Coba simak skenario ancaman terhadap VoIP berikut ini. Layanan telepon di suatu perusahaan pialang saham besar terputus setelah seorang hacker melancarkan serangan DoS ( denial of service ) secara besar-besaran dengan membanjiri voice server dengan permohonan registrasi. Di skenario lain, sebuah worm Internet berhasil menyusup ke jaringan suara milik sebuah perusahaan ritel raksasa melalui jaringan datanya, yang menyebabkan lumpuhnya call center perusahaan dan hilangnya peluang meraup pendapatan jutaan dolar.

Mustahil terjadi? Tidak juga. Menurut para pakar security , skenario semacam itu tidak saja masuk akal, namun kemungkinan tidak bakal terhindarkan dengan semakin maraknya perusahaan-perusahaan di seluruh dunia yang menyingkirkan sistem telepon tradisionalnya dan menggantikannya dengan voice over IP (VoIP).

Migrasi ke VoIP memang merupakan pilihan logis. Selain menghemat biaya sambungan langsung jarak jauh dan panggilan internal, para pengguna VoIP juga diuntungkan dengan biaya pemeliharaan yang lebih ekonomis. Pasalnya, mereka cukup mengelola satu jaringan data terkonvergensi, ketimbang mengelola jalur data dan suara secara terpisah.

VoIP juga dapat menyediakan layanan multimedia ke desktop, dan dalam beberapa kasus meningkatkan kapabilitas customer service . Sebagai contoh, seorang customer yang mengunjungi call center berbasis Web yang sudah VoIP- enabled dapat memulai percakapan dengan agent call center cukup dengan mengklik sebuah link yang tersedia di halaman situs.

Selain itu, VoIP juga bermanfaat bagi karyawan yang banyak bekerja di luar kantor ( mobile ). Mereka dapat menerima dan menelepon dengan menggunakan nomor telepon kantor melalui notebook -nya, di manapun mereka berada.

Tapi, di sisi lain, jaringan suara mereka pun terpapar dengan berbagai ancaman yang kini menghantui jarangan data, antara lain worm, virus, serangan DoS, spam over internet telephony (SPIT), bahkan fraud . VoIP juga berpotensi meningkatkan kerentanan perusahaan terhadap serangan jaringan perusahaan secara keseluruhan dengan membuka “pintu” baru ke infrastruktur, jaringan dan sistem vital perusahaan.

Perusahaan yang berencana menggelar VoIP juga perlu memahami bahwa mengandalkan firewall data saja tidak cukup untuk melindungi jaringan suara mereka. Untuk menangkal serangan terhadap jaringan suara, para pengelola TI perlu membuat berbagai antisipasi, seperti melakukan enkripsi suara, otentikasi, menggelar firewall khusus untuk aplikasi VoIP, dan memisahkan trafik suara dan data. Seperti halnya server-server aplikasi di sebuah perusahaan, server suara juga perlu dilindungi secara fisik dari jangkauan para penyusup.

Sistem telepon tradisional berbasis private branch exchange (PBX) memiliki kerentanannya sendiri. Di masa lalu, para hacker sudah biasa menembus jaringan telepon dan voice mail . Munculnya VoIP, membuat ancaman terhadap jaringan suara semakin luas. Para hacker kini memiliki peluang lebih banyak untuk mendapatkan akses ke dalam jaringan calon korbannya. Pasalnya, berhubung VoIP juga menumpang jaringan data yang ada, dan saling berbagi sejumlah komponen perangkat keras dan peranti lunak, pintu yang bisa dimanfaatkan para hacker untuk menyerang sistem VoIP pun lebih banyak ketimbang sistem PBX

Dalam sebuah laporan bertajuk Security Considerations for Voice Over IP Systems yang dikeluarkan lembaga National Institute of Standards and Technology (NIST) dari AS, dikatakan bahwa di sebagian besar perusahaan memiliki lebih banyak titik-titik untuk terhubung ke sebuah LAN ketimbang titik-titik masuk ke sebuah perangkat PBX. “Dari berbagai pengalaman serangan terhadap layanan berbasis Internet di masa lalu, serangan terhadap jaringan VoIP tak dapat terhindari,” ujar Richard Kuhn, pakar komputer NIST yang juga menjadi salah satu penulis laporan tersebut. “Pada akhirnya, seseorang pasti akan menemukan cara untuk menyerangnya.”

Solusi keamanan VoIP-ready

Berhubung VoIP mendompleng jaringan data, logikanya perangkat-perangkat keamanan yang melengkapi jaringan sudah cukup memadai untuk melindungi jaringan suara. Namun, menurut laporan NIST, prangkat firewall tradisional mungkin tidak begitu efektif dalam menahan serangan pada jaringan kombinasi suara dan data.

