How it Works
Nokia
Loading...
C110
DATA SECURITY
10 pgs278.63 Kb0
Installation guide
10 pgs219.5 Kb0
INSTALLATION GUIDE
11 pgs396.32 Kb0
QUICK NETWORK Manual
4 pgs102.4 Kb0
User Manual
67 pgs1.17 Mb0
User Manual
72 pgs1.26 Mb0
User Manual
63 pgs885.52 Kb0
User Manual [cz]
10 pgs502.36 Kb0
Security Manual [da]
10 pgs184.98 Kb0
User Manual [da]
66 pgs1.23 Mb0
User Manual [da]
10 pgs393.99 Kb0
Security Manual [de]
11 pgs192.37 Kb0
User Manual [de]
74 pgs1.26 Mb0
User Manual [de]
11 pgs395.84 Kb0
User Manual [el]
10 pgs341.44 Kb0
Security Manual [es]
11 pgs191.37 Kb0
User Manual [es]
69 pgs1.23 Mb0
User Manual [es]
10 pgs402.07 Kb0
Security Manual [fi]
10 pgs272.03 Kb0
User Manual [fi]
66 pgs1.23 Mb0
User Manual [fi]
10 pgs395.59 Kb0
Security Manual [it]
10 pgs183.54 Kb0
User Manual [it]
72 pgs1.21 Mb0
User Manual [it]
10 pgs391.07 Kb0
Security Manual [nl]
11 pgs266.15 Kb0
User Manual [nl]
71 pgs1.19 Mb0
User Manual [nl]
10 pgs387.07 Kb0
Security Manual [no]
10 pgs182.6 Kb0
User Manual [no]
66 pgs1.22 Mb0
User Manual [no]
10 pgs391.05 Kb0
Security Manual [pt]
10 pgs190.58 Kb0
User Manual [pt]
72 pgs1.25 Mb0
User Manual [pt]
10 pgs393.44 Kb0
Security Manual [sv]
10 pgs190.28 Kb0
User Manual [sv]
10 pgs395.6 Kb0
User Manual [sv]
67 pgs1.26 Mb0
Table of contents
Loading...

Nokia C110, C111 Security Manual [nl]

Gegevensbeveiliging

INLEIDING

Draadloze LAN’s (local area networks) ondergaan momenteel een snelle groei. Door de steeds veranderende bedrijfsomgeving wordt steeds meer flexibiliteit gevraagd van gebruikers en de apparatuur waarmee ze werken. Ondernemingen van elke grootte beginnen zich daarom het belang te realiseren van draadloze connectiviteit binnen de kantooromgeving. Tegelijkertijd hebben de industrienormen IEEE 802.11 en IEEE 802.11b voor draadloze LAN’s nieuwe mogelijkheden geopend voor het implementeren van draadloze LAN-oplossingen. Met nieuwe, op elkaar aansluitbare draadloze LAN-producten op de markt, kunnen alle ondernemingen en organisaties profiteren van het gemak van draadloze LAN’s. Veel van deze ondernemingen werken met hoogst vertrouwelijke gegevens. Beveiligingskwesties worden daarom vaak als zeer belangrijk ervaren.
Een draadloos LAN is een flexibel systeem voor gegevenscommunicatie dat wordt geïmplementeerd als uitbreiding van een draadloos LAN binnen een gebouw of gebouwencomplex. Via RF (radio frequency, radiofrequentie)-technologie zenden en ontvangen draadloze LAN’s gegevens via de ether, waardoor draadverbindingen minder nodig zijn. Met een draadloos LAN hebben gebruikers mobiel toegang tot een LAN met bekabeling in het verspreidingsgebied. Draadloze LAN’s zijn onlangs in een aantal verticale markten steeds populairder geworden, waaronder de gezondheidszorg, detailhandel, productieindustrie, warehousing en universiteiten. Deze sectoren hebben hun voordeel gedaan met de productiviteit die voortkomt uit het gebruik van mobiele apparatuur en laptopcomputers om real-time informatie voor verwerking over te brengen aan centrale hosts. Ook in de huidige kantooromgeving stijgt de vraag naar het gebruik van LAN-faciliteiten waar men zich ook bevindt en naar het werken zonder ingewikkelde installaties en bekabelingen. Standaardisering van draadloze LAN-technologieën zorgt ervoor dat het aantrekkelijker wordt een deel van het traditionele LAN uit te breiden met of te vervangen door een met draadloze oplossing.
Bij het plannen van de netwerkarchitectuur moet goed rekening worden gehouden met beveiligingskwesties en moeten alle benodigde beveiligingsmaatregelen worden genomen om de vertrouwelijkheid en integriteit van gegevens te waarborgen, zowel in een LAN met bekabeling als in een draadloos LAN. In tegenstelling tot telecommunicatienetwerken, bieden LAN-netwerken met IP­verkeer en toegang tot het Internet geen hoge betrouwbaarheid of veiligheidsgarantie. Zonder de nodige voorzorgsmaatregelen is elk LAN, draadloos of met draadverbinding, kwetsbaar en onderhevig aan beveiligingsrisico’s en problemen. Netwerkgegevens kunnen bijvoorbeeld worden
1
benaderd of zelfs gewijzigd door een kwaadwillige buitenstaander die zijn vertrouwelijke bedrijfsgegevens aan de concurrentie wil verkopen. In de laatste
paar jaar hebben deze risicos grootschalig gebruik van draadloze LANs met vertrouwelijke gegevens tegengehouden, omdat gebruikers doorgaans moeten voldoen aan strikte vereisten en beleidsvoorschriften ten aanzien van beveiliging en gegevensintegriteit.

