In 1985 was het British Telecom die ISDN, ofwel Integrated Services Digital
Network, als eerste aanbood. Met ISDN kunnen alle soorten gegevens -spraak,
beeld, geluid of computerdata- met hoge snelheid digitaal verzonden worden.
Vooral door de komst van Internet en de behoefte aan snellere verbindingen nam
het gebruik van ISDN een hoge vlucht. Maar ook faxen, video-conferencing,
thuiswerken met toegang tot het computernetwerk op je werk, apparatuurbediening
op afstand (bruggen, drukpersen) of het verbinden van computernetwerken zijn
toepassingen waarbij veel van ISDN gebruik gemaakt wordt. En natuurlijk wordt
ISDN gebruikt voor telefonie.
Bij analoge telefonie worden er spraaksignalen op de lijn gezet. In de
telefooncentrales van de KPN, die in Nederland al enige tijd digitaal zijn,
worden deze geluidssignalen gedigitaliseerd (in enen en nullen omgezet). Met
een ISDN-aansluiting wordt het gesprek al digitaal aan de telefooncentrale
doorgegeven. Je hebt daardoor veel minder last van interferentie en ruis.
ISDN vertegenwoordigt een complete netwerkarchitectuur. Die architectuur
betreft de protocollen, standaards, apparatuurkoppelingen, toegang tot het
netwerk en overdrachtsmedia. Zo kan een ISDN-verbinding via koper- of glasvezelkabel
lopen, maar ook via allerlei draadloze media gaan zoals radio, satelliet,
laser, infrarood of microgolf. Aanvankelijk was het een probleem dat bij ISDN
in de VS iets andere standaards gebruikt werden dan in de rest van de wereld en
er per land op sommige uitvoeringsniveaus verschillen bestonden. Maar de
koppelingen tussen willekeurig welke ISDN-systemen in de wereld leveren
tegenwoordig geen enkel probleem meer op.
Net als bij analoge telefonie gaat het bij ISDN om dial-up verbindingen. Dat
wil zeggen dat een verbinding pas gemaakt wordt als er daadwerkelijk gegevens
uitgewisseld moeten worden en dat de verbinding weer verbroken wordt als de
gegevensuitwisseling weer be�indigd is. Het opbouwen van een ISDN-verbinding
gaat in minder dan twee seconden. Ter vergelijking: bij het gewone telefoonnet
kan een modem daar dertig tot zestig seconden over doen.
Het minimale standaardpakket heet ISDN-2 (Dit wordt ook wel
Basic Rate Interface (BRI) genoemd). In Europa bestaat dit uit twee B-kanalen
van 64 kbps en een D-kanaal van 16 kbps. Sommige grotere bedrijven en
Internetproviders hebben ��n of meerdere ISDN-30 aansluitingen, bestaande uit
dertig 64 kbps B-kanalen en een D-kanaal (Dit wordt een Primary Rate Interface
(PRI) genoemd). Breedband ISDN (B-ISDN) dat snelheden aan kan van 150 Mbps, is
nog in ontwikkeling en zal een volledig glasvezelkabelnetwerk zijn.
De B-kanalen worden meestal gebruikt voor telefonie, Internet, video of fax.
Zeg maar voor directe communicatie tussen mensen. Het D-kanaal helpt bij de
opbouw en verdere besturing van een verbinding, maar heeft ook andere mogelijke
toepassingen. Zo wordt het D-kanaal ook wel gebruikt voor het versturen van
pincode-informatie, het op afstand bedienen van bewakingscamera's of voor het
versturen van informatie van sensoren en alarmapparatuur naar een meldkamer.
Daarvoor moet men zich op speciale diensten van KPN Telecom abonneren als
Digi-Access PIN of Digi-Access Alarm.
Het is mogelijk de twee B-kanalen van ISDN-2 gelijktijdig voor twee
verschillende functies te gebruiken. Je kunt dan bijvoorbeeld bellen naar je
familie in het buitenland en tegelijkertijd een fax versturen. Je kunt ook de
twee B-kanalen bundelen zodat je een 128 kbps verbinding kunt leggen. Dit is
handig bij een verbinding met Internet.
