P-gebaseerde diensten zijn onderdeel van datanetwerken en daarom net zo goed vatbaar voor bedreigingen zoals virussen en Denial of Service (DoS)-aanvallen als andere ICT omgevingen. Iedere werkplek of aansluitpunt moet daarom in een VoIP-omgeving worden gezien als een potentiële ingang voor een aanval waardoor risicomanagement essentieel wordt.
In vergelijking met traditionele telefonie-diensten zijn VoIP-diensten gevoeliger voor afluisteren van gesprekken en voor aanvallen doordat voor VoIP-diensten geen fysieke toegang tot het netwerk nodig is om de centrale te bereiken. Uiteindelijk willen bedrijven zekerheid dat alleen de gewenste ontvanger de boodschap of het gesprek ontvangt. Zij zullen daarom bij de overschakeling naar een VoIP-netwerk rekening moeten houden met de volgende risico’s van hacking en de juiste maatregelen moeten treffen om deze te vermijden.
Beveiliging van VoIP verbindingen
Een belangrijk aspect van VoIP telefonie is de beveiliging. Doorgaans wordt VoIP gebruikt over netwerken waar anderen ook toegang tot hebben, bijvoorbeeld het internet (openbaar, toegankelijk voor iedereen) of het bedrijfsnetwerk (toegangkelijk voor collega’s). Er zijn een aantal oplossingen mogelijk om dit probleem het hoofd te bieden.
Een aparte dataverbinding direct naar uw VoIP leverancier
Met een aparte dataverbinding die direct in contact staat met uw VoIP leverancier omzeilt u het netwerk en maakt u direct verbinding. Deze verbinding is vaak kostbaar en biedt optimale beveiliging van buitenaf. Uw telefoongesprekken zijn nog wel ongecodeerd op het bedrijfsnetwerk aanwezig. Uw leverancier moet dit wel ondersteunen. Deze oplossing kan ook uitgevoerd worden als VoDSL: Voice over DSL.
Dit is het geval als een aparte lijn in gebruik is voor het transport van de VoIP spraaksignalen. VoDSL is in Nederland geen breed gebruikte term, maar in landen met een lagere broadband penetratie komt het vaak genoeg voor dat een verbinding als VoDSL wordt aangeduid.
Een Virtual Private Network (VPN) tunnel voor uw telefoongesprekken
Het is ook mogelijk uw gesprekken toch over uw aanwezige internetverbinding te laten verlopen, maar dan door een beveiligde VPN tunnel naar uw VoIP leverancier (of PBX). Dit moet uw leverancier wederom ondersteunen, maar brengt minder kosten met zich mee dan een eigen dataverbinding. Wel is een tunnel iets minder veilig en zal het eenhouden van een tunnel wat ‘overhead’ (d.w.z. extra data) genereren waardoor de snelheid (en in veel gevallen het aantal mogelijke gelijktijdige lijnen) dus zal dalen.
Versleuteling in het toestel door middel van VPN, TLS of SRTP
Als het toestel én uw leverancier of PBX dit ondersteund is het ook een mogelijkheid het toestel voor de versleuteling te laten zorgen. De ondersteuning hiervan is nog niet heel breed maar als dit technisch mogelijk is geniet dit de voorkeur. Geen speciale verbinding of extra hardware is in dat geval nodig. Als u toestellen aanschaft is het raadzaam te letten op ondersteuning van deze protocollen die in de toekomst steeds belangrijker worden.
Bij de beveiliging van Voice over IP is het belangrijk in de gaten te houden op welk netwerk de spraakverbindingen lopen en hoe gevoelig de inhoud hiervan daadwerkelijk is. Het is zaak goed advies in te winnen over wie toegang heeft tot welk netwerk, of versleuteling de moeite waard is en wat de mogelijkheden van uw apparatuur zijn.
Is VoIP een omgeving waar eventuele hackers graag in willen breken?
Ja, VoIP kan een omgeving zijn waar hackers graag in willen inbreken. Voorbeeld: als een hacker toegang heeft gekregen tot het VoIP systeem kan het zijn eigen regels opstellen binnen de software. De hacker kan vanuit het nummer uitgaand bellen naar dure nummers in het buitenland die zij zelf beheren. Zo gaan de kosten per minuut direct naar de hacker en zit de tegenpartij met hoge kosten.
