How it Works
Nokia
Loading...
C110
DATA SECURITY
10 pgs278.63 Kb0
Installation guide
10 pgs219.5 Kb0
INSTALLATION GUIDE
11 pgs396.32 Kb0
QUICK NETWORK Manual
4 pgs102.4 Kb0
Security Manual [da]
10 pgs184.98 Kb0
Security Manual [de]
11 pgs192.37 Kb0
Security Manual [es]
11 pgs191.37 Kb0
Security Manual [fi]
10 pgs272.03 Kb0
Security Manual [it]
10 pgs183.54 Kb0
Security Manual [nl]
11 pgs266.15 Kb0
Security Manual [no]
10 pgs182.6 Kb0
Security Manual [pt]
10 pgs190.58 Kb0
Security Manual [sv]
10 pgs190.28 Kb0
User Manual
67 pgs1.17 Mb0
User Manual
72 pgs1.26 Mb0
User Manual
63 pgs885.52 Kb0
User Manual [cz]
10 pgs502.36 Kb0
User Manual [da]
66 pgs1.23 Mb0
User Manual [da]
10 pgs393.99 Kb0
User Manual [de]
74 pgs1.26 Mb0
User Manual [de]
11 pgs395.84 Kb0
User Manual [el]
10 pgs341.44 Kb0
User Manual [es]
69 pgs1.23 Mb0
User Manual [es]
10 pgs402.07 Kb0
User Manual [fi]
66 pgs1.23 Mb0
User Manual [fi]
10 pgs395.59 Kb0
User Manual [it]
72 pgs1.21 Mb0
User Manual [it]
10 pgs391.07 Kb0
User Manual [nl]
71 pgs1.19 Mb0
User Manual [nl]
10 pgs387.07 Kb0
User Manual [no]
66 pgs1.22 Mb0
User Manual [no]
10 pgs391.05 Kb0
User Manual [pt]
72 pgs1.25 Mb0
User Manual [pt]
10 pgs393.44 Kb0
User Manual [sv]
10 pgs395.6 Kb0
User Manual [sv]
67 pgs1.26 Mb0
Table of contents
Loading...

Nokia C110, C111 Security Manual [nl]

Download
Gegevensbeveiliging

INLEIDING

Draadloze LAN’s (local area networks) ondergaan momenteel een snelle groei. Door de steeds veranderende bedrijfsomgeving wordt steeds meer flexibiliteit gevraagd van gebruikers en de apparatuur waarmee ze werken. Ondernemingen van elke grootte beginnen zich daarom het belang te realiseren van draadloze connectiviteit binnen de kantooromgeving. Tegelijkertijd hebben de industrienormen IEEE 802.11 en IEEE 802.11b voor draadloze LAN’s nieuwe mogelijkheden geopend voor het implementeren van draadloze LAN-oplossingen. Met nieuwe, op elkaar aansluitbare draadloze LAN-producten op de markt, kunnen alle ondernemingen en organisaties profiteren van het gemak van draadloze LAN’s. Veel van deze ondernemingen werken met hoogst vertrouwelijke gegevens. Beveiligingskwesties worden daarom vaak als zeer belangrijk ervaren.
Een draadloos LAN is een flexibel systeem voor gegevenscommunicatie dat wordt geïmplementeerd als uitbreiding van een draadloos LAN binnen een gebouw of gebouwencomplex. Via RF (radio frequency, radiofrequentie)-technologie zenden en ontvangen draadloze LAN’s gegevens via de ether, waardoor draadverbindingen minder nodig zijn. Met een draadloos LAN hebben gebruikers mobiel toegang tot een LAN met bekabeling in het verspreidingsgebied. Draadloze LAN’s zijn onlangs in een aantal verticale markten steeds populairder geworden, waaronder de gezondheidszorg, detailhandel, productieindustrie, warehousing en universiteiten. Deze sectoren hebben hun voordeel gedaan met de productiviteit die voortkomt uit het gebruik van mobiele apparatuur en laptopcomputers om real-time informatie voor verwerking over te brengen aan centrale hosts. Ook in de huidige kantooromgeving stijgt de vraag naar het gebruik van LAN-faciliteiten waar men zich ook bevindt en naar het werken zonder ingewikkelde installaties en bekabelingen. Standaardisering van draadloze LAN-technologieën zorgt ervoor dat het aantrekkelijker wordt een deel van het traditionele LAN uit te breiden met of te vervangen door een met draadloze oplossing.
Bij het plannen van de netwerkarchitectuur moet goed rekening worden gehouden met beveiligingskwesties en moeten alle benodigde beveiligingsmaatregelen worden genomen om de vertrouwelijkheid en integriteit van gegevens te waarborgen, zowel in een LAN met bekabeling als in een draadloos LAN. In tegenstelling tot telecommunicatienetwerken, bieden LAN-netwerken met IP­verkeer en toegang tot het Internet geen hoge betrouwbaarheid of veiligheidsgarantie. Zonder de nodige voorzorgsmaatregelen is elk LAN, draadloos of met draadverbinding, kwetsbaar en onderhevig aan beveiligingsrisico’s en problemen. Netwerkgegevens kunnen bijvoorbeeld worden
1
benaderd of zelfs gewijzigd door een kwaadwillige buitenstaander die zijn vertrouwelijke bedrijfsgegevens aan de concurrentie wil verkopen. In de laatste
paar jaar hebben deze risicos grootschalig gebruik van draadloze LANs met vertrouwelijke gegevens tegengehouden, omdat gebruikers doorgaans moeten voldoen aan strikte vereisten en beleidsvoorschriften ten aanzien van beveiliging en gegevensintegriteit.

