Managed Solutions Provider
Wat is IP Telefonie
Met VoIP wordt hier bedoeld zowel IP-telefonie, waarbij de communicatie van begin- tot eindpunt over IP verloopt, als ook analoge of digitale spraak, welke in het traject geconverteerd wordt naar IP. De populariteit van VoIP neemt toe gezien de kostenbesparingen en efficientie. De besparingen zijn het gevolg van installatie en beheer van één data/VoIP-netwerk (LAN) in plaats van een telefonienetwerk én een data-netwerk. In nieuwe gebouwen wordt vaak nog maar één fysieke kabel- infrastructuur neergelegd, waar voorheen nog aparte kabels voor én een telefonie- en een data- netwerk nodig waren.
In het verleden, maar ook nu nog worden aparte WAN–verbindingen voor telefonie en data gerealiseerd. Waar er data en telefonie over dezelfde (WAN-)verbinding loopt, zijn kostbare multiplexers nodig om telefonie en data over dezelfde verbinding te kunnen transporteren. Een nadeel van deze oplossing is dat er niet dynamisch met de beschikbare bandbreedte van de WAN- verbinding kan worden omgegaan. Eenmalig wordt vastgesteld hoeveel bandbreedte voor telefonie en hoeveel voor data nodig is. Wenselijk zou zijn dat wanneer er weinig telefonieverkeer is en veel data, er tijdelijk gebruik gemaakt wordt van de (gedeeltelijke) bandbreedte bestemd voor telefonie en vice versa. Dit is niet mogelijk in beschreven situatie. Door traditionele telefonie te migreren naar VoIP, kan er wel optimaal gebruik gemaakt worden van de beschikbare bandbreedte van WAN- verbindingen.
Van een scheiding tussen data en VoIP is dan geen sprake meer, maar meer van data met
verschillende inhoud en eigenschappen. Allerlei vormen van communicatie (spraak, video,
messaging) convergeren in de toekomst naar data over IP.
Om het onderscheid in voornamelijk de gewenste afhandeling van de verschillende type data te
benadrukken, zal data en VoIP apart genoemd worden. Juist doordat data en VoIP beide gebruik
maken van IP (Internet Protocol), kan wel dynamisch met de beschikbare bandbreedte op WAN- en
LAN-verbindingen omgegaan worden.
Een verdere besparing is te behalen door telewerkers, die met breedband (kabel, xDSL) aangesloten zijn op het bedrijfsnetwerk, te laten communiceren met collega’s. Dit kunnen collega’s op kantoor (hoofd- en bijkantoren) of andere telewerkers zijn. Voor communicatie met externe partijen kan de koppeling naar het PSTN/ISDN-netwerk van het hoofdkantoor gebruikt worden. Hierdoor worden de kosten gecentraliseerd en vaak ook lagere tarieven berekend door de Telco. Het verwerken van maandelijkse declaraties van prive-telefoonrekeningen vanwege zakelijk gebruik behoort dan ook tot het verleden.
Een ander voordeel van VoIP is de makkelijkere integratie tussen spraak en data op het niveau van bedrijfsapplicaties. In het verleden moesten er nog ingewikkelde CTI (Computer Telephony Integration) koppelingen gemaakt worden tussen de telefooncentrale en het data-netwerk. Nu kunnen VoIP-data gelijktijdig aan een IP- of (soft)phone en andere applicaties aangeboden worden. De andere applicatie kan dan bijvoorbeeld direct de gegevens tonen van de bellende partij. Anderzijds kan ook makkelijker calls geherrouteerd worden middels workflow of omgezet worden in messaging (instant, e-mail).