Wie overstapt naar ISDN-2 moet een aansluiting aanvragen bij
de KPN of een aan haar gelieerd bedrijf. Wat betreft je oude (analoge)
apparatuur, deze moet je �f vervangen door digitale varianten �f je schaft een
A/B-adapter aan.
Een A/B-adapter kan analoge signalen, zoals spraak, omzetten naar een digitaal
signaal. Met een A/B-adapter zou je zelfs je analoge modem voor de verbinding
naar het Internet kunnen blijven gebruiken, maar dan moet je wel een snel modem
hebben anders maak je verre van optimaal gebruik van de mogelijke bandbreedte
van ISDN. Een apparaat met meerdere aansluitingen voor analoge apparaten heet
ook wel A/B-centrale of ISDN-centrale.
Je kunt ook de oude analoge telefoon, fax en modem verkopen en digitale
varianten daarvan aanschaffen. In plaats van modem heb je dan een ISDN-adapter.
In Europa en Japan is het standaard mogelijk acht ISDN-apparaten aan te sluiten
op ��n ISDN-2 aansluiting.
In een bedrijfsomgeving worden vaak ISDN-routers gebruikt. Een router is een
apparaat dat binnenkomende data-stromen bekijkt en doorstuurt naar
verschillende bestemmingen in een netwerk. Hiermee wordt het mogelijk alle
computers die deel uitmaken van een netwerk via ��n ISDN- verbinding Internet
toegang te verschaffen, een inbelfaciliteit te cre�ren voor tele- en
thuiswerkers of computernetwerken op verschillende lokaties met elkaar te
verbinden.
Alle ISDN-apparatuur moet altijd het D-kanaal besturingsprotocol ondersteunen
dat in de lokale KPN centrales wordt gebruikt (In Nederland heet dit DSS1,
E-DSS1, ETSI of Euro-ISDN).
Wanneer de KPN ISDN-2 komt aanleggen wordt de oude
telefoonstekkerdoos in de muur vervangen door een andere, de zogenaamde NT1
(Network Terminator 1).
Deze NT1 blijft eigendom van de KPN en bevindt zich daar waar ISDN het huis
binnenkomt. Dit is het scheidingspunt tussen de KPN-infrastructuur en de
randapparatuur van de gebruiker zelf. De bedrading vanaf de KPN-centrale tot de
NT1 heet de U-bus. Bij een ISDN-2 aansluiting is de U-bus, net als bij analoge
lijnen, gewoon tweedraads koper.
De ISDN bekabeling is na de NT1 binnenshuis vierdraads en wordt de S-bus
genoemd. Hierop worden ISDN-apparaten aangesloten. Daartoe leg je een
busstructuur-netwerk aan met gewoon telefoondraad, RJ-45 pluggen en
ISDN-contactstekkers, waar het aansluitsnoer van de ISDN-apparatuur wordt
ingeprikt. In onderstaande figuur zie je een voorbeeld van een S-bus met een
analoge telefoon en drie ISDN-telefoons.
�
ISDN-centrales zijn er in diverse soorten. In haar simpelste vorm is het niet
meer dan een apparaat met meerdere A/B-aansluitingen voor analoge apparatuur.
De aanschaf van zo'n ISDN-centrale is de moeite waard als je meerdere analoge
apparaten hebt.
Zo'n huiscentrale met voldoende A/B poorten en MSN's (Multiple Sunbscriber
Network), maakt dat de analoge telefoontoestellen op de slaapkamer, huiskamer,
werkkamer, de modem, de fax en het antwoordapparaat op een eigen nummer kunnen
reageren. MSN is de mogelijkheid om meerdere aanroepnummers, standaard tot
maximaal acht, op ��n ISDN-aansluiting te hebben.Je zou op deze wijze
bijvoorbeeld ook een eigen nummer kunnen toekennen aan elke bewoner van een studentenhuis.
