De opkomst van telefonie over internet zet door. Volgens het openingsschermpje van Skype zijn in de loop van een werkdag meestal meer dan negen miljoen Skypers online. Een jaar geleden was dat nog nauwelijks de helft en twee jaar geleden nog geen miljoen. Hosanna dus. Weg met dure vaste lijnen of gsm-verbindingen. Het succes heeft echter een keerzijde. Internettelefonie kan niet zonder rigoureuze beveiligingsmaatregelen.
Over internettelefonie hoor je alleen maar de voordelen: lagere kosten (namelijk: geen) en flexibiliteit. Logisch, want dat zijn zwaarwegende winstpunten, vooral ook in het bedrijfsleven. In datzelfde bedrijfsleven wordt volgens mij echter nog onvoldoende beseft dat internettelefonie verre van veilig is. Op zich begrijpelijk. De ict-manager en de netwerkbeheerder gaan ervan uit dat ip-telefonie niets anders is dan bellen over het bedrijfsnetwerk. Als die infrastructuur goed beveiligd is, is ook VoIP afgeschermd. Toch?
Nee dus. Wie VoIP implementeert, haalt daarmee een hele reeks nieuwe netwerkservers, gateways, routers en protocollen in huis. Een hacker hoeft slechts de controle over een van deze componenten te krijgen en er ligt een compleet overzicht van alle telefoongesprekken ‘op straat'. Daarmee heeft de hacker meestal al snel een goed overzicht van de VoIP-structuur, zodat hij uw netwerk optimaal voor zijn eigen doelen kan gebruiken.
Het is dus van groot belang om te voorkomen dat de voordelen worden overschaduwd door de nadelen. Maar hoe? De oplossing is gelegen in een variatie van technische en organisatorische maatregelen. We gaan daar niet diep op in, maar toch een paar tips.
Zorg op technisch gebied waar mogelijk voor een logische scheiding tussen data- en spraaknetwerken en pas authenticatie toe op voice gateways. Ook op het menselijke vlak is van alles nodig, zoals opleidingen. Beheerders doorzien in eerste instantie vaak niet de volledige impact van nieuwe techniek op een bestaande omgeving. Zorg dus voor een goede training, zodat zij hun kennis op peil kunnen houden.
En ten slotte: overstappen op VoIP betekent de komst van veel nieuwe hard- en software. Kloppen daardoor alle oude regels en afspraken over informatiebeveiliging nog wel? Beoordeel zorgvuldig de impact van iedere verandering in de netwerkomgeving. Ook die moeten worden geïntegreerd in het security-masterplan. Wie dat op een goed gestructureerde manier doet, houdt hackers buiten de deur.
Remco Bakker
Directeur bij irC2