In de toepassing van Voice over IP, schuilt echter ook een risico, namelijk dat VoIP ( en elk ander tijdkritisch verkeer zoals video) door aanwezigheid van veel ander dataverkeer, niet tijdig door het netwerk wordt getransporteerd. Een gevolg hiervan is bijv. een niet acceptabele kwaliteit van het telefoongesprek, omdat het gesprek niet als een vloeiende stroom bij de ontvanger aankomt. Dit probleem doet zich niet voor bij een apart telefonienetwerk, omdat dit circuit-switched is. Dit houdt in dat voor elk gesprek, gedurende het hele gesprek, er een kanaal exclusief voor dat gesprek is gereserveerd. Niemand anders kan de bandbreedte tijdens dit gesprek gebruiken voor andere doeleinden, zelfs als er niet gesproken wordt.
Daarentegen is data en dus ook VoIP packet-switched, dat wil zeggen dat de bandbreedte van het netwerk alleen voor versturen van data-pakketten gebruikt wordt, als deze aangeboden worden door de zender. Om te zorgen dat VoIP- verkeer toch tijdig door het netwerk wordt getransporteerd, dienen een aantal maatregelen genomen te worden. Zie hiervoor de paragraaf “VoIP en Quality of Service” verderop in dit document.
De integratie van Voice en data heeft een aantal aandachtspunten.
Een traditioneel telefonienetwerk is vaak fysiek gescheiden van een datanetwerk en daardoor minder
kwetsbaar voor de risico’s van een datanetwerk. Zie hiervoor de paragraaf “Risico’s van VoIP”
verderop in dit document.
IP Telefonie en Quality of Service
Om VoIP tot succes en een geaccepteerde oplossing binnen een organisatie te maken, dient de kwaliteit van de gesprekken middels VoIP vergelijkbaar te zijn met die van een traditioneel telefonienetwerk. Dit betekent dat het bestaande of nieuw aan te leggen data-netwerk kritisch bekeken moet worden. Om te zorgen dat een data-netwerk tijdkritisch verkeer, zoals VoIP en streaming video, met acceptabele vertraging (minder dan 150 milleseconden) transporteert, dient het netwerk dit met prioriteit af te handelen. De vertraging van maximaal 150 milliseconden geldt voor éénrichtingsverkeer (van zender naar ontvanger). De nodige prioriteit voor VoIP kan middels Quality of Service (QoS) gerealiseerd worden. Quality of Service is het kenmerken van bepaald verkeer, zodat de netwerkcomponenten dit verkeer met hogere prioriteit en dus sneller, afhandelen dan niet- tijdkritisch verkeer (bijv. HTTP, webapplicaties). Echter ook hier geldt dat de “keten” zo snel is, als de langzaamste schakel”. Quality of Service is dus alleen zinvol als dit in het hele traject tussen zender en ontvanger is geimplementeerd.
Een alternatief is om (gedeeltes) van het netwerk, waar geen QoS geimplementeerd kan worden,
deze over te dimensioneren, dus meer capaciteit dan nodig te realiseren. Dit is in een LAN-omgeving
niet zo’n probleem, maar in een WAN-omgeving, waar men per Kbit/sec bandbreedte betaald, een
kostbaar alternatief.
Overigens ondersteunen de meeste WAN-aanbieders (telco’s/ISP’s) steeds vaker oplossingen met als
optie QoS. De meeste LAN-componenten ondersteunen tegenwoordig QoS. Hierbij moet wel een
onderscheid gemaakt worden tussen Laag-2 (van het OSI-model)en Laag-3 componenten. QoS wordt
namelijk op laag-3 geimplementeerd. Laag-2 componenten worden meestal in de kern van een
netwerk gebruikt, waar voldoende bandbeedte beschikbaar is. Indien switches gebruikt worden om
PC’s met softphones of IP-phones op het netwerk aan te sluiten, kan er op laag-2 marking en queuing
toegepast worden.
