Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 1. oktober 2004.
I dag er det muligt at sikre afviklingen af IP-telefoni, men både denne teknologi og internet-telefoni a la Skype stiller
betydelige krav til den generelle sikkerhed på netværket.
Vi er vant til, at der stort set altid er klartone, og at omverdenen altid kan komme i forbindelse med os eller vores telefonsvarer. Samme tilgængelighed forventer vi, når virksomhedens telefoni flytter over på datanettet som IP-telefoni - og når vi begynder at afvikle telefonien over internettet med en Skype-løsning eller lignende. Faren er, at der fokuseres så heftigt på tilgængelighed, at der åbnes potentielle sikkerhedsrisici.
Skype blev introduceret for et år siden som internet-telefoni til private. Midt i september i år var tjenesten downloadet 22,7 millioner gange. I foråret meldte hovedsæt-producenten Plantronics sig som partner for Skype, og samtidig erklærede Plantronics, at de mener, denne form for internet-telefoni har nået en kvalitet, så den også vil kunne benyttes til mange typer kommunikation mellem virksomheder. Samtidig er det en generel forventning, at Skype vil blive bragt ind i virksomhederne af medarbejdere, der bruger det privat.
Udfordringen ligger i de krav til virksomhedernes sikkerhedsberedskab, dette stiller.
Det, der adskiller Skype fra andre former for internet-telefoni, er først og fremmest, at den bygger på peer-to-peer-modellen. Allerede her står en del virksomheder af: De har en politik, der forbyder medarbejderne at downloade den applikation, der gør det muligt at bruge tjenesten. Det skyldes, at virksomhederne ikke præcis ved, hvad det er, der hentes ind: Teoretisk kunne det være en trojansk hest eller et ulovligt kopieret program, men det kan også være en applikation, der rummer en potentiel sikkerhedsbrist.
- Skype bliver jo ikke, som nogle af de andre peer-to-peer-programmer, brugt til ulovlige ting, og der er ikke noget, der tyder på, at koden er ondsindet. Alligevel skal virksomhederne afgøre, om de mener, at applikationen er tilstrækkeligt gennemtestet, siger sikkerhedstekniker Kristian Bjørn fra Check Point.
Ned i pakkerne
Når det gælder selve datatrafikken i forbindelse med internet-telefonien, benytter den ofte port 80, fordi denne almindeligvis bruges til at overføre de data, der udveksles i forbindelse med internet-browsing, hvorfor den altid er åben. Derfor råder firewall-producenterne til, at der i forbindelse med såvel Skype som andre peer-to-peer-tjenester som Kazar, Gnutella, eMule og BitTorrent benyttes en firewall, der er i stand til at aflæse headerne på IP-pakkerne for at afgøre, hvilken applikation den er del af.
- Generelt har vi lige taget hul på en udvikling, hvor firewalls går ned på applikationsniveau, uden at det er nødvendigt at sætte hastigheden ned på de data, der overføres. Der har godt nok eksisteret firewalls med såkaldt applikations-bevidsthed længe, men de kan typisk ikke følge med de aktuelle overførselshastigheder, siger Kristian Bjørn fra Check Point.
Et andet kontant råd lyder fra 3Com, der er vendt tilbage til router- og firewall-markedet.
- Brug altid en VPN-forbindelse til alle Internet- eller IP-telefonsamtaler, så snart du ikke blot taler med din familie om trivielle ting, siger Henrik Berggren fra 3Com.
Stiller krav til nettet
De større leverandører af IP-telefoni-løsninger kommer ofte med samlede pakker, der omfatter software, hardware samt et såkaldt informationsbibliotek og support, men sikkerhedsmæssigt opfatter de generelt IP-telefoni som en applikation, der skal beskyttes på linie med de øvrige på netværket.
- For os er IP-telefoni blot endnu en IP-baseret service på netværket, som ikke stiller særlige sikkerhedskrav i sig selv. Men det, at man benytter IP-telefoni, stiller generelle krav til netværket: Du skal kunne regulere datatrafikken, så der altid er kapacitet til telefon-opkaldene, og det bliver endnu vigtigere at holde virus ude for ikke at forsinke IP-pakkerne med telefoni, siger markedschef Martin Cordes fra Hewlett-Packards (HP) netværksafdeling.
Aflytning
Dog peger nogle sikkerhedseksperter på, at de server-baserede IP-omstillingsanlæg er udsatte for virus- og hackerangreb. Det samme er de såkaldte gateways mellem en virksomheds netværk og det offentlige telenet, der sørger for, at der kan kommunikeres med omverdenen fra IP-telefonerne.
Her kan det være ansporende for hackere, at de kan føre gratis telefonsamtaler, hvis de kan skaffe sig adgang. Eksperterne råder virksomhederne til at indrette systemerne, så udelukkende autentificerede, godkendte brugere kan koble sig på netværket.
Endelig kan der være en bekymring for, at samtalerne kan aflyttes. Modtrækket kan være at lede IP-telefonitrafikken ud på en virtuelt separat del af netværket og beskytte eksterne IP-telefonopkald med en VPN-forbindelse samt eventuelt kryptere opkaldene. Her i eftersommeren advarede chefen for det norske forsvars forskningsinstitut mod IP-telefoni.
- Teknologien bag bredbåndsteknologi er endnu så ny, at alle de nødvendige sikkerhedssystemer ikke er på plads endnu. Øget risiko for aflytning er en af farerne, sagde forskningschef Torleiv Maseng fra Forsvarets Forskningsinstitut til nyhedstjenesten Newswire.
Dog kan det være på sin plads at minde om, at der i dag tages forholdsvis lemfældigt på muligheden for at aflytte de analoge telefonkabler - specielt når der er tale om linier ind i private hjem.
IP-telefoni kan sikres
Der er praktisk muligt at hacker-sikre en virksomheds IP-telefonnetværk, men det kræver, at man vælger den rigtige IP-PBX og er villig til at investere penge og tid til planlægning af netværket og til sikkerhedsudstyr. Det viser en test, som Computerworlds amerikanske søstermagasin Network World foretog i sommer.
Bladets eksperter bombarderede flere systemer i tre dage med hackerværktøjer fra nettet, uden at det var muligt for dem at forstyrre afviklingen af IP-telefoni på det mest forkromede system. Det kræver dog, at man benytter udstyr, der sikrer alle niveauer i protokollagene.
De nyere IP-telefoniløsninger omfatter faciliteter til kryptering af IP-telefoni. Endnu er det dog udelukkende de nyeste IP-telefoner, der understøtter brug af kryptering.
Billedtekst:
- IP-telefoni er blot endnu en applikation på netværket, men det kræver, at du kan regulere datatrafikken på netværk, og det bliver endnu vigtigere at holde virus ude, for ikke at forsinke IP-pakkerne med telefoni, siger Martin Cordes fra HP's netværksafdeling.
