Beveiligingslek dichten

Voor de combinatie van spraak en video met data 'is al op diverse niveaus additionele beveiliging beschikbaar', betoogt Edwin Roobol.

'Convergentieleed' (Computable, 30 januari 2004, p.1) gaat in op de additionele kwetsbaarheden van een netwerk die zouden ontstaan bij het combineren van spraak en video met data. De gesignaleerde kwetsbaarheid betreft slechts één van de mogelijke protocollen. Inmiddels zijn er ruimschoots alternatieven voorhanden die de genoemde kwetsbaarheden niet hebben.
De Axis-videoproducten bijvoorbeeld gebruiken mjpeg- (motion jpeg) of mpeg-technologie, waarmee de video net als gewone databestanden over het netwerk wordt verstuurd over tcp/ip. Beide technologieën zijn geen multimediaprotocol, terwijl h.323 dat wel is. Er kan dus geen beveiligingslek ontstaan in de videostroom omdat deze middels tcp/ip getransporteerd wordt. Op netwerkniveau moet wel een en ander georganiseerd worden om te voorkomen dat de videostromen in handen komen van kwaadwillenden.

Onherkenbaar

Wordt op netwerkniveau geen beveiliging ingebouwd, dan kan iemand vrij toegang verkrijgen tot het netwerk. Het is daarom van belang voor ieder netwerk om een dergelijke beveiliging in te bouwen. Kortweg: je hebt een firewall nodig als er een aansluiting via telefoonlijn, isdn, glasvezel of dsl aanwezig is met het wan, zodat mensen alleen via autorisatieprocedures toegang kunnen krijgen tot het netwerk. Ook moet je voorkomen dat er een inbelverbinding tot stand gebracht kan worden op computers die op het netwerk aanwezig zijn, omdat dit soort verbindingen relatief eenvoudig te hacken zijn. Dit wordt een achterdeur genoemd.
In een aantal gevallen is het zelfs gewenst om beeldinformatie van op ip gebaseerde beveiligingssystemen af te schermen van het overige interne netwerkverkeer. Dit is te regelen door fysiek gescheiden netwerken op te zetten of netten te scheiden via vlan-technology. Dit is een techniek die bijvoorbeeld Cisco toepast bij voip (voice over ip), waarbij spraak gescheiden wordt van het overige dataverkeer. Hierdoor kan een gebruiker uit ip-reeks a niet communiceren met een systeem uit ip-reeks b en is de data uit reeks b ontoegankelijk voor gebruikers en hackers van binnen en buiten het bedrijf.
Daarnaast kan binnen een applicatie encryptie van beeldinformatie plaatsvinden. Hiermee wordt het mogelijk om de video-informatie onherkenbaar te transporteren. Ook zaken als wachtwoordbescherming, beelden watermerken en de inlogmogelijkheid tot opgeslagen beelden afschermen zijn met vingerafdruklezers of 'tokens' te beschermen. Kortom, er is ook op dit moment al op diverse niveaus additionele beveiliging beschikbaar.< BR>
 
Edwin Roobol, Axis Communications