Skiller ip-telefoni og datatrafikk

Skiller ip-telefoni og datatrafikk

Sårbarheten øker når bedrifter flytter telefontrafikken til datanettet. Ved å legge tale og data i hver sine virtuelle lan, fjernes mange av truslene.
Telefoni er blitt en applikasjon. Ip-baserte telefonsamtaler går over datanettet i stedet for i et separat telenett. Fordelene med ip-telefoni er mange. Men samtidig betyr overgangen til ip at bedriftenes telefon-løsningen blir utsatt for flere sikkerhetstrusler enn før.

-- Typiske farer er hackere som kan lamme telefoner, spre virus, forstyrre trafikk eller avlytte samtaler, sier Viggo Eriksen, sikkerhetsansvarlig hos systemintegratoren Ipnett.

Ironisk nok er Eriksens medisin mot nye sikkerhetstrusler å skille datatrafikk og taletrafikk. Men i motsetning til tradisjonell telefoni, som gikk i egne fysiske nett, anbefaler leverandørene nå adskilte logiske nett, såkalte virtuelle lan (vlan).

Med vlan går ulike typer trafikk i samme kabel og gjennom det samme nettverksutstyret, men likevel skilt fra hverandre.

Attraktivt angrepsmål

Segmentering i vlan fører blant annet til at ip-telefoner ikke nødvendigvis kan knyttes til en hvilken som helst Ethernet-kontakt i lokalnettet.

Standarden 802.11q beskriver riktignok hvordan ett Ethernet-punkt kan ha tilgang til flere vlan. Men en slik løsning er ressurskrevende for nettverksutstyret. Det er derfor vanlig å tilordne hvert vlan til et begrenset antall Ethernet-punkter. Det gir økt sikkerhet, men begrenset fleksibiliteten.

Grovt sett er ip-telefoni utsatt for alle truslene vi kjenner fra eksisterende datanett. Det betyr at hvis bedriften har et godt sikret datanett med høy oppetid, er det trygt å gå over til ip-telefoni. Men ip-telefoni åpner for nye sårbarheter.

-- Telefon-protokollene kompliserer trusselbildet. Den dagen H.323- og SIP-trafikken blir stor nok, blir det mer attraktivt å angripe disse protokollene, understreker Eriksen.

Koster flesk

Innføring av ip-telefoni innebærer nesten alltid oppgradering av eksisterende lokal- og bynett. Å oppnå god sikkerhet kan bli dyrt.

-- Det går an å få ip-telefoni helt sikker, men det er avhengig av hvor mye penger du vil bruke, sier Nils Ove Gamlem, forretningsutvikler i Cisco.

Et problem, for eksempel med Cisco løsninger, er at du må ha Cisco-utstyr gjennom hele nettet for å få tilgang til all sikkerhetsfunksjonaliet. Det betyr at potensielle innsparinger raskt spises opp.

Cisco anbefaler å skille tale og data i det selskapet beskriver som ulike lag. Det betyr at det interne kjernenettet og akssesnettet separeres. På samme måte skilles bynettet fra lokalnettet. Dermed går ikke hele telefonløsningen ned selv om deler av løsningen utsettes for et tjenestenekt-angrep (DoS-angrep) eller blir infisert av virus.