Overigens is het niet gezegd dat een bestaand netwerk met LAN- en WAN-verbindingen, waarop men VoIP wil implementeren, een redesign of implementatie van QoS noodzakelijk is. Als de hele netwerkomgeving ruim is overgedimensioneerd en er nooit congestie optreedt, is aanpassing van het netwerk niet nodig. Echter leert de ervaring dat een netwerk vroeg of laat met congestie te maken krijgt. Is dit niet vanwege toenemende gebruik van bandbreedte door bestaande of nieuwe applicaties, dan wel vanwege virussen, worms of (Distributed)Denial of Service ((D)DoS) Attacks. Zie hierover meer in de volgende paragraaf.
Voor VoIP over broadband-internet (kabel, xDSL) voor telewerkers, is het implementeren van QoS geen optie, omdat men hier gebruikmaakt van gedeelde bandbreedte met andere broadband- gebruikers. Tevens ondersteunen de telco’s /ISP’s QoS niet op dit soort verbindingen. Toch hoeft dit geen probleem te zijn, zolang een telewerker maar niet gelijktijdig grote bestanden (prive danwel zakelijk) download, terwijl hij een telefoongesprek opzet via VoIP. Dit kan vastgelegd worden in een policy of werkinstructie. Daarnaast kunnen, als het bedrijf zelf de internet-routers aan de telewerkers levert, de diverse types verkeer (VoIP, FTP, filesharing, etc.) al in de router de juiste voorrang krijgen. De configuratie van de internet-router wordt dan conform de bedrijfsrichtlijnen ingericht en eventueel op afstand beheerd. Dit is vanuit beveiligingsoogpunt ook wenselijk.
Bij voorkeur is het wenselijk dat de telewerkers en het bedrijf een internet-verbinding bij dezelfde ISP afnemen. Hierdoor blijft het VoIP-verkeer,gedurende het hele traject, slechts op het netwerk van één en dezelfde ISP. Congestie in het internet treedt vaak op bij interconnecties (Internet Exchange Points) tussen ISP’s.
Het implementeren van QoS heeft andere voordelen voor toepassingen zoals niet-tijdkritische bedrijfsapplicaties. Door de verschillende types verkeer te classificeren, kan de beschikbare bandbreedte optimaal gebruikt worden. Zo krijgt bijvoorbeeld VoIP-verkeer de hoogste prioriteit en bijv. altijd minimaal 50 % van totale beschikbare bandbreedte. Bedrijfskritische applicaties (ERP, CRM) krijgen de daarna hoogste prioriteit en altijd 40 % van de bandbreedte, e-mail 20 % en internet verkeer best effort. Dit betekent dat, ondanks dat het netwerk intensief gebruikt wordt, VoIP-verkeer ten allen tijde als eerste wordt afgehandeld en altijd 50 % van de bandbreedte ter beschikking heeft. Hierdoor kan het zijn dat ander, minder kritisch verkeer zoals internet- browsing, tijdelijk niet door het netwerk wordt afgehandeld ten bate van VoIP -verkeer.
Voor VoIP zijn niet alleen prioriteit en minimale bandbreedte-garantie belangrijk, maar ook minimale delay, variatie in delay (jitter) en packet loss. Ook deze aandachtspunten kunnen middels parameterisering van het netwerk geminimaliseerd worden.
Tevens wordt met de implementatie van QoS, met name op WAN-links en internet-verbindingen, de risico’s van bandbreedte-vullende aanvallen (bijv. PING-attack) tegengegaan. Immers wordt dan het tijdkritisch en bedrijfskritisch verkeer met voorrang afgehandeld en worden ICMP-packets niet afgehandeld. Helaas ondersteunen lang niet alle ISP’s de QoS op verbindingen naar haar klanten. Een dergelijke service kan dus een selectiecriterium zijn voor de keuze van een ISP.
Risico’s van VoIP
Voice over IP (VoIP) maakt gebruik van een regulier datanetwerk en is daardoor netzo kwetsbaar
(vulnerable)als deze. De kans is groot dat het VoIP-netwerk direct of indirect aan het internet hangt.