OVERZICHT VAN GEGEVENSBEVEILIGING

Veiligheidsproblemen

Computersystemen en netwerken kunnen worden getroffen door aanvallen van buitenaf, die grote schade kunnen aanrichten in een systeem, de services van het systeem of de informatie. Een aanval op de veiligheid (security attack) is een actie die de veiligheid van de informatie in een bedrijf in gevaar brengt. Een bedreiging van de veiligheid (security threat) is de mogelijkheid dat een dergelijke actie wordt uitgevoerd. Bekende bedreigingen zijn weigering van service, interceptie, manipulatie, maskering en ontkenning.
Weigering van service (Denial of service) wil zeggen dat een systeem of netwerk niet meer beschikbaar is voor bevoegde gebruikers, of dat de communicatie wordt onderbroken of vertraagd. Deze situatie kan bijvoorbeeld optreden doordat het netwerk wordt overladen met illegale pakketten. In een draadloos LAN kan dit worden veroorzaakt door opzettelijke storing van aanwezige radiofrequenties, waardoor het draadloze netwerk wordt verstoord.
Interceptie (Interception) kan duiden op interceptie van identiteit (identity interception), waarbij de identiteit van een communicerende partij wordt onderschept om deze later te misbruiken. Het kan ook duiden op interceptie van gegevens (data interception), waarbij een onbevoegde gebruiker gegevens
onderschept tijdens een communicatiesessie. Dit is een inbreuk op vertrouwelijkheid. Een voorbeeld daarvan is wanneer een indringer het (draadloze) medium afluistert en de overgebrachte gegevens vastlegt.
Manipulatie (Manipulation) verwijst naar een situatie waarbij gegevens worden verplaatst, ingevoegd in of verwijderd uit een systeem. Dit is een inbreuk op de gegevensintegriteit en kan zowel onbedoeld (door een hardwarefout) als opzettelijk (een indringer luistert gegevenscommunicatie af en wijzigt de gegevens) zijn.
Maskering (Masquerading) vindt plaats wanneer een digitale inbreker zich voordoet als bevoegd gebruiker om toegang te krijgen tot informatie of tot een systeem. Een voorbeeld hiervan in een draadloos LAN is wanneer een onbevoegd gebruiker probeert toegang te krijgen tot het draadloze netwerk.
Ontkenning (Repudiation) wil zeggen dat een gebruiker ontkent iets gedaan te hebben dat schadelijk kan zijn voor het systeem of de communicatie. Een gebruiker kan bijvoorbeeld ontkennen dat bepaalde berichten zijn verzonden of dat een draadloos LAN-systeem is gebruikt.