OVERZICHT VAN GEGEVENSBEVEILIGING

Veiligheidsproblemen

Computersystemen en netwerken kunnen worden getroffen door aanvallen van buitenaf, die grote schade kunnen aanrichten in een systeem, de services van het systeem of de informatie. Een aanval op de veiligheid (security attack) is een actie die de veiligheid van de informatie in een bedrijf in gevaar brengt. Een bedreiging van de veiligheid (security threat) is de mogelijkheid dat een dergelijke actie wordt uitgevoerd. Bekende bedreigingen zijn weigering van service, interceptie, manipulatie, maskering en ontkenning.
Weigering van service (Denial of service) wil zeggen dat een systeem of netwerk niet meer beschikbaar is voor bevoegde gebruikers, of dat de communicatie wordt onderbroken of vertraagd. Deze situatie kan bijvoorbeeld optreden doordat het netwerk wordt overladen met illegale pakketten. In een draadloos LAN kan dit worden veroorzaakt door opzettelijke storing van aanwezige radiofrequenties, waardoor het draadloze netwerk wordt verstoord.
Interceptie (Interception) kan duiden op interceptie van identiteit (identity interception), waarbij de identiteit van een communicerende partij wordt onderschept om deze later te misbruiken. Het kan ook duiden op interceptie van gegevens (data interception), waarbij een onbevoegde gebruiker gegevens
onderschept tijdens een communicatiesessie. Dit is een inbreuk op vertrouwelijkheid. Een voorbeeld daarvan is wanneer een indringer het (draadloze) medium afluistert en de overgebrachte gegevens vastlegt.
Manipulatie (Manipulation) verwijst naar een situatie waarbij gegevens worden verplaatst, ingevoegd in of verwijderd uit een systeem. Dit is een inbreuk op de gegevensintegriteit en kan zowel onbedoeld (door een hardwarefout) als opzettelijk (een indringer luistert gegevenscommunicatie af en wijzigt de gegevens) zijn.
Maskering (Masquerading) vindt plaats wanneer een digitale inbreker zich voordoet als bevoegd gebruiker om toegang te krijgen tot informatie of tot een systeem. Een voorbeeld hiervan in een draadloos LAN is wanneer een onbevoegd gebruiker probeert toegang te krijgen tot het draadloze netwerk.
Ontkenning (Repudiation) wil zeggen dat een gebruiker ontkent iets gedaan te hebben dat schadelijk kan zijn voor het systeem of de communicatie. Een gebruiker kan bijvoorbeeld ontkennen dat bepaalde berichten zijn verzonden of dat een draadloos LAN-systeem is gebruikt.

