Datensicherheit
EINFÜHRUNG
Die Anzahl drahtloser lokaler Netzwerke wächst sehr schnell. Da sich die
Geschäftsumgebung ständig ändert, wird von den Mitarbeitern und ihrer
Arbeitsumgebung eine größere Flexibilität gefordert. Deshalb erkennen
Unternehmen aller Größenordnungen die Bedeutung der mobilen Vernetzung
innerhalb von Gebäuden. Gleichzeitig haben die Industriestandards IEEE 802.11
und IEEE 802.11b neue Möglichkeiten zur Implementierung von Funk-LANLösungen eröffnet. Mit den neuen auf dem Markt erhältlichen Funk-LANProdukten können alle Unternehmen den Komfort der mobilen LAN-Verbindung
nutzen. Da in vielen dieser Firmen auch vertrauliche Daten übertragen werden,
haben Sicherheitsgesichtspunkte häufig einen sehr hohen Stellenwert.
Ein Funk-LAN ist ein flexibles Datenkommunikationssystem, das als Erweiterung
eines Kabel-LANs innerhalb eines Gebäudes oder Campus implementiert ist. Bei
Funk-LANs erfolgt das Senden und Empfangen von Daten drahtlos über Hochfrequenztechnologie, wodurch keine Kabelverbindungen benötigt werden. FunkLANs bieten Benutzern den mobilen Zugriff auf ein Kabel-LAN innerhalb der
Reichweite. Die Funk-LAN-Technologie hat in jüngster Zeit zunehmende
Verbreitung in einer Anzahl vertikaler Märkte gefunden, etwa an Universitäten, in
der Medizin, im Einzelhandel, in der Produktion oder in der Lagerverwaltung.
Diese Branchen können ihre Produktivität steigern, indem sie Handheld-Geräte
und Laptop-Computer einsetzen, um Daten in Echtzeit an zentralisierte HostRechner zur Verarbeitung zu übertragen. Auch in der normalen Büroumgebung
wächst der Bedarf nach LAN-Funktionen, die sich überall ohne komplizierte
Installationen und Kabelverbindungen einsetzen lassen. Durch die
Standardisierung drahtloser LAN-Technologien wurde es attraktiver, Teile
herkömmlicher LANs durch Funk-Lösungen zu erweitern oder zu ersetzen.
Bei der Planung einer Netzwerkarchitektur sollten alle Sicherheitsgesichtspunkte
sorgfältig überlegt und Sicherheitsmaßnahmen ergriffen werden, um die
Vertraulichkeit und Integrität der Daten im lokalen Netzwerk zu gewährleisten,
unabhängig davon, ob diese mit Kabel oder drahtlos übertragen werden. Im
Vergleich zu Telekommunikationsnetzen bieten LAN-Netzwerke mit IPDatenverkehr und Zugang zum öffentlichen Internet keine hohe Zuverlässigkeit
oder Sicherheits-garantien. Ohne entsprechende Vorsichtsmaßnahmen ist jedes
LAN – ganz gleich, ob die Verbindung über Kabel oder drahtlos erfolgt – anfällig
für Sicherheitsrisiken und Probleme. So könnten Außenstehende, die daran
interessiert sind, vertrauliche Informationen über Ihr Unternehmen an
Konkurrenten zu verkaufen, beispielsweise auf Netzwerkdaten zugreifen oder
1
diese sogar ändern. In den letzten Jahren konnten aufgrund dieser Risiken die
Vorteile der Funk-LAN-Technologie in Netzwerken mit vertraulichen Daten nicht
voll ausgeschöpft werden, weil Benutzer normalerweise strenge Anforderungen
und Richtlinien für die Sicherheit und Datenintegrität haben.
Übersicht über die Datensicherheit
Bedrohungen der Sicherheit
Bei Computersystemen und Netzwerken bestehen ernsthafte
Sicherheitsbedrohungen, die zu erheblichen Schäden am System selbst bzw. dessen
Diensten oder Informationen führen können. Unter einem Sicherheitsangriff
versteht man eine Aktion, die die Sicherheit der in einem Unternehmen
vorhandenen Informationen beeinträchtigt. Eine Sicherheitsbedrohung ist dagegen
die Möglichkeit für einen solchen Angriff. Zu den gängigen
Sicherheitsbedrohungen gehören Lahmlegung von Diensten durch gezielte
Überlastung mit großen Datenmengen (Denial of Service), Abhören,
Manipulationen, Masquerade (Adressumsetzung) und Repudiation
(Verleugnung).