Inmiddels is bewezen dat elk netwerk dat aan het internet is gekoppeld vroeg of laat een doelwit zal
zijn van aanvallen vanuit dit internet.
Maar zelfs als het VoIP-netwerk, het data-netwerk waarover zowel data als VoIP wordt
getransporteerd, niet aan het internet is gekoppeld, dan zijn er nog steeds voldoende bedreigingen
voor VoIP.
Zoals eerder besproken in dit document is beschikbare bandbreedte een kostbaar goed voor VoIP.
Denial of Service- attacks gericht tegen netwerkcomponenten (firewalls, routers, switches) kunnen
zorgen dat een VoIP-netwerk niet meer functioneert, met als gevolg dat uw klanten of medewerkers
uw bedrijf niet meer kunnen bereiken of andersom.
Of aanvallen tegen de SIP- proxy-server of gatekeeper, waardoor gesprekken niet meer tot stand
komen of er gratis via uw infrastructuur gebeld wordt.
Een uitbraak van een virus of een worm, die het hele netwerk of voice-componenten platlegt.
Vertrouwelijke telefoongesprekken, die afgeluisterd of gemanipuleerd worden.
Kortom een VoIP-netwerk moet minstens zo goed beveiligd en bewaakt worden als een data-netwerk met bedrijfskritische applicaties. Afhankelijk van de bedrijfsvoering van een bedrijf is telefonie (in dit geval dus VoIP) belangrijker dan de applicaties. Een bedrijf waar een applicatie of netwerktoegang niet werkt, is vervelend, maar telefonisch onbereikbaar zijn of niet kunnen bellen is desastreus. Om dit soort calamiteiten te voorkomen of in ieder geval te minimaliseren, dienen diverse maatregelen genomen te worden. Een eerste stap is om de huidige status van beveiliging van uw netwerk in kaart te brengen, dit wordt ook wel security-baselining genoemd. Op basis van de huidige status kunnen dan beschermende, dedecterende en corrigerende maatregelen genomen worden. Belangrijk is om vast te stellen wat de huidige en mogelijke risico’s zijn met behulp van respectievelijk vulnerability- scans en assessments. Een vulnerability -scan is het scannen van het netwerk en daarop aangesloten componenten (routers, switches, firewalls, VoIP-servers en telefoons, servers, etc) op aanwezige zwakheden (vulnerabilities) .Deze zwakheden kunnen door hackers gebruikt worden om de componenten plat te leggen of het beheer hiervan over te nemen om illegale praktijken uit te voeren. Een vulnerability- assessment is, al dan niet voorafgegaan door een vulnerability-scan, een analyse van alle aanwezige componenten en mogelijke risico’s.
Als eenmaal de risico’s zijn vastgesteld dienen deze met de, indien aanwezig, de security policy en huidige maatregelen vergeleken te worden. Een security policy (strategisch) beschrijft op grote lijnen welke risico’s een bedrijf kan lopen en welke maatregelen men hiervoor kan of dient te nemen. Hierbij dient ook gedacht te worden aan fysieke beveiliging van data in papieren of digitale vorm. Tezamen met de security policy en de vulnerability scan/assessment, kan dan een concreet (tactisch/operationeel) beveiligingsbeleid gedefinieerd worden. Dit beleid bevat bijvoorbeeld een wachtwoord-beleid, een beleid met betrekking tot uitvoeren van software updates en upgrades, en indien nodig; aanpassing van het netwerk en/of toevoeging van beveiligingscomponenten (firewall/IPS).
Het is echter onzinnig om gigantische investeringen in informatiebeveiliging te doen, als de financiele gevolgen van aanvallen op het netwerk marginaal zijn. Echter dient men ook in geld uit te drukken wat de gevolgen zijn van manipulatie of verlies van data, gezichtsverlies en dergelijke. Daarnaast zijn er ook verplichtingen in het kader van informatiebeveiliging vanwege bepaalde wetgevingen (bijv. accountancy). Overigens is het niet altijd noodzakelijk om het complete bovenstaande traject te doorlopen, bijv. vanwege gebrek aan tijd en/of geld. Soms volstaat het uitvoeren van een vulnerability scan, gevolgd door het toepassen van maatregelen in de netwerkinfrastructuur.
