Tietoturva
JOHDANTO
Langattomien lähiverkkojen kysyntä lisääntyy nopeasti. Jatkuvasti muuttuva
liiketoimintaympäristö edellyttää ihmisiltä ja heidän työvälineiltään entistä
parempaa joustavuutta. Tästä syystä kaikenkokoiset yritykset ovat alkaneet
ymmärtää toimistorakennusten sisäisen langattoman tiedonsiirron tärkeyden.
Langattomien lähiverkkojen IEEE 802.11- ja IEEE 802.11b-standardit ovat
samanaikaisesti tuoneet markkinoille uusia mahdollisuuksia toteuttaa langattomien
lähiverkkojen ratkaisuja. Kun markkinoilla on keskenään yhteensopivia
langattoman lähiverkon tuotteita, kaikki yritykset ja organisaatiot hyötyvät
parantuneesta käyttömukavuudesta. Monissa yrityksissä käsitellään erittäin
luottamuksellisia tietoja. Tästä syystä tietoturvakysymyksiä pidetään hyvin tärkeinä.
Langaton lähiverkko on joustava tiedonsiirtojärjestelmä, joka toimii rakennuksen
tai tietyn käyttöalueen (kuten yliopistoalueen) kiinteän lähiverkon lisäpalveluna.
Langattomissa lähiverkoissa käytetään radiotekniikkaa. Tiedot lähetetään ja
vastaanotetaan langattomasti, joten kaapelikytkentöjä tarvitaan entistä
vähemmän. Käyttäjät voivat käyttää kiinteän lähiverkon resursseja ja palveluita
langattoman lähiverkon kantavuusalueella langattomasti. Langattomista
lähiverkoista on viime aikoina tullut suosittu ratkaisu monilla loppukäyttäjämarkkinoilla, joihin kuuluvat esimerkiksi terveydenhuolto, vähittäiskauppa,
tuotantoteollisuus, varastointiala ja korkeakoulutus. Nämä alat ovat hyötyneet
siitä tuottavuuden kasvusta, joka on saavutettu käytettäessä kämmentietokoneita
ja kannettavia tietokoneita, joiden avulla tiedot on voitu siirtää tosiaikaisesti
keskitettyihin palvelimiin jatkokäsittelyä varten. Myös tavallisessa toimistoympäristössä tarve käyttää lähiverkon palveluita ja työskennellä ilman
monimutkaisia asennuksia ja kaapeleita lisääntyy koko ajan. Lähiverkkotekniikoiden standardointi tekee perinteisen lähiverkon tiettyjen toimintojen
korvaamisen langattomalla ratkaisulla entistäkin houkuttelevammaksi.
Tietoturvakysymyksiin on suhtauduttava vakavasti suunniteltaessa verkon
rakennetta. Tietoturva ja tiedon eheys on varmistettava kiinteissä ja langattomissa
lähiverkoissa kaikin tarvittavin turvatoimin. Lähiverkoissa käytetään IPtiedonsiirtokäytäntöä, ja lähiverkoista on pääsy julkiseen Internetiin. Tästä syystä
lähiverkot eivät tarjoa samaa luotettavuutta tai tietoturvasuojaa kuin tavalliset
puhelinverkot. Ilman asianmukaisia varotoimia kaikki kiinteät tai langattomat
lähiverkot voivat aiheuttaa tietoturvariskejä ja -ongelmia. Vihamielinen tunkeutuja
voi esimerkiksi kopioida verkon tietoja tai jopa muuttaa niitä. Tietomurron
tarkoituksena voi olla esimerkiksi kaapattujen liiketoimintatietojen myyminen
yrityksen kilpailijoille. Vielä viime vuosina tietoturvariskit ovat tehneet
1
langattomien lähiverkkojen laajasta hyödyntämisestä monimutkaista, koska
käyttäjillä on usein hyvin tiukat tietoturvaa ja tiedon eheyttä koskevat vaatimukset.