Denial of Service bedeutet, dass ein System oder ein Netzwerk für berechtigte
Benutzer nicht mehr verfügbar ist oder die Kommunikation unterbrochen oder
verzögert ist. Eine solche Situation ist beispielsweise denkbar, wenn ein Netzwerk
durch illegale Datenpakete überlastet wird. Bei Funk-LANs kann eine solche
Situation auch dadurch hervorgerufen werden, dass ein Angreifer die Funkfrequenz
durch Interferenzen stört, um den Betrieb des Funk-LANs zu verhindern.
Abhören kann in zwei Varianten auftreten: Abhören der Identität, bedeutet, dass
die Identität eines Kommunikationspartners aufgezeichnet wird, um diese später
missbräuchlich zu verwenden. Beim Abhören von Daten überwacht ein nicht
berechtigter Benutzer die in einer Kommunikationssitzung übertragenen Daten.
Ein solcher Angriff auf die Vertraulichkeit ist es etwa, wenn ein Angreifer das
Übertragungsmedium – Kabel- oder Funkverbindung – „anzapft“ und die
übertragenen Daten aufzeichnet.
Manipulation bezieht sich auf eine Situation, bei der Daten in einem System ersetzt,
eingefügt oder gelöscht werden. Dies ist ein Angriff auf die Datenintegrität, der
sowohl unbeabsichtigt (aufgrund eines Hardwarefehlers) oder beabsichtigt sein
kann. Im letzteren Fall hört ein Angreifer die Datenkommunikation ab und
verändert die Benutzerdaten.
Von Masquerading spricht man, wenn ein Angreifer vorgibt, ein berechtigter
Besucher zu sein, um Zugriff auf die Informationen eines Systems zu erhalten. Ein
Beispiel für Masquerading in einem Funk-LAN wäre etwa, wenn ein nicht
berechtigter Benutzer versucht, auf das Funk-LAN zuzugreifen.
Repudiation bedeutet, dass ein Benutzer leugnet, eine für das System oder die
Kommunikation schädliche Aktion ausgeführt zu haben. So könnte ein Benutzer
etwa abstreiten, bestimmte Mitteilungen gesendet zu haben oder ein Funk-LANSystem benutzt zu haben.
2
Sicherheitsdienste und Sicherheitsmechanismen
Um sich gegen die genannten Sicherheitsbedrohungen zu schützen, müssen
verschiedene Sicherheitsdienste und Sicherheitsmechanismen eingesetzt werden.
Sicherheitsdienste erhöhen die Sicherheit von Informationssystem und
Datenübertragungen. Sicherheitsmechanismen sind dagegen aktive Maßnahmen,
die zur Bereitstellung von Sicherheitsdiensten ergriffen werden. Chiffrierung
(Encipherment) ist ein Beispiel für einen Mechanismus, der mit verschiedenen
Sicherheitsdiensten verwendet werden kann.
Authentifizierung ist ein Dienst, der die Identität eines Benutzers, Geräts oder einer
anderen Einheit bestätigt bzw. die Echtheit einer übertragenen Mitteilung
überprüft. Authentifizierung ist in der Regel erforderlich, um einen Schutz vor
Masquerading und Manipulationen zu erreichen. In den heutigen Funk-LANSystemen müssen beispielsweise Zugänge die Identität von mobilen Komponenten
authentifizieren, um unberechtigte Zugriffe auf das Netzwerk zu verhindern. Eng
verwandt mit der Authentifizierung ist der Zugriffskontrolldienst, der den Zugriff
auf die Systeme und Anwendungen eines Netzwerks begrenzt und kontrolliert.
Damit ein Objekt Zugang zu einem System erhält, muss es zuerst identifiziert, oder
authentifiziert, werden.
Vertraulichkeit von Daten ist der Schutz der übertragenen Daten vor einem
etwaigen Abhören. Bei drahtlosen Übertragungen könnte dies bedeuten, dass die
Daten zwischen einer mobilen Komponente und einem Zugang so übertragen
werden, dass sie für Unbefugte nicht zugänglich sind. Obwohl natürlich nicht alle
Daten vertraulich sind, sollten wichtige Informationen nur übertragen werden,
wenn entsprechende Sicherheitsvorkehrungen getroffen wurden.
Datenintegrität ist ein wichtiger Sicherheitsdienst, der nachweist, dass die
übertragenen Daten nicht manipuliert wurden. Die Authentifizierung der
Kommunikationspartner reicht nicht aus, wenn das System nicht mit Sicherheit
ausschließen kann, dass eine Mitteilung auf dem Übertragungsweg verändert wird.
Mit Hilfe der Datenintegrität lassen sich Manipulationen an Daten erkennen und
verhindern.
Non-Repudiation verhindert, dass eine Einheit etwas abstreiten kann, was
tatsächlich passiert ist. Dies bezieht sich in der Regel auf eine Situation, in der eine
Einheit einen Dienst genutzt oder eine Mitteilung übertragen hat und dies später
abstreitet.