Beveiligingsdiensten en -mechanismen

Ter beveiliging tegen de bovenstaande bedreigingen dienen verschillende beveiligingsservices en -mechanismen te worden gebruikt. Beveiligingsservices
2
verbeteren de veiligheid van het informatiesysteem en de gegevenstransmissies. Beveiligingsmechanismen zijn de actieve maatregelen die worden gebruikt om beveiligingsservices te bieden. Versleuteling is een voorbeeld van een mechanisme dat kan worden gebruikt bij verschillende beveiligingsservices.
Verificatie is een service die de identiteit van een entiteit, zoals een gebruiker of een apparaat, bevestigt of die de echtheid van een overgebracht bericht bevestigt. Verificatie is doorgaans nodig ter beveiliging tegen de risicos van maskering en wijziging. In de huidige draadloze systemen moet draadloze apparatuur bijvoorbeeld worden geverifieerd via toegangspunten om onbevoegde toegang tot het netwerk te voorkomen. Nauw verwant aan verificatie is de service voor toegangscontrole, die de toegang tot netwerksystemen en toepassingen beperkt en controleert. Entiteiten moeten eerst worden geïdentificeerd of geverifieerd voordat toegang tot een systeem wordt toegestaan.
Controle op vertrouwelijkheid van gegevens beveiligt het overbrengen van gegevens tegen interceptie. Bij draadloze communicatie kan dit betekenen dat de gegevens die worden overgebracht tussen een draadloos apparaat en een toegangspunt in de ether-interface, geheim wordt gehouden. Niet alle gegevens worden natuurlijk vertrouwelijk geacht, maar kritieke informatie dient uitsluitend te worden verzonden als de nodige beveiligingsmaatregelen zijn getroffen.
Controle op gegevensintegriteit is een belangrijke beveiligingsservice waarmee wordt bewezen dat niet met de overgebrachte gegevens is geknoeid. Verificatie van de communicerende partijen is onvoldoende als het systeem niet kan garanderen dat een bericht niet is gewijzigd tijdens de transmissie. Controle op gegevensintegriteit kan worden gebruikt om gegevensmanipulatie te voorkomen en vast te stellen.
Controle op ontkenning voorkomt dat een entiteit iets ontkent dat daadwerkelijk heeft plaatsgevonden. Hiermee wordt meestal verwezen naar de situatie dat een entiteit een dienst heeft gebruikt of een bericht heeft verzonden en later ontkent dit te hebben gedaan.

BEVEILIGING EN IEEE 802.11

Voor de beveiliging van gegevensverkeer in computernetwerken bestaan verschillende beveiligingsprotocollen en oplossingen. Deze kunnen ook worden toegepast op draadloze LANs waar gegevensverkeer moet worden beveiligd tegen afluisteren. In dit gedeelte worden de oplossingen besproken die kunnen worden gebruikt om beveiligingsproblemen in draadloze LAN’s op te lossen.
De draadloze LAN-norm IEEE 802.11 werd geratificeerd in 1997. Deze norm werd ontwikkeld om de samenwerking tussen verschillende merken draadloze LAN­producten te maximaliseren, maar ook om een reeks prestatieverbeteringen en voordelen te introduceren. De norm IEEE 802.11 definieert drie opties voor de fysieke laag: FHSS (frequency hopping spread spectrum), DSSS (direct sequence spread spectrum) en IR (infrared, infrarood). DSSS heeft bepaalde voordelen ten opzichte van de andere twee opties. DSSS heeft de hoogste potentiële gegevenssnelheid (tot 11 Mbit/s) en biedt een groter verspreidingsgebied dan de FHSS- en de IR-optie. DSSS-systemen werden oorspronkelijk gebruikt bij militaire communicatie. Radiosystemen op DSSS-basis zijn tevens een goed wapen tegen signaalstoringen.
3
De huidige draadloze LAN-norm IEEE 802.11 definieert twee verificatieservices:
Verificatie van gedeelde sleutels op basis van WEP (wired equivalent privacy)
Open systeemverificatie (kondigt eenvoudig aan dat een draadloos apparaat wil
communiceren met een ander draadloos apparaat of toegangspunt)

Wired equivalent privacy - WEP

De stations in een draadloos LAN volgens de IEEE 802.11-norm kunnen afluisteren voorkomen door implementering van het optionele WEP-algoritme, dat ook wordt gebruikt bij verificatie van gedeelde sleutels. Het WEP-algoritme maakt gebruik van het RC4-algoritme met een geheime sleutel van maximaal 128 bits. Wanneer draadloze apparatuur in een draadloos LAN via WEP probeert te communiceren, moet alle apparatuur over dezelfde geheime sleutel beschikken. De norm bepaalt niet hoe de sleutels onder de draadloze apparatuur moeten worden gedistribueerd.
Vanuit cryptografisch oogpunt zijn de lengte van de sleutel en de beveiliging die het algoritme biedt belangrijk. Vanuit het oogpunt van de systeemarchitectuur is echter de wijze waarop de WEP-sleutels worden gedistribueerd essentieel, aangezien beveiliging is gebaseerd op geheimhouding van de sleutels. WEP verwacht dat de gedeelde geheime sleutel tijdig en op veilige wijze aan alle draadloze apparatuur wordt geleverd. De sleutels kunnen bijvoorbeeld in de beheerbases worden geladen tijdens de installatie van toegangspunten en draadloze apparatuur. Het voordeel van het gebruik van WEP is dat het verkeer al is gecodeerd in de verbindingslaag tussen draadloze apparatuur. Versleutelingsmechanismen in de bovenlaag zijn dus niet nodig. Het algoritme kan op de hardwarekaart worden ingebouwd zodat versleuteling sneller verloopt dan bij softwarematige oplossingen.