Beveiligingsdiensten en -mechanismen

Ter beveiliging tegen de bovenstaande bedreigingen dienen verschillende beveiligingsservices en -mechanismen te worden gebruikt. Beveiligingsservices
2
verbeteren de veiligheid van het informatiesysteem en de gegevenstransmissies. Beveiligingsmechanismen zijn de actieve maatregelen die worden gebruikt om beveiligingsservices te bieden. Versleuteling is een voorbeeld van een mechanisme dat kan worden gebruikt bij verschillende beveiligingsservices.
Verificatie is een service die de identiteit van een entiteit, zoals een gebruiker of een apparaat, bevestigt of die de echtheid van een overgebracht bericht bevestigt. Verificatie is doorgaans nodig ter beveiliging tegen de risicos van maskering en wijziging. In de huidige draadloze systemen moet draadloze apparatuur bijvoorbeeld worden geverifieerd via toegangspunten om onbevoegde toegang tot het netwerk te voorkomen. Nauw verwant aan verificatie is de service voor toegangscontrole, die de toegang tot netwerksystemen en toepassingen beperkt en controleert. Entiteiten moeten eerst worden geïdentificeerd of geverifieerd voordat toegang tot een systeem wordt toegestaan.
Controle op vertrouwelijkheid van gegevens beveiligt het overbrengen van gegevens tegen interceptie. Bij draadloze communicatie kan dit betekenen dat de gegevens die worden overgebracht tussen een draadloos apparaat en een toegangspunt in de ether-interface, geheim wordt gehouden. Niet alle gegevens worden natuurlijk vertrouwelijk geacht, maar kritieke informatie dient uitsluitend te worden verzonden als de nodige beveiligingsmaatregelen zijn getroffen.
Controle op gegevensintegriteit is een belangrijke beveiligingsservice waarmee wordt bewezen dat niet met de overgebrachte gegevens is geknoeid. Verificatie van de communicerende partijen is onvoldoende als het systeem niet kan garanderen dat een bericht niet is gewijzigd tijdens de transmissie. Controle op gegevensintegriteit kan worden gebruikt om gegevensmanipulatie te voorkomen en vast te stellen.
Controle op ontkenning voorkomt dat een entiteit iets ontkent dat daadwerkelijk heeft plaatsgevonden. Hiermee wordt meestal verwezen naar de situatie dat een entiteit een dienst heeft gebruikt of een bericht heeft verzonden en later ontkent dit te hebben gedaan.

BEVEILIGING EN IEEE 802.11

Voor de beveiliging van gegevensverkeer in computernetwerken bestaan verschillende beveiligingsprotocollen en oplossingen. Deze kunnen ook worden toegepast op draadloze LANs waar gegevensverkeer moet worden beveiligd tegen afluisteren. In dit gedeelte worden de oplossingen besproken die kunnen worden gebruikt om beveiligingsproblemen in draadloze LAN’s op te lossen.
De draadloze LAN-norm IEEE 802.11 werd geratificeerd in 1997. Deze norm werd ontwikkeld om de samenwerking tussen verschillende merken draadloze LAN­producten te maximaliseren, maar ook om een reeks prestatieverbeteringen en voordelen te introduceren. De norm IEEE 802.11 definieert drie opties voor de fysieke laag: FHSS (frequency hopping spread spectrum), DSSS (direct sequence spread spectrum) en IR (infrared, infrarood). DSSS heeft bepaalde voordelen ten opzichte van de andere twee opties. DSSS heeft de hoogste potentiële gegevenssnelheid (tot 11 Mbit/s) en biedt een groter verspreidingsgebied dan de FHSS- en de IR-optie. DSSS-systemen werden oorspronkelijk gebruikt bij militaire communicatie. Radiosystemen op DSSS-basis zijn tevens een goed wapen tegen signaalstoringen.
3
De huidige draadloze LAN-norm IEEE 802.11 definieert twee verificatieservices:
Verificatie van gedeelde sleutels op basis van WEP (wired equivalent privacy)
Open systeemverificatie (kondigt eenvoudig aan dat een draadloos apparaat wil
communiceren met een ander draadloos apparaat of toegangspunt)

