Oberman Telecom Management Consultants bv
De Wingerd 4 3951 XK Maarn tel: 0343 - 444301 e-mail
[email protected]
VoIP, betrouwbaarheid, beschikbaarheid en beveiliging Auteurs: Maarten Oberman, Albert Molenaar Telecommagazine september 2006 Voice over IP is de resultante integratie van voice functies met de datacommunicatieomgeving, en als gemeenschappelijke factor IP als drager. Door de toegenomen int egratiemogelijkheden van voice en data is het gevolg van uitval, verstoring, of ongewenste functionaliteit groter dan ooit. In dat kader zullen juist de onderwerpen beschikbaarheid, betrouwbaarheid en beveiliging de nodige aandacht vereisen. Al die interactie maakt dat dit in de VoIP omgeving meer aandacht vergt dan een traditionele PABX omgeving. Niet dat een PABX omgeving defacto veilig is. Beheer op afstandingangen, onderhoud op afstand etc zijn in vrijwel elke PABX op een standraad wijze afgeschermd, of eigenlijk beter gezegd toegankelijk. In die omgeving beperken de gevolgen zich echter tot de spraak-kant, in de VoIP omgeving gaan de gevolgen verder en kan het directe invloed hebben op de totale communicatie-infrastructuur. Netlijnen De meeste spraakcommunicatie systemen zijn nog gekoppeld met ISDN aan het openbare net. Een enkele provider (b.v. Priority Telecom) biedt al de mogelijkheid tot het koppelen op basis van IP. Andere operators en providers zijn al met (interne) proeftrajecten bezig en zullen naar verwachting op korte termijn volgen. Waren er al mogelijkheden om via toegang tot het D-kanaal van een ISDN bundel de spraakcommunicatie-infrastructuur te beïnvloeden, met de koppeling op basis van IP zal beveiliging tussen de eigen (Vo)IP infrastructuur en de openbare (IP) omgeving noodzaak gaan worden. Een firewall, zal dan de elementaire basis in de afscherming van de externe en de interne wereld moeten vormen. Aan die firewall zullen echter aanvullende speciale eigenschappen gegeven moeten worden, omdat de firewall speciaal voor VoIP verkeer de filtering moet doen. Dat geldt, zo blijkt in de praktijk, lastig voor SIP als communicatieprotocol in combinatie met firewall filtering. Afluisteren? Vroeger was het afluisteren van een verbinding, als je die tenminste gevonden had, relatief eenvoudig. Wat klemmetjes en eenvoudige apparatuur en het analoge signaal was opgeslagen. Met de overgang naar het digitale tijdperk en de toenemende integratie, is afluisteren enerzijds complexer geworden, anderzijds kan er meer tegelijkertijd afgeluisterd worden. Dat laatste vergt dan wel analyse-apparatuur (protocol analyser, content analyser) voor het analyseren en uitsorteren. Met de komst van IP en dus de vergaande digitalisering en standaardisering, zijn er nieuwe, in feite al heel oude mogelijkheden, om tot een betere beveiliging van de © Oberman Telecom Management Consultants BV, Maarn, www.otmc.nl
1
De Wingerd 4 3951 XK Maarn tel: 0343 - 444301 e-mail
[email protected]
Oberman Telecom Management Consultants bv
gespreksinhoud of een deel van de gespreksinformatie te komen. Vercijfering is wat dat betreft het middel om bij te dragen aan een betere of in veel gevallen zelfs afdoende beveiliging van de spraakcommunicatie. Het inzetten van vercijfering vergt de nodige expertise. Enerzijds om dat elk algoritme een bepaalde eigen sterkte heeft, die wellicht met voldoende kennis en verwerkingskracht al dan niet eenvoudig op te lossen is, en anderzijds sleutelbeheer vergt t.b.v. van het vercijferingsproces. Naast de sterkte of zwakheden van een algoritme is de sleutel de weg tot de meest eenvoudige ontcijfering. In dit licht zegt de lengte van de sleutel niet alleen iets over de sterkte van de vercijfering. Interessant om te zien in deze ontwikkeling is, dat vroeger vercijfering nog met losse, gekoppelde dozen werd gerealiseerd en dat dat nu bij diverse VoIP leveranciers als in het toestel verwerkt is. Deze eigenschap zal een "unique selling point" van VoIP gaan worden. In de tijd van de losse dozen was er een meerprijs voor dit soort faciliteiten variërend van 500 tot 4000 €. De klassieke PABX beschikt hier niet over, anders dan door het toevoegen van losse dozen in een analoge aansluitomgeving. Voor de meestal proprietary digitale implementaties is er meestal geen oplossing. Het zijn echter niet alleen de VoIP infrastructuren die hier over beschikken of over gaan beschikken, ook diverse VoIP diensten zoals bijvoorbeeld Skype vercijferen de informatie gedurende de spraakverbinding. Dat wil niet zeggen dat daarmee ook een ongestoorde dienstverlening gerealiseerd kan worden. Recent is het propriety Skype protocol geanalyseerd en ontrafeld door een aantal Chinezen. Tevens leek men in staat om op basis van die informatie een Denial of Service programma te maken voor die dienst, al dan niet uitgesplitst op landinformatie, omdat die informatie weer niet vercijferd is.