Open systeemverificatie

Om toegang tot een draadloos netwerk zonder WEP te beperken, hebben de meeste leveranciers van draadloze LAN-producten een methode voor toegangscontrole geïmplementeerd die gebaseerd is op het blokkeren van associaties van ongewenste MAC (media access control)-adressen op de toegangspunten. Draadloze LAN­kaarten zijn voorzien van een 48-bits MAC-adres dat de kaarten uniek identificeert zoals gedefinieerd in IEEE 802. Een lijst met de MAC-adressen van geldige draadloze LAN-kaarten kan worden gedefinieerd in de toegangspunten. Een draadloos apparaat dat verbinding zoekt met een draadloze LAN-kaart waarvan het MAC-adres niet in de lijst staat, wordt toegang geweigerd en kan dus geen gebruik maken van de draadloze LAN-interface. Als geen methoden voor verificatie of versleuteling worden gebruikt, kan het draadloos LAN een beveiligingsrisico vormen als radiosignalen buiten de kantoorgebouwen komen. Een indringer die bekend is met de SSID (service set identifier) waarmee het draadloos LAN wordt geïdentificeerd, zou een draadloos apparaat kunnen configureren dat in hetzelfde netwerk en op dezelfde frequentie als de toegangspunten opereert en zou toegang tot het netwerk kunnen krijgen als geen blokkering van MAC-adressen zou worden gebruikt. Met de juiste hulpmiddelen zou de indringer gegevens kunnen onderscheppen die door bevoegde gebruikers worden verzonden. Bovendien is het mogelijk om de MAC-adressen die op de draadloze LAN-kaarten worden gebruikt, te vervalsen. Nadat de indringer bevoegde MAC-adressen heeft achterhaald, zou deze een draadloze LAN-kaart met hetzelfde MAC-adres kunnen programmeren en zo toegang kunnen krijgen tot
4
het draadloos LAN. Het gebruik van dezelfde draadloze LAN-kaart op hetzelfde moment veroorzaakt natuurlijk netwerkproblemen.

VIRTUAL PRIVATE NETWORKS

VPN (virtual private network)-technologie kan worden gebruikt in draadloze LAN-netwerken om virtuele tunnels voor veilige communicatie aan te brengen. Mits een VPN juist is geconfigureerd, zorgen deze virtuele tunnels ervoor dat uitsluitend bevoegde gebruikers toegang hebben tot het bedrijfsnetwerk en dat buitenstaanders geen gegevens kunnen lezen of wijzigen. Bij het implementeren van VPNs worden verschillende technische benaderingen en normen gehanteerd. Bij al deze benaderingen bestaat beveiliging doorgaans uit twee hoofdonderdelen: gebruikersverificatie en gegevensversleuteling.

Gebruikersverificatie

Betrouwbare methoden voor gebruikersverificatie zijn essentieel in een draadloze LAN-omgeving. Tot voor kort was verificatie vaak gebaseerd op een gebruikers-ID en een wachtwoord, challenge-respons, of een centrale beveiligingsdatabase. Een voorbeeld van een centrale beveiligingsdatabase voor gebruikers is het RADIUS (Remote Authentication Dial-in User Service)-protocol, dat wordt gebruikt voor transmissie van verificatieaanvragen via een vaste gebruikers-ID en vast wachtwoord. RSA Security’s SecurID-kaart biedt een andere methode van verificatie. SecurID is hardware waarmee unieke, eenmalige, onvoorspelbare toegangscodes worden gemaakt. De toegangscode kan worden gecombineerd met een geheime persoonlijke PIN-code voor uitgebreide verificatie. Ook zijn er vele nieuwe, moderne methoden voor gebruikersverificatie. Smartcards met een micro­controller en geheugen kunnen een reeks toepassingen bevatten die variëren van een eenvoudig verificatiealgoritme tot e-cash. Met smartcards hebben gebruikers hun verificatiemedium op eenvoudige wijze bij de hand.

