Datasikkerhed
INTRODUKTION
Trådløst LAN (local area network – lokalt netværk) er i kraftig vækst. Et
virksomhedsmiljø, der konstant ændrer sig, kræver større fleksibilitet af de ansatte
og deres udstyr. Virksomheder af alle størrelser begynder derfor at forstå vigtigheden
af trådløse tilslutningsmuligheder i kontormiljøet. Samtidig har industristandarderne IEEE 802.11 og IEEE 802.11b for trådløse LAN’er åbnet nye
muligheder for implementering af trådløse LAN-løsninger. Med nye kompatible
trådløse LAN-produkter på markedet, kan alle virksomheder og organisationer få
glæde af fordelen ved trådløse LAN’er. Mange af disse virksomheder håndterer
yderst fortrolige data, og sikkerhedsspørgsmål er derfor ofte af meget stor betydning.
Et trådløst LAN er et fleksibelt datakommunikationssystem, der implementeres
som en udvidelse til et direkte tilsluttet LAN i en bygning eller et område. Ved hjælp
af RF-teknologi (radio frequency – radiofrekvens) kan trådløse LAN’er overføre og
modtage data direkte, så behovet for kabelforbindelser minimeres. Et trådløst
LAN giver brugerne fleksibel adgang til et direkte tilsluttet LAN i dækningsområdet. Trådløst LAN er på det seneste blevet populær på en lang række vertikale
markeder, herunder sundhedsvæsen, detailhandel, fabriksvirksomhed, oplagring
og universiteter. Inden for disse områder har man draget fordel af den øgede
produktivitet ved brug af håndholdte enheder og bærbare computere til at overføre
oplysninger til behandling på centraliserede værtscomputere. Behovet for at bruge
LAN-faciliteter, uanset hvor man er placeret, samt for at arbejde uden
komplicerede installationer og kabler er også stigende i almindelige kontormiljøer.
Standardiseringen af de trådløse LAN-teknologier gør det mere attraktivt at udvide
eller erstatte en del af et traditionelt LAN med en trådløs løsning.
Ved planlægning af en netværksarkitektur skal man omhyggeligt overveje alle
sikkerhedsspørgsmål, og man bør træffe alle nødvendige sikkerhedsforanstaltninger for at sikere fortroligheden og integriteten for data i både direkte
tilsluttede og trådløse LAN’er. Modsat telekommunikationsnetværk giver LANnetværk med IP-traffik og adgang til det offentlige Internet ikke høj pålidelighed og
garanti for sikkerhed. Hvis man ikke tager tilstrækkelige forholdsregler er ethvert
LAN, direkte tilsluttet eller trådløst, sårbart og udsat for sikkerhedsrisici og
problemer. En fjendtlig udenforstående, som vil tjene på at sælge fortrolige
forretningsoplysninger til konkurrenter, kan f.eks. få adgang til netværksdata eller
oven i købet ændre dem. I de senere år har disse risici gjort det kompliceret for en
omfattende brug af trådløse LAN’er, som indeholder fortrolige data, fordi
brugerne typisk har strenge krav og regler for sikkerhed og dataintegritet.
1
OVERSIGT OVER DATASIKKERHED
Sikkerhedstrusler
Computersystemer og netværk er genstand for alvorlige sikkerhedstrusler, som
kan forårsage alvorlig skade på et system, dets tjenester eller dets oplysninger. Et
sikkerhedsangreb er en handling, der kompromitterer sikkerheden for oplysninger,
der ejes af et firma, hvorimod en sikkerhedstrussel betegner muligheden for at et
sådant angreb bliver udført. Nogle almindeligt kendte trusler er nægtelse af adgang
til tjenester, opsnapning, manipulation, forklædning og afvisning.