Firewall biasanya akan memeriksa sebuah paket dan memblokir paket-paket yang dicurigainya di port komunikasi digital. Namun, percakapan telepon biasanya membutuhkan pembukaan banyak port komunikasi di firewall. Sejumlah sesi percakapan mungkin memerlukan 10 atau lebih port. Sebuah perangkat firewall yang tidak dikonfigurasi untuk security kemungkinan akan meninggalkan sejumlah besar port dalam keadaan terbuka, sehingga jaringan pun rawan terhadap serangan.

Masalah pun bertambah rumit jika dikaitkan dengan quality of service (QoS). Komunikasi suara biasanya lebih bersifat time sensitive ketimbang data, atau bahkan video sekalipun. Kalau Anda perhatikan, ketika suatu paket data melewati firewall dengan pelan, maka akan ada sedikit penundaan dalam suatu proses loading halaman Web, atau tayangan video yang tersendat kalau paket itu berisi data video.

“Tapi, kalau hilang paket data 3 sampai 5 persen saja dalam suatu sistem VoIP, maka sistem Anda jadi tak berguna,” kata Kuhn. Adanya fenomena latency dan jitter dalam beberapa detik sudah cukup untuk membuat pengguna menutup telepon VoIP-nya dan kembali ke telepon seluler atau PSTN. Tak pelak, “firewall yang dirancang untuk protokol VoIP menjadi komponen yang esensial untuk mengamankan sistem VoIP.”

Pendekatan lain yang menurut NIST bisa ditempuh untuk mengamankan jaringan VoIP adalah memisahkan jaringan data dan suara, setidaknya secara virtual. Sebagai contoh kasus adalah pengalaman yang dialami Worcester Polytechnic Institute (WPI) dengan infrastruktur VoIP-nya.

Ketika virus menghantam jaringan milik WPI pada tahun 2004 lalu, sistem VoIP yang digelar institusi pendidikan yang berlokasi di New England, negara bagian Massachusetts, AS ini tidak mengalami dampak apa-apa. Pasalnya, selain menggelar berbagai jenis firewall aplikasi, pengelola TI universitas ini membangun virtual LAN (VLAN) khusus untuk lalu-lalangnya suara. Sehingga ketika virus menyerang, praktis serangan tersebut tidak sampai ke sistem VoIP-nya.

“Kuncinya adalah memisahkan trafik suara dari trafik Internet sehari-hari,” timpal Sean O'Connor, direktur operasi dan security jaringan , WPI. Menurut dia, sebuah VLAN dapat melindungi trafik suara dengan mengalokasikan sejumlah bandwidth dan memisahkan suara dan data dengan membangun semacam logical barrier .

Penerapan VLAN, firewall dan gateway biasanya sudah cukup mumpuni untuk menghalau penyusup dari sistem VoIP. Namun, sayangnya, perangkat-perangkat tersebut tidak cukup ampuh menangkal hacker internal. Karena itu, diperlukan satu lapis keamanan lagi terhadap sistem VoIP, yakni enkripsi. Setiap “paket” suara yang dikirim, apapun protokol yang digunakannya, apakah itu Session Initiation Protocol (SIP) maupun H.323, dienkripsi terlebih dahulu, sebagaimana lazim dilakukan pada sebuah jaringan data.

SIP disebut-sebut banyak pakar VoIP sebagai protokol bermasa depan cerah sejalan dengan upaya kalangan industri mencari standar komunikasi bersama. Sayang, trafik SIP ditengarai rawan terhadap “packet sniffer”, yang kabarnya bisa mengendus caller ID atau password .

Chris Rouland, CTO vendor security Internet Security Systems , mengungkapkan bahwa ‘menguping' panggilan VoIP yang tidak terenkripsi itu terbilang mudah. “Cukup mendownload peranti lunak dari Internet, para hacker bisa mencegat panggilan VoIP cukup dengan sekali klik,” ujarnya.

Untuk melindungi caller ID, alamat telepon dan informasi akun lainnya, para pengguna VoIP perlu mengacak atau mengenkripsi trafik SIP. Sementara itu, NIST dalam laporannya juga menyarankan pengaplikasian perangkat enkripsi. Menurut laporannya, hal itu dapat dilakukan dengan mengacak paket-paket data suara di tingkat IP menggunakan IPsec. Dengan cara ini, siapa pun yang memiliki akses ke jaringan, dan kemudian mencegat trafik VoIP yang bukan ditujukan bagi mereka, paket-paket data suara itu tidak dapat diintip.