Gegevensversleuteling

Gegevensversleuteling wordt gebruikt om gegevens tegen onbevoegde gebruikers te beveiligen door de inhoud te coderen. De vele versleutelingsmethoden die kunnen worden gebruikt, onderscheiden zich vooral op basis van het algoritme voor versleuteling. Algoritmen voor openbare sleutels, zoals RSA, gebruiken verschillende mathematische code voor versleuteling en ontsleuteling. Algoritmen voor geheime sleutels, zoals RC4, DES en 3DES, gebruiken dezelfde code voor versleuteling en ontsleuteling. Methoden voor geheime sleutels zijn snel, maar aangezien dezelfde code wordt gebruikt voor versleuteling en ontsleuteling, kan de veiligheid van gegevens in gevaar komen als het beheer van de sleutels niet betrouwbaar is. De effectiviteit van de versleuteling is grotendeels afhankelijk van het beheer en de lengte van de sleutel. De sleutel moet lang genoeg zijn en mag de minimumvereiste van 56 bits niet overschrijden.
IPSEC - (Internet protocol security protocol, de beveiligingsnorm voor het
Internet-protocol)
IPSEC (Internet protocol security protocol) is een nieuwe beveiligingsnorm die bestaat uit componenten die verschillende beveiligingsservices, zoals verificatie en versleuteling, bieden aan de IP-laag. De IPSEC-norm werd in 1998 uitgebracht door
5
IETF (internet engineering taskforce). IPSEC kan op twee verschillende manieren functioneren. In de transportmodus worden de oorspronkelijke IP-adressen opgenomen in het gegevenspakket en wordt uitsluitend de nuttige lading versleuteld. In de tunnelmodus worden ook de oorspronkelijke IP-adressen ingekapseld en wordt een nieuwe header aan het pakket toegevoegd. Beveiligingsassociatie ofwel SA (security association) is de basis voor de IPSEC­norm. Beveiligingsassociatie vindt plaats tussen communicerende hosts en bepaalt bijvoorbeeld de gebruikte algoritmen voor versleuteling en verificatie, de eigenschappen van sleutelbeheer en de levensduur van de coderingssleutels en de beveiligingsassociatie. Een van de belangrijkste onderwerpen van IPSEC is het IKE (Internet key exchange)-protocol voor sleutelbeheer, waarmee versleutelingscodes worden ingesteld. De beveiligingsnormen IPSEC en IKE gebruiken een combinatie van geheime en openbare sleutels. Elke client/gebruiker heeft een geheime sleutel, terwijl het netwerk de bijbehorende openbare sleutel opslaat. Tevens wordt de methode voor vooraf gedeelde sleutels ondersteund, waarbij de client/gebruiker en het netwerk dezelfde geheime sleutel delen die voorafgaand aan de communicatie wordt geleverd. In de toekomst zal IPSEC de manier waarop gegevensbeveiliging wordt uitgevoerd, standaardiseren. Naar verwachting zullen alle grote hardware­en softwarefabrikanten in 2000 IPSEC-compatibele producten uitbrengen en wordt IPSEC de feitelijke norm voor beveiligingsoplossingen op het Internet. IPSEC zou ook als zodanig kunnen worden gebruikt in draadloze LANs, waarmee alle beveiligingsoplossingen en systemen interoperabel worden.