SICHERHEIT UND IEEE 802.11
Um die Sicherheit der in Computernetzwerken übertragenen Daten zu
gewährleisten, existieren verschiedene Protokolle und Lösungen. Diese lassen sich
auch in Funk-LANs anwenden, in denen die übertragenen Daten vor Angreifern
geschützt werden sollen. In diesem Abschnitt werden die Lösungen vorgestellt, mit
denen sich Sicherheitsprobleme in Funk-LANs verhindern lassen.
Der Standard IEEE 802.11 für drahtlose LANs wurde im Jahr 1997 verabschiedet.
Dieser Standard wurde entwickelt, um eine möglichst weitgehende
Interoperabilität zwischen Funk-LAN-Produkten verschiedener Hersteller zu
gewährleisten. Ferner brachte er auch eine Reihe von Verbesserungen und
Vorteilen hinsichtlich der Übertragungsleistung. IEEE 802.11 definiert drei
Optionen für die physische Schicht (PHY-Layer): FHSS, DSSS, und IR. DSSS bietet
3
einige Vorteile im Vergleich zu den beiden anderen PHY-Layer-Optionen. DSSS
besitzt die höchsten möglichen Datenraten (bis zu 11 Mbit/s) und bietet eine
größere Reichweite als die Optionen FH und IR. DSSS-Systeme wurden
ursprünglich in der militärischen Kommunikation eingesetzt. DSSS-basierte
Funksysteme sind auch sehr widerstandsfähig gehen Störstrahlung.
Der vorhandene Funk-LAN-Standard IEEE 802.11 definiert zwei
Authentifizierungsdienste:
• Auf WEP (Wired Equivalent Privacy, Kabel-LAN-äquivalente Vertraulichkeit)
basierende Authentifizierung mit gemeinsamem Schlüssel.
• Offene Systemauthentifizierung (kündigt lediglich an, dass eine mobile
Komponente mit einer anderen mobilen Komponente oder einem Zugang
kommunizieren möchte)
WEP (Wired Equivalent Privacy)
Die Stationen in einem drahtlosen LAN gemäß IEEE 802.11 können Lauschangriffe
durch Implementierung des optionalen WEP-Algorithmus verhindern, der auch in
der Authentifizierung mit gemeinsamem Schlüssel eingesetzt wird. Der WEPAlgorithmus verwendet den RC4-Algorithmus mit einem geheimen Schlüssel von
maximal 128 Bit Länge. Wenn die Komponenten in einem drahtlosen LAN über
WEP kommunizieren möchten, müssen sie sich im Besitz desselben geheimen
Schlüssels befinden. Der Standard legt nicht fest, wie die Schlüssel an die mobilen
Komponenten verteilt werden.
Aus kryptografischer Sicht ist es von Bedeutung, welche Schlüssellänge und
welchen Schutz der Algorithmus bietet. Aus Sicht der Systemarchitektur geht es
dagegen darum, wie die WEP-Schlüssel verteilt und verwaltet werden, da die
Sicherheit darauf basiert, dass die geheimen Schlüssel nicht für Unbefugte sichtbar
sein dürfen. WEP erwartet, dass zuvor ein gemeinsamer Schlüssel auf sichere Weise
an alle mobilen Komponenten übertragen wurde. Die Schlüssel können
beispielsweise beim Einrichten der Zugänge und der mobilen Komponenten in
deren Management-Basen geladen werden. Der Einsatz von WEP bietet den
Vorteil, dass der Datenverkehr bereits auf der Verbindungsschicht zwischen den
mobilen Komponenten verschlüsselt ist und deshalb auf den höheren Schichten
keine Verschlüsselungsmechanismen erforderlich sind. Der Algorithmus kann in
die Hardware-Karte integriert werden, sodass die Verschlüsselung schneller erfolgt
als mit Softwarelösungen.