VoIP Encryptie
De enige manier om te voorkomen dat hackers uw telefoongesprekken onderscheppen is volgens Ortega het versleutelen van het VoIP netwerk. VoIP telefoonverbindingen volgen namelijk een complex pad met meerdere routers, endpoints, servers en service providers.
Vragen en antwoorden op VoIP Security
In hoeverre speelt BYOD een rol m.b.t kwetsbaarheid security?
Dit speelt zeker een rol. Hiervoor dient ook een duidelijk protocol opgesteld te worden binnen de organisatie.
Is Open Source VoIP meer / minder kwetsbaar? Wie is verantwoordelijk?
Niet perse kwetsbaarder, bedrijven moeten hun eigen netwerk beveiligen.
VoIP vanuit de Cloud
- Voordeel: security is verantwoording van cloud telefonie aanbieder
- Nadeel: Bedrijf is afhankelijk van de beveiliging van de voip aanbieder
VoIP vanuit de Fysieke centrale (open source)
- Voordeel: beveiliging heeft bedrijf zelf in handen
- Nadeel: Bedrijf is zelf verantwoordelijk voor de beveiliging op het telefonienetwerk. Denk aan toegangspoorten dicht te zetten, een hardware Firewall plaatsen en sterke wachtwoorden hanteren.
Wat is zou vanuit IT management het beleid moeten zijn m.b.t. security updates / patches?
Wanneer er beveiliging updates zijn, zo snel mogelijk uitvoeren
Welke tools zijn er om VoIP netwerk te kunnen monitoren?
Via de webinterface van Voclarion kan het bedrijf zelf de rapportage inzien. Het geeft de mogelijkheid om automatisch storingen en onregelmatigheden te controleren en te verhelpen
Wat te doen om de risico’s te beperken?
VoIP-communicatie is uitermate voordelig en is voorzien van vele handige functies – maar neem wel de volgende voorzorgsmaatregelen om er op veilige wijze gebruik van te maken:
- Beveiliging van apparatuur – Kies VoIP-apparatuur die gebruikmaakt van de huidige beveiligingsstandaards voor draadloze communicatie, zoals Wi-Fi Protected Access (WPA), WPA2 en IEEE 802.11i.
- Verificatie en codering – Schakel verificatie en codering in die voor uw VoIP-systeem beschikbaar zijn. Zo voorkomt u dat onbevoegden toegang krijgen tot uw netwerk en garandeert u de privacy van uw gesprekken. WPA-, WPA2- en IEEE 802.11i-apparaten zijn altijd voorzien van geavanceerde technologie voor codering en verificatie.
- VoIP-firewall – Gebruik een firewall die specifiek voor VoIP-verkeer bestemd is. De firewall herkent ongebruikelijke gesprekspatronen en controleert signaleren van aanvallen.
- Twee verbindingen – Regel indien mogelijk een afzonderlijke internetverbinding voor uw VoIP-lijn, zodat virussen en aanvallen die een bedreiging vormen voor uw gegevensnetwerk, geen invloed hebben op de telefoonverbinding.
- Up-to-date antivirustechnologie. Gebruik up-to-date antivirus- en antispamtechnologie op uw apparatuur.
Voip beveiliging tips
- Beperk alle VoIP tot één VLAN
- Monitor verkeerspatronen op het VoIP-netwerk
- Beveilig je VoIP-servers
- Gebruik meerdere encryptielagen
- Maak je VoIP-netwerk redundant
- Zet je spullen achter een firewall
- Patch regelmatig
- Hou je netwerk weg van het internet
- Beperk het gebruik van softphones
- Voer regelmatig security audits uit
- Evalueer je fysieke beveiliging
- Gebruik digitale beveiligings certificaten
- Beveilig je gateways
- Beheer je servers apart
- Sorteer SIP-verkeer
- Controleer ‘setup requests’ op de applicatielaag
- Gebruik proxy servers
- Gebruik alleen applicaties die nodig zijn
- Configureer applicaties tegen misbruik
- Voeg endpoint beveiligingslagen toe
- Beperk toegang aan de hand van bepaalde criteria
- Vermijd remote management
- Gebruik IPsec tunneling ipv IPsec transport
- Beveilig je VoIP platform
- Stel een limiet in op je voip beltegoed