Veilige verbindingen met intranets via VPN

Een alternatieve manier om een draadloos LAN met intranettoegang op te bouwen, is om een toegewezen LAN-segment in te bouwen waarin de toegangspunten zijn verbonden. Het draadloze LAN-segment kan vervolgens van het intranet worden gescheiden via een beveiligingsgateway die de toegang tot intranetbronnen beheert.
Bedrijf
Bedrijfs-
databases
Verificatie-
server
Werkstation
Beveiligingsgateway (firewall/VPN-gateway)
VPN­tunnels
Firewall
Draadloos LAN
Toegangspunten
Werkstation
INTERNET
Figuur 1. Een draadloos LAN-segment in een bedrijf
6
Draadloze LAN-apparatuur met VPN-client
Tussen het draadloze apparaat en de beveiligingsgateway wordt een tunnel gemaakt en de gegevens die via deze tunnel worden overgebracht, worden geverifieerd en versleuteld. Bij implementering zou deze installatie gebaseerd kunnen worden op een VPN-configuratie. De beveiligingsgateway en de hoofd­firewall kunnen worden geïntegreerd, zodat het draadloze LAN-segment is verbonden met het apparaat dat ook is verbonden met het Internet. Om administratieve redenen (en vanwege het feit dat de firewall zich fysiek ver van het draadloze LAN-segment zou kunnen bevinden) is het echter beter om afzonderlijke apparaten te handhaven, zoals afgebeeld in de bovenstaande figuur.
Het voordeel van deze oplossing is dat de informatie die naar en van het intranet wordt overgebracht, wordt beveiligd en dat onbevoegde toegang wordt voorkomen. Er moet echter rekening worden gehouden met het feit dat aangezien het verkeer in dit model versleuteld wordt tussen het draadloze apparaat en de gateway, het verkeer tussen twee draadloze apparaten in het draadloze LAN-segment alleen wordt versleuteld als beide apparaten ook andere methoden gebruiken, bijvoorbeeld IPSEC (Internet protocol security protocol), TLS (transport layer security) of een andere versleutelingsmethode op toepassingsniveau. Bovendien wordt de beveiligde tunnel ingesteld wanneer het draadloze apparaat verbinding maakt met de beveiligingsgateway en kunnen dus alleen de draadloze apparaten verbindingen initiëren met de intranet-hosts - de intranet-hosts kunnen niet rechtstreeks een verbinding met de draadloze apparaten tot stand brengen.

BEVEILIGING EN DRAADLOZE LAN-PRODUCTEN VAN NOKIA

In dit gedeelte vindt u meer informatie over het definiëren van een geschikt beveiligingsniveau voor draadloze LAN-producten van Nokia.

Nokia’s 2 Mbit/s draadloos LAN

De Nokia C020/C021 draadloze LAN-kaart en het Nokia A020 draadloze LAN­toegangspunt bieden geen extra beveiligingsopties, zoals WEP-functies. Daarom moet een volledige VPN-oplossing met krachtige verificatie en gegevensversleuteling worden gebruikt in combinatie met Nokias 2Mbit/s draadloze LAN-producten in installaties die een hoog beveiligingsniveau vereisen, zoals financiële instellingen.
Bedrijfs-LAN
VPN-verificatie & gegevensversleuteling
Draadloze apparatuur
Nokia A020 draadloze LAN­toegangspunt
10 Mbit/s LAN met bedrading
Hub of schakelaar
VPN­server
Figuur 2. Voorbeeld van VPN-verificatie in een draadloos LAN De beveiliging kan worden vergroot door gebruik te maken van NID (network
identifier)-lijsten in bepaalde of in alle toegangspunten. Dit voorkomt dat
7
onbevoegde externe en interne gebruikers bepaalde toegangspunten kunnen gebruiken.
De configuratie en controle van toegangspunten kan worden geblokkeerd door de blokkeringsfunctie van het toegangspunt te gebruiken en door een beperking van het aantal beheerders met bevoegdheid om het toegangspunt te configureren en controleren (maximaal 4 beheerders). Het is tevens mogelijk om te definiëren welke IP-adressen toegang hebben en er zijn opties voor het wijzigen van poorten en het beperken van Telnet-, Web- en TFTP-gebruik.

