Phil Zimmerman yang merupakan pencipta dari PGP (Pretty Good Privacy) dan sekaligus juga pakar kriptografi mengumumkan keinginannya untuk membuat suatu aplikasi yang mirip seperti PGP untuk menjaga privacy pada komunikasi VoIP (Voice over IP). Melalui tulisan ini akan dibahas mengenai seberapa jauh keamanan dari VoIP dan apakah jasa VoIP ini sudah siap digunakan oleh perusahaan atau pihak individual sebagai suatu jasa yang sudah aman.
Sebagaimana isu keamanan pada bidang komputer dan jaringan yang lain, maka menjawab pertanyaan seputar security memang bukanlah sesuatu yang sederhana. Yang jelas faktor security juga sudah diperhitungkan di dalam VoIP dan juga belum begitu banyak ancaman security terhadap VoIP sampai saat ini. VoIP saat ini bisa dikatakan sebagai suatu teknologi yang relatif baru dan seiring dengan meningkatnya kompleksitas sistem, maka pastilah akan banyak masalah baru yang muncul. Kita akan mengetahui bahwa kenapa eksploitasi terhadap VoIP masih kurang saat ini, bukannya karena tidak adanya vulnerability, tetapi lebih dikarenakan belum adanya ketertarikan atau kesempatan untuk mengeksploitasi kelemahan-kelemahan yang ada. Kita sudah belajar biasanya suatu sistem yang populer dan lemah, tentu akan mengundang minat orang untuk mengeksploitasinya, contohnya seperti Microsoft Windows, yang mana banyak ahli security yang mencari kelemahan yang ada di dalamnya.
Sekilas mengenai VoIP
Jika digambarkan secara umum, maka VoIP merupakan suatu jasa telepon yang memanfaatkan jaringan komputer. Jadi dia mentransformasikan sinyal analog yang dihasilkan dari suara Anda, mendigitalisasikannya dan kemudian mengirimkannya melalui suatu jaringan yang berbasis IP, contohnya adalah internet. VoIP ini meliputi software, hardware dan juga protokol yang mendukung teknologi ini.
Pada sisi protokolpun berkembang berbagai macam protokol yang tujuannya untuk VoIP ini. Sebut saja ada Real-Time Transport Protocol (RTP), H.323 dan juga Session Initiation Protocol (SIP). Pihak NIST (National Institute of Standards and Technologies) sudah mengeluarkan suatu white paper yang berisi overview terhadap protokol-protokol tersebut lengkap beserta analisa securitynya juga. Anda bisa akses ke http://csrc.nist.gov/publications/nistpubs/800-58/SP800-58-final.pdf untuk membaca dokumen tersebut.
Suara sebagai suatu isu security data
Banyak potensi security vulnerability dari VoIP datang bukannya dari protokol, software atau hardware-nya, tetapi datang dari fakta bahwa sistem VoIP berjalan pada jaringan komputer, komputer dan juga sistem operasi yang digunakan. Kesimpulannya, security dari VoIP ini juga tergantung dari security yang ada di internet. Risiko yang muncul sama seperti risiko yang sudah kita kenal di internet, seperti risiko terjadinya denial of service (DoS) dan lain sebagainya. Intinya kita tetap berhadapan dengan model security yang lama dan ada suatu istilah yang cocok untuk menghadapi risiko ini yaitu CIA (confidentiality, integrity dan availability).
Availability
Jika kita sudah berbicara masalah risiko VoIP, maka kita tidak akan lepas dari bahasan masalah availability pada VoIP. Availability yang sering diterjemahkan sebagai ketersediaan dalam Bahasa Indonesia, merupakan suatu kata yang maksudnya adalah seberapa tahan suatu sistem bisa tersedia bagi pelanggan dan bisa setiap saat digunakan dengan aman dan nyaman. Contoh yang ditakuti mengenai masalah availability ini adalah terjadinya DoS di dalam jasa VoIP. Begitu suatu DoS terjadi maka otomatis jaringan VoIP akan terganggu dan komunikasi tidak bisa berjalan lancar. Padahal masalah availability dalam suatu sistem telepon merupakan hal yang sangat krusial. Bagi orang-orang “telco” sangat bangga dengan jasa “fine nines” mereka, dimana mereka mengklaim jaringan PSTN mereka bisa “up and functioning” secara 99.999%.
SPIT
Risiko lain yang dikhawatirkan dalam jasa VoIP adalah munculnya Spam over Internet Telephony atau SPIT. Kita tentu sudah mengenal spam yang menyerang mailbox e-mail kita dengan iklan-iklan yang kadang tidak kita butuhkan. Bayangkan sekarang semua iklan-iklan itu juga masuk dan berubah dalam bentuk suara sehingga akan menggangu sistem VoIP.
Confidentiality
Masalah lain yang mengerikan adalah masalah confidentiality dari jasa VoIP. Seberapa amankah VoIP agar kita benar-benar yakin bahwa pembicaraan kita tidak didengarkan oleh pihak lain? Kita tidak bisa menjamin hal tersebut aman. Ingatlah bahwa sekali lagi VoIP menggunakan jaringan internet dalam melakukan aksinya. Kita tahu bahwa packet data di internet akan ditransmisikan melalui berbagai server maupun jaringan. Pada setiap titik tersebut selalu ada risiko bahwa data kita di “tap” atau di “sniff” oleh pihak lain. Ini mungkin kelihatannya tidak mungkin bagi Anda. Tetapi saat ini sudah ada aplikasi yang namanya Voice Over Misconfigured Internet Telephones atau VOMIT (bisa diakses di http://vomit.xtdnet.nl/). Aplikasi ini bisa digunakan untuk merekam paket-paket data VoIP dan kemudian memperdengarkan pembicaraan yang terjadi di dalamnya. Target dari VOMIT saat ini adalah paket-paket data yang dihasilkan oleh jaringan Cisco IP telephone.
Integrity
Selain kita ingin bahwa privacy kita terjaga selama menggunakan VoIP maka kita juga ingin bahwa setiap kata yang kita ucapkan juga bisa sampai dengan benar ke partner bicara kita. Data integrity ini merupakan hal yang juga penting dalam VoIP dan ini juga mengandung risiko yang bisa dieksploitasi oleh pihak lain. Contohnya adalah adanya perubahan data yang dilakukan sehingga data sumber tidak sama dengan data output.
Beberapa solusi
Sebelum Anda mengamankan VoIP maka Anda harus ingat bahwa yang harus diamankan juga adalah jaringan komputernya. Suatu ide bagus jika Anda memisahkan jaringan VoIP dengan jaringan yang Anda gunakan untuk data. Saat ini juga banyak jaringan komputer yang sifatnya nirkabel atau wireless. Ini juga harus diamankan dengan berbagai metode enkripsi yang kita kenal sekarang. Misalnya dengan menggunakan Wi-Fi Protection Access (WPA) atau juga Wired Equivalent Privacy (WEP). Anda juga harus mengkonfigurasi firewall Anda dengan benar untuk keperluan VoIP ini. Selain penjagaan secara fisik terhadap hardware-hardware yang ada, Anda juga bisa menerapkan SSH untuk melakukan remote access ke hardware-hardware tersebut.
Enkripsi pada VoIP
Untuk menghindari sniffing selama percakapan menggunakan VoIP maka Anda sebaiknya menerapkan enkripsi. Tetapi ada yang perhatikan bahwa dengan penggunaan enkripsi yang tidak benar maka akan mempengaruhi jaringan dan juga resource komputer yang ada. Beberapa protokol standar yang digunakan oleh VoIP seperti RTP dan SIP sudah memberikan fasilitas enkripsi di dalamnya. Sedangkan dalam bentuk softphone atau aplikasi seperti Skype juga telah mengimplementasikan enkripsi di dalam aplikasinya. Implementasi security lainnya adalah dengan menerapkan key management. Enkripsi dengan menggunakan key ini bisa dimanfaatkan untuk memastikan identitas si penelpon dan juga memverifikasi certificate yang mereka miliki.
Kesimpulan
Meskipun penggunaan VoIP saat ini sudah mulai marak, tetapi Anda harus tetap berhati-hati terhadap semua risiko-risiko yang mungkin timbul terhadap teknologi ini, terutama pada masalah security. Untuk itu kunci dari keamanan VoIP adalah keamanan pada jaringan komputer itu sendiri dan juga semua infrastruktur yang mendukung VoIP ini. Untuk itu telah dibentuk suatu aliansi yang bernama The Voice over IP Security Alliance (VOIPSA) yang bertugas untuk mencari solusi bagi risiko security yang ada dalam penggunaan VoIP.
No comments:
Post a Comment