Offene Systemauthentifizierung
Um den Zugriff auf ein Funk-LAN ohne den Einsatz von WEP zu beschränken,
haben die meisten Hersteller drahtloser LAN-Produkte ein Verfahren zur
Zugriffssteuerung implementiert, das Assoziationen von unerwünschten MACAdressen in den Zugängen blockiert. Funk-LAN-Karten werden durch eine 48 Bit
lange MAC-Adresse gemäß IEEE 802 eindeutig identifiziert. In den Zugängen kann
eine Liste, welche die MAC-Adressen der gültigen Funk-LAN-Karten enthält,
definiert werden. Alle mobilen Komponenten, die eine Verbindung mit einer FunkLAN-Karte herzustellen versuchen, deren MAC-Adresse nicht in der Liste
enthalten ist, werden zurückgewiesen und können die Funk-LAN-Schnittstelle
nicht benutzen. Funk-LANs, die keine Authentifizierungs- oder
Verschlüsselungsverfahren verwenden, können ein Sicherheitsrisiko darstellen,
4
wenn die Funksignale außerhalb des Bürogebäudes gelangen. Ein Eindringling, der
den SSID (Service Set Identifier, Dienstgruppenkennung) zur Identifizierung des
Funk-LANs kennt, kann eine mobile Komponente so konfigurieren, dass es im
selben Netzwerk und mit derselben Frequenz wie die Zugänge arbeitet und
dadurch Zugriff auf das Netzwerk erhalten könnte, falls keine MACAdressblockierung verwendet wird. Mit den geeigneten Tools könnte der
Eindringling auch die Daten belauschen, die Benutzer zur Übertragung
berechtigen. Die in Funk-LAN-Karten verwendeten MAC-Adressen lassen sich
theoretisch ebenfalls fälschen. Wenn ein Eindringling eine autorisierte MACAdresse ausspäht, könnte er damit eine Funk-LAN-Karte für dieselbe MACAdresse programmieren und auf das Funk-LAN zugreifen. Die gleichzeitige
Verwendung zweier Funk-LAN-Karten mit derselben MAC-Adresse würde
natürlich zu Netzwerkproblemen führen.
VIRTUELLE PRIVATE NETZWERKE (VPN)
Die VPN-Technologie (Virtual Private Network, virtuelles privates Netzwerk)
kann in Funk-LANs verwendet werden, um Tunnel für die sichere
Kommunikation einzurichten. Bei einem richtig konfigurierten VPN stellen diese
Tunnel sicher, dass nur autorisierte Personen auf das Firmennetzwerk zugreifen
und keine Außenstehenden die Daten verändern können. Zur Implementierung
virtueller privater Netzwerke werden verschiedene technische Ansätze und
Standards verwendet. In allen Ansätzen wird der Sicherheitsinhalt im Allgemeinen
durch zwei Hauptkomponenten unterschieden: Benutzerauthentifizierung und
Datenverschlüsselung.
Benutzerauthentifizierung
Zuverlässige Verfahren zur Benutzerauthentifizierung sind in Funk-LANUmgebungen unverzichtbar. Bis vor Kurzem erfolgte die Authentifizierung oft auf
der Basis von Benutzer-ID und Kennwort, gegenseitige Authentifizierung durch
Challenge/Response oder einer zentralen Richtliniendatenbank für Benutzer. Ein
Beispiel für eine zentrale Benutzerrichtlinien-Datenbank ist das RADIUSProtokoll (Remote Authentication Dial-in User Service). Dabei erfolgt die
Übertragung von Authentifizierungsanforderungen durch die Verwendung von
festen Benutzer-IDs und Kennwörtern. Die SecurID-Karte von RSA Security
verwendet eine andere Methode zur Authentifizierung. SecurID ist eine
Hardwarekomponente, die eindeutige und unvorhersagbare Zugriffscodes
erzeugt, die jeweils nur einmal verwendet werden. Der Zugriffscode kann in
Verbindung mit einer geheimen persönlichen PIN-Nummer verwendet werden,
um eine noch sicherere Authentifizierung zu gewährleisten. Es gibt auch viele neue,
moderne Methoden der Benutzerauthentifizierung. Auf Smart-Cards mit
integriertem Mikrocontroller und Speicher lassen sich Anwendungen
unterbringen, die vom einfachen Authentifizierungsalgorithmus bis hin zu E-Cash
reichen. Smart-Cards bieten Benutzern eine einfache Möglichkeit, das
Authentifizierungsgerät bei sich zu tragen.
Datenverschlüsselung
Bei diesem Verfahren werden die Daten verschlüsselt übertragen, um sie vor
unbefugtem Zugriff zu schützen. Es können zahlreiche Verschlüsselungsmethoden
eingesetzt werden, die sich hauptsächlich durch den jeweils verwendeten
5
Algorithmus unterscheiden. Algorithmen mit öffentlichen Schlüsseln wie
beispielsweise RSA verwenden zur Verschlüsselung und Entschlüsselung
verschiedene Schlüssel, die mathematisch zueinander in Beziehung stehen.
Algorithmen mit geheimen Schlüsseln wie etwa RC4, DES und 3DES verwenden
zur Verschlüsselung und Entschlüsselung denselben Schlüssel. Die Methoden mit
geheimem Schlüssel bieten den Vorteil hoher Geschwindigkeit. Da jedoch derselbe
Schlüssel für Verschlüsselung und Entschlüsselung verwendet wird, kann die
Datensicherheit gefährdet sein, wenn die Verwaltung der Schlüssel unzuverlässig
ist. Die Effizienz der Verschlüsselung hängt im hohen Maße von der Verwaltung
und der Länge der Schlüssel ab. Der Schlüssel muss eine ausreichende Länge
besitzen. Bei modernen Lösungen sollten dies mindestens 56 Bit sein.