Nokia’s nieuwe 11 Mbit/s draadloos LAN

De nieuwe Nokia C110/C111 draadloze LAN-kaart biedt extra functies voor het verhogen van draadloze LAN-beveiliging. In de eerste plaats wordt een geïntegreerde smartcard-lezer geboden; een hoogst betrouwbaar en efficiënt hulpmiddel voor het beheren van gebruikers-IDs. In de tweede plaats omvat de oplossing WEP-verificatie en versleuteling van de radioverbinding voor draadloze LANs. Toch wordt in beveiligingskritische bankinstallaties nog steeds aanbevolen het draadloze LAN te integreren met een VPN-oplossing. De geïntegreerde smartcard kan echter worden gebruikt voor het opslaan van gebruikers-IDs op VPN-niveau en zelfs voor aanmeldingswachtwoorden voor het netwerk.
Waarom WEP? WEP kan worden toegepast om het netwerkbeveiligingsniveau te verhogen. Ten eerste verhoogt het de beveiliging van de radioverbinding, zowel op het gebied van verificatie als op het gebied van versleuteling. Ten tweede maakt het goedkope, eenvoudig in te stellen oplossingen mogelijk. WEP maakt de veilige overdracht van gegevens tussen draadloze apparaten mogelijk en vormt een extra hulpmiddel voor verificatie en gegevensversleuteling dat in vele installaties kan worden gebruikt.
Bedrijfs-LAN
WEP
VPN-verificatie & gegevensversleuteling
WEP-verificatie & gegevensversleuteling
Nokia A032 draadloze LAN­toegangspunt
10 Mbit/s LAN met bedrading
Hub of schakelaar
VPN­server
Figuur 3. Voorbeeld van VPN & WEP in een draadloos LAN En waarom smartcards? De geïntegreerde draadloze LAN smartcard-lezer van
Nokia is een efficiënt hulpmiddel voor het beheren van gebruikers-IDs en gebruikersverificatie in het draadloze netwerk. De draadloze LAN-kaart van Nokia biedt een standaard, ID000-formaat, smartcard-lezer met Windows­interface, met ondersteuning van een scala aan commerciële smartcard­oplossingen voor bedrijfsnetwerken en verificatieservices.
De Nokia C110/C111 heeft een open smartcard-interface die de meeste VPN­oplossingen op de markt ondersteunt en zelfs ondersteuning biedt voor het ontwikkelen van op maat gemaakte smartcard-oplossingen voor mobiele gebruikers. De geïntegreerde smartcard-lezer ondersteunt standaard Microsoft® smartcard-API (application program interface).
8
De geïntegreerde smartcard-lezer vormt bovendien een efficiënte start voor de toepassing van elektronische handtekeningen. Met de Nokia C110/C111 kunt u krachtige verificatieproducten op PKI (public key infrastructure)-basis gebruiken naast een andere beveiligingsoplossing. Steeds meer financiële en andere instellingen gaan over op het gebruik van PKI. In dit opzicht biedt de Nokia C110 een gedegen oplossing voor de toegenomen beveiligingsbehoefte.
De belangrijkste voordelen van de smartcard zijn:
Een smartcard vormt een concrete, betrouwbare manier om netwerk­verificatiesleutels te distribueren aan mobiele gebruikers. Bovendien biedt de smartcard PIN-beveiligde opslag voor wachtwoorden.
Een smartcard kan efficiënt worden geïntegreerd met netwerkverificatie door het gebruik van bestaande verificatieproducten voor bedrijfsnetwerken.
In de toekomst ondersteunt de geïntegreerde smartcard digitale handtekeningen en PKI-services, die met name in de financiële sector steeds vaker worden gebruikt.
De geïntegreerde smartcard-lezer vormt een goedkope oplossing voor het bieden van smartcard-services aan laptopcomputers.