Een oproep van buiten, bijvoorbeeld een binnenkomende gespreksaanvraag, wordt
via het D-kanaal bekendgemaakt. Analoge apparaten weten via de programmering
van de A/B-poort op welk nummer ze moeten reageren: ISDN apparaten moeten zelf
zijn geprogrammeerd om op het juiste nummer te reageren. Het programmeren van
een ISDN centrale gaat meestal via een computer die door de seri�le poort aan
de centrale is gekoppeld.
Er bestaan centrales met alleen A/B-poorten, met ook ISDN-poorten, alsmede
centrales met een extra, ingebouwde S-bus waardoor het mogelijk wordt om meer
dan acht ISDN-apparaten aan te sluiten. Bij dit laatste type gaat het meestal
niet meer om een kleine huiscentrale maar om een bedrijfscentrale.
�
***** Afbeelding invoegen
�
�Afhankelijk van de door de fabrikant ingebouwde functionaliteit,
kunnen de diverse merken en types ISDN-centrales meer of minder mogelijkheden
van ISDN ondersteunen.
�
�
�
�
�
Afstandbediening
De wat grotere
bedrijfscentarles hebben meestal de mogelijkheid om op afstand bediend te
worden.
�
AOC
(Advice of Charge). Met deze
aanvullende dienst ziet de beller de kosten van het gesprek op het display van
het telefoontoestel.
�
MSN
(Multiple Subscriber Network)
oftewel de mogelijkheid om meerdere, tot maximaal acht, telefoonnummers op die
ene ISDN-aansluiting te hebben. Niet gratis.
�
CONFERENCE CALL
Driegesprek. Als een tweede
gesprek is opgebouwd of als er een tweede oproep is beantwoord, kunnen de twee
tot stand gebrachte gesprekken worden gecombineerd tot een gesprek met drie
personen.
�
CALL HOLD / CALL WAITING
Call Hold of Wisselgesprek.
De gebruiker kan op een ISDN-telefoon een indicatie ontvangen dat er nog een
inkomend gesprek is terwijl alle B-kanalen reeds zijn bezet. Met wachtstand
(Call Waiting) kan een lopend gesprek even worden "geparkeerd", zodat
het nieuwe binnenkomende gesprek aangenomen kan worden. Deze dienst is minder
interessant bij ISDN dan bij analoge lijnen, omdat een ISDN-lijn toch al twee
gesprekken aankan. Het zou dan hoogstens om een derde gesprek gaan (of een
tweede gesprek indien er bijvoorbeeld vanaf een PC ook een Internet verbinding
loopt). Wisselgesprek, Wachtstand en Direct Doorschakelen worden tesamen ook
wel Dienst Bereikbaarheid genoemd. De ISDN-dienst wisselgesprek moet apart
worden aangevraagd.
�
CALL FORWARDING UNCONDITIONAL
Direct doorschakelen. Met
deze faciliteit kan een nummer naar elders worden doorgeschakeld. Bij ISDN kan
dit per MSN en per type verbinding (spraak, data) worden gekozen: alle oproepen
(*210), alleen spraak/audio (*211), alleen 64k data (*212). Sommige ISDN
telefooncentrales kunnen ook zelf doorschakelen naar externe nummers. Zij
gebruiken hiervoor simpelweg een ander vrij B-kanaal.
�
CALL FORWARDING NO REPONSE
Doorschakelen bij geen
gehoor. Met deze faciliteit kan een nummer naar elders worden doorgeschakeld.
KPN's VoiceMail maakt van deze dienst gebruik.
�
CALL BUMPING
Als beide communicatiekanalen
(B-kanalen) in gebruik zijn ten behoeve van een 128K-verbinding kun je niet
meer bereikt worden. Mensen die je proberen te bereiken krijgen de
ingesprektoon. Als de apparatuur echter ondersteuning voor Call Bumping heeft,
kan door de signalering via het D-kanaal een B-kanaal worden vrijgemaakt voor
een gesprek. De data-verbinding wordt hierdoor teruggebracht tot 64 kbps.