TIETOTURVA LYHYESTI
Turvallisuusuhat
Tietokonejärjestelmät ja tietoverkot ovat alttiita vakaville turvallisuusuhille, jotka
voivat vahingoittaa järjestelmää, sen palveluja tai tietoja. Tietomurto on
toimenpide, joka vaarantaa yrityksen omistamien tietojen turvallisuuden.
Turvallisuusuhka puolestaan merkitsee tietomurron mahdollisuutta. Joitakin
yleisesti tunnettuja uhkakuvia ovat esimerkiksi käyttöolosuhteiden luvaton
muuttaminen, tietojen tai käyttäjäidentiteettien kaappaaminen, tietojen tai
järjestelmän muuttaminen, naamioituminen ja rikkomusten kieltäminen.
Käyttöolosuhteiden muuttaminen merkitsee sitä, etteivät valtuutetut käyttäjät voi
enää käyttää järjestelmää tai verkkoa tai että tiedonsiirto keskeytyy tai viivästyy.
Tällainen tilanne voidaan aiheuttaa esimerkiksi ylikuormittamalla verkkoa
laittomilla tietopaketeilla. Langattomassa lähiverkossa tämä voidaan aiheuttaa
häiritsemällä tahallaan verkon radiotaajuuksia, jolloin langaton lähiverkko ei
toimi oikein.
Kaappaaminen voi merkitä identiteetin kaappaamista, jolloin käyttäjän toimia ja
tunnistetietoja tarkkaillaan myöhempää väärinkäyttöä varten. Kyse voi olla myös
puhtaasti tietojen kaappaamisesta, jolloin valtuuttamaton käyttäjä valvoo
käyttäjän lähettämiä tietoja tiedonsiirron aikana. Kyseessä on tällöin tietoturvamurto. Esimerkki tällaisesta on tilanne, jossa murtautuja valvoo verkon liikennettä
langattomalla tai kiinteällä yhteydellä ja kaappaa siirrettävät tiedot.
Tietojen tai järjestelmän muuttaminen merkitsee sellaista tilannetta, jossa
järjestelmän tiedot vaihdetaan, tietoja lisätään tai tietoja poistetaan. Kyseessä on
tietojen eheyteen kohdistuva murto, joka voi olla tahaton (laitteistovian
aiheuttama) tai tahallinen, jolloin murtautuja seuraa tietoliikennettä ja muuttaa
käyttäjien siirtämiä tietoja.
Naamioituminen merkitsee sitä, että murtautuja teeskentelee olevansa valtuutettu
käyttäjä päästäkseen käsiksi järjestelmässä oleviin tietoihin. Langattomassa
lähiverkossa esimerkki tästä olisi sellainen tilanne, jossa valtuuttamaton käyttäjä
yrittää päästä käsiksi langattoman lähiverkon resursseihin.
Rikkomusten kieltäminen merkitsee yksinkertaisesti sitä, että käyttäjä kieltää
syyllistyneensä sellaisiin tekoihin, jotka voivat vahingoittaa järjestelmää tai
tiedonsiirtoa. Käyttäjät voivat esimerkiksi kieltää lähettäneensä tiettyjä viestejä tai
käyttäneensä langatonta lähiverkkoa.
Tietoturvapalvelut ja -mekanismit
Edellä kuvatuilta turvallisuusuhilta voidaan suojautua käyttämällä erilaisia
tietoturvapalveluita ja -mekanismeja. Tietoturvapalvelut parantavat
tietojärjestelmän ja tiedonsiirron yleistä turvallisuutta. Tietoturvamekanismit
ovat puolestaan aktiivisia toimenpiteitä, joiden avulla tuotetaan tietoturvapalveluita. Kryptaus eli tiedon suojaaminen salakirjoituksella on esimerkki
mekanismista, jota voidaan käyttää eri tietoturvapalveluissa.
