Hoe gevaarlijk is Voice over IP?
Goedkoper, zelfs gratis telefoneren. En met allerlei toeters
en bellen erbij, van video tot integratie met CRM-toepassingen.
De beloften van Voice over IP zijn bijzonder aantrekkelijk.
Sinds kort gaan steeds meer stemmen op over
de schaduwzijde van VoIP: de beveiligingsproblemen.
Een Belgische onderneming mocht vorig jaar ondervinden
dat het geen theoretisch probleem is. Haar IP-centrale
werd via het internet gekaapt door hackers, die vervolgens
belminuten gingen verkopen. ‘Dit gebeurt door een combinatie
van onwetendheid en onachtzaamheid’, zegt Marc
Vael, director information protection services bij KPMG.
Een andere dreiging, is dat IP-telefooncentrales – vaak
gebaseerd op pc-technologie en pc-besturingssystemen
zoals Windows en Linux – worden uitgeschakeld door de
bedreigingen waar ook andere computers op het internet
aan blootstaan: virussen, wormen en denial of service-aanvallen.
Van een denial of service-aanval op een telefooncentrale
zijn in ons land nog geen gevallen bekend, maar
het zou een bedrijf volledig van de buitenwereld afsluiten.
Gedeelde infrastructuur
Bij Voice over IP delen telefonie en datanetwerk dezelfde
infrastructuur. Dat zorgt in vele situaties voor grote besparingen,
maar ook voor risico’s. Als het netwerk niet goed is
beveiligd, dan is het mogelijk dat buitenstaanders te weten
komen wie er met wie belt, en zelfs gesprekken kunnen afluisteren
door netwerkverkeer om te leiden. De grote belangstelling
voor VoIP vandaag, zorgt ervoor dat sommige
bedrijven overhaast te werk gaan, bevestigen beveiligingsexperts.
Heel wat van de problemen doen zich voor op laag 2 van
het netwerk, vertelt Peter Saenen, system engineer bij
Cisco. Zo kan bij sommige netwerkswitches de tabel die
bijhoudt welk MAC-adres (laag 2 in het OSI-model) bij welk
IP-adres (laag 3) hoort, overladen worden. Met als gevolg
dat de switch als een hub gaat fungeren en alle netwerkverkeer
naar iedereen rondstuurt. Goede veiligheid op laag
2 is daarom nodig, zegt Peter Saenen, en die is niet op alle
commercieel beschikbare netwerkapparatuur aanwezig.
Het vergt ook zorgvuldige configuratie.
Merkgebonden VoIP-oplossingen pakken deze beveiligingsproblemen
vaak op een eigen manier aan. Bij Cisco,
bijvoorbeeld, kan de IP-centrale zo worden ingesteld dat
alleen Cisco-telefoons met bepaald certificaat, kunnen bellen.
Maar deze oplossingen zijn doorgaans duurder en wijken
af van de standaarden.
Te snel?
‘Het is een algemene tendens dat we nieuwe technologieen
te gemakkelijk in het bedrijfsleven introduceren, zonder
dat we stilstaan bij de implicaties op het vlak van beveiliging’,
zegt Luc Dooms, CEO van het Mechelse IT-beveiligingsbedrijf
C-Cure. Dooms maakt de vergelijking met een
aantal jaren terug: ‘Ik zie een gelijkenis tussen de introductie
van WiFi en wat er nu gebeurt met VoIP en Skype.’
Dat laatste vindt Marc Vael van KPMG wat overdreven. Een
VoIP-implementatie is meestal een ingrijpende beslissing
met grote consequenties voor de bestaande apparatuur
en voor de verantwoordelijkheden binnen het bedrijf: de
telefooncentrale valt voortaan onder de IT-afdeling. Dat
gebeurt dus minder overhaast dan een onbeveiligd WiFinetwerkje
opzetten.
Skype
Skype – of een ander internetgebaseerd
VoIP systeem – heeft
wél de neiging om stiekem het
bedrijf binnen te kruipen. Maar
op zich is Skype niet zo’n veiligheidsrisico, zegt Marc Vael.
Telefoonverkeer via Skype is goed geëncrypteerd en in
principe veiliger dan standaard-VoIP. Volgens Vael is het
hier eerder een kwestie van controle: kun je toestaan dat
eindgebruikers dergelijke software op eigen houtje installeren?
En is het toelaatbaar dat zij daarmee de netwerkbandbreedte
opsouperen? Skype is vrij makkelijk van het
netwerk te houden door het gebruik van internetfilters zoals
die van WebSense en SurfControl, of door toegang tot
de servers van Skype te blokkeren. Volgens Marc Vael is
dat aan te bevelen.