Nægtelse af adgang til tjenester betyder, at et system eller netværk bliver
utilgængeligt for autoriserede brugere, eller at kommunikationen bliver afbrudt
eller forsinket. Denne situation kan f.eks. være forårsaget af overbelastning af et
netværk med ulovlige pakker. I forbindelse med et trådløst LAN kan den være
forårsaget af bevidste forstyrrelser af de brugte radiofrekvenser, som forstyrrer det
trådløse netværk.
Opsnapning kan betyde identitetsopsnapning, i hvilken forbindelse identiteten af
en kommunikerende part bliver overvåget med henblik på senere misbrug, eller det
kan henvise til dataopsnapning, hvor en uautoriseret bruger overvåger brugerdata
i forbindelse med en kommunikationssession. Det drejer sig her om et angreb på
fortroligheden, og et eksempel kan være, at en angriber lytter med på det trådløse eller direkte tilsluttede - medium og indlæser de overførte data.
Manipulation henviser til en situation, hvor data erstattes, indsættes eller slettes på
et system. Det drejer sig her om et angreb på dataintegriteten, og det kan enten være
utilsigtet (grundet en hardwarefejl) eller tilsigtet, i hvilket tilfælde en angriber lytter
til en datakommunikation og ændrer brugerdata.
Forklædning finder sted, hvis en angriber foregiver at være en autoriseret bruger
for at få adgang til oplysninger eller til et system. Et eksempel i forbindelse med et
trådløst LAN kunne være, at en uautoriseret bruger forsøger at opnå adgang til det
trådløse netværk.
Afvisning betyder, at en bruger nægter at have gjort noget, der kan være skadeligt
for systemet eller kommunikationen. En bruger kan f.eks. nægte at have sendt visse
meddelelser eller at have benyttet et system med trådløst LAN.
Sikkerhedstjenester og -mekanismer
Som beskyttelse mod ovenstående sikkerhedstrusler skal der anvendes forskellige
sikkerhedstjenester og -mekanismer. Sikkerhedstjenester forbedrer sikkerheden på
informationssystemer og i forbindelse med dataoverførsler. Sikkerhedsmekanismer er derimod aktive forholdsregler, der bruges til at opnå sikkerheds-
tjenester. Kodeomsætning er et eksempel på en mekanisme, der kan bruges
sammen med forskellige sikkerhedstjenester.
Godkendelse er en tjeneste, der bekræfter identiteten af en størrelse, f.eks. en
bruger eller en enhed, eller bekræfter oprindeligheden af en overført meddelelse.
Godkendelse er typisk nødvendig som beskyttelse mod forklædning og ændring. I
aktuelle trådløse systemer skal adgangspunkterne f.eks. godkende trådløse
enheder for at undgå uautoriseret adgang til netværket. Tæt relateret til
godkendelse er adgangskontroltjenesten, som begrænser og kontrollerer adgang til
2
systemer og programmer i netværket. Størrelserne skal først identificeres eller
godkendes, før de får tildelt adgang til et system.
Datafortrolighed er beskyttelsen af overførte data mod opsnapning. I forbindelse
med trådløs kommunikation kan det betyde, at data, der overføres mellem en
trådløs enhed og et adgangspunkt, bliver holdt fortroligt, mens de overføres.
Naturligvis betragtes ikke alle data som fortrolige, men vigtige oplysninger bør
ikke overføres, medmindre der er truffet sikkerhedsforanstaltninger.
Dataintegritet er en vigtig sikkerhedstjeneste, der beviser, at overførte data ikke er
blevet ændret. Godkendelse af de kommunikerende parter er ikke nok, hvis systemet
ikke kan garantere, at meddelelsen ikke er blevet ændret under overførslen.
Dataintegritet kan bruges til at opdage og beskytte data fra at blive manipuleret.
Ikke-afvisning forhindrer en størrelse i at benægte noget, der faktisk er sket. Dette
henviser normalt til en situation, hvor en størrelse har brugt en tjeneste eller
overført en meddelelse, og påstår ikke at have gjort det.