2
Todentaminen on palvelu, jonka avulla vahvistetaan tietyn osapuolen (kuten
käyttäjän tai laitteen) identiteetti tai lähetetyn viestin alkuperäisyys. Todentamisen
avulla voidaan suojautua esimerkiksi naamioitumista ja tietojen muuttamista
vastaan. Esimerkiksi markkinoilla tällä hetkellä olevissa langattomissa
järjestelmissä käytettävien tukiasemien on todennettava langattomien laitteiden
alkuperä. Näin voidaan estää luvaton pääsy verkkoon. Pääsynvalvontapalvelu
muistuttaa hyvin paljon todentamista. Pääsynvalvontapalvelulla rajoitetaan ja
valvotaan pääsyä verkkojärjestelmiin ja verkon sovelluksiin. Osapuoli on
tunnistettava tai todennettava ennen kuin pääsy myönnetään järjestelmään.
Tiedon luottamuksellisuudella tarkoitetaan siirrettävien tietojen suojaamista
kaappausta vastaan. Langattomassa tiedonsiirrossa tämä voidaan toteuttaa
esimerkiksi siten, että langattoman laitteen ja tukiaseman välinen tiedonsiirto on
salattua. Kaikki tiedot eivät tietenkään ole luottamuksellisia, mutta tärkeitä tietoja
ei kannata siirtää ennen kuin tietoturvatoimenpiteiden riittävyys on varmistettu.
Tiedoneheyden varmistus on tärkeä tietoturvapalvelu, jonka avulla varmistetaan,
ettei siirrettyjä tietoja ole muutettu. Tiedonsiirron osapuolten todentaminen ei
riitä, ellei järjestelmä pysty takaamaan, ettei viestiä ole muutettu siirron aikana.
Tiedoneheyden varmistuksella voidaan havaita muuttamisyritykset ja suojata
tiedot muuttamista vastaan.
Todistamisratkaisun avulla saadaan selville, onko käyttäjä tehnyt teon, johon hän
kieltää syyllistyneensä. Tämä viittaa yleensä tilanteeseen, jossa tietty käyttäjä on
käyttänyt jotakin palvelua tai lähettänyt viestin ja kieltää myöhemmin toimineensa
näin.
TIETOTURVA JA IEEE 802.11 -STANDARDI
Markkinoilla on monia tietoturvakäytäntöjä ja -ratkaisuja, joiden avulla
tietoverkkojen tiedonsiirto voidaan suojata. Samoja ratkaisuja voidaan käyttää
myös langattomissa lähiverkoissa, joissa tietoliikenne on suojattava
salakuuntelulta. Tässä osassa käsitellään ratkaisuja, joiden avulla voidaan
ratkaista langattomien lähiverkkojen tietoturvaongelmat.
Langattomien lähiverkkojen IEEE 802.11 -standardi ratifioitiin vuonna 1997.
Tämän standardin tarkoituksena on taata eri valmistajien langattomien
lähiverkkotuotteiden paras mahdollinen yhteensopivuus. Standardin avulla
toteutettiin myös monia tehoa ja toimintaa parantavia ominaisuuksia. IEEE 802.11
-standardi määrittelee kolme PHY-tasovaihtoehtoa: taajuushyppelyhajaspektri eli
FHSS (Frequency Hopping Spread System), suorahajaspektri eli DSSS (Direct
Sequence Spread Spectrum) ja infrapuna eli IR (Infrared). Suorahajaspektrillä on
joitakin etuja kahteen muuhun PHY-tasovaihtoehtoon verrattuna.
Suorahajaspektrikäytännön suurin mahdollinen tiedonsiirtonopeus on suurin
(jopa 11 Mbit/s). Lisäksi Suorahajaspektrin kantavuus on parempi kuin
taajuushyppely- ja infrapunakäytäntöjen. Suorahajaspektrijärjestelmiä käytettiin
alun perin sotilas-tiedonsiirrossa. Suorahajaspektritekniikkaan perustuvien
radiojärjestelmien häiriön-sietokyky on myös erinomainen.