�
CLIP
Calling Line Identification
Presentation, CallerID of nummeridentificatie. Indien vanaf een
ISDN-aansluiting naar een andere ISDN-aansluiting wordt gebeld, kan daar het
telefoonnummer van de opbellende partij worden getoond. Dit is een gratis
dienst, en zit standaard bij alle ISDN-lijnen.
�
CLIR
Calling Line Identification
Restriction. De bellende partij kan verbieden dat zijn nummer zichtbaar wordt
aan de andere kant (tegenhanger van CLIP).
�
CCBS
(Call Completion on Busy
Subscriber). Deze dienst wordt spoedig ge�ntroduceerd. Als je iemand niet kunt
bereiken omdat die persoon in gesprek is kun je door het indrukken van de 5 op
je toestel deze dienst inschakelen. Je wordt dan teruggebeld door de centrale
in het ISDN-netwerk van KPN Telecom zodra die persoon weer bereikbaar is. Neem
je dan de telefoon op dan hoor je bij die persoon de telefoon overgaan.
�
COLP
Connected Line Identification
Presentation. Het bereikte nummer wordt weergegeven. Dit kan een ander nummer
zijn dan het gekozen nummer, bijvoorbeeld doordat er werd doorverbonden.
�
COLR
Connected Line Identification
Restriction. Hiermee kan de gebelde partij voorkomen dat de bellende partij
zijn nummer op het display ziet, of het nummer waarmee hij is doorverbonden.
�
MCID
Malicious Call
Identification. Deze dienst dient ter identificatie van kwaadwillige oproepen.
Dit is te vergelijken met de plaaggevallen-regeling in het analoge net.
�
OCB
Outgoing Call Barring. Met
deze aanvullende dienst is het mogelijk om een bepaalde categorie nummers te
blokkeren.
�
UUS
User to User signalling. De
mogelijkheid om in het D-kanaal gegevens te versturen tussen gebruikers.
Binnenkort zal deze dienst door KPN Telecom ge�ntroduceerd worden.
�
SUB
Sub Adressering. Met deze
aanvullende dienst kan de beller achter het te bellen telefoonnummer een regel
van twintig tekens meegeven. Deze regel komt bij de ontvangende partij terecht
waarna deze besluit het gesprek wel of niet te accepteren. Voor wachtwoorden,
PIN-codes en networkmanagementberichtjes.
�
Een ISDN-centrale wordt vaak verkocht met bijbehorende telefoons en andere apparatuur. Centrale en/of apparatuur beschikken soms ook over opvallende, niet per se aan ISDN gerelateerde functies. Zo is daar soms de mogelijkheid het apparaat als babyfoon te gebruiken waardoor een ruimte elders in het gebouw te beluisteren is of er is een eigen geheugen ingebouwd voor het onthouden van nummers.
Wilde je vroeger een telefoonlijn afluisteren dan ging het
er om een stukje hardware met twee klemmetjes op de juiste draadjes te zetten.
Met gedigitaliseerde data is het niet meer zo simpel. Over de twee
koperdraadjes gaan alle bits van de B-kanalen en het D-kanaal. Dat kan data van
verschillende soorten verbindingen zijn (telefonie, video, fax) en bovendien de
benodigde sturing-signalen van het D-kanaal. De apparatuur die bij de gebruiker
staat is steeds geavanceerder en de oorspronkelijke communicatie wordt pas na
bewerking via diverse combinaties van protocollen digitaal op de lijn gezet.
Over die protocollen alleen al zijn hele bibliotheken te vullen.
