Slik sikrer du ip-telefonen

Ip-telefoni, VoIP eller bredbåndstelefoni byr på flere fordeler, men det er visse utfordringer for å sikre dette anlegget. Her er en veildedning:

1. Helt grunnleggende er kravet til strømsikring, dersom strømmen går har man ingen fasttelefon. Så både kabelmodem og ip-telefoniadapter må sikres av en ups for å sikre avbruddsfri drift. I visse tilfeller kan det også spare en del irriterende endringer i oppsetet til ip-/bredbåndstelefonien. Om du har fått godkjent alarmtilkopling til et vaktselskap gjennom bredbåndstelefoni, så må ups på plass fordi du ikke kan la denne linjen gå ned.

2. Et annet moment som også er viktig, er at fasttelefonisystemet i dag er basert på entydig lokasjon; et telefonnummer har én fysisk adresse. Grunnen er selvsagt at en oppringingning til et nødnummer skal kunne utløse hjelp selv om det ikke kommer lyd eller verbal kommunikasjon. Om det er valgt en løsning hvor dette ikke er en del (det finnes dispensasjoner gitt av teletilsynet til hver enkelt bredbåndsoperatør i Norge, f.eks.) så er den private sårbarheten blitt høyere. Dette kan være ønskelig, om man vil ha med seg IP-telefonen sin til et hvilket som helt datanettverk.

3. Den neste runden med trusler mot IP-telefoni er den som foreløpig bare har rammet i mindre omfang, eller bare er fremkalt i testsituasjoner. Men det innebærer ikke at utfordringene ikke vil komme. Grunnen er enkel, jo mer allminnelig en digital teknologi bli, jo mer anvendelig er den til å misbrukes. Og dette går fra helt klassisk bedrageri via virus til å ta ut en hel infrastruktur.

4. Programvaren i ip-telefoni-sentralene og i apparatene vil være sårbare som annen kode. Dette løses med å legge dem inn i samme oppdateringsrutine som gjelder for pc-en din. Eller it-nettverket. Selv om ip-telefonisystemet er oppdatert, vil det underliggende OS-et være sårbart. Dette løses gjennom gode oppdateringsrutiner.

5. Om det gjøres prosedyrer som f.eks. innebærer at en web-tjener eller databasetjener skal levere data til telefonisystemet (f.eks kontaktadresser eller kunderelasjonssystem (crm), så må sambandet sikres og disse tjenerne være oppdatert slik at de ikke kan brukes til å ta ut telefonisystemet. Løsningen er god design av fysisk sikring, og evt. vurdere å ta i bruk programvare og bokser som tar truslene fra dag én.

6. Angrep mot infrastrukturen din kan redusere eller ta ut telefonien. Dette kan være alt fra store nedlastinger i hjemmenettverket til rene tjenestenektangrep eller fuzzing mot et bedriftsnettverk. I det ene tilfellet kan grep for å prioritere opp VoIP-trafikk høyere enn annen trafikk være enkelt, gjerne gjennom en nyere svitsj som støtter VoIP. Infrastrukturangrep i bedriften unngås gjennom sikkerhetstiltak som blokkerer denne type angrep.

7. SPIT, eller phishing over telefoni, er like effektivt eller enda mer effektivt enn epost-phishing. I disse tilfellene er det telefonmeldinger som kommer inn som telefonsvarerbeskjeder, og som når de returneres kommer til en ny telefonsvarer som ber om at visse opplysninger (fødselsnummer, bakkontonummer, PIN-kode) oppgis eller tastes inn. Siden det er «personer» istedenfor formellt utseende brev og web-sider, er sjansene for å lykkes med å få ut følsomme opplysninger større. Samme teknikker kan også brukes til ren utsending av søppelpost (spam). Sikres gjennom opplæring og eventuelt trafikkdeteksjon og sperringer mot SPIT-steder.

8. Feil i DNS-tjener. De aller fleste nettverk har to eller flere DNS-tjenere, som er den tjeneren som translerer adresser skrevet med bokstaver (som pcworld.no) om til maskinnummeret (IP-adressen), og som finner ut veien til denne denne maskinadressen. Imidlertid er dette ofte gamle maskiner med gammel programvare, noe som gjør dem sårbare for angrep med moderne trafikkmønster og angrepsmetoder.Dette er fordi moderne datatrafikk belaster DNS-er mer enn før. Om DNS-en tas ut, går gjerne hele lokalnettverk ned, inkludert samband som epost og ip-telefoni. Løsninger er å forsikre seg om at DNS-en hos ISP-en din er oppdatert, evt. sørge for at at dine DNS-er er oppdatert til å tåle trafikk – og motstå angrep.

Kildene her er boka «Hacking VoIP Exposed» av David Endler, og sikkerhetsselskapene TippingPoint og Infoblox.

Les mer om sikkerhet i Kunnskapssenter