Langattomille lähiverkoille tarkoitettu olemassa oleva IEEE 802.11 -standardi
määrittelee kaksi eri todentamispalvelua:
• WEP-pohjainen (Wired Equivalent Privacy) jaetun avaimen todentaminen
3
• Avoin järjestelmätodentaminen (tässä menetelmässä langaton laite yksinkertai-
sesti ilmoittaa haluavansa muodostaa yhteyden toiseen langattomaan laitteeseen
tai tukiasemaan)
WEP (Wired Equivalent Privacy, WEP-suojaus)
IEE 802-11 -standardin mukaisessa langattomassa lähiverkossa olevat päätteet
voivat estää salakuuntelun käyttämällä valinnaista WEP-algoritmia, jota
käytetään myös jaetun avaimen todentamismallissa. WEP-algoritmissa käytetään
RC4-algoritmia, jonka salausavain voi olla jopa 128-bittinen. Kun langattoman
lähiverkon laitteet haluavat muodostaa WEP-suojatun yhteyden, yhteyden
muodostavilla laitteilla on oltava hallussaan sama salausavain. Standardi ei
määrittele, kuinka avaimet jaetaan langattomille laitteille.
Salauksen tehokkuuden kannalta avaimen pituus ja algoritmin antama suojaustaso
ovat tärkeitä tekijöitä. Järjestelmäarkkitehtuurin kannalta tärkeitä tekijöitä ovat
puolestaan WEP-avainten jako- ja hallintatapa, koska koko menetelmä perustuu
salaisten avainten pysymiseen suojattuina. WEP-menetelmä edellyttää, että jaettu
avain toimitetaan kaikkiin langattomiin laitteisiin etukäteen turvallisesti. Avaimet
voidaan esimerkiksi ladata laitteisiin, kun tukiasemien ja langattomien laitteiden
muodostamaa verkkoa rakennetaan. WEP-menetelmän etuna on se, että
tietoliikenne on kryptattua eli salakirjoitussuojattua jo langattomien laitteiden
välisellä linkkitasolla. Tästä syystä ylätason kryptausmekanismeja ei tarvita.
Algoritmi voidaan sisällyttää laitekortille, jolloin kryptaus toimii nopeammin kuin
ohjelmistopohjaisia ratkaisuja käytettäessä.
Avoin järjestelmätodennus
Useimmat langattoman lähiverkon tuotteiden valmistajat käyttävät tuotteissaan
pääsynvalvontamenetelmää, joka perustuu ei-toivottujen MAC-osoitteiden
kautta tapahtuvien tukiasemayhteyksien muodostamisyritysten kieltämiseen.
Langattoman lähiverkon korteissa on 48-bittinen MAC-osoite, joka määrittää
kortit IEE 802 -standardin mukaisiksi. Tukiasemiin voidaan määrittää
hyväksyttyjen MAC-osoitteiden luettelo. Jos langattoman laitteen MAC-osoite ei
ole luettelossa, laite ei voi käyttää langattoman verkon liityntää. Langaton
lähiverkko on tietoturvariski, ellei mitään todentamis- tai kryptausmenetelmää
käytetä ja radiosignaalit pääsevät toimistorakennuksen ulkopuolelle. Jos
tietomurtautuja tuntee SSID-palvelusarjatunnisteen, jonka avulla langaton
lähiverkko tunnistetaan, murtautuja voi määrittää sellaisen langattoman laitteen,
joka toimii samassa verkossa ja samalla taajuudella kuin tukiasemat. Näin
luvattomalla langattomalla laitteella voidaan muodostaa yhteys verkkoon, jos
MAC-osoitteiden estoa ei käytetä. Oikeilla työkaluilla tietomurtaja voi ehkä
kaapata tietoja, joiden avulla käyttäjien tiedonsiirto valtuutetaan. Langattoman
lähiverkon korteissa käytettävät MAC-osoitteet on myös mahdollista väärentää.
Kun tietomurtautuja on saanut haltuunsa valtuutetun MAC-osoitteen, hän voi
ohjelmoida langattoman lähiverkon korttiin saman MAC-osoitteen ja muodostaa
yhteyden langattomaan lähiverkkoon. Kahden samaosoitteisen langattoman
lähiverkon kortin käyttäminen aiheuttaa tietenkin verkossa toimintaongelmia.