IPSEC - Der Sicherheitsstandard des Internet-Protokolls
IPSEC ist ein neuer Sicherheitsstandard und besteht aus Komponenten, die
verschiedene Sicherheitsdienste auf der IP-Schicht bereitstellen, beispielsweise
Authentifizierung und Verschlüsselung. Der IPSEC-Standard wurde 1998 durch
die IETF (Internet Engineering Taskforce) verabschiedet. IPSEC kann auf zwei
verschiedene Arten funktionieren. Im Transportmodus werden die ursprünglichen
IP-Adressen in das Datenpaket aufgenommen und nur die Nutzdaten verschlüsselt.
Im Tunnelmodus werden die ursprünglichen IP-Adressen ebenfalls gekapselt, und
ein neuer Header wird dem Paket hinzugefügt. Die sichere Verbindung gemäß
Security Association (SA) ist die Basis des IPSEC-Standards. SA wird zwischen
kommunizierenden Hosts gebildet und legt beispielsweise die zu verwendenden
Verschlüsselungs- und Authentifizierungsalgorithmen, wichtige
Verwaltungseigenschaften sowie auch die Lebensdauer von Schlüsseln und der
sicheren Verbindung fest. Eine der Hauptkomponenten von IPSEC ist das IKEProtokoll (Internet Key Exchange, Internet-Schlüsselaustausch), das die Schlüssel
für die Verschlüsselung einrichtet. Der Sicherheitsstandard nach IPSEC und IKE
arbeitet mit Paaren privater und öffentlicher Schlüssel. Jeder Client/Benutzer
besitzt einen privaten Schlüssel. Der entsprechende öffentliche Schlüssel wird im
Netzwerk gespeichert. Das Verfahren auf Basis von vorher bekannten
gemeinsamen Schlüsseln wird ebenfalls unterstützt. Dabei verwenden Client/
Benutzer und Netzwerk identische geheime Schlüssel, die ihnen vor Beginn der
Kommunikation zugestellt wurden. In Zukunft wird IPSEC die Methode zur
Durchführung des Datenschutzes standardisieren. Alle namhaften Hardware- und
Softwarehersteller werden voraussichtlich noch im Jahr 2000 mit IPSECkompatiblen Produkten auf den Markt kommen. Es wird damit gerechnet, dass
IPSEC zum De-facto-Sicherheitsstandard im Internet entwickeln wird. Dieses
Verfahren könnte auch in Funk-LANs eingesetzt werden. Damit wären dann alle
Sicherheitslösungen und -systeme miteinander interoperabel.
Sichere Verbindungen zu Intranets mit VPN
Eine alternative Möglichkeit zur Implementierung eines drahtlosen LANs mit
Intranet-Zugriff besteht im Aufbau eines dedizierten LAN-Segments, in dem die
Zugänge miteinander verbunden sind. Die Trennung des Funk-LAN-Segments
vom Intranet kann dann über ein Sicherheits-Gateway erfolgen, das den Zugriff auf
Intranet-Ressourcen kontrolliert.
6
Unternehmen
Unternehmens-
DBs
Funk-LAN
Sicherheits-Gateway
(Firewall/VPN-Gateway)
Zugänge
Authentifizierungs-
server
Workstation
Workstation
Firewall
INTERNET
VPNTunnel
Funk-Komponenten
mit VPN-Client
Abbildung 1. Ein Funk-LAN-Segment in einem Unternehmen
Zwischen den mobilen Komponenten und dem Sicherheits-Gateway wird ein
Tunnel erstellt, durch den die Daten authentifiziert und verschlüsselt übertragen
werden. Aus Implementierungssicht könnte diese Installation auf einer VPNKonfiguration basieren. Sicherheits-Gateway und Haupt-Firewall können
integriert werden, sodass das Funk-LAN-Segment mit demselben Gerät verbunden
ist, das auch mit dem Internet verbunden ist. Aus administrativen Gründen (und
wegen der Tatsache, dass der Firewall sich physisch weit entfernt vom Funk-LANSegment befinden kann) ist eine Trennung der Geräte wie in der obigen Abbildung
sinnvoller.