Wil je ISDN afluisteren, dan moet je dus de bits die over de twee koperdraadjes
gaan en van diverse type overdrachten kunnen komen of D-kanaal communicatie
betreffen, weer terug herleiden tot zinvolle data, geluid of video. Daarmee is
het afluisteren van ISDN een stuk complexer en duurder geworden dan het
afluisteren van de analoge telefoon. Dat betekent uiteraard niet dat het niet
gebeurt. Toch is het veiligheidsbewustzijn zodra het om ISDN gaat, ver te
zoeken. Controle checks of specifieke beveiliging blijken eerder uitzondering
dan regel.
Voor een afluisteraar is de eerste stap een protocol-analyser. Zo'n apparaat
plus bijbehorende software is voor iets meer dan twintigduizend gulden vrij op
de markt verkrijgbaar. Het gaat dan niet eens om specifieke
afluisterapparatuur, maar om testapparatuur. Een protocol-analyser laat zich
gemakkelijk in het ISDN-netwerk koppelen, is niet traceerbaar, op afstand te
bedienen via een PC en kent alle bekende protocollen. Ze is te verstoppen bij
je thuis in dubbele plafonds, kelders of andere plekken, maar ook in
schakelkasten of in de KPN-centrales. Het enige wat nodig is, is fysieke
toegang tot het ISDN-net.
Zo'n protocol-analyser kopieert de bits, analyseert de data en detecteert de
gebruikte protocollen. Als eenmaal de protocollen ge�dentificeerd zijn is de
tweede stap voor een afluisteraar de bitrij met behulp van diezelfde
gedetecteerde protocollen weer terug te vertalen naar betekenisvolle gegevens.
Voor fax-data kun je daartoe een fax gebruiken, voor modemverkeer een modem en
voor een telefoongesprek een telefoon. Het is niet moeilijk voorstelbaar dat er
een apparaat bestaat dat beide bovenstaande stappen kan nemen en bijvoorbeeld
bij de KPN-centrale staat om met jouw communicatie mee te luisteren.
De enige beveiliging hiertegen is het versleutelen van de gegevens. Hiertoe
zijn specifieke apparaten te koop die spraak, fax, video of dataverkeer kunnen
versleutelen. Het nadeel is alleen dat vaak niet controleerbaar is hoe goed ze
zijn omdat de gebruikte crypto-algoritmen geheim zijn en nooit met zekerheid te
zeggen is of de fabrikant geen achterdeurtjes heeft ingebouwd. Ook
softwarematig is versleuteling te verwezenlijken.
Het afluisteren van ruimtes
Het D-kanaal is een potentieel zwakke schakel vanuit het oogpunt van
beveiliging. Over dit kanaal gaan in ieder geval de sturingssignalen die een
communicatie tot stand laten komen of be�indigen, maar het kan ook
bitcombinaties bevatten die op afstand bepaalde functies van aangesloten
apparaten inschakelen of de informatie van de sensoren van je
inbraakbeveiliging. En dit D-kanaal is standaard niet beveiligd.
In theorie is het mogelijk op afstand bedienbare ISDN-apparaten te manipuleren
via het D-kanaal, vanaf elk punt in het ISDN-netwerk waar ook ter wereld. Stel
je hebt een antwoordapparaat met afstandsbediening of een ISDN-telefoon met
babyfoon-functie. Deze handige features waarmee apparatuur dikwijls
aangeprezen wordt, maken het mogelijk de microfoon softwarematig in te
schakelen terwijl de hoorn op de haak ligt. Zonder dat je er weet van hebt
kunnen de gesprekken in de ruimte waar het apparaat zich bevindt meegeluisterd
worden. Ook v��r het ISDN-tijdperk kon bij telefoons via frequency-flooding(1)
de microfoon van het toestel op afstand ingeschakeld worden, terwijl de hoorn
gewoon op de haak lag. Bij ISDN-telefoons is een vergelijkbare truc in veel
gevallen dus nog eenvoudiger. Als enige bescherming kan de eindgebruiker een
viercijferige pincode gebruiken. Om de afluisteraar nog enig werk te geven moet
dan op z'n minst die code regelmatig veranderd worden.