4
VPN-VERKOT
Langattomiin lähiverkkoihin voidaan luoda virtuaalisia tunneleita turvallista
tiedonsiirtoa varten. Tunneleiden luomiseen käytetään VPN-tekniikkaa (Virtual
Private Network). Jos VPN-verkon kokoonpano on määritetty oikein,
virtuaalisten tunneleiden avulla voidaan varmistaa, että vain valtuutetut käyttäjät
pääsevät yrityksen verkkoon eivätkä ulkopuoliset pysty lukemaan tai muuttamaan
tietoja. VPN-verkot voidaan toteuttaa useilla eri tekniikoilla ja standardeilla.
Kaikissa toteuttamistavoissa suojaaminen perustuu kahteen eri osatekijään:
käyttäjien todentamiseen ja tietojen kryptaamiseen eli salakirjoitussuojaamiseen.
Käyttäjien todentaminen
Luotettavat käyttäjientodentamismenetelmät langattomissa lähiverkoissa hyvin
tärkeitä. Viime aikoihin saakka käyttäjän todentaminen on usein perustunut
käyttäjätunnukseen ja salasanaan, haaste-/vastausmenetelmään tai keskitettyyn
käyttäjien käytäntötietokantaan. RADIUS (Remote Authentication Dial-in User
Service, sisäänsoittokäyttäjäpalvelun etätodentaminen) -käytäntö on esimerkki
keskitetystä käyttäjien käytäntötietokannasta, jonka kautta lähetetään
todentamiskyselyjä käyttäen kiinteää käyttäjätunnusta ja salasanaa. RSA
Securityn SecurID-kortti on toinen mahdollinen todentamismenetelmä. SecurIDlaitteiston avulla luodaan ainutkertaisia, kertakäyttöisiä pääsykoodeja, joita ei voi
laskea etukäteen. Pääsykoodia voidaan käyttää yhdessä henkilökohtaisen PINtunnistenumeron kanssa, jolloin todentaminen toimii erittäin luotettavasti.
Markkinoilla on myös monia nykyaikaisia käyttäjäntodentamismenetelmiä.
Mikroprosessorilla varustetut älykortit voivat sisältää useita eri sovelluksia
yksinkertaisesta todentamisalgoritmista aina sähköiseen rahaan saakka. Älykortit
ovat käyttäjien kannalta helppo todentamisväline.
Tietojen kryptaus eli salakirjoitussuojaus
Tiedot voidaan suojata valtuuttamattomilta käyttäjiltä koodaamalla tietosisältö.
Mahdollisia kryptausmenetelmiä on monia. Menetelmät eroavat toisistaan
lähinnä käytettävien kryptausmenetelmien osalta. Julkisen avaimen algoritmit,
kuten RSA, käyttävät kryptaamiseen ja kryptauksen purkamiseen toisiinsa
matemaattisesti liittyviä avaimia. Salaisen avaimen algoritmit, kuten RC4, DES ja
3DES, käyttävät samaa avainta kryptaamiseen ja kryptauksen purkamiseen.
Salaisen avaimen menetelmät ovat nopeita, mutta koska samaa avainta käytetään
kryptaukseen ja kryptauksen purkamiseen, epäluotettava avainten hallinta voi
merkitä tietoturvariskiä. Kryptauksen tehokkuus määräytyy pääasiassa avainten
hallinnan ja avaimen pituuden perusteella. Avaimen on siis oltava riittävän pitkä.
Nykyaikaisissa ratkaisuissa avaimen on oltava vähintään 56-bittinen.