Diese Lösung bietet den Vorteil, dass sie die vom und zum Intranet übertragenen
Informationen schützt und jeden unberechtigten Zugriff verhindert. Hierzu ist
Folgendes anzumerken: Da in diesem Modell die Daten zwischen der mobilen
Komponente und dem Gateway verschlüsselt übertragen werden, ist der
Datenverkehr zwischen zwei mobilen Komponenten im Funk-LAN-Segment
unverschlüsselt, sofern beide keine anderen Maßnahmen wie beispielsweise IPSEC
(Internet Protocol Security, Internet-Protokoll-Sicherheit), TLS (Transport Layer
Security, Sicherheit auf der Transportschicht) oder andere
Verschlüsselungsmethoden auf Anwendungsebene verwenden. Ferner wird der
Tunnel eingerichtet, wenn die mobile Komponente die Verbindung zum
Sicherheits-Gateway herstellt, sodass nur die mobilen Komponenten eine
Verbindungen mit den Intranet-Hosts aufbauen können – die Intranet-Hosts
können keine direkte Verbindung zu den mobilen Komponenten herstellen.
SICHERHEIT DER FUNK-LAN-PRODUKTE VON NOKIA
Dieser Abschnitt hilft Ihnen, eine angemessene Sicherheitsstufe für Nokia FunkLAN-Produkte festzulegen.
7
Nokia's 2 Mbit/s wireless LAN
Die Nokia C020/C021 Funk-LAN-Karte und der Nokia A020 Funk-LAN-Zugang
bieten keine zusätzlichen Sicherheitsoptionen wie etwa WEP-Funktionen. Deshalb
sollte in Installationen mit hohen Sicherheitsanforderungen wie beispielsweise im
Bankbereich mit Nokia Funk-LAN-Produkten für 2 Mbit/s eine komplette VPNLösung mit leistungsfähiger Authentifizierung und Datenverschlüsselung
verwendet werden.
Unternehmens-LAN
VPN-Authentifizierung und Datenverschlüsselung
Mobile
Komponenten
Nokia A020
Funk-LANZugang
10 Mbit/s
Kabel-LAN
Hub oder
Switch
VPNServer
Abbildung 2. Beispiel für VPN-Authentifizierung in einem Funk-LAN
Die Sicherheit lässt sich noch erhöhen, wenn NID-Listen (Network Identifier,
Netzwerkkennung) in einigen oder allen Zugängen verwendet werden. Dies
verhindert, dass unbefugte Benutzer von außerhalb oder auch interne Benutzer
bestimmte Zugänge verwenden können.
Die Konfiguration und die Überwachung des Zugangs lässt sich auf zwei Arten
verhindern: Einmal über die Sperrfunktionen des Zugangs. Zum anderen, indem
die Anzahl der Verwalter, die den Zugang konfigurieren und überwachen dürfen,
eingeschränkt wird (maximal 4 Manager). Es ist auch möglich, die IP-Adressen zu
definieren, die Zugriff erhalten sollen. Ferner stehen auch Optionen zur
Verfügung, um Ports zu ändern oder die Nutzung von Telnet, Web und TFTP
einzuschränken.
Nokias neues Funk-LAN mit 11 Mbit/s
Die neue Nokia C110/C111 Funk-LAN-Karte besitzt zusätzliche Funktionen zur
Erhöhung der Sicherheit im Funk-LAN. Hier ist zunächst das integrierte SmartCard-Lesegerät zu nennen, das ein äußerst zuverlässiges und effizientes Instrument
zur Verwaltung von Benutzeridentitäten darstellt. Ferner enthält die Lösung die
WEP-Authentifizierung und Verschlüsselung der Funkstrecke des Funk-LANs. In
sicherheitsrelevanten Bankinstallationen wird dennoch empfohlen, das Funk-LAN
mit einer VPN-Lösung zu integrieren. Hier kann jedoch die integrierte Smart-Card
verwendet werden, um die Benutzeridentitäten auf VPN-Ebene und sogar die
Netzwerkanmeldekennwörter zu speichern.
Welche Vorteile bietet WEP? WEP kann eingesetzt werden, um die Netzwerksicherheit zu erhöhen. Dadurch verbessert sich zum Einen die Sicherheit vor
Funkstörungen sowohl auf der Authentifizierungs- als auch der
Verschlüsselungsseite. Zum Anderen werden dadurch kostengünstige und einfach
zu installierende Lösungen möglich. WEP erlaubt die sichere Übertragung von
Daten zwischen mobilen Komponenten. WEP stellt ein zusätzliches Tool zur
8
Authentifizierung und Daten-verschlüsselung bereit, das als solches in vielen
Installationen eingesetzt werden kann.
Unternehmens-LAN
WEP
VPN-Authentifizierung und Datenverschlüsselung
WEP-Authentifizierung
und Datenverschlüsselung
Nokia A032
Funk-LANZugang
10 Mbit/s
Kabel-LAN
Hub oder
Switch
VPNServer
Abbildung 3. Beispiel für VPN und WEP in einem Funk-LAN
Welche Vorteile bieten Smart-Cards? Nokia bietet mit dem integrierten Smart-
Card-Lesegerät ein effizientes Werkzeug zur Identifizierung und Authentifizierung
von Benutzern im Funk-LAN. Die Funk-LAN-Karte von Nokia besitzt eine
standardmäßige Windows-Schnittstelle für Smart-Card-Lesegeräte im Format
ID000, die eine Reihe kommerzieller Smart-Card-Lösungen für
Unternehmensnetzwerke und zur Authentifizierung von Diensten unterstützt.