De beschermende maatregelen zijn over het algemeen vertragende middelen. De vertraging moet voldoende zijn om hackers, met relatief weinig kennis van zaken, buiten de deur te houden. De detecterende maatregelen dienen om de meer ervaren hackers, die de eerste beschermende maatregelen zijn gepasseerd, te detecteren en indien mogelijk te traceren. Vervolgens zorgen de corrigerende maatregelen dat verdere toegang wordt geblokkeerd. De analogie met een overval/inbraak op een bank is misschien wel het beste voorbeeld. De beveiligingsman bij de deur zorgt dat verdachte personen niet binnenkomen of dwingt dat men zich moet legitimeren (vertragende maatregel). Het video- en alarmbewakingssysteem detecteert verdacht gedrag binnen de bank en signaleert dit naar de politie (detecterende / signalerende maatregel). Als de overvaller (hacker) eenmaal bij de kluis is, zorgt het tijdslot voor een nieuwe beschermende maatregel. Intussen zorgt de gearriveerde politie voor insluiting van de overvaller (corrigerende maatregel). Al zou de corrigerende maatregel niet tijdig uitgevoerd worden, dan is met behulp van de gedetecteerde informatie een overvaller (hacker) alsnog juridisch te vervolgen. Uit dit voorbeeld blijkt ook dat het aanwezig zijn van meerdere beschermende maatregelen cruciaal is, dit noemt men ook wel gelaagde beveiliging (defense in depth).
De meeste gangbare beveiligingsmaatregelen bestaan dus uit een aantal componenten op netwerk- en applicatieniveau :
 | (Application) Firewall | Beschermende en gedeeltelijk detecterende component. Staat alleen toegang toe tot bepaalde applicaties en netwerkpoorten. Logt alle activiteit. |
| Network Intrusion Detection System (NIDS) | Detecterende component. Inspecteert alle netwerkverkeer op verdacht gedrag en vreemde/afwijkende patronen. Logt alle activiteit, signaleert mensen of systemen. |
| AAA Server | Beschermende en gedeeltelijk detecterende component. Controleert identiteit en verleent toegang voor gebruikers tot alleen voor hen opengestelde informatie en applicaties. Logt alle activiteit. |
| Intrusion Prevention System | Beschermend en detecterende en gedeeltelijk corrigerende component. Combinatie vangedeeltelijke functionaliteit van application firewall en IDS. Een IPS vervangt een firewall niet, maar is een aanvulling. Een IPS wordt vaak tussen de firewall en LAN gezet. |
| Host-based IDS (HIDS) | Detecterende en corrigerende component. Dedecteert verdacht gedrag op een systeem (bijv. SIP proxy), signaleert en blokkeert toegang voor de hacker. |
| Antivirus software | Detecterende en corrigerende component. Afhankelijk van de plaats van de AV-software wordt verdere infectie gestopt en verwijderd. |
Zoals eerder gezegd is beveiliging niet een kwestie van slechts het plaatsen van een firewall of antivirus software. Deze systemen zullen slechts voor de nodige vertraging zorgen en misschien de eenvoudige hacker (script-kiddies) buiten houden. Zonder de detecterende/signalerende en corrigerende componenten zult u niet eens weten dat er informatie (bijv. Klantendatabase of vertrouwelijke gesprekken) bij uw bedrijf is gestolen of veranderd. Erg vervelend als dit een dag later in de krant staat of uw concurrent ermee zijn voordeel doet. Of is uw rekening van uw telco ineens extreem hoog, omdat hackers uw voice-proxy hebben gebruikt voor lucratieve praktijken.