Usikker telefoni - VoIP telefon

Af journalist Søren J. Svendsen, Alt om Data

VoIP-telefon gør sikkerhedsbilledet endnu mere mudret, men det kan ordnes, hvis man tænker sikkerhed ind fra starten.

Det er lykkedes forskere ved universitet at hacke en ip-telefon, så den kan aflyttes uden at ejeren ved det. Dermed bliver vi mindet om, at hackerne måske har fundet vej tilbage til deres vugge, telefonien, som hackingbølgen opstod på i 60’erne. Derfor skal der også tænkes sikkerhed for ip-telefoni.

Hvis man tænker på ip-telefoni som en billig måde at få telefoni ved bruge internettet og det eksisterende netværk, så har man til dels ret. Men hvis ikke man allerede har tænkt sikkerheden med ind i sin VoIP-løsning, har man allerede begået den første sikkerheds-mæssige fejl. Den største kan være, at man ikke krypterer sine data.

En undersøgelse foretaget af Netgroup peger på, at op mod 2/3 af danske virksomheder slet ikke krypterer. Og her har man blot undersøgt de mest gængse medier og netværk. Men spørgsmålet er, om virksomhederne også har tænkt på ip-telefonien.

Sikkerhed er mulig

"Problemet med VoIP er, at sikkerhed ikke har været tænkt ind i løsningen fra starten af", siger Søren Hvidager, it-sikkerhedsekspert hos Grant Thornton, til Alt om DATA.

Han foretager it-revision af virksomheder, og har godt mærket til ip-telefoniens fremmarch.

"Vi ser i stigende grad, at gammeldags telefoni omlægges til VoIP, både af økonomiske og af bekvemmelighedsgrunde."

Søren Hvidager vil ikke afskrive ip-telefonien, for som med al anden ny teknologi, skal og-så ip-telefoni gennemgå en modningsfase, og den er i gang nu. I første omgang kan kommunikationsdirektør Claus Kotasek fra Aastra Telecom ikke helt se behovet for kryptering af telefonlinien, for det har ikke hidtil været nødvendigt. Men han medgiver, at ip-telefonien mangler sikkerhed. »Enhver ip-telefon kan aflyttes, sådan er det. Men man kan selvfølgelig gøre noget ved det. I vores løsninger kan vi gå ind og kryptere VoIP. Der er dog ikke så mange kunder til det, men hvis man vil være sikker, kan man jo bruge såkaldt ‘tunneling’ til at transmittere voice-trafikken.«

Aastra Telecom bruger en egenudviklet teknologi til kryptering, så den er alt andet lige mindre sårbar end de åbne standarder. Men intet er helt sikkert, og de fleste kunder er endnu ikke særlig interesseret i kryptering, måske fordi de tænker for traditionelt og derfor ikke stiller de rigtige krav.

Holistisk sikkerhed

"Vi er vant til telefonlinier, der ‘bare virker’, og det krav vil helt sikkert blive overført til ip-telefonien. Det stiller uhyre krav til netværkets stabilitet og oppetid,« siger Søren Hvidager, og fortsætter: » - og voip er væsentlig mere kompleks, og selvom man kan få sikre løsnin-ger, skal der måske blot en enkelte konfigurationsfejl til at sætte det over styr."

Som tingene står i dag, skal sikkerhedsproblematikken løses ved at tænke it-sikkerhed ho-listisk. Altså at man ikke kun tilføjer nye adgangsveje og kommunikationsmåder til ens net-værk, og derefter ser på, hvordan man får det sikkert, men i stedet arbejder med alle led på samme tid.

Det stiller dog høje krav til de enkelte virksomheder, som ikke alle vil eller kan honorere. Og netop derfor holder de mest forsigtige virksomheder sig stadig fra ip-telefonien, siger Søren Hvidager.

"Det bedste råd vil være at have sikkerhed for øje, og ikke lade sig blindt lokke af firmaer, der lover, at de har løst sikkerhedsproblematikken."

Det er, som med al anden sikkerhed, den enkelte virksomhed, som skal på banen og tæn-ke sikkerheden igennem i alle faser og ikke kun for netværket. Man kan ikke forvente, at sikkerhed er noget, man bare kan få som hyldevarer. Det gælder også ip-telefoni.

Yderligere information

Kontakt it-revisor Søren Hvidager for uddybende information, eller klik på www.altomdata.dk.