Wired equivalent privacy - WEP

De stations in een draadloos LAN volgens de IEEE 802.11-norm kunnen afluisteren voorkomen door implementering van het optionele WEP-algoritme, dat ook wordt gebruikt bij verificatie van gedeelde sleutels. Het WEP-algoritme maakt gebruik van het RC4-algoritme met een geheime sleutel van maximaal 128 bits. Wanneer draadloze apparatuur in een draadloos LAN via WEP probeert te communiceren, moet alle apparatuur over dezelfde geheime sleutel beschikken. De norm bepaalt niet hoe de sleutels onder de draadloze apparatuur moeten worden gedistribueerd.
Vanuit cryptografisch oogpunt zijn de lengte van de sleutel en de beveiliging die het algoritme biedt belangrijk. Vanuit het oogpunt van de systeemarchitectuur is echter de wijze waarop de WEP-sleutels worden gedistribueerd essentieel, aangezien beveiliging is gebaseerd op geheimhouding van de sleutels. WEP verwacht dat de gedeelde geheime sleutel tijdig en op veilige wijze aan alle draadloze apparatuur wordt geleverd. De sleutels kunnen bijvoorbeeld in de beheerbases worden geladen tijdens de installatie van toegangspunten en draadloze apparatuur. Het voordeel van het gebruik van WEP is dat het verkeer al is gecodeerd in de verbindingslaag tussen draadloze apparatuur. Versleutelingsmechanismen in de bovenlaag zijn dus niet nodig. Het algoritme kan op de hardwarekaart worden ingebouwd zodat versleuteling sneller verloopt dan bij softwarematige oplossingen.

Open systeemverificatie

Om toegang tot een draadloos netwerk zonder WEP te beperken, hebben de meeste leveranciers van draadloze LAN-producten een methode voor toegangscontrole geïmplementeerd die gebaseerd is op het blokkeren van associaties van ongewenste MAC (media access control)-adressen op de toegangspunten. Draadloze LAN­kaarten zijn voorzien van een 48-bits MAC-adres dat de kaarten uniek identificeert zoals gedefinieerd in IEEE 802. Een lijst met de MAC-adressen van geldige draadloze LAN-kaarten kan worden gedefinieerd in de toegangspunten. Een draadloos apparaat dat verbinding zoekt met een draadloze LAN-kaart waarvan het MAC-adres niet in de lijst staat, wordt toegang geweigerd en kan dus geen gebruik maken van de draadloze LAN-interface. Als geen methoden voor verificatie of versleuteling worden gebruikt, kan het draadloos LAN een beveiligingsrisico vormen als radiosignalen buiten de kantoorgebouwen komen. Een indringer die bekend is met de SSID (service set identifier) waarmee het draadloos LAN wordt geïdentificeerd, zou een draadloos apparaat kunnen configureren dat in hetzelfde netwerk en op dezelfde frequentie als de toegangspunten opereert en zou toegang tot het netwerk kunnen krijgen als geen blokkering van MAC-adressen zou worden gebruikt. Met de juiste hulpmiddelen zou de indringer gegevens kunnen onderscheppen die door bevoegde gebruikers worden verzonden. Bovendien is het mogelijk om de MAC-adressen die op de draadloze LAN-kaarten worden gebruikt, te vervalsen. Nadat de indringer bevoegde MAC-adressen heeft achterhaald, zou deze een draadloze LAN-kaart met hetzelfde MAC-adres kunnen programmeren en zo toegang kunnen krijgen tot
4
Loading...
+ 7 hidden pages
Buy Points How it Works FAQ Contact Us Questions and Suggestions Privacy Policy Cookie Policy Terms of Use