Die Nokia C110/C111 Funk-LAN-Karte besitzt eine offene Schnittstelle für SmartCard-Lesegeräte, die die meisten auf dem Markt erhältlichen VPN-Lösungen
unterstützt und sogar die Entwicklung kundenspezifischer Smart-Card-Lösungen
für mobile Benutzer ermöglicht. Das integrierte Smart-Card-Lesegerät unterstützt
die standardmäßige Smart-Card-API von Microsoft®.
Das integrierte Smart-Card-Lesegerät bietet darüber hinaus eine effiziente
Möglichkeit zur Einführung von elektronischen Signaturen. Mit der Nokia C110/
C111 Funk-LAN-Karte können Sie leistungsfähige Authentifizierungsprodukte
auf Basis von PKI (Public Key Infrastructure, Infrastruktur mit öffentlichen
Schlüsseln) zusammen mit einer anderen Sicherheitslösung einsetzen. PKI wird von
einer wachsenden Zahl von Institutionen im Finanzbereich und anderen Branchen
verwendet. In dieser Hinsicht bietet die Nokia C110 eine solide Lösung für erhöhte
Sicherheitsanforderungen.
Der Smart-Card-Ansatz bietet die folgenden Hauptvorteile:
• Eine Smart-Card bietet eine hardwaremäßige, zuverlässige Möglichkeit zur
Verteilung von Netzwerk-Authentifizierungsschlüsseln an mobile Benutzer.
Darüber hinaus stellt sie einen PIN-geschützten Speicher für Kennwörter bereit.
• Eine Smart-Card lässt sich effizient in die Netzwerk-Authentifizierung einbinden,
indem vorhandene Netzwerk-Authentifizierungsprodukte des Unternehmens
verwendet werden.
• In Zukunft wird die integrierte Smart-Card auch digitale Signaturen und
PKI-Dienste ermöglichen, die sich vor allem im Bankbereich vermehrt
durchsetzen.
• Das integrierte Smart-Card-Lesegerät ermöglicht eine kostengünstige Lösung,
um Smart-Card-Dienste auf Laptop-Computern bereitzustellen.
9
HÄUFIG GESTELLTE FRAGEN
F1: Wie erfolgt die Benutzer-Authentifizierung und die Datenverschlüsselung zwischen
einem Funk-LAN-Gerät und einem Zugang?
Der bestehende Funk-LAN-Standard IEEE 802.11 definiert zwei
Authentifizierungsdienste:
• Offene System-Authentifizierung (kündigt lediglich an, dass eine mobile
Komponente die Verbindung mit einer anderen mobilen Komponente oder einem
Zugang herstellen möchte)
• Authentifizierung mit gemeinsamem Schlüssel auf Basis von WEP (Wired
Equivalent Privacy)
Bei der offenen System-Authentifizierung können nur gültige Funk-LAN-Karten
die Verbindung mit Zugängen herstellen. Die offene System-Authentifizierung
bietet weder eine paketbasierte Authentifizierung noch einen Schutz der Daten.
Um die vertrauliche Übertragung von Frames zu gewährleisten, wird in IEEE
802.11 das optionale WEP definiert. WEP ist eine symmetrische Verschlüsselung
und trägt dazu bei, ein Abhören von Informationen durch Lauscher zu verhindern.
Mit den Funk-LAN-Produkten für 11 Mbit/s von Nokia sind Schlüssellängen bis zu
128 Bit möglich. Der WEP-Mechanismus verschlüsselt alle Benutzerdatenpakete
mit dem RC4-Algorithmus.
Die neue Nokia C110/C111 Funk-LAN-Karte mit WEP und Authentifizierung
verhindert den unbefugten Zugriff auf Netzwerkdienste und bietet
Datenverschlüsselung über die Funkstrecke. In Installationen mit noch höheren
Sicherheitsanfor-derungen lässt sich die Vertraulichkeit von Netzwerk- und
Benutzerdaten durch Einsatz von Sicherheitsmechanismen auf IP-Ebene wie
beispielsweise VPN-Produkten weiter steigern. In diesem Fall ist das Funk-LANSegment vom Unternehmensnetzwerk durch die Verwendung eines VPN-Geräts
isoliert. Das VPN-Gerät führt die Benutzer-Authentifizierung und
Datenverschlüsselung zwischen dem Funk-Terminal und dem Netzwerk durch
leistungsfähige Verschlüsselungsalgorithmen durch, etwa DES oder 3DES. Die
Funk-LAN-Lösung von Nokia unterstützt führende VPN-Lösungen, die für das
Funk-LAN transparent sind.