In sommige landen bestaan voorschriften waar apparatuur aan moet voldoen als de
babyfoon-functie wordt ingeschakeld. De apparatuur moet een waarschuwingstoon
uitzenden. De toonhoogte en duur van het signaal kunnen echter nogal
verschillen en bijvoorbeeld een kort signaal van tien khz is nauwelijks
waarneembaar.
Andere D-kanaal manipulaties
Veel bedrijven vinden de configuratie van hun uitgebreide ISDN-centrale te
ingewikkeld en hebben dit via onderhoudscontracten uitbesteed aan de
leverancier of een andere dienstverlener. Bijna al die grote en middelgrote
ISDN-centrales zijn op afstand te bedienen. Het bedrijf dat de centrale
onderhoudt kan zo de software-upgrades voor de centrale of monitoring van
voorkomende problemen op afstand uitvoeren. Voor de afstandsbediening moet een
wachtwoord gegeven worden. Kwaadwillenden bij zulke onderhoudsbedrijven zouden
normale functies, zoals het driegesprek, ongemerkt kunnen inschakelen en zo een
gesprek kunnen meeluisteren. Als de code die het mogelijk maakt de apparatuur
op afstand te bedienen zwak is, is dat ook weer een interessante uitdaging voor
andere partijen.
De fabrikanten die ISDN centrales verkopen vertellen het altijd mooi en er
worden voorbeeldige veiligheidsmaatregelen voorgehouden. Zij praten
bijvoorbeeld over lange codes voor afstandsbediening die random gemaakt
worden en versleuteld worden opgeslagen, en over centrales die alarm slaan na
een beperkt aantal verkeerde inlog-pogingen. In de praktijk blijkt het echter
niet zelden standaardcodes te betreffen die bij vele technici in het bedrijf
van de fabrikant en/of het onderhoudsbedrijf bekend zijn en soms zelfs ook
daarbuiten.
Van wat oudere Philips Octopus centrales, die nu niet meer verkocht worden maar
nog wel bij diverse klanten kunnen staan, is ontdekt dat bepaalde
configuratiemogelijkheden via het D-kanaal mogelijk waren zonder dat om een
afstandsbedieningscode werd gevraagd en zonder dat het alarm afging dat de
centrale tegen ongeoorloofde D-kanaal manipulaties moest beschermen. De
centrale accepteerde bepaalde opdrachten via de interne S-bus. Philips vervangt
overigens deze centrales kosteloos tegen nieuwere modellen.
Een inbraak op de centrale via de afstandsbedieningsmogelijkheid is relatief
gezien gemakkelijk omdat deze zonder ingrijpen op het fysieke net kan
plaatsvinden. Wie eenmaal binnen is kan de centrale naar believen
herconfigureren. Een indringer kan daarbij andere doeleinden hebben dan
afluisteren en bijvoorbeeld bepaalde diensten blokkeren of telefoonnummers van
bellers achterhalen. Een andere optie is het via de centrale doorschakelen van
een telefoonnummer naar een ander nummer in het buitenland. Vergelijkbaar met
*21, maar dan op afstand te activeren en bovendien ook naar het buitenland of
dure 0900-nummers door te schakelen. De inbreker draait het lokale nummer en
wordt verbonden met tante Beb in Nieuw Zeeland. De lange afstandskosten zijn
dan uiteraard voor het gedupeerde bedrijf.
De gevoeligheid van ISDN-apparatuur hangt enerzijds af van het systeem zelf
(hardware en/of software) en anderzijds van de configuratie. Op beide punten
zitten vaak fouten in ISDN-apparatuur. Bovendien, de wel ingebouwde
beschermingsmogelijkheden blijven dikwijls onbenut omdat mensen ze niet kennen
of niet goed gebruiken.
Wat betreft grote ISDN-bedrijfscentrales is de hack-mogelijkheid in de praktijk
hoog te noemen. De integriteit en veiligheid van de software die op dit moment
voor ISDN-centrales wordt gebruikt is namelijk nauwelijks vast te stellen. De
reactie van die software op bepaalde D-kanaal commando's is daardoor moeilijk
te achterhalen.