De VoIP omgeving Op hoofdlijnen is in de onderstaande figuur de VoIP omgeving geschetst qua signalering en informatie stromen. In de signaleringsfase gaat het om twee handelingen. De eerste is een vrijwel eenmalige actie om deel te mogen worden van de VoIP omgeving. PSTN
LAN/WAN
Signalering (incidenteel) Netwerk Portal
Spraak (Continue) © Oberman Telecom Management Consultants BV, Maarn, www.otmc.nl
2
Oberman Telecom Management Consultants bv
De Wingerd 4 3951 XK Maarn tel: 0343 - 444301 e-mail
[email protected]
Het toestel zal bij de opstart in het LAN de meest recente firmware gaan downloaden en een (tijdelijk) IP adres aan vragen. Afhankelijk van voice VLAN omgeving waar het toestel in terecht moet gaan komen, zal er een verwijzing plaats vinden. Het downloaden van de meest recente firmware is een belangrijk gegeven om tot een veilige situatie te blijven. Op deze wijze kan een toestel flexibel aangepast worden aan nieuwe ervaringen en inzichten. Naast programmeerfouten en bugs kan op die wijze ook snel een foutieve situatie opgeheven worden. Een herstart op basis van nieuwe firmware biedt een aantal extra beveiligingsmogelijkheden ten opzichte van toestellen die niet instaat zijn om geherprogrammeerd te worden op afstand, Van belang is dat wanneer de datacommunicatie-infrastructuur het toestel naar een ander VLAN verwijst het eerste IP adres weer vrijgegeven wordt. In de praktijk blijkt dat in de VoIP omgeving de spraak en data niet meer fysiek maar vanuit o.a. beveiligingsoogpunt wel logisch gescheiden worden in de LAN omgeving via VLAN constructies en in de WAN omgeving vaak op basis van MPLS. In de signaleringsfase is een beperkte transport capaciteit nodig om de signalering en de firmware effectief te krijgen. Desondanks vergt het een performance calculatie voor grotere VoIP infrastructuren als bijvoorbeeld door een storing van grote aantallen toestellen deze zich tegelijkertijd gaan resetten en vervolgens om de recente firmware vragen. Dan kan er gezien het beperkte tijdframe voor de opstart en de vraag naar spraakcommunicatie diensten tengevolge van de storing toch een verstoring van de communicatiecapaciteit plaatsvinden. Dit kan zich ook voordoen wanneer per ongeluk de DHCP server (die IP adressen toewijst aan de aangesloten systemen) de leasetijd voor veel toestellen op het zelfde moment zou aflopen en er en masse een vernieuwing van dynamische IP adressen zou gaan plaatsvinden. Tijdens de gespreksfase kan binnen de eigen VoIP omgeving afdoende afscherming zijn via vercijfering van de informatie en gespreksstroom. Voor communicatie met de buitenwereld zal, zeker wanneer de koppeling op IP basis plaats gaat vinden, een firewall voor signaleringsaspecten en voor content noodzakelijk zijn. Deze firewall zal daarnaast ook een beheerfunctie moeten hebben ter controle op activiteiten die bijvoorbeeld kunnen leiden tot het blokkeren van berichten en communicatie.
