De laatste tijd wordt er veel aandacht aan Voice over IP besteed en wordt het zelfs de nieuwste 'trend' van bellen genoemd. Volgens een onderzoek van InterNLnet overweegt de Nederlandse consument binnen twee jaar over te stappen naar internet telefonie. De helft van de ondervraagden uit het onderzoek is van mening dat vaste telefonie de komende jaren zal verdwijnen.

Afgezien van het feit dat dit boeiend is, is de veiligheid van VoIP (oftwel de telefooncentrales die deze communicatie mogelijk maken) vaak helemaal niet optimaal. Helemaal als bedrijven VoIP gebruiken is de kans groot dat dat via het netwerk gehackt wordt. Gesprekken kunnen worden afgeluisterd en netwerksystemen staan open voor ongenode gasten.

Samen met de lezers van Security.NL stelden wij Peter Sandkuijl, technich manager bij Check Point, leverancier van internetbeveiliging software, de volgende vragen:

Hoe veilig kan VOIP ooit worden? Een gewone telefoonlijn valt af te luisteren, maar niet iedereen met een pc kan (normaal gesproken) zomaar inbreken bij iemand zijn gesprek. Bij VoIP lijkt dit toch een groter probleem. Wat voor een beveiligingsmethoden zijn toepasbaar en hoe lastig zijn deze weer te omzeilen.
Peter Sandkuijl: VoIP kan een veilig protocol worden. Men moet in gedachten houden dat de technologie nog relatief nieuw is en dat de markt langzaam een acceptatie en implementatie gaat doen. Met die implementaties komen ook de security aspecten aan de orde. In de verdere toekomst zou VoIP een add-on moeten krijgen zodat al het verkeer automatisch geëncrypteerd wordt op applicatie niveau. Vandaag de dag gebeurt dit niet vanwege de initiële insteek van de oplossing: connectivity. Effectief is het makkelijker om een VoIP gesprek af te luisteren dan dat men een analoog gesprek kan afluisteren. Het simpele feit dat alle verkeer over het data netwerk getransporteerd wordt in plaats van over een dedicated netwerk leidt tot het feit dat de scope van mensen met toegang tot die data erg vergroot wordt. Vandaag de dag is het mogelijk om een tracking van al het verkeer bij te houden en ervoor te zorgen dat derden niet "zomaar" mee kunnen doen met een gesprek. Dit gebeurt door nauwkeurig te kijken naar de setup van een gesprek en daarbinnen ook te checken of het daadwerkelijk VoIP verkeer is. Bij verkeer wat tussen netwerken plaatsvindt is een veel toegepaste technologie IPSEC VPN wat er voor zorgt dat er een encrypted tunnel ontstaat tussen netwerken die er voor zorgt dat de dat die over een niet vertrouwd netwerk (bijv. internet) gaat niet onderschept of aangepast kan worden.

Wat is de grootse dreiging waar VoIP mee te maken krijgt?
Peter Sandkuijl: Op dit moment zijn er verschillende manieren om VoIP te bedreigen en het is lastig om er daar één van uit te pikken en te benoemen tot de grootste dreiging. Dreigingen die nu bekend zijn omvatten onder andere: Denial Of Service (DoS) waarbij de telefonie service van een bedrijf onderuit gehaald wordt of gesprekken plotseling worden verbroken, eaves dropping waarbij het telefonieverkeer afgeluisterd wordt zonder modificatie, aanpassingen op accounting en billing zodat gebruikers zonder te betalen gebruik kunnen maken van de dienst.

Wat is het *security* nut van sip-aware cablemodems en session border controllers?
Peter Sandkuijl: Het nut valt te bezien, VoIP is een erg complex protocol wat veel mogelijkheden met zich meebrengt. Eén van de meest blokkerende zaken bij VoIP is altijd het gebruik van Network Address Translation (NAT) geweest, vanwege het feit dat er additionele kennis benodigd is van het protocol om het goed te kunnen vertalen. Het zal ook voornamelijk een effect hebben waarbij "het werkt" in plaats van dat er werkelijk gekeken wordt naar bijvoorbeeld buffer overflows of afwijkende commando's in de communicatie. Alle efforts op dit gebied zijn natuurlijk van harte welkom, het herbergt echter een gevaar waarbij de gebruikers een vals gevoel van veiligheid verkrijgen.

Hoe gaat location information mbt 911 calls en andere alarmlijnen in z'n werk? (waar bevindt de beller zich)
Peter Sandkuijl: Net zoals met het gebruik van GSM telefonie zal het niet altijd mogelijk zijn om de locatie van een gebruiker eenvoudig te achterhalen. Elk adres wat op het internet communiceert is uiteindelijk wel terug te traceren naar een locatie via de Internet Service Provider (ISP). In de toekomst zullen de tools die de alarmcentrales gebruiken verder uitgebreid dienen te worden om deze funtionaliteit verder te faciliteren zonder een inbreuk te maken op de privacy van mensen.

Met welke motivatie gaan hackers VoIP netwerken hacken?
Peter Sandkuijl: Motivatie van een hacker is een onderwerp waar al veel discussie over is geweest. Hier zijn verschillende categorieën in te onderscheiden. De meest voorkomende zijn de zogenaamde "script kiddies", deze kunnen niet echt geclasificeerd worden als hackers. Zij maken gebruik van "tools" die ze op het internet vinden en zijn simpelweg aan het proberen of ze services kunnen verstoren of een persoonlijk gewin kunnen bereiken (gratis bellen). Anderen zijn gedreven door sociale motieven, een aanval tegen een bedrijf wat in hun ogen onethisch of te commercieel of monopolistich actief is. De laatste categorie is waarschijnlijk de meest gevaarlijke: de professionele hackers die een aanval uitvoeren met een specifiek doel voor ogen waarbij ze zo min mogelijk sporen nalaten. Er zijn al gevallen bekend van concurrenten die elkaar op die oneigenlijke manier proberen te beconcurreren.