SIKKERHED OG IEEE 802.11
Der findes forskellige sikkerhedsprotokoller og løsninger, der aktiverer beskyttelse
af overførsler i computernetværk. Protokollerne kan også anvendes til trådløse
LAN’er, hvor trafikken skal beskyttes mod aflytning. Dette afsnit beskriver de
løsninger, der kan bruges til at løse sikkerhedsproblemer i trådløse LAN’er.
Standarden IEEE 802.11 til trådløst LAN blev anerkendt i 1997. Standarden blev
udviklet for at maksimere samspillet mellem forskellige fabrikater af trådløse
LAN-produkter samt for at introducere en lang række forbedringer og fordele i
forbindelse med ydeevnen. IEEE 802.11-standarden definerer tre indstillinger for
fysiske lag: FHSS, DSSS og IR. DSSS (direct sequence – spektrum til direkte
frekvensspredning) har nogle fordele sammenlignet med de andre to indstillinger
for fysiske lag. DSSS har de størst mulige datahastigheder (op til 11 Mbit/s), og den
giver et større dækningsområde end indstillingerne FH (frequency hopping –
frekvensspring) og IR (infrared – infrarød). DSSS-systemer blev oprindeligt brugt
til militær kommunikation. DSSS-baserede radiosystemer er også meget
modstandsdygtige over for forstyrrelser.
Den eksisterende IEEE 802.11-standard til trådløst LAN definerer to godkendelsestjenester:
• WEP-baseret (wired equivalent privacy – tilslutning med modsvarende
hemmeligholdelse) godkendelse af delt nøgle
•Åben systemgodkendelse (giver kun meddelelse om, at en trådløs enhed ønsker at
associere med en anden trådløs enhed eller et trådløst adgangspunkt)
WEP - Tilslutning med modsvarende hemmeligholdelse
Arbejdsstationer i et IEEE 802.11 trådløst LAN kan forhindre aflytning ved at
implementere den valgfri WEP-algoritme, som også bruges i godkendelsesskemaet
i forbindelse med delte nøgler. WEP-algoritmen anvender RC4-algoritmen med en
op til 128-bit hemmelig nøgle. Hvis de trådløse enheder i et trådløst LAN vil
kommunikere ved hjælp af WEP, skal de være i besiddelse af den samme hemmelige
3
nøgle. Standarden bestemmer ikke, hvordan nøglerne bliver distribueret til de
trådløse enheder.
Ud fra et krypteringssynspunkt er nøglelængden og den beskyttelse, algoritmen
giver, vigtige, mens den måde, hvorpå WEP-nøglerne bliver distribueret og
håndteret på, er essentielle ud fra et systemstruktursynspunkt, eftersom
sikkerheden er baseret på, at de hemmelige nøgler ikke bliver opdaget. WEP
forventer, at den delte hemmelige nøgle bliver leveret til alle trådløse enheder før
tiden på sikker vis. Nøglerne kan f.eks. indlæses i styringsbaserne, når adgangspunkterne og de trådløse enheder installeres. Fordelen ved at bruge WEP er, at
trafikken krypteres allerede på linklaget mellem de trådløse enheder, så der ikke
behøves krypteringsmekanismer i de øvre lag. Algoritmen kan inkorporeres i
hardwarekortet, så krypteringen bliver hurtigere end med softwareløsninger.