IPSEC - Internet-käytännön tietoturvastandardi
IPSEC on uusi tietoturvastandardi, joka koostuu useista eri IP-tason tietoturvapalveluista, kuten todentamisesta ja kryptauksesta. IETF (Internet Engineering
Taskforce) julkaisi IPSEC-standardin vuonna 1998. IPSEC voi toimia kahdella eri
tavalla. Tiedonsiirtotilassa alkuperäiset IP-osoitteet sisältyvät tietopakettiin ja
vain todellinen tieto kryptataan. Tunnelimuodossa myös alkuperäiset IP-osoitteet
kryptataan ja tietopakettiin lisätään uusi otsikko. IPSEC-standardi perustuu SA-
tekniikkaan (Security Association, tietoturva-assosiaatio). Tiedonsiirto-
5
osapuolten välille muodostetaan SA-yhteys. SA-yhteydessä määritetään
esimerkiksi käytettävä kryptaus, todentamismenetelmät, avaimenhallinta-
ominaisuudet sekä kryptausavainten ja tietoturva-assosiaation käyttöikä. Yksi
IPSEC:n tärkeimmistä osatekijöistä on IKE (Internet Key Exchange, Internetavainten vaihto) -avainhallintakäytäntö, jonka avulla kryptausavaimet
määritetään. IPSEC ja IKE-tietoturvastandardi muodostavat yksityisen ja julkisen
avaimen pareja. Jokaisella asiakkaalla tai käyttäjällä on yksityinen avain.
Verkkoon on puolestaan tallennettu vastaava julkinen avain. Myös etukäteen
jaettuun avaimeen perustuvaa menetelmää tuetaan. Tässä menetelmässä asiakas
tai käyttäjä ja verkko käyttävät samaa salaista avainta. Avain on jaettu
tiedonsiirron osapuolille ennen tiedonsiirtoyhteyden muodostamista. IPSEC
standardoi tulevaisuudessa tiedonsuojaamisen tavan. Suurimpien laitteisto- ja
ohjelmistovalmistajien odotetaan tuovan markkinoille IPSEC-yhteensopivia
tuotteita vuonna 2000. IPSEC:stä odotetaan muodostuvan Internetin
perustietoturvaratkaisu. IPSEC-käytäntöä voidaan käyttää sellaisenaan myös
langattomissa lähiverkoissa, jolloin kaikki tietoturvaratkaisut ja -järjestelmät
olisivat yhteensopivia.
Turvalliset VPN-yhteydet intraneteihin
Vaihtoehtoinen tapa luoda langaton lähiverkko, josta on pääsy intranetiin, on
rakentaa erillinen lähiverkon osa, johon tukiasemat on liitetty. Langattoman
lähiverkon tämä osa voidaan sitten erottaa intranetistä turvakäytävällä, joka
valvoo pääsyä intranetin resursseihin.
Yritys
Turvakäytävä
(palomuuri/VPN-käytävä)
Yrityksen
tietokannat
Todentamis-
palvelin
Työasema
Työasema
Palomuuri
INTERNET
Kuva 1. Langattoman lähiverkon osa yrityksessä
Langaton lähiverk ko
Tukiasemat
VPNtunnelit
Langattomat laitteet,
joissa on VPN-asiakas
Langattoman laitteen ja turvakäytävän väliin luodaan tunneli. Tunnelin kautta
siirrettävät tiedot on todennettu ja kryptattu. Tällainen kokoonpano voidaan
toteuttaa esimerkiksi VPN-tekniikalla. Turvakäytävä ja verkon pääpalomuuri on
mahdollista integroida siten, että langattoman lähiverkon osa on kytketty samaan
6
laitteeseen, joka on kytketty myös Internetiin. Järjestelmänvalvontaan liittyvistä
syistä ja koska palomuuri voi olla fyysisesti kaukana langattoman lähiverkon
osasta), on parempi käyttää erillisiä laitteita yllä olevassa kuvassa kuvatulla tavalla.
Tämän ratkaisun etuna on se, että se suojelee intranet-liikennettä, jolloin
valtuuttamattomat yhteyspyynnöt voidaan estää. Koska tässä mallissa
langattoman laitteen ja yhdyskäytävän välinen tietoliikenne kryptataan,
langattoman lähiverkon erillisessä osassa toimivien kahden langattoman laitteen
välinen tiedonsiirto on kryptaamatonta, ellei niiden välissä käytetä muita
suojaustapoja, kuten IPSEC:iä (Internet Protocol Security, Internet-protokollan
mukainen tietoturva), TLS:ää (Transport Layer Security, siirtotