Beheer

Netwerken

VoIP en IPv6: wel even opletten

2 mei 2014

Organisaties die IPv6 intern willen gebruiken moeten extra opletten wanneer ze ook al VoIP inzetten voor hun telefonie, zeker wanneer de VoIP-installatie al even meegaat omdat de organisatie vroeg de voordelen van VoIP en Unified Communication inzag.

Voice over IP heeft een lange weg afgelegd voor de technologie zo’n brede toepassing kreeg als vandaag de dag. Niet alle leveranciers van VoIP-systemen hebben al die tijd de komst van IPv6 even duidelijk voor ogen gehad. Jarenlang leefde het idee dat de levensduur van IPv4 wel kan worden opgerekt. Pas de laatste tijd neemt het gebruik van IPv6 langzaam maar gestaag toe.

De meest onoverkomelijke problemen komen voort uit oudere hardware, en dan met name de vroege generaties VoIP-toestellen voor op het bureau. Hoewel de opeenvolgende versies van de SIP-standaard – één van de belangrijkste standaarden voor VoIP – allemaal rekening hielden met IPv6 en dual-stackoplossingen, zijn de hardwareleveranciers niet altijd zorgvuldig geweest bij de implementatie. Sommige typen toestellen kunnen domweg niet omgaan met de lange IP-adressen van het IPv6-protocol. Een ander probleem is dat het geheugen in deze toestellen vaak heel beperkt is, en daarmee de maximale omvang van het besturingssysteem. Daardoor kan het systeem niet schakelen tussen IPv4 en IPv6 in een dualstacksituatie. Enkel IPv4 of IPv6 toepassen gaat wel.

Vervanging

De meest voor de hand liggende oplossing voor het probleem van oude hardware, is ook een kostbare: nieuwe toestellen kopen. Juist die eerste generaties VoIP-terminals waren niet goedkoop en hebben een langere afschrijvingstermijn.

Ook bij vervangen is het oppassen geblazen. Veel leveranciers zijn nog steeds niet erg duidelijk over welke toestellen wel of niet volledig IPv6 ondersteunen. Leveranciers van telefoons zoals Avaya, Mitel en Siemens bieden IPv6-compatibele telefoons, en ook aan de telefooncentrale-kant zijn er IPv6-compatibele systemen van bijvoorbeeld Avaya, Cisco en Microsoft, constateert Sander Steffann, een IPv6-gespecialiseerde consultant. “Serviceproviders bouwen vaak oplossingen op basis van Asterisk, FreeSwitch en dergelijke. Deze ondersteunen tegenwoordig ook IPv6. Het is dus lang een probleem geweest, maar het is de laatste jaren behoorlijk bijgetrokken.”

Rogier Spoor, manager Virtualisation, Mobility and Security Services bij SURFnet plaatst kanttekeningen bij de noodzaak tot investeren. “De vraag is of een grootscheepse vervanging van toestellen nodig is. Grote organisaties zetten hun VoIP-systeem achter een firewall. Er zijn oplossingen die IPv4-toestellen laten communiceren met IPv6-toestellen. De meesten kopen bovendien een SIP-trunk naar hun telecomaanbieder die zowel over IPv4 als IPv6 kan lopen. Dan speelt het probleem niet.”

Beveiliging

Het is niet alleen compatibiliteit dat problemen kan geven. Telefoniesystemen voor Unified Communications vormen in toenemende mate nieuwe kanalen voor hackers om hun aanvallen op te richten. Vaak hebben organisaties niet zo helder op het netvlies wat de risico’s zijn die videoconferencingsystemen en andere Unified Communications-gereedschap met zich meebrengen. Het aftappen van deze systemen zelf is doorgaans niet het doel van de hackers, maar zij gebruiken het kanaal om toegang te krijgen tot het netwerk. Eenmaal binnen gaan ze op zoek naar waardevolle data zoals creditcardgegevens, wachtwoorden en andere privacygevoelige details. Network Address Translation (NAT) vormt nu nog, hoewel geen echte firewall, een natuurlijke barrière van IPv4-netwerken tegen indringers.

Omdat de telefoons geen eigen globaal uniek IP-adres hebben, kunnen hackers deze niet rechtstreeks van buitenaf benaderen. Afhankelijk van de implementatie van IPv6 kan die barrière wegvallen. Dan krijgt alle apparatuur in principe een directe verbinding met internet en een IP-adres dat wereldwijd uniek is.

Die directe verbinding met internet heeft voordelen voor de werking van VoIP, maar het beveiligingsniveau moet daardoor omhoog. Onderzoeksbureau Forrester adviseert het reguliere dataverkeer op het netwerk zorgvuldig te scheiden van het spraakverkeer. Ook moet de VoIP-installatie een duidelijk herkenbaar onderdeel zijn van het beveiligingsbeleid in de onderneming, met een architectuur die rekening houdt met preventieve maatregelen tegen aanvallen op individuele onderdelen van VoIP-systemen.

De reguliere netwerkontwerpen hebben vaak niet standaard een architectuur die rekening houdt met de beveiliging van het systeem. Evenmin is de beveiliging van veelapparatuural geactiveerd of geconfigureerd. Tenslotte is het belangrijk regelmatig een penetratietest uit te voeren.

NAT is een barrière

Ook voor organisaties die niet overstappen naar IPv6 kan het opraken van de IPv4-adressen een probleem met hun VoIP-installatie opleveren. Een van de slimme trucjes die internetaanbieders toepassen om het tekort aan IPv4-adressen op te lossen, is het inzetten van carrier-grade NAT. Daarbij sturen zij verkeer van klanten, met IPv4-adressen die alleen binnen het provider-netwerk geldig zijn, aan de rand van hun netwerk naar buiten vanaf een beperkt aantal adressen. De klanten zitten eigenlijk op een super-lokaal netwerk. Wanneer klanten dan zelf aan de rand van hun eigen lokale netwerk nog eens een reguliere netwerkadresvertaling (NAT) doen, kunnen de VoIP-systemen de kluts kwijtraken. Gebeurt dat niet, dan kan de dubbele vertaling alsnog zorgen voor extra vertragingen, vollopende buffers en daardoor haperende of wegvallende gesprekken.

Verkeer neemt toe

De overstap van IPv4 naar IPv6 kan een flinke hap uit de beschikbare bandbreedte nemen. De VoIP-protocollen hakken de continue stroom aan geluidsignalen op in pakketjes om ze over het datanetwerk te kunnen vervoeren. De pakketjes zijn in verhouding erg klein – doorgaans vervoert een pakketje zo’n 20 milliseconde van het gesprek – waardoor de ontvanger niet gelijk merkt dat een pakketjes zoekraakt of te laat aankomt in een ‘best effort’-netwerk.

Elk pakketje krijgt een adreslabel mee dat in het geval van IPv6 veel groter is dan bij IPv4. Het adres bevat 128 bits, ofwel 4 maal zo groot als het IPv4-adres. Omdat de pakketjes zo klein zijn, heeft het langere adreslabel een groter effect op de totale pakketgrootte. Hoe groot het effect is, hangt af van de instellingen van de VoIP-server (de gebruikte codec), maar het kan oplopen tot een toename in de bandbreedtebehoefte van 46 procent. Zo extreem is het doorgaans niet. “In de praktijk moet je rekening houden met maximaal zo’n 10 procent toename in verkeer”, zegt Steffann. “Toch is dat iets om rekening mee te houden, zeker als de lijnen nu al meer dan 80 procent vol zitten. De stelregel voor goed netwerkbeheer is trouwens om bij meer dan 70 procent gemiddeld gebruik al te upgraden, omdat je dan al vertragingen krijgt op piekmomenten.”

VoIP floreert op IPv6

VoIP en andere real-time toepassingen op internet kunnen enorm profiteren van IPv6. Het nieuwe internetprotocol biedt namelijk naast een schier oneindige hoeveelheid IP-adressen meer verbeteringen die in de discussie vaak wat ondergesneeuwd raken.

QoS
IPv4 heeft nagenoeg geen mogelijkheden om quality of service te bieden. Het is met recht een ‘best effort’-netwerk dat alleen met het bieden van voldoende bandbreedte kan zorgen dat voor real-timetoepassingen, vervelende zaken als jitter, latency en verloren pakketjes tot een minimum worden beperkt.

IPv6 heeft standaard wel voorzieningen in de header van elk datapakketje ingebouwd waarmee de pakketjes behorende bij real-timetoepassingen voorrang krijgen op pakketjes van bijvoorbeeld een mailpakket. De header biedt mogelijkheden 8 bits in te zetten voor de classificatie. Daarnaast zijn ook nog 20 bits beschikbaar voor een flowlabel dat speciale privileges op routers kan faciliteren. Het systeem is niet zo robuust als bijvoorbeeld op een ATM-netwerk, maar wel een verbetering ten opzichte van IPv4. Overigens wordt dit flowlabel nog nergens gebruikt.

Directe verbinding
Omdat er ruim voldoende IP-adressen in het IPv6-protocol zijn voorzien voor elke denkbare toepassing is het gebruik van Network Adres Translation (NAT) aan de rand van een lokaal (bedrijfs)netwerk niet meer nodig. Uitzoeken welk lokaal adres hoort bij een adres op het wereldwijde internet – een actie die altijd vertraging oplevert – is niet meer nodig. “Met NAT zat er een heel netwerk achter één IPv4-adres. Met IPv6 weet je als beheerder exact wie wie is omdat alles nu een eigen adres heeft. Daardoor kun je de firewallpolicies een stuk nauwkeuriger instellen”, legt Sander Steffann, een in IPv6-gespecialiseerde consultant, uit.

Beveiliging
“Het protocol biedt nog meer beveiligingsgerichte faciliteiten, waardoor de beveiliging beter te ­organiseren is met IPv6”, zegt Maarten ­Oberman, telecomconsultant en auteur vanCommunicatietoepassingen: Het Primaire Bedrijfsproces!.Hij doelt onder meer op de ingebakken IPSec, waarmee authenticatie en data-integriteit is te controleren. “Het voordeel is dat niemand ‘naakt’ op het internet gaat. Er zit altijd een host based firewall tussen”, zegt ook Rogier, Spoor manager Virtualisation, Mobility and Security Services bij SURFnet. De firewall houdt in principe alle initiatieven van buiten tegen, tenzij ze van binnenuit zijn geïnitieerd. “Je kunt met een privacy-extensie verder instellen dat een toestel elk half uur een ander IP-adres krijgt. De SIP-server houdt voor elk gesprek bij naar welk IP-adres op het netwerk daar bij hoort.”

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!