De gevaren van Voice over IP

Sinds kort is er meer aandacht voor de schaduwzijde van de technologie: de diverse beveiligingsproblemen.

Vorig jaar werd de IP-centrale van een Belgische onderneming via het internet gekaapt door hackers, die vervolgens belminuten gingen verkopen. Volgens Marc Vael, director information protection services bij KPMG, kon dit gebeuren “door een combinatie van onwetendheid en onachtzaamheid”. Een ander potentieel gevaar is gelegen in het feit dat IP-telefooncentrales vaak zijn gebaseerd op pc-technologie en pc-besturingssystemen als Windows en Linux. Daardoor zijn ze in principe kwetsbaar voor de bedreigingen waaraan computers op het internet blootstaan: virussen, wormen en denial of service-aanvallen. Van een denial of service-aanval op een telefooncentrale zijn in ons land nog geen gevallen bekend, maar die zou een bedrijf volledig van de buitenwereld kunnen afsluiten.

Gedeelde infrastructuur
Bij Voice over IP delen telefonie en datanetwerk dezelfde infrastructuur. Dat zorgt in vele situaties voor grote besparingen, maar ook voor risico’s. Als het netwerk niet goed is beveiligd, kunnen buitenstaanders te weten komen wie er met wie belt, en zelfs gesprekken afluisteren door netwerkverkeer om te leiden. De huidige belangstelling voor VoIP zorgt ervoor dat sommige bedrijven overhaast te werk gaan, bevestigen beveiligingsexperts. Veel van de problemen doen zich voor op laag 2 van het netwerk, vertelt Peter Saenen, system engineer bij Cisco. Zo kan bij sommige netwerkswitches de tabel die bijhoudt welk MAC-adres (laag 2 in het OSI-model) bij welk IP-adres (laag 3) hoort, worden overvoerd. Met als gevolg dat de switch als een hub gaat fungeren en alle netwerkverkeer naar iedereen doorstuurt. Een goede veiligheid op laag 2 is daarom vereist, zegt Peter Saenen, en die is niet op alle commercieel beschikbare netwerkapparatuur aanwezig. Het vergt ook een zorgvuldige configuratie. Merkgebonden VoIP-oplossingen pakken deze beveiligingsproblemen vaak op een eigen manier aan. Bij Cisco bijvoorbeeld kan de IP-centrale zo worden ingesteld dat alleen Cisco-telefoons met een bepaald certificaat kunnen bellen. Maar deze oplossingen zijn doorgaans duurder en wijken af van de standaarden.

Te snel?
“Het is een algemene tendens dat we nieuwe technologieen te gemakkelijk in het bedrijfsleven introduceren, zonder dat we stilstaan bij de implicaties op het vlak van beveiliging”, zegt Luc Dooms, CEO van het IT-beveiligingsbedrijf C-Cure. Dooms maakt de vergelijking met een aantal jaren terug: “Ik zie een gelijkenis tussen de introductie van Wifi en wat er nu gebeurt met VoIP en Skype.”