Åben systemgodkendelse
For at begrænse adgangen til et trådløst netværk uden WEP har de fleste
leverandører af trådløse LAN-produkter implementeret en adgangskontrolmetode, som er baseret på blokering af associationer fra uønskede MACadresser på adgangspunkterne. Trådløse LAN-kort har en 48-bit MAC-adresse,
der entydigt identificerer dem som defineret i IEEE 802. En liste, der indeholder
MAC-adresserne på gyldige, kan defineres i adgangs-punkterne, og enhver trådløs
enhed, der prøver at associere med et kort til trådløst LAN, hvis MAC-adresse ikke
findes på listen, bliver nægtet association og kan således ikke bruge grænsefladen til
det trådløse LAN. Hvis der ikke bruges nogen godkendelses- eller
krypteringsmetoder, kan det trådløse LAN udgøre en sikkerhedsrisiko, hvis
radiosignalerne trænger uden for kontorbygningen. En indtrængende, der kender
den SSID (Service Set Identifier – identifikator af tjenestesæt), der identificerer det
trådløse LAN-netværk, vil kunne konfigurere en trådløs enhed til at fungere på det
samme netværk og den samme frekvens som adgangspunkterne og få adgang til
netværket, hvis der ikke blev brugt nogen MAC-adresseblokkering. Med de rigtige
værktøjer kunne den indtrængende høre de data, som godkendte brugere
overfører. Det er også muligt at forfalske de MAC-adresser, der bruges på kort til
trådløst LAN. Når en indtrængende har fundet de godkendte MAC-adresser, kan
vedkommende programmere et kort til trådløst LAN til at have den samme MACadresse og få adgang til det trådløse LAN. Hvis kortet til trådløst LAN bruges på
samme tid, kan dette naturligvis føre til netværksproblemer.
VIRTUELLE, PRIVATE NETVÆRK
VPN-teknologi (virtual private network – virtuel, privat netværk) kan bruges til at
oprette virtuelle tuneller til sikker kommunikation i trådløse LAN-netværk. Hvis
et VPN er konfigureret korrekt, sikrer disse tunneller, at det kun er godkendte
brugere, der kan få adgang til firmaets netværk, og at uvedkommende ikke kan
læse eller redigere data. Der er flere forskellige tekniske muligheder og standarder,
som bruges til at implementere, virtuelle private netværk. I alle tilælde er
sikkerheden generelt kendetegnet af to hovedkomponenter: brugergodkendelse og
datakryptering.
4
Brugergodkendelse
Pålidelige metoder til brugergodkendelse er vigtige i det trådløse LAN-miljø. Indtil
for ganske nylig var godkendelse ofte baseret på et bruger-id og en adgangskode,
forepørgsel/besvarelse eller en central database med brugerpolitik. Et eksempel på
en central database med brugerpolitik er RADIUS-protokollen (Remote
Authentication Dial-in User Service – tjeneste til fjerngodkendelse), der bruges til at
overføre godkendelsesforespørgsler ved hjælp af faste bruger-id’er og
adgangskoder. RSA-sikkerhedskortet SecurID er en anden form for godkendelse.
SecurID er hardware, der opretter uentydige, uforudsigelige adgangskoder, der
kun kan bruges én gang. Adgangkoder kan bruge sammen med en hemmelig
personlig PIN-kode til at give en sikker godkendelse. Der er også mange nye former
for brugergodkendelse. Chipkort med en microcontroller og hukommelse kan
indeholde et sæt programmer fra en simpel godkendelsesalgoritme til e-cash.
Chipkort gør det let for brugerne at opbevare en godkendelsesenhed på sig.
Datakryptering
Datakryptering bruges til at beskytte data fra uautoriseret brug ved at kryptere
indholdet. Der findes mange forskellige krypteringsmetoder, der hovedsageligt
adskiller sig ved deres krypteringsalgoritmer. Offentlige nøglealgoritmer, f.eks.
RSA, bruger forskellige matematisk relaterede nøgler til kryptering og
dekryptering. Hemmelige nøglealgoritmer, f.eks. RC4, DES og 3DES, bruger
samme nøgle til både kryptering og dekryptering. Hemmelige nøglemetoder er
hurtige, men da den samme nøgle bruges til både kryptering og dekryptering, kan
datasikkerheden kompromitteres, hvis nøgleadministrationen ikke er pålidelig.