VRAGEN EN ANTWOORDEN

V1: Hoe wordt de gebruiker geverifieerd en hoe worden gegevens versleuteld tussen een draadloos LAN-apparaat en een toegangspunt?
De huidige draadloze LAN-norm IEEE 802.11 definieert twee verificatieservices:
Open systeemverificatie (kondigt eenvoudig aan dat een draadloos apparaat wil communiceren met een ander draadloos apparaat of toegangspunt)
Verificatie van gedeelde sleutels op basis van WEP (wired equivalent privacy)
Bij open systeemverificatie kunnen alleen geldige draadloze LAN-kaarten worden geassocieerd met toegangspunten. Open systeemverificatie biedt geen verificatie op pakketbasis en geen gegevensbeveiliging.
Voor de vertrouwelijkheid van frametransmissies definieert IEEE 802.11 een optioneel WEP-mechanisme. WEP is een vorm van symmetrische versleuteling die helpt openbaarmaking aan indringers voorkomen. Met de 11 Mbit/s draadloze LAN-producten van Nokia zijn sleutellengten van maximaal 128 bits mogelijk en het WEP-mechanisme versleutelt alle pakketten gebruikersgegevens met behulp van het RC4-algoritme.
De nieuwe Nokia C110/C111 draadloze LAN-kaart met WEP-verificatie en versleuteling voorkomt dat ongewenste gebruikers netwerkdiensten gebruiken en codeert gebruikersgegevens via de radioverbinding. In installaties waar een hoog beveiligingsniveau vereist is, kan de vertrouwelijkheid van netwerk- en gebruikersgegevens worden verbeterd door het gebruik van beveiligingsmethoden op IP-niveau, bijvoorbeeld VPN-producten. In dit geval wordt het draadloze LAN­netwerksegment via een VPN-apparaat geïsoleerd van het bedrijfsnetwerk. Het VPN-apparaat voert met behulp van krachtige versleutelingsalgoritmen, zoals DES of 3DES, gebruikersverificatie en gegevensversleuteling uit tussen de draadloze terminal en het netwerk. De Nokia draadloze LAN-oplossing ondersteunt belangrijke VPN-oplossingen die transparent zijn voor het draadloze LAN.
9
V2: Is de radioverbinding gevoelig voor storingen op etherfrequenties?
De DSSS (direct sequence spread spectrum)-versie van de IEEE 802.11-norm is dusdanig ontworpen dat het een krachtig hulpmiddel is tegen radiostoringen. Bedenk echter wel dat geen enkel commercieel draadloos LAN-systeem overweg kan met opzettelijke jamming.
V3: Hoe kunnen we ervoor zorgen dat elk draadloze apparaat een opstartwachtwoord en een afmeldingsmechanisme bij inactieve sessies heeft?
Het toegangspunt beëindigt de verificatie na een bepaald tijdsbestek als het draadloze apparaat wordt uitgeschakeld of buiten bereik komt.
De Nokia C110/C111 draadloze LAN-kaart biedt WEP-verificatie, waarbij een WEP-sleutel wordt gebruikt als wachtwoord bij het opstarten. Het draadloze LAN als zodanig garandeert niet elke timer-based afmelding, maar wordt voor dat soort toepassingen gezien als normaal LAN-netwerk.
Als een betrouwbaar opstartwachtwoord en een afmeldingsmechanisme bij inactieve sessies vereist is, wordt aangeraden het draadloze LAN te integreren met een VPN-product, dat deze functies meestal levert.
V4: Is het mogelijk om toegang tot het draadloze LAN per knooppunt te weigeren?
Ja. Er zijn twee elkaar aanvullende opties. Het is mogelijk NID-lijsten te gebruiken in toegangspunten voor het draadloze LAN. In dat geval staan de toegangspunten uitsluitend de in de lijst vermelde draadloze LAN-kaarten (MAC-adressen) toegang tot het netwerk toe. NIDs beperken het gebruik van het radionetwerk op basis van het MAC-adres van de draadloze LAN-kaarten. In installaties waar een hoog veiligheidsniveau vereist is, wordt aangeraden een krachtiger verificatiemethode op basis van een VPN-oplossing te gebruiken om het risico op indringers in het netwerk te minimaliseren. Bij kritische oplossingen is het echter mogelijk verificatie toe te passen op draadloos LAN- én VPN-niveau. In deze oplossing biedt de draadloze LAN-verificatie het eerste obstakel dat moet worden genomen voordat de VPN-firewall kan worden aangevallen.
V5: Welke invloed heeft het draadloze LAN op beveiligingsproblemen in bedrijven?
Dit is geheel afhankelijk van het beleid van het bedrijf. Het draadloze LAN­radionetwerk betekent ontegenzeggelijk een nieuwe dimensie op beveiligingsgebied, maar zoals altijd kan een juiste planning problemen helpen voorkomen. In beveiligingskritische toepassingen wordt sterk aangeraden het draadloze LAN via een VPN-firewall van de kritische netwerkonderdelen te isoleren. In tegenstelling tot de meeste producten van andere fabrikanten, biedt de 11 Mbit/s draadloze LAN-kaart van Nokia echter twee geavanceerde beveiligingshulpmiddelen die kunnen worden geïntegreerd in bestaande netwerkbeveiligingssystemen: gebruikersverificatie op basis van een smartcard en WEP-verificatie en gegevensversleuteling van het draadloze LAN.
WEP-beveiliging biedt extra bescherming tegen indringers. De geïntegreerde smartcard-lezer zorgt ervoor dat de netwerkbeheerder eenvoudig concrete gebruikers-IDs en veiligheidssleutels kan distribueren aan draadloze LAN­terminals. De smartcard levert tevens de met een PIN-code beveiligde opslag van wachtwoorden en maakt de berekening van eenmalige wachtwoorden mogelijk, hetgeen een beduidend veiligere oplossing is dan de alom gebruikte statische wachtwoorden.
10
Bezoek regelmatig onze homepage op www.forum.nokia.com voor nieuwe informatie over Nokias draadloze LAN-producten en gegevensbeveiliging.
11
Loading...
Buy Points How it Works FAQ Contact Us Questions and Suggestions Privacy Policy Cookie Policy Terms of Use