088 8765433 korving@bellhayes.nl

VoIP is net zo gevoelig voor hackers als alle andere informatie (data) systemen in uw organisatie. Het maakt daarbij niet uit of u maar één VoIP verbinding heeft, een eigen VoIP telefooncentrale of Hosted VoIP dienst van een leverancier.

De meeste organisaties die investeren in een VoIP oplossing of VoIP als dienst afnemen realiseren zich onvoldoende welke risico’s ze in huis halen. Het is waar, meestal gaat het goed en doen zich geen incidenten voor, of u merkt er niet zo veel van. Voor de ene organisatie is het risico ook groter dan voor een andere. Maar toch, een inbraak in uw VoIP omgeving kan vervelende gevolgen hebben. Ongemerkt kunnen anderen op uw kosten bellen, en zolang deze kosten niet te hoog zijn zullen ze u niet opvallen op uw maandelijkse facturen. Maar over een langere periode kunnen deze bedragen ineens aardig oplopen.

Via VoIP uw bedrijfsinformatie gehackend
Serieuzer wordt het indien hackers via de VoIP omgeving in uw data netwerk weten in te breken. Gezien de verwevenheid tussen de VoIP en de data omgeving is dit niet louter een denkbeeldig scenario. Vertrouwelijke bedrijfsinformatie, privacy gevoelige gegevens van bijvoorbeeld patiënten, het wissen van al uw data of het platleggen van uw applicaties door een virus. Dan hebben we het over zaken die een organisatie in serieuze problemen kan brengen. Er zijn diverse soorten bedreigingen, en evenveel soorten oplossingen. Elke bedreiging en elke organisatie vraagt om een specifieke aanpak waarvan hieronder enkele zijn uitgewerkt.

Bij VoIP wordt spraak getransporteerd via een data netwerk. Ditzelfde netwerk wordt ook gebruikt voor de koppeling van de servers waarop andere applicaties van een organisatie draaien. Indien een VoIP telefooncentrale wordt verbonden met een extern IP netwerk om een verbinding met het openbare telefonie netwerk te realiseren (b.v. VoIP Connect), dan is er een extra koppeling met het Internet ontstaan. Er is een koppeling met een openbaar IP netwerk tot stand gebracht. Leveranciers van deze IP netwerkdiensten doen er veel aan deze koppelingen veilig te ontwerpen. Toch kan het voor bepaalde organisaties verstandig zijn deze koppeling zelf extra te beveiligen. Hiervoor kan een speciale firewall voor spraak worden ingezet, dit noemen we ook wel een Session Boarder Controller (SBC).

Session Boarder Controller (SBC)
Een SBC wordt geplaatst tussen de openbare IP netwerk en de VoIP omgeving van een organisatie. De firewall staat toe dat spraak verbindingen naar het openbare IP netwerk en respectievelijk het openbare telefonie netwerk worden opgebouwd. Het controleert of de opgezette verbindingen daadwerkelijk spraak sessies zijn. Data sessies worden niet toegestaan. Spraak sessies bezitten specifieke kenmerken die door de SBC worden herkend. Bovendien worden spraak sessies alleen toegelaten binnen specifiek, door de gebruiker toegewezen sessienummers. Wordt er niet voldaan aan dat specifieke sessienummer, dan wordt de verbinding niet tot stand gebracht.

Een SBC kan extra, met specifiek voor een organisatie van toepassing zijnde criteria, beveiliging invoeren. Er wordt hiermee dus voorkomen dat de server waarop de VoIP applicatie draait als toegang wordt gebruikt om in andere toepassingen van de organisatie in te kunnen breken. Ook wordt voorkomen dat een telefooncentrale wordt gebruikt om op kosten van de eigenaar gesprekken op te zetten met het openbare netwerk.
De SBC is slecht één middel tegen mogelijke inbraak, er zijn echter meerdere bedreigingen. Elke bedreiging heeft een eigen specifieke oplossing.

Veilig uw VoIP beheer uitbesteden
Het uitbesteden van het beheer van de VoIP omgeving aan een externe partij is een beveiligingsrisico. De medewerkers van deze organisatie kunnen namelijk rechtstreeks in uw VoIP omgeving en van daaruit pogingen ondernemen om uw data (informatie) systemen binnen te dringen. Daarnaast is het de vraag in hoeverre de data, spraak en fysieke omgeving van uw leverancier voldoende beveiligd is. De meest eenvoudige oplossing hiervoor is het creëren van een beheer VPN (Virtueel Private Network). Het beheer VPN wordt door de externe partij gebruikt om uw VoIP omgeving te beheren. Het geeft beperkte toegang tot vooraf gedefinieerde levels, toegang tot data wordt uitgesloten.

Inbreken via het LAN of WAN
Om het security plaatje af te maken zullen ook maatregelen moeten worden genomen in het LAN (het lokale data netwerk op locatie) en in het WAN (het netwerk tussen locaties). Voor het LAN is het definiëren van VLAN’s (Virtuele LAN’s) gebruikelijk. Het spraakverkeer wordt hierdoor in het LAN gescheiden van het data verkeer. Dit heeft voordelen ten aanzien van de beveiliging. Bovendien wordt het spraakverkeer niet gehinderd door het data verkeer wat de kwaliteit van de spraakverbinding verbeterd. In het WAN kunnen soortgelijke maatregelen worden getroffen, we spreken dan van een VoIP VPN.

Veilig vertrouwelijke telefoongesprekken voeren
Tot slot kennen we nog het begrip spraak encryptie, dit is een ander type beveiliging, gericht op het niet kunnen afluisteren van gesprekken. Het wordt minder toegepast dan de andere vormen van beveiliging. Echter voor sommige organisaties is het een wezenlijk item op de beveiligingsagenda. Ook via telefonische gesprekken wordt kritieke informatie gedeeld, informatie die niet op straat mag komen, niet bij de concurrentie of informatie die privacy gevoelig is. Voor de ene organisatie dient alle spraak te worden geencrypt, voor de andere organisatie alleen bepaalde gesprekken.

Een pakket van maatregelen
VoIP security kan meestal worden opgelost met een pakket van standaard maatregelen, echter dienen deze maatregelen wel specifiek voor elke organisatie te worden ingericht. Het is een gezamenlijk optreden van de VoIP architect, de netwerk architect en de security officer.

Indien u meer informatie of ondersteuning wenst verzoeken wij u contact met ons op te nemen. E-mail: info@bellhayes.nl / telefoon: 088 8765432