van de gebruikte servers en hun besturingssysteem tot en met de ip-telefoons en de toegepaste protocollen. Vergeet bovendien niet dat informatie over telefoongesprekken bijna evenveel waard is als de inhoud ervan.
Als een server in een voip-infrastructuur toegankelijk blijkt te zijn voor onbevoegden, moeten we niet verbaasd zijn als binnen de kortste keren een volledig overzicht van alle inkomende en uitgaande telefoongesprekken op straat ligt, compleet met de gespreksduur en allerlei technische instellingen. Een hacker kan op basis van dit soort gegevens al snel goed inzicht krijgen in de structuur en opbouw van het spraaknetwerk, zodat hij de voip-omgeving optimaal voor zijn eigen doeleinden kan inzetten.
Andere eisen
It-managers en netwerkbeheerders maken regelmatig de fout dat ze denken dat het voldoende is om voip-componenten simpelweg op te nemen in het reeds beveiligde bedrijfsnetwerk. De gedachte daarbij is vaak: ‘ons netwerk is al beveiligd, en aangezien ip-telefonie niets anders is dan spraakverkeer via het bestaande ip-netwerk volstaan onze maatregelen om dit netwerk te beschermen’.
Dat is geen goede aanpak. Het gebruik van voip leidt tot het in de infrastructuur opnemen van tal van nieuwe servers (bijvoorbeeld callmanagers), toegangspoorten, routers, firewalls en protocollen. Al deze nieuwe componenten veroorzaken risico’s en beveiligingsproblemen. Een hacker hoeft maar toegang tot één component te hebben, bijvoorbeeld een voip-toegangspoort, en hij kan datapakketjes opvangen die na enige tijd te herleiden zijn tot het oorspronkelijke telefoongesprek. Een hacker zou bijvoorbeeld na onderzoek kunnen ontdekken hoe hij alle datapakketten kan opvangen die richting een financiële instelling gaan, zodat hij na enige tijd zelf deze ip-telefoontjes kan beantwoorden, met alle risico’s van dien.
Klinkt dit overdreven? Dat is het niet. Denk aan de grote aantallen ‘scriptkiddies’ die dagelijks tal van ‘goed beveiligde’ bedrijfsnetwerken blijken binnen te dringen en de sterk toegenomen risico’s die ‘phishing’ met zich meebrengt. Bij phishing bouwen hackers een bestaande website exact na, zodat ze bijvoorbeeld inloggegevens van nietsvermoedende bezoekers kunnen opvangen.
Er speelt er nog iets. Wie overstapt op ip-telefonie wil wel dezelfde beschikbaarheid ervaren als hij bij traditionele telefoonnetwerken gewend is. Haalt het bestaande datanetwerk deze zeer hoge beschikbaarheid? Vaak niet. Uitval van de ip-telefonie bij een afdeling verkoop of klantenservice leidt zelfs als het om slechts tien minuten op een maandagochtend gaat al snel tot grote (commerciële) problemen. Er zal dus goed naar het bestaande netwerk moeten worden gekeken: is dat wat techniek en capaciteit betreft robuust en ruim genoeg?
Maatregelen
Er bestaan bij voip dus behoorlijk wat haken en ogen op het gebied van beveiliging. Kunnen we daarom beter afzien van het toepassen van internettelefonie? Dat gaat veel te ver. Wie op een doordachte manier te werk gaat, kan namelijk wel degelijk tot een goed beveiligde aanpak van ip-telefonie komen. Welke maatregelen kunnen we nemen? We laten acht mogelijkheden de revue passeren.
Zorg waar mogelijk voor een logische scheiding tussen data- en spraaknetwerken.
Pas in de spraaktoegangspoorten krachtige authenticatie toe. Dit kan problemen opleveren met sleutelbeheer, maar dat is via het gebruik van krachtige mechanismen voor toegangscontrole en het werken met een goed beveiligingsbeleid op te lossen.
Kies een goede methode om voip-verkeer door de bestaande firewalls te leiden. Hiervoor is een aantal al dan niet aan specifieke protocollen (sip, h.323) gebonden oplossingen beschikbaar, zoals alg’s (application level gateway) en sbc’s (session border controller).
Met ‘stateful packet’-filters is de toestand van verbindingen te bekijken. Hierdoor is het mogelijk om datapakketten die niet tot een bepaald telefoongesprek behoren te weigeren.
Gebruik ipsec (internet protocol security) en ssh (secure shell) voor alle toegang op afstand voor beheer of auditing. Nog beter is het om beheer op afstand te voorkomen. Kies liever voor beheer vanaf een goed beveiligd lokaal systeem.
Het gebruik van encryptie kan ten koste gaan van de prestaties. Kies in zo’n geval voor encryptie op de router of een toegangspoort. Voorkom in ieder geval dat versleuteling moet plaatsvinden op apparatuur waarvan de rekencapaciteit daar niet geschikt voor is. Nieuwere ip-telefoons ondersteunen vaak aes (advanced encryption system). Deze standaard biedt een redelijke prijs-prestatieverhouding.
Houd er rekening mee dat beheerders altijd aan een nieuwe omgeving moeten wennen, dus ook aan voip. Vaak worden risico’s in eerste instantie niet goed of onvolledig begrepen. Het is dan ook cruciaal dat de kennis en kunde van beheerders op peil wordt gebracht en gehouden.
Ook is het van groot belang om de beveiligingsmaatregelen en -procedures die voor de introductie van voip golden bij het in gebruik nemen van ip-telefonie nog eens goed tegen het licht te houden.
Hackers buiten houden
Een voip-oplossing biedt veel organisaties interessante voordelen in de vorm van lagere kosten en meer flexibiliteit. Deze medaille kent echter ook een keerzijde. Vergeleken met een traditionele aanpak van telefonie moeten organisaties bij voip veel meer aandacht besteden aan beveiliging. Als niet de juiste maatregelen worden genomen, loopt een organisatie die ip-telefonie toepast namelijk veel grotere risico’s ten aanzien van vertrouwelijkheid en privacy dan in de oude situatie. Deze maatregelen moeten niet alleen getroffen, maar ook bijgehouden worden.
Het feit dat voip-technologie nog relatief jong is, is een complicerende factor. Dit wil zeggen dat we de komende tijd nog tal van technische ontwikkelingen op ons zullen zien afkomen. Organisaties moeten al deze nieuwe ontwikkelingen één voor één op hun gevolgen voor de beveiliging beoordelen. Waar nodig zullen ze iedere keer weer de technische beveiligingsmaatregelen en -procedures moeten aanpassen. Alleen op die manier kunnen we bij voip de hackers structureel buiten de deur houden.
Remco Bakker, directeur informatiebeveiligingsadviesbureau Ascure
