"De veiligheidsaspecten van bedrijfsmatig gebruik van voip worden flink overschat", aldus Irwin Lazar, senior analist bij de Burton Group. "Er wordt veel meer aandacht geschonken aan de angst voor een aanval dan voor de daadwerkelijke mogelijkheden hiervan."

Roger Farnsworth, marketingmanager bij Cisco's Secure IP Communications, is het hier mee eens. "Voip-systemen kunnen minstens zo veilig zijn als traditionele telefoniesystemen. Toekomstige ip-technologieën en telefonieapplicaties zullen deze systemen zelfs veiliger maken."

Mark Collier, de directeur van SecureLogix, fabrikant van beveiliging- en telefoniebeheersystemen, is hier echter niet helemaal van overtuigd. "Het is met ip als basis gewoonweg niet realistisch om te verwachten dat voip robuuster zal zijn dan e-mail, het internet of dns."

Wacht eens even. E-mail? Het web? Dns? Wie zou het in zijn hoofd halen om van een oerdegelijk systeem zoals dat van de traditionele telefonie over te stappen op iets zo 'veilig' als e-mail?

Gewoon weer een applicatie

Voip is in feite niets meer of minder dan een applicatie in het ip-netwerk. De voornaamste elementen van een typisch ip-telefoniesysteem zijn tegenwoordig 'call control servers', die meestal op systemen draaien zoals Linux, Windows of VxWorks; voip clients, hetgeen ofwel voip-telefoonapparaten zijn, ofwel zogenaamde softphones en voip-gateways die aan de rand van het netwerk de vertaling tussen voip en pstn afhandelen.

Ze gebruiken allemaal min of meer standaard protocollen, doorgaans de International Telecommunication Union's H.323 protocollen of de IETF's sip voor servers en clients en het Media Gateway Control Protocol of de Megaco/H.248 protocollen voor gateways.

De overgrote meerderheid van deze systemen maakt gebruik van het datanetwerk, zijn afhankelijk van dezelfde routers en switches voor de telefoniepakketten en communiceren, idealiter, met andere data-applicaties, waaronder messaging.

Kwetsbaar

En dus zijn voip-systemen in theorie net zo kwetsbaar als andere data-applicaties. De lijst van mogelijke gevaren is buitengewoon lang en bevat zaken zoals dos-aanvallen, virussen, wormen, Trojaanse paarden, packet sniffing, spam en phishing.

Spam? Stelt u zich het potentieel van 'spit' (spam over internet) voor. "Als ik 100 keer wil bellen, dan moet ik ook 100 keer een nummer intoetsen of gebruikmaken van een automatische opbeller", aldus Andrew Graydon, adjunct-directeur bij BorderWare Technologies.

"Maar met een ip-verbinding zou ik een wav-bestand kunnen uploaden naar een computer in de Bahamas, op een knop kunnen drukken en in één keer 2000 werknemers kunnen bereiken."

Phishing is vervolgens kinderspel door simpelweg de nummeridentificatie zo aan te passen dat het lijkt alsof er door een vertegenwoordiger van een erkende dienst of bedrijf gebeld wordt.

En toch vertellen fabrikanten en analisten nadrukkelijk dat een ip-pbx op allerlei, doorgaans afgeslankte en extra beveiligde, besturingssystemen kan draaien en gebruikmaakt van zich altijd ontwikkelende standaarden en gesloten protocollen zoals Cisco's 'skinny call control protocol', wat er voor zorgt dat voip-applicaties minder gevoelig zijn voor problemen rondom veiligheid dan typische data-applicaties.

Ook een mogelijk gevaar zijn zogenaamde 'man-in-the-middle'-aanvallen, waarbij hackers zich vermommen als een sip-proxy en alle telefoonactiviteit onderscheppen en 'trust exploitation' waarbij dataservers die vertrouwd worden door voip-servers gehackt worden om toegang te krijgen tot deze voip-servers.

Hierbij komt dan nog regelrechte fraude, waarbij een telefoniegateway gehackt wordt om op kosten van de eigenaar van de gateway internationale gesprekken te voeren. Dan is er nog het afluisteren: een gebruiker met toegang tot het netwerk en twee gratis verkrijgbare programma's, tcpdump en vomit (voice over misconfigured internet telephones), kan de ip-pakketten onderscheppen en het gesprek naar een standaard wav-bestand converteren.

Ook is het zo dat voip-systemen vaak afhankelijk zijn van kwetsbare applicaties om naar behoren te werken. "Sql-slammer was een aanval op de Microsofts SQL Server en aangezien de Cisco Call Manager-telefonieservers afhankelijk zijn van een SQL Server, werden deze er ook het slachtoffer van", aldus Collier.

Latentie

In vergelijking met andere applicaties heeft voip ook zo zijn eigen uitdagingen. Volgens David Fraley van Gartner mag, om de kwaliteit van het geluid te kunnen garanderen, de latentie niet onder de 150 milliseconden vallen bij eenrichtingsverkeer.