Hoe kan je het beste je VoIP netwerk van je data netwerk scheiden?
Peter Sandkuijl: Uiteindelijk is er zeer waarschijnlijk geen scheiding, aangezien beide toepassingen gebruik maken van een gedeelde toegang tot een niet vertrouwd netwerk. Een veel toegepast en effectieve maatregel in interne netwerken is het gebruik van VLAN technologie waarbij effectief het Voice en het data verkeer wordt gescheiden. VLAN doet echter een scheiding op netwerk niveau en doet geen inspectie van de applicatie. Hier komt ook een relatief nieuw marktsegement om de hoek kijken, internal security. Check Point biedt ook op dit niveau een oplossing in de vorm van een internal security gateway genaamd InterSpect.

Hoe betrouwbaar is VoIP? Verschillende berichten zijn er in de pers verschenen waarbij mensen geen alarmlijn konden bellen. VoIP lijkt op het eerste gezicht kwetsbaarder dan het traditionele telefoonnetwerk.
A - Het vraagstuk wat hier aan de orde komt is er één van de introductie van een nieuwe toepassing. Bij de introductie van traditionele technologie waren er ook zogenaamde "kinderziekten" (denk aan omgevallen telefoonmasten en dergelijke). Bij VoIP kent men ook soortgelijke issues en men zou zich af kunnen vragen of er wellicht te snel een beslissing genomen is om zulke systemen om te zetten naar de nieuwe toepassing. VoIP is in vergelijking met analoge telefonie heel erg jong en zulke zaken kunnen dus voorkomen. Uiteindelijk trekt men heel snel lering uit deze voorvallen en zal er een vorm van redundancy geïmplementeerd worden en zal er een beter test plaats vinden alvorens men de technologie in productie neemt.

Hoe groot is de kans dat er straks malware verschijnt die VoIP gesprekken kan opnemen of zich via dit soort netwerken kan verspreiden?
Peter Sandkuijl: De kans is zeer groot aanwezig. Dit wordt beïnvloed door twee factoren: VoIP is relatief nieuw, wat inhoudt dat er nog veel ontwikkeling op plaats vindt en dat laat weer ruimte voor security issues. Ten tweede wordt malware alleen geschreven wanneer er voldoende draagvlak is om het te verspreiden en er ge- of misbruik van te maken. Zodra VoIP op grote schaal wordt toegepast zal er ook malware verschijnen die er misbruik van kan maken. Net zoals vandaag de dag keyloggers bestaan die alle toetsaanslagen registreren zal dat ook voor VoIP verschijnen.

Wat kan er tegen VoIP spam ondernomen worden en is dit een reel gevaar voor de toekomst?
Peter Sandkuijl: VoIP spam komt op het moment nog niet zo veel voor. Er is wel een voorbeeld bekend met eigenlijk gebruik van de technologie waarbij de gebruiker gratis kan bellen maar waarbij wel reclame boodschappen toegevoegd worden aan de communicatie (bijvoorbeeld voor men kan bellen eerst een commercial). Bedrijven zullen goed in staat zijn om hun gesprekken "zuiver" te houden. Op het internet bestaat de mogelijkheid dat dit gaat gebeuren - echter dat is op dit moment nog voornamelijk een kwestie van voorspellen.

Op wat voor manier kunnen aanvallers via een VoIP netwerk op het datanetwerk van een bedrijf komen?
Peter Sandkuijl: Op dezelfde manier als men toegang verkrijgt tot hedendaagse data netwerken is dit ook mogelijk wanneer we over VoIP spreken. Dit gebeurt via een "zwakke" server die niet goed geconfigureerd is (bijv DNS) of via een lek in de applicatie waar misbruik van gemaakt wordt (bijv buffer overflow). Uiteindelijk is de "telefooncentrale" geconnecteerd aan het internet en ook de telefoons moeten connectivity hebben en zodra er communicatie is bestaat het gevaar dat daar misbruik van wordt gemaakt.

Waar moeten bedrijven en consumenten op letten als ze voor VoIP kiezen?
Peter Sandkuijl: Het grootste belang om zich af te vragen of men dit volledig zelf wil implementeren of dat men VoIP als een dienst bij de provider wil afnemen. In dat laatste geval is namelijk voor een groot deel ook de security uitbesteed. In het eerste geval dient men zich allereerst af te vragen of men de keuze maakt vanuit een business optiek of dat men simpelweg mee gaat met de technologie. Daarnaast is één en ander afhankelijk hoe de VoIP technologie wordt toegepast (intern of extern). Op het moment zijn er twee internationale standaarden die worden toegepast, namelijk H323 en SIP. In het kader van interoperabiliteit is het waarschijnlijk raadzaam om een toepassing te kiezen die compatible is aan de markt. VoIP technologie zal zeker beveiligd moeten worden net zoals de huidige data verkeersstromen. Een VoIP capabele firewall is dan ook een vereiste en waarschijnlijk is een vorm van QoS ook raadzaam (zeker wanneer die ook in een VPN kan managen)