Krypteringens effektivitet afhænger hovedsageligt af nøgleadministration og
nøglelængde. Nøglen skal være lang nok, og i moderne løsninger bør den overstige
mindstekravet på 56 bit.
IPSEC - Sikkerhedsprotokolstandarden på Internettet
IPSEC er en ny sikkerhedsstandard, der består af komponenter, som tilbyder
forskellige former for sikkerhedstjenester i IP-laget, f.eks. godkendelse og
kryptering. IPSEC-standarden blev lanceret i 1998 af IETF (Internet Engineering
Taskforce, hovedarbejdsgruppen, der udvikler standarder for Internettet). IPSEC
fungerer på to måder. I transporttilstand inkluderes de oprindelige IP-adresser i
datapakken, og det er kun dataene, der krypteres. I tunneltilstand inkludres de
oprindelige IP-adresser også, og der tilføjes en ny overskrift til pakken.
Sikkerhedsassociation danner grundlag for IPSEC-standarden. Sikkerhedsassociation oprettes mellem kommunikerende værter, og angiver f.eks. de
krypterings- og godkendelsesalgoritmer, der bruges, nøgleadministrationsegenskaber og livscyklussen for krypteringsnøglerne og sikkerhedsassociationen. Et
af hovedelementerne i IPSEC er IKE-protokollen (Internet Key Exchange – Internetnøgleudveksling) til nøgleadministration, der fastlægger nøgler til kryptering.
IPSEC- og IKE-sikkerhedsstandarderne bruger privat/offentlig-nøglepar. Hver
klient/bruger har en privat nøgle, og netværket opbevarer den tilsvarende offentlige
nøgle. Der er også mulighed for foruddelte nøglebaserede metoder, hvor klienten/
brugeren og netværket deler den samme hemmelige nøgle, som blev leveret til dem
inden kommunikationen. I fremtiden vil IPSEC standardisere databeskyttelsesmetoden, og det forventes, at alle store producenter af hardware og software lancerer
IPSEC-kompatible produkter i 2000. IPSEC forventes at blive de facto-
5
standardsikkerhedsløsningen på Internettet. Den kan også bruges i sådanne trådlåse
LAN’er, hvilket gør alle sikkerhedsløsninger og -systemer kompatible.
Sikre forbindelser til intranet med VPN
En anden måde at oprette et trådløst LAN med intranetadgang på er at oprette et
specialbygget LAN-segment, hvor adgangspunkterne er tilsluttet. Det trådløse
LAN-segment kan derefter adskilles fra intranettet med en sikkerhedsport, der
styrer adgangen til intranet-ressourcerne.
Firma
Sikkerhedsgateway
(firewall/VPN-gateway)
Firma-
DB’er
Godkendelses-
server
Arbejdsstation
Arbejdsstation
Firewall
INTERNET
Figur 1. Et trådløst LAN-segment i et firma
Tr ådløst LAN
Adgangspunkter
VPNtunneller
Tr ådløs enhed
med VPN-klient
Der oprettes en tunnel mellem den trådløse enhed og sikkerhedsgatewayen, og de
data, der overføres i denne tunnel, godkendes og krypteres. I forbindelse med
implementation kunne denne opsætning være baseret på en VPN-konfiguration.
Det er muligt at integrere sikkerhedsgatewayen og den primære firewall, så det
trådløse LAN-segment er forbundet med den enhed, der er tilsluttet Internettet. Af
administrative årsager (og fordi den primære firewall fysisk set kunne være
placeret langt væk fra det trådløse LAN-segment) er det imidlertid bedre at arbejde
med separate enheder som vist i figuren ovenfor.
