VoIP vereist eigen beveiliging

Over de toepassing van twee versleutelmethodes bestaat geen overeenstemming

VoIP verdringt meer en meer het ouderwetse bellen. ‘Voice over IP’ heeft zo zijn voordelen: het is makkelijk te koppelen aan softwareapplicaties en bellen over het ip-netwerk levert een flinke kostenbesparing op. Het gebruikt van het ip-netwerk voor telefonie brengt echter ook kosten met zich mee, onder meer op beveiligingsgebied.

Gevoelige data

De omzetgroei van appliances met VoIP-ondersteuning in West-Europa

De omzetgroei van appliances met VoIP-ondersteuning in West-Europa

Joash Herbrink, security consultant bij beveiligingspecialist Kahuna, ziet het nog niet zo hard gaan. “Wie de laatste twee, drie jaar een firewall heeft aangeschaft, kan bij de implementatie van VoIP ook voor andere oplossingen kiezen, bijvoorbeeld een ‘sip proxy’ (session initiation protocol) die het VoIP-verkeer afhandelt.”

Analisten van Deloitte Services denken dat tweederde van de tweeduizend grootste bedrijven in de wereld volgend jaar op een bepaalde manier VoIP gebruiken. Over dergelijke netwerken reist gevoelige data. Dat vereist een goede beveiliging, niet alleen als het netwerk aan de buitenwereld wordt gekoppeld, maar ook wanneer VoIP alleen wordt gebruikt binnen het bedrijf.

“Beveilig je dat niet, dan is het net zo veilig als een briefje dat iemand op je bureau legt”, zegt Michiel van Baak, ontwikkelaar en projectleider bij Covide. Dit Nederlandse bedrijf levert onder andere een VoIP-telefooncentrale op basis van de oss (open source software) Asterisk. “Bovendien kunnen mensen van buiten die een laptop inpluggen op het netwerk gesprekken aftappen.” VoIP dankt zijn populariteit deels aan de belofte dat het veel bespaart. Dat gebeurt wel, maar niet meteen. “Organisaties moeten niet denken dat ze een paar ton per maand overhouden omdat ze bellen via internet”, zegt Van Baak. “Zeker in begin moet je investeren: nieuwe telefoons, centrales, netwerkuitbreidingen en dergelijke. In eerste instantie kost het geld, maar uiteindelijk levert het geld op.”

Krokodillenbekje

Over de vergelijking met het ouderwetse telefoonnetwerk zijn zowel Van Baak als Herbrink duidelijk: je kunt VoIP veel veiliger maken. Herbrink: “VoIP is met minimale inzet veiliger te krijgen dan het traditionele telefoonnetwerk. Dat is relatief eenvoudig af te luisteren: een krokodillenbekje erop en je luistert mee.” Volgens hem is dat bij VoIP veel lastiger. “Zeker bij ‘secure sip’, dat is van begin tot eind versleuteld. Als je het al kunt afluisteren, heb je er nog niets aan, want de boodschap zit verborgen achter de encryptie.”

Van Baak ging een stap verder. Hij hing twee laptops aan het interne Covide netwerk en probeerde zo het VoIP-verkeer eruit te pikken en om te zetten naar een mp3’tje. “Het was te doen, maar je moet wel vergaande kennis hebben en over de benodigde softwaretools beschikken.” Hij heeft dit alleen op het eigen netwerk geprobeerd. Dat is zo beveiligd dat de buitenwereld er niets op mag doen.

Bandbreedte

VoIP bestaat uit data. Data is te beveiligen door versleuteling. Bij VoIP valt die versleuteling in twee delen uiteen: het opzetten van de verbinding en de inhoud ervan als die verbinding eenmaal is gelegd. Tot zover zijn de grote VoIP-spelers het eens. Over de manier waarop die twee versleutelingen worden toegepast bestaat echter nog geen overeenstemming. Bij opzetten van de verbinding gebruiken de twee populairste protocollen, sip en h.323, vaak tls (transport layer security), terwijl voor het beveiligen van de content veelal srtp (secure real-time transport protocol) wordt ingezet. Over srtp is men het eens, alleen niet over de manier hoe het te gebruiken. In de praktijk betekent dit dat alleen producten van hetzelfde bedrijf volledige veiligheid garanderen. Herbrink: “In een pure sip-omgeving met spullen van bedrijven die volledig de rfc (de technische beschrijving van de standaard, red.) volgen, is er interoperabiliteit. Er zijn nog wel wat kwesties, maar over het algemeen werkt het.”

Naast het versleutelen van de boodschap is voldoende bandbreedte essentieel. Een ddos-aanval (distributed denial of service) kan daar roet in het netwerk gooien. Römer: “Vroeger moesten hackers kennis van zaken hebben. Tegenwoordig kan elke ‘scriptkiddy’ vrij beschikbare tools gebruiken en een aanval op de bandbreedte doen.” Van Baak ziet die dreiging ook. “Als je alle data dezelfde prioriteiten geeft, kan de bandbreedte snel vollopen, maar als je een netwerk slim opzet, bijvoorbeeld alle telefoons op een apart subnet, houd je gegarandeerd 10 procent van je bandbreedte.”