"Het coderen van een stem kan 30 milliseconden duren en een telefoongesprek over een redelijke afstand kan op een openbaar ip-netwerk wel 100 of zelfs 125 milliseconden kosten." En deze berekeningen houden nog niet eens rekening met vertragingen veroorzaakt door beveiligingsmaatregelen zoals firewalls, versleuteling of authenticatie.

De meeste gangbare firewalls houden geen rekening met voip evenmin als sommige van de eigenaardigheden van sip en H.232. Sip, bijvoorbeeld, gebruikt minstens 3 poorten, waarvan er maar een statisch is. H.232 gebruikt poort 7 en 11 met zowel tcp als udp waarbij de communicatie zowel binnen als buiten de firewall geïnitieerd wordt. Dit houdt in dat er een enorme hoeveelheid poorten geopend moeten worden op een standaard firewall, wat onacceptabel is met het oog op beveiliging. In toevoeging tot het ip-adres in de header, worden de ip-adressen door sip en H.232 ook nog geïntegreerd meegestuurd, hetgeen problemen kan opleveren bij de nat-configuratie van firewalls en routers.

Telecomaanbieders en sommige grotere bedrijven maken gebruik van tamelijk kostbare apparaten genaamd 'session border controllers' om nat en open poorten af te handelen. Recente firewallproducten van de grote leveranciers als CheckPoint, Juniper en WatchGuard beginnen ook meer bewust te worden van voip en passen inmiddels een technologie genaamd nat-traversal toe. Hierbij worden poorten dynamisch geopend en gesloten. Soms zelfs met mogelijk gebruik van qos; helaas houdt dit wel in dat soft- en hardware geüpgraded moet worden - en dat betekent voorzichtig winkelen.

Oplossingen

Zullen met al deze mogelijke gevaren en kwetsbaarheden grote groepen voip-gebruikers het slachtoffer worden van dienstonderbrekingen en afluisterpraktijken? Tot op heden zijn er geen ernstige, algemeen bekende aanvallen geweest op voip-systemen van bedrijven. Waarom? Fabrikanten en analisten geven een aantal goede verklaringen.

De meeste nieuwe voip-oplossingen zijn afgesloten systemen waarbij de pakketten alleen over het lan verstuurd worden en het grootste gedeelte van het externe verkeer over het pstn gaat via een gateway.

"Als je voip exclusief op het lan houdt, dan is het relatief simpel om een goede kwaliteit dienst te leveren met behoud van veiligheid", aldus Gartners Fraley. Verkeer tussen kantoren gaat normaliter over een beschermde verbinding, en dus betekent het beveiligen van interne voip-systemen het aanscherpen van de call servers, switches en gateways en ze te beschermen met de juiste soort firewalls en ips.

Fabrikanten raden ook aan om het telefoon- van dataverkeer op het lan te scheiden om het voor malware, afluisteren en dos-aanvallen te behoeden. Een aparte infrastructuur voor telefonie heft het kostenvoordeel van voip op. Min of meer dezelfde bescherming echter, kan bereikt worden door het gebruik van de 802.1Q kenmerken van de switches door telefonie en data op verschillende vlans te plaatsen en de communicatie tussen de twee, zoals afgehandeld door een messaging server, te beschermen met een telefoniebewuste firewall en/of een ips. Cisco biedt zelfs een ingebouwde ips bij recente versies van Call Manager. Ook Juniper onderzoekt de ips-mogelijkheden voor in zijn firewallproducten.

"Het correcte gebruik van vlan zal ook voip-snooping voorkomen", aldus Farnsworth. Hij voegt hieraan toe dat het makkelijk wordt om telefonieapplicaties aan te vallen met de juiste veiligheidsmaatregelen.

Voip-fabrikanten en -analisten zeggen dat het beter is om telefoonsoftware op de pc te vermijden ten gunste van ip-telefoontoestellen omdat pc-telefoonsoftware het bijna onmogelijk maakt om telefonie en data van elkaar te scheiden.

Het ip-adres van een ip-toestel koppelen aan het mac-adres is een goede manier om ip-spoofing voor te zijn. Verscheidene oplossingen maken gebruik van digitale certificaten voor authenticatie tussen server en toestel en het gebruik van wachtwoorden of een pin kan vereist worden. Een sleutel codeert data en communicatie tussen de verschillende apparaten en in zeer beveiligde omgevingen zelfs de audio.

Uitdagingen

Al deze argumenten zijn nu erg overtuigend, maar hoe zit het met de dag van morgen? Graydon: "Uiteindelijk komt het er op neer dat bedrijven de kostendrukkende kwaliteiten van voip betreffende internationale gesprekken willen gebruiken om hun winst te vergroten." Dit houdt in dat pri's en pstn-hoofdlijnen vervangen worden met voip-hoofdlijnen. Iets dat telecomaanbieders zoals Broadwing, Global Crossing, Level 3 Communications en MCI al gebruiken om gesprekken beter naar hun eindbestemming te routeren.