F2: Ist die Funkstrecke gegen Störangriffe anfällig?
Die Version von DSSS (Direct Sequence Spread Spectrum, DirektsequenzSpreizspektrum) des Standards IEEE 802.11 ist so konzipiert, dass sie robust gegen
Interferenzen ist. Es ist jedoch zu beachten, dass kein kommerzielles Funk-LANSystem gut vor absichtlichen Störungen geschützt ist.
F3: Wie können wir sicherstellen, dass jede mobile Komponente ein Systemstartkennwort
besitzt und eine automatische Abmeldung der Sitzung bei längerer Nichtbenutzung
durchführt?
Der Zugang beendet die Authentifizierung nach einer bestimmten Zeitspanne,
wenn die mobile Komponente abgeschaltet wird oder außerhalb der Reichweite
gebracht wird.
Die Nokia C110/C111 Funk-LAN-Karte bietet WEP-Authentifizierung, die einen
WEP-Schlüssel als Systemstartkennwort verwendet. Das Funk-LAN stellt keine
zeitbasierte Abmeldung sicher, sondern wird in dieser Hinsicht eher wie ein
normales LAN betrachtet.
10
Falls eine zuverlässige Sitzungsabmeldung bei längerer Nichtaktivität und ein
Systemstartkennwort gefordert werden, empfiehlt es sich, das Funk-LAN mit
einem VPN-Produkt zu integrieren, das diese Funktionen normalerweise
bereitstellt.
F4: Ist es möglich, den Zugriff auf das Funk-LAN auf der Basis des einzelnen Knotens zu
verweigern?
Ja. Hierzu stehen zwei Optionen zur Verfügung, die einander ergänzen: Sie können
NID-Listen in den LAN-Zugängen verwenden. In diesem Fall gewährt der Zugang
nur den in der Liste aufgeführten Funk-LAN-Karten (MAC-Adressen) den Zugriff
auf das Netzwerk. NIDs beschränken die Nutzung des Funk-Netzwerks auf der
Basis der MAC-Adresse der Funk-LAN-Karten. In Installationen, für die eine noch
höhere Sicherheitsstufe gefordert wird, empfiehlt sich der Einsatz einer
leistungsfähigeren Authentifizierungsmethode auf der Basis einer VPN-Lösung,
um das Risiko eines unbefugten Eindringens in das Netzwerk zu minimieren. In
sicherheitskritischen Lösungen kann auch die Authentifizierung auf Funk-LANEbene gemeinsam mit der VPN-Authentifizierung eingesetzt werden. Durchbricht
ein Eindringling in einer solchen Konfiguration den ersten durch die Funk-LANAuthentifizierung bereitgestellten Schutzgürtel, muss er danach noch den VPN-
Firewall durchdringen.
F5: Welchen Einfluss hat ein Funk-LAN auf die Sicherheitsaspekte in Unternehmen?
Dies hängt voll und ganz von den Unternehmensrichtlinien ab. Das Funk-LAN
bringt definitiv eine neue Dimension in die Sicherheitsfrage. Jedoch gilt hier wie
überall, dass sich mögliche Probleme durch eine sinnvolle Planung vermeiden
lassen. In sicherheitskritischen Anwendungen wird dringend empfohlen, das FunkLAN mithilfe einer VPN-Firewall-Lösung von den kritischen
Netzwerkkomponenten zu isolieren. Im Gegensatz zu den meisten anderen
Produkten bietet die 11-Mbit/s-Funk-LAN-Karte von Nokia zwei fortschrittliche
Sicherheitstools, die sich in die bereits im Unternehmensnetzwerk vorhandenen
Sicherheitssysteme integrieren lassen: Benutzerauthentifizierung mit Smart-Card
sowie Authentifizierung und Datenverschlüsselung im Funk-LAN über WEP.
Der WEP-Schutz bietet zusätzliche Sicherheit gegen Eindringlinge. Das integrierte
Smart-Card-Lesegerät ermöglicht es Netzwerkadministratoren, reale
Benutzeridentitäten und Sicherheitsschlüssel auf einfache Weise an Funk-LANTerminals zu verteilen. Die Smart-Card bietet ferner auch einen durch PIN
geschützten Kennwortspeicher und ermöglicht die Berechnung von einmaligen
Kennwort-Token, die im Vergleich zu den üblichen statischen Kennwörtern einen
erheblich besseren Schutz bieten.
Die neuesten Informationen über Nokias Funk-LAN-Produkte und
Datensicherheit finden Sie auf unserer Homepage www.forum.nokia.com, die
regelmäßig aktualisiert wird.
11
Loading...