VoIP is niet langer meer het geluid van de toekomst, maar een actuele dienst die in Nederland steeds meer voet aan de grond krijgt. Uit verschillende marktonderzoeken blijkt dat de consument met interesse naar internet telefonie kijkt, en van plan is binnen enkele jaren over te stappen van de traditionele vaste lijn naar de internetlijn. De voornaamste reden hiervoor is kostenbesparingen, maar ook het gebruikersgemak om internet en telefonie van één aanbieder af te nemen is een argument om te overwegen. Uit onderzoek blijkt dat de vaste telefonie de komende jaren zal verdwijnen.

Door: Peter Sandkuijl, technisch manager Check Point Benelux

Dat de markt internetten en bellen via internet nu eindelijk serieus neemt bewijst de lancering van het VoIP consumentenpakket van KPN eind mei. De grote concurrenten van het telecombedrijf, zoals kabelmaatschappijen, zijn al langer actief maar hebben zich tot voorheen meer op de zakelijke markt gericht. Zoals vaak, is de zakelijke markt de voorloper op het gebied van technologische acceptatie en verbreding. Ook voor de consument geldt dat kostenbesparing een van de voornaamste redenen is om over te stappen van de vaste lijn naar de internetlijn. Maar ook vermindering van netwerkkosten en het stroomlijnen van netwerkmanagement wordt gezien als een valide argument.

Afgezien van alle ogenschijnlijk doorslaggevende voordelen is het proces van het toevoegen van voice aan het datanetwerk niet zonder gevaar. Vooral de beveiliging is een belangrijk punt om rekening mee te houden, aangezien elk element in de VoIP architectuur, zoals elke pc die toegang heeft tot het netwerk, gebruikt kan worden als ‘zwakke schakel’ om het netwerk binnen te dringen. Zowel de opzet van het gesprek over internet, als het media stream-gesprek zelf, zullen beveiligd moeten worden door een firewall op netwerk- en applicatieniveau. Zonder beveiliging zijn de VoIP gesprekken gevoelig voor Denial of Service-aanvallen, het afluisteren van gesprekken door buitenstaanders en het hacken van gateways die tot ongeautoriseerde gratis gesprekken leiden.

Typisch wordt een VoIP project binnen een bedrijf gedragen door de telecom of netwerk afdeling en daarbij wordt de security afdeling niet noodzakelijk geraadpleegd. Dat de noodzaak hiervoor bestaat is echter wel logisch. Waar telefonieverkeer in het verleden over een “eigen” netwerk beschikte en gebruik maakte van technologie die bij veel minder mensen bekend was, is dat nu wel anders! VoIP maakt namelijk gebruik van hetzelfde netwerk als waar de reguliere netwerk data over getransporteerd wordt. Dat betekent tegelijkertijd dat het dus ook blootgesteld wordt aan alle eigenschappen van netwerkdata. Alle gebruikers hebben in prinicipe toegang tot het netwerk dus afluisteren wordt veel makkelijker (er zijn voldoende tools te vinden om een “replay” van opgevangen informatie te doen). Het is mogelijk om de telefoniedienst van veel meer plekken te bereiken (elke pc op het netwerk) waardoor gesprekken makkelijker kunnen worden verbroken of dat men de telefoon infecteert door middel van de netwerktoegang. Als laatste punt moet hier natuurlijk vermeld worden dat het telefonieverkeer nu noodgedwongen gaat concurreren om bandbreedte op het netwerk. Wordt tenslotte de telefonieomgeving aangesloten op het internet dan is de scope van mogelijke aanvallers nog veel groter. VoIP als technologie lijkt ontwikkeld te zijn door “netwerkmensen”, er is voornamelijk gekeken naar de connectiviteit en veel minder naar de security aspecten. Alvorens de markt en de technologie volwassen genoeg zijn om te kunnen zeggen dat VoIP veilig is, zal er een noodzaak bestaan om gebruik te maken van specifieke security producten.

VoIP kan wel degelijk veilig gemaakt worden, en het is daarom ook van belang dat men zich realiseert dat er iets aan beveiliging gedaan moet worden. Waarom, vraagt u zich af, is er dan niet eerder iets aan beveiliging gedaan? Welnu, er is eerst een strijd geweest welke technologie nu de “standaard” gaat worden en vervolgens was er een discussie over hoe men de standaard dan zou moeten interpreteren. Daar komt bij dat VoIP een zogenaamd asymmetrisch protocol is. Dit houdt in dat de setup van een gesprek een andere route volgt dan het daadwerkelijke gesprek. Voor een security component als een firewall is dit een uitermate lastige opgave.

Scuritybedrijven in de markt zich realiseren zich nu dat VoIP nu eindelijk wel eens die doorbraak kan maken, maar hebben de afgelopen jaren met argusogen gekeken naar de ontwikkelingen in die markt. Check Point heeft al verschillende jaren ervaring met deze technologie en heeft het tevens aangeduid als een strategisch belangrijk onderdeel van de hele security suite. Dit heeft geresulteerd in een release van de firewall software die kan omgaan met de meest gebruikte vendors in de markt en de respectievelijke protocollen die zij gebruiken. (MGCP, SIP, H323, SCCP aka Skinny)

Naast herkenning van de protocollen is het een absolute noodzaak om tevens om te kunnen gaan met Netwerk Adres Translatie (NAT) wat niet eenvoudig is, wederom vanwege de complexiteit van de protocollen. Een nieuw verschijnsel wat verwacht wordt in de markt is de zogenaamde Denial Of Service (DOS) attack tegen VoIP gateways (uw telefooncentrale is immers aangesloten op het internet), dit heeft Check Point als enige in de markt al ondervangen in haar security producten.

VoIP zal de aankomende jaren met grote schreden de markt veroveren, en dit zal zeker een succes zijn mits men zich realiseert dat, zoals elke ‘nieuwe’ technologie, kinderziektes overwonnen dienen te worden en accurate beveiliging een onlosmakelijk onderdeel moet worden van deze nieuwe service.

Dit artikel is het vervolg op het interview dat we onlangs hadden met Peter Sandkuijl.