Om deze reden heeft de Duitse BSI (Bundesambt f�r Sicherheit, de instantie die
verantwoordelijk is voor het certificeren van hardware- en softwarestandaarden
met betrekking tot beveiliging) opdracht gegeven voor de ontwikkeling van een
D-kanaal firewall. Zo'n firewall moet ongewenst gebruik van het D-kanaal
voorkomen en achterdeurtjes in ISDN-apparatuur dichten. Het wordt gemaakt door
SIT, een dochter van Rohde & Schwartz en als volgt aangeprezen: Unauthorized
attempts to use features and services are countered by the D-channel filter
with a link cleardown (disconnect or release) and are recorded, according to
the user-defined settings. The same happens when unknown and unauthorized
protocol elements or protocol sequences are detected. In addition to the
recording of any attempt of intrusion, a permanent optical alarm is provided
and an acoustic interval alarm is output. All administration procedures are
recorded.(2)
Dit D-kanaal filter maakt gebruik van nummeridentificatie (CLIP) om in- en
externe nummers te checken en controleert welke diensten en functionaliteiten
aangesproken worden.
Hoe veilig zo'n D-kanaal filter is hangt deels af van de vraag hoe sterk CLIP
als identificatiemechanisme is. Een indringer zou tenslotte ook kunnen proberen
zich als iemand anders voor te doen. Dit wordt CLIP-spoofing genoemd. Dit is
theoretisch mogelijk omdat in de praktijk in sommige
telecommunicatieknooppunten nog wel eens informatie verloren gaat. In die
knooppunten vindt protocol-omzetting plaats naar CCITT7; het protocol dat voor
communicatie tussen dergelijke knooppunten gebruikt wordt. Bij een vals
aanroepnummer geeft CLIP een waarschuwing mee en juist deze aanwijzing kan bij
sommige wat oudere knooppunten tijdens de protocol-omzetting verloren gaan. In
zo'n geval kan de indringer zich dus toch een geloofwaardige identiteit
aanmeten.
Hoewel zo'n aanval niet eenvoudig is, en vele knooppunten het bedrog zullen
merken en de ware identiteit van de indringer kunnen achterhalen, is
nummeridentificatie als enige beveiliging van het D-kanaal dus niet perfect.
Data Protect (3) is een door ex-hackers opgezet bedrijf dat zich onder andere
met de beveiliging van ISDN-centrales bezig houdt. Op de door hen beveiligde
centrales laten zij regelmatig een scanner los die alle aangesloten nummers
afbelt en alle fax-, data- en spraaktoestellen classificeert. Indien een
persoon telefonisch reageert dan wordt een standaard boodschap afgespeeld.
Eventueel kunnen met behulp van referentieopnames van kantoormedewerkers de
antwoordende personen geverifieerd worden door vergelijking van het Spraak
Frequentie Spectrum.
Voor een doorsnee bedrijf gaan zulke maatregelen natuurlijk te ver. Gelukkig
kom je ook een eind met minder ingrijpende maatregelen.
�
Noten:
1. Zie 'De muren hebben oren' blz 36 Hoofdstuk Telefoonverkeer
2. http://www.rsd.de/PRODUKT/249e.htm
3. http://www.dataprotect.com/
�
Bronnen:
CCC-congres te Berlijn. Voordracht ISDN Grundlagen 27/12/1998/Hacko (http://presse.ccc.de/0018/)
C'T 4/1999 Norbert Luckhardt, Offen f�r alles, Lauschangriffe auf und �ber ISDN
Net Investor 8/1998 Joe Schmiet, Datenklau per ISDN
ISDN Protocol Analysers
http://www.testsolutionstech.com/
http://www.wg.com/products/domino/domino_isdn.html
http://www.mms.de/~hacko/d-tracy (software)
Crypto voor ISDN
http://www.byte.com/art/9609/sec16/art1.htm