Fordelen ved denne løsning er, at den beskytter de oplysninger, som overføres til og
fra intranettet, og at uautoriseret adgang forhindres. Du skal imidlertid være
opmærksom på, at trafikken mellem den trådløse enhed og gatewayen er krypteret,
hvilket betyder, at trafikken mellem to trådløse enheder i det trådløse LANsegment ikke er krypteret, medmindre de begge bruger andre metoder, f.eks. IPSEC
(Internet-protokolsikkerhed), TLS (Transport Layer Security – sikkerhed i
transportlag) eller andre krypteringsmetoder på programniveau. Derudover
etableres den sikre tunnel, når den trådløse enhed sluttes til sikkerhedsgatewayen,
så det er kun den trådløse enhed, der kan etablere forbindelse til intranetværterne intranetværterne kan ikke sluttes direkte til de trådløse enheder.
6
SIKKERHED OG NOKIAS PRODUKTER TIL TRÅDLØST LAN
Dette afsnit hjælper dig med at definere et passende sikkerhedsniveau for Nokias
produkter til trådløst LAN.
Nokias 2 Mbit/s trådløse LAN
Nokia C020/C021 Kort til trådløst LAN og Nokia A020 Adgangspunkt til trådløst
LAN har ingen yderligere sikkerhedsfunktioner, f.eks. WEP-funktioner. Derfor
bør der bruges en fuldstændig VPN-løsning med effektiv godkendelse og
datakryptering sammen med Nokias 2Mbit/s-produkter til trådløst LAN i
installationer, der kræver stor sikkerhed, f.eks. i banker.
Firma-LAN
VPN-godkendelse og -datakryptering
Tr ådløse
enheder
Nokia A020
Adgangspunkt til
trådløst LAN
10 Mbit/s direkte
forbundet LAN
Hub eller
switch
VPNserver
Figur 2. Eksempel på VPN-godkendelse i et trådløst LAN
Du kan øge sikkerheden ved at bruge NID-lister (Network Identifier –
netværksidentifikator) i nogle eller alle adgangspunkter. Dette forhindrer
uautoriserede brugere i at få adgang til netværket og interne brugere i at få adgang
til visse adgangspunkter.
Konfiguration og overvågning af adgangspunkter kan blokeres ved at bruge
adgangspunktets låsefunktion og ved at begrænse antallet af administratorer, der
kan konfigurere og overvåge adgangspunktet (højst 4 administratorer). Det er også
muligt at definere, hvilke IP-adresser der skal være adgang til. Der findes ligeledes
indstillinger til ændring af porte og begrænsning af brug af Telnet, Internet og TFTP.
Nokias nye 11 Mbit/s trådløse LAN
Det nye Nokia C110/C111 Kort til trådløst LAN indeholder yderligere funktioner
til at øge sikkerheden i det trådløse netværk. Først og fremmest findes der en
integreret chipkortlæser, som er et yderst pålideligt og effektivt værktøj til
administration af brugeridentiteter. For det andet indeholder løsningen WEPgodkendelse og radiolinkkryptering til trådløst LAN. I sikkerhedskrævende
bankinstallationer er det stadig mest hensigtsmæssigt at integrere det trådløse
LAN-netværk med en VPN-løsning. Det integrerede chipkort kan bruges til at
lagre brugeridentiteter på VPN-niveau og tilmed adgangskoder til netværket.
Hvorfor bruge WEP? WEP kan bruges til at øge sikkerhedsniveauet i netværket.
For det første øger det sikkerheden i radiointerface i forbindelse med både
godkendelse og kryptering. For det andet gør det det muligt at etablere billigere og
lettere løsninger. WEP gør det sikkert at overføre data mellem trådløse enheder.
WEP tilbyder et ekstra godkendelses- og datakrypteringsværktøj, der kan bruges i
mange miljøer.
7
WEP
Firma-LAN
VPN-godkendelse og -datakryptering
WEP
-godkendelse
og -data
kryptering
Nokia A032
Adgangspunkt til
10 Mbit/s direkte
forbundet LAN
LANtrådløst
Hub eller
switch
VPN-
server
Figur 3. Eksempel på VPN & WEP i et trådløst LAN
Hvad med chipkort? Nokias integrerede chipkortlæser til trådløst LAN er et
effektivt værktøj til administration af brugeridentiteter og brugergodkendelse i det
trådløse netværk. Nokias kort til trådløst LAN har en standard ID000 Windows-
brugergrænseflade til chipkortlæsere, der understøtter en lang række chipkortløsninger til firmanetværk og tjenestegodkendelse.
Nokia C110/C111 har en åben grænseflade til chipkortlæsere, der understøtter de
fleste VPN-løsninger på markedet og tilmed gør det muligt at udvikle
skræddersyede chipkort-løsninger til brugere af bærbare enheder. Den integrerede
chipkortlæser understøtter standard Microsoft® chipkort API (Application
Program Interface).
Den integrerede chipkortlæser indeholder også en effektiv metode til anvendelse af
elektroniske signaturer. Med Nokia C110/C111 kan du begynde at bruge effektive
PKI-baserede (Public Key Infrastructure – offentlig nøgle-infrastruktur)
godkendelsesprodukter sammen med andre sikkerhedsløsninger. Stadig flere
finansinstitutter og andre firmaer er begyndt at bruge PKI. Nokia C110 er en god
løsning til at møde de højnede krav om sikkerhed.
De væsentligste fordele ved chipkort-løsninger er:
• Et chipkort er en håndgribelig, pålidelig måde at distribuere nøgler til
netværksgodkendelse til brugere af bærbare enheder. Derudover giver det
mulighed for opbevaring af adgangskoder med PIN-beskyttelse.
• Et chipkort kan effektivt integreres med netværksgodkendelse ved hjælp af
eksisterende godkendelsesprodukter i firmaets netværk.
• I fremtiden gør det integrerede chipkort det muligt at bruge digitale signaturer og
PKI-tjenester, der er ved at blive almindelige især i den finansielle sektor.
• Den integrerede chipkortlæser er en billig løsning, der giver mulighed for
chipkort-tjenester på bærbare computere.
SPØRGSMÅL OG SVAR
Sp1: Hvordan godkendes brugeren, og hvordan krypteres data mellem en enhed til trådløst
LAN og et adgangspunkt?
Den eksisterende IEEE 802.11-standard for trådløst LAN definerer to
godkendelsestjenester:
•Åben systemgodkendelse (meddeler, at en trådløs enhed vil associeres med en
anden trådløs enhed eller et adgangspunkt).
8
• WEP-baseret (Wired equivalent privacy – tilslutning med modsvarende
hemmeligholdese) delt nøglegodkendelse
Ved åben systemgodkendelse er det kun gyldige, trådløse LAN-kort, der kan
associeres med adgangspunkter. Åben systemgodkendelse giver ikke pakkebaseret
godkendelse eller nogen form for databeskyttelse.
For at give grafikoverførselssikkerhed definerer IEEE 802.11 valgfri WEP. WEP er
en symetrisk kryptering og hjælper med at undgå, at data falder i de forkerte
hænder. Nøglelængder på op til 128 bit er mulige med Nokias 11 Mbit/s produkter
til trådløst LAN og WEP-mekanismen krypterer alle brugerdatapakker, der bruger
RC4-algoritmen.
Det nye Nokia C110/C111 Kort til trådløst LAN med WEP-godkendelse og
kryptering forhindrer uautoriserede brugere i at få adgang til netværkstjenester, og
krypterer brugerdata trådløst. I installationer, der kræver et højt sikkerhedsniveau,
kan netværks- og brugerdatasikkerheden forbedres ved at bruge sikkerhedsmekanismer på IP-niveau, f.eks. VPN-produkter. I dette tilfælde er det trådløse
LAN-segment isoleret fra firmanetværket ved hjælp af en VPN-enhed. VPNenheden udfører brugergodkendelse og datakryptering mellem den trådløse
terminal og netværket ved hjælp af effektive krypteringsalgoritmer, f.eks. DES eller
3DES. Nokias trådløse LAN-løsning understøtter førende VPN-løsninger, der kan
læses af det trådløse LAN.
Sp2: Er radiolinket følsomt over for angreb over hele spektrummet?
Spektrumversionen med direkte sekvensspredning i IEEE 802.11-standarden er
udviklet til at være modstandsdygtigt over for forstyrrelser. Det skal imidlertid
bemærkes, at intet system til trådløst LAN kan håndtere tilsigtede forstyrrelser.
Sp3: Hvordan kan vi sikre, at hver trådløs enhed har en adgangskode til opstartstid og
logout efter ledighed?
Adgangspunktet ophæver godkendelsen efter et vist tidsrum, hvis den trådløse
enhed slukkes eller flyttes ud af radius.
Nokia C110/C111 Kort til trådløst LAN giver mulighed for WEP-godkendelse, der
bruger en WEP-nøgle som adgangskode for opstartstid. Trådløse LAN’er
garanterer som sådan ikke nogen form for tidsbaseret logout, men fungerer snarere
som et normalt LAN-netværk for den type programmer.
Hvis der kræves en pålidelig logout efter ledighed og adgangskode til opstartstid,
anbefales det at integrere det trådløse LAN med et VPN-produkt, der typisk har
disse funktioner.
Sp4: Er det muligt at forbyde adgang til det trådløse LAN for ét system ad gangen?
Ja. Der er to muligheder, der supplerer hinanden: Det er muligt at bruge NID-lister
i trådløse LAN-adgangspunkter. I dette tilælde tillader adgangspunkterne kun de
angivne kort til trådløst LAN (MAC-adresse) adgang til netværket. NID’er
begrænser brugen af radionetværk baseret på MAC-adressen på kortet til trådløst
LAN. I installationer, hvor der er krav om et højt sikkerhedsniveau, anbefaler vi, at
der anvendes en mere effektiv godkendelsesmetode, som er baseret på en VPNløsning, for at mindske risikoen for angreb på netværket. I vigtige løsninger er det
dog muligt at bruge godkendelser på både trådløst LAN- og VPN-niveau. I en
sådan løsning er trådløs LAN-godkendelse den første beskyttelse, der skal brydes,
inden der er adgang til systemets VPN firewall.
9
Sp5: Hvordan påvirker det trådløse LAN sikkerheden i firmaet?
Dette afhænger udelukkende af firmapolitikken. Radionetværket til trådløst LAN
giver med sikkerhed en ny dimension til sikkerheden, men som altid er grundig
planlægning med til at forhindre mulige problemer. I forbindelse med sikkerhedsfølsomme programmer anbefaler vi, at de trådløse LAN-netværk isoleres fra de
kritiske netværkskomponenter ved hjælp af en VPN firewall. I modsætning til de
fleste konkurrerende produkter tilbyder Nokias 11 Mbit/s kort til trådløst LAN to
avancerede sikkerhedsværktøjer, der kan integreres i sikkerhedssystemerne i
eksisterende firmanetværk: chipkort-baseret brugergodkendelse og trådløs LAN
WEP-godkendelse og datakryptering.
WEP-beskyttelse giver yderligere beskyttelse mod uvedkommende. Den
integrerede chipkortlæser giver netværksadministrationen mulighed for nemmere
at distribuere håndgribelige brugeridentiteter og sikre nøgler til trådløse LAN-
terminaler. Chipkortet giver også mulighed for lagring af adgangskoder med PINbeskyttelse og udregning af adgangskoder, der kun kan bruges én gang, hvilket er
en langt sikrere løsning end de meget brugte statiske adgangskoder.
Hvis du ønsker opdaterede oplysninger om Nokias trådløse LAN-produkter og
datasikkerhed, skal du jævnligt besøge vores hjemmeside på
www.forum.nokia.com.
10
Loading...