"Zodra het bedrijfsleven voip openstelt voor internet, openen ze een mogelijk enorm beveiligingsgat naar hun netwerk", aldus Graydon. Het komt er in feite op neer dat de dagen van afgeschermde bedrijfsmatige voip-systemen geteld zijn. Graydon wijst er ook op dat telecombedrijven hun kosten omlaag brengen door hun eigen infrastructuur aan passen door van pstn over koperdraad naar ip over fiberglas over te stappen en de communicatie onderling via ip te laten lopen. "Veel van de overstap naar ip gebeurt achter de schermen."

Collier is het hiermee eens: "Als MCI eenmaal duizend klanten op zijn voip-netwerk heeft, dan wordt het aanzienlijk moeilijker om de veiligheid te waarborgen".

Sceptici wijzen erop dat het vermijden van pc-telefoonsoftware en volledig scheiden van telefoon- en dataverkeer volkomen onrealistisch is. Collier: "Juist de connectiviteit tussen telefonie en data is de basis waaruit al die gave multifunctionele applicaties vandaan zullen komen."

Jef Rothel, directeur van CentricVoice, een aanbieder van zakelijke voip-diensten die gebruikmaakt van beveiligde voip-oplossingen van BorderWare, is het hiermee eens. "We zijn van plan om een scala aan diensten aan te bieden die telefonie direct koppelen aan de softwarelaag van zakelijke data-applicaties."

Rothel bevestigt dat traditionele telecomaanbieders niet echt op de hoogte zijn van mogelijke zwakheden van voip. "De meeste begrijpen de datawereld gewoonweg niet. Ze hebben nog nooit hun pstn-switch ten onder zien gaan door een virus."

Er zijn ook andere verstorende applicaties, zoals peer-to-peer-programma's van Skype en anderen. "Er is een hele groep voip-applicaties die niet voldoet aan het zakelijke voip-model en hoogstwaarschijnlijk bedrijfsnetwerken zullen infiltreren", zegt David Endler, hoofd van beveiligingsonderzoek bij ips-aanbieder TippingPoint, nu onderdeel van 3Com, en voorzitter van een samenwerking tussen voip- en beveiligingaanbieders genaamd VoIP Security Alliance.

Sceptici wijzen er ook op dat vele van de door voip-fabrikanten voorgestelde beveiligingsmaatregelen niet erg praktisch zijn en niet veel toegepast worden. "Natuurlijk is het mogelijk om gebruik te maken van sterke versleuteling en authenticatie, maar deze zijn wel heel erg lastig te configureren", aldus Collier van SecureLogix.

Brian Ham, technisch directeur van het it-beveiligingsbedrijf Sentegrity, maakt de kanttekening dat huidige sleuteluitwisselingsprotocollen zich slecht lenen om gebruikt te worden bij grootschalige toepassing van voip-authenticatie en -versleuteling.

"Als je de forums en bulletin boards bekijkt en luistert naar de voortrekkers binnen de industrie, dan blijkt dat iedereen zich af vraagt hoe een behoorlijke uitwisseling van sleutels toegepast moet worden".

Dat er geen algemeen bekende aanvallen op ip-telefonie zijn geweest, betekent nog niet dat ze niet plaats hebben gevonden.

Collier: "Over het algemeen zie je geen grote bedreigingen totdat een technologie grootschalig toegepast wordt en er gereedschap beschikbaar gemaakt wordt die voor de massa bruikbaar is om aanvallen te automatiseren."

"Applicaties worden aantrekkelijker als doelwit naarmate ze meer worden toegepast", voegt Endler toe.

Voip-beveiligingsbedrijven, zoals BorderWare, SecureLogix en TippingPoint, bieden gespecialiseerde voip-firewall- en ips-systemen aan die zich specialiseren in exploits van de applicatielaag die in de toekomst waarschijnlijk een effect op voip zullen hebben

Waarschijnlijk zal voip uiteindelijk last gaan krijgen van dezelfde soort problemen als e-mail, instant messaging en andere soorten van communicatie via de pc. Het goede nieuws is dat voip- en beveiligingsbedrijven zich al op dit vroege stadium met deze potentiële problemen bezighouden.

"Het staat buiten kijf dat de mogelijkheden om voip te beveiligen steeds sneller, steeds beter worden", aldus Kuhn. Hij voegt hieraan toe dat de voordelen van het samenvoegen van telefonie en data-applicaties dermate groot zijn, dat het onwaarschijnlijk is dat de zorgen om de veiligheid deze ontwikkeling zullen tegenhouden .

James Lagrotta, directeur van Sentegrity is het hiermee eens: "Het idee achter voip is te briljant. Als de kinderziekten eenmaal weggewerkt zijn, dan staat eigenlijk al vast dat het een succes zal zijn." Bron: Techworld