Namun, NIST juga mengingatkan dampak yang ditimbulkan dari penerapan enkripsi. Sejumlah faktor, seperti ukuran paket data suara yang semakin besar, ciphering latency , dan tidak diperhatikannya kebutuhan akan QoS di engine kriptografinya itu sendiri membuat jumlah latency pada pengiriman paket data VoIP semakin tinggi. “Hal ini mengurangi kualitas suara. Jadi, selalu ada tradeoff antara peningkatan security dan kualitas suara, serta kebutuhan akan kecepatan,” ujar laporan tersebut.

Menimbang risiko

Bagi O'Connor di WPI, bermigrasi ke VoIP melibatkan perhitungan yang matang mengenai seberapa besar risiko yang bisa mereka tanggung. Misalnya, sekalipun seluruh civitas academica memanfaatkan layanan telepon dengan VoIP, pengelola TI memutuskan untuk tidak mengikutsertakan telepon untuk kepentingan sekuriti sebagai bagian dari jaringan VoIP. “Karena tingkat kehandalannya lebih tinggi, kami tetap mempertahankan kabel tembaga untuk kepentingan telepon sekuriti maupun kios telepon,” ujar O'Connor memberi alasan.

Menurut dia, melihat perkembangan teknologi VoIP saat ini, perusahaan yang ingin menerapkannya perlu sejak awal menetapkan risiko keamanan mana yang tidak perlu diambil. Hal itu meliputi telepon-telepon yang akan digunakan untuk kepentingan keamanan maupun dalam keadaan darurat, misalkan layanan 911 di AS. Seperti yang juga dikatakan dalam laporan NIST, layanan telepon penting, jika tidak direncanakan, digelar dan dikelola secara hati-hati akan memberikan risiko lebih besar jika berbasiskan VoIP.

Sementara itu, NIST dalam laporannya juga menyoroti penggunaan softphone, perangkat lunak yang dikonfigurasi khusus sehingga sebuah PC dapat melakukan panggilan VoIP. Meski memberikan fleksibilitas dan kepraktisan, NIST justru tidak menyarankan penggunaannya ketika masalah security dan privasi dijadikan pertimbangan. Worm, virus dan maupun malicious software lainnya merupakan ancaman-ancaman yang lazim dihadapi sebuah PC yang terhubung ke Internet, dan memeranginya pun sulit.

Saat ini, dengan adanya sejumlah kerawanan pada web browser , sangat mudah bagi seorang hacker untuk menyelipkan malicious software tanpa sepengetahuan korbannya, bahkan sekalipun sang korban cuma mengunjungi situs tertentu. “Kerentanan semacam itu menimbulkan risiko besar dalam penggunaan softphone,” kata laporan tersebut. Selain itu, kata NIST, karena PC perlu terhubung dengan jaringan data, penggunaan sistem softphone justru bertentangan dengan ide memisahkan jaringan suara dan data, seperti telah dipaparkan di atas.

Pilihan menarik

Meski masih ada kesenjangan dalam keamanan VoIP, sejauh ini belum ada laporan-laporan mengenai cyberattack skala besar atau masalah bobolnya keamanan jaringan VoIP. Hal itu sebagian disebabkan antisipasi yang dilakukan para vendor maupun service provider dengan menyediakan berbagai jenis firewall VoIP, intrusion prevention system maupun peranti protektif lainnya ketika mereka menggelar sistem VoIP.

Di sisi lain, pengadopsian VoIP di kalangan bisnis juga relatif masih rendah. Di AS sendiri menurut Ostermann Research hanya satu dari 10 perusahaan yang menggelar VoIP. Namun, pada akhir tahun 2007, Ostermann memperkirakan 45 persen perusahaan memiliki VoIP, dan pengadopsiannya diperkirakan akan meningkat dengan semakin banyaknya perusahaan yang mulai menggantikan infrastruktur telekomunikasi lamanya. Seperti dilaporkan perusahaan riset Infonetics Research, tahun 2008 mendatang sebagian besar sistem PBX yang ada di pasaran adalah yang berbasis IP atau hybrid , dengan pangsa pasar sebesar 92 persen, dan meraup nilai pasar 8,34 miliar dolar AS.

Melihat tren tersebut, penggelaran VoIP merupakan pilihan yang tidak bisa dihindari. Sejauh perusahaan tidak terlena pada biaya murah dan kenyamanan menggunakan VoIP sehingga mengabaikan potensi risiko keamanannya, VoIP tetap menjadi pilihan komunikasi masa depan yang menarik. arief, dari berbagai sumber.