Beschikbaarheid © Oberman Telecom Management Consultants BV, Maarn, www.otmc.nl
3
Oberman Telecom Management Consultants bv
De Wingerd 4 3951 XK Maarn tel: 0343 - 444301 e-mail
[email protected]
In de aanloopjaren (1999-2004) van VoIP infrastructuren in de markt is er het nodige te doen geweest over de beschikbaarheid van de dienstverlening. Deels werd dit veroorzaakt door de LAN/WAN componenten en deels door de VoIP processingsystemen. Op hoofdlijnen zijn er twee concepten om de beschikbaarheid te optimaliseren. Het ene concept gaat uit van centralisatie van de voice processing in een redundante opzet. In dat soort concepten zijn er twee zaken die opvallen, de uptime van het geheel zal de uptime van het WAN gaan benaderen, omdat de VoIP processing in zijn redundante uitvoering tot een bijzonder hoge beschikbaarheid kan komen. Dit mits een volledig fysieke gescheiden interne omgeving ingezet wordt. Nadeel van een gecentraliseerde omgeving kan liggen in de exploitatieve sfeer als ook de netlijnen gecentraliseerd zouden worden, omdat dan lokaal verkeer naar interlokaal verkeer omgebogen gaat worden (“most cost routing”). Wellicht dat er bij een intelligente koppeling met een provider hier verbetering in valt aan te brengen, maar in dat geval zal de provider het centraal aangeboden verkeer lokaal moeten (uit-) routeren, dat is altijd meer bewerkelijk voor een provider dan lokaal aangeboden verkeer lokaal uit te routeren (en dus duurder voor de klant) . Het andere concept gaat uit van een decentralisatie, veelal in combinatie met gedistribueerde redundancy. Het systeem op de andere locatie is de redundante tegenhanger van de ene locatie. Op die manier komt het WAN pas in actie als er een lokale VoIP processing omgeving uitgevallen is en de lokale toestellen dus via het WAN een andere VoIP processor gaan opzoeken. Dit vergt een intelligent redundancy concept. Zo’n concept maakt het niet alleen mogelijk dat lokaal verkeer ook lokaal uitgerouteerd wordt, maar ook dat interlokaal verkeer via de eigen VoIP infrastructuur tot lokaal verkeer omgebogen kan worden (least cost routing). Bij dekking in alle lokale nummergebieden in Nederland zal er dan zelfs geen interlokaal verkeer meer zijn. In de IP omgeving is voor de redundancy ook het een en ander nodig, omat de toestellen bij utval ook het ander VoIP system moet kunnen zien met de bijbehorende IP adressen voor die omgeving. In de praktijk zal dus over een dubbele set IP adressen beschikt moeten worden. Financieel gezien zijn de kosten beperkt, omdat leverancier back-up licenties ter beschikking stellen tegen een veel lagere prijs dan de licenties die direct gebruikt worden. Daarnaast is ook in de onderhoudssfeer dit een aantrekkelijk concept, omdat uitval van een primair gedeelte altijd nog een back-up intact laat. Als het LAN/WAN afgestemd is op VoIP zal de gebruiker er (nagenoeg) niets van merken. Hiermee is, wat in een enkelvoudige omgeving een major calamiteit zou zijn, door de inzet van intelligente hardware en software, omgebogen tot een minor calamiteit en kan daarom in een Service Level Agreement ook als zodanig afgehandeld worden.
© Oberman Telecom Management Consultants BV, Maarn, www.otmc.nl
4
Oberman Telecom Management Consultants bv
De Wingerd 4 3951 XK Maarn tel: 0343 - 444301 e-mail
[email protected]
Conclusie Door de toegenomen integratie en daarmee ook de omvang van gevolgen bij uitval, disfunctioneren of onbetrouwbare werking, is het van belang om betrouwbaarheid, beschikbaarheid en beveiliging al bij het ontwerp te integreren. Op die wijze is enerzijds nog een kosteneffectieve oplossing mogelijk en voorkomt het inzetten van noodmaatregelen achteraf als er calamiteiten zijn. VoIP biedt wat dat betreft andere en ook betere mogelijkheden om redundancy en beveiligingsaspecten in de infrastructuur te integreren dan de klassieke PABX.
© Oberman Telecom Management Consultants BV, Maarn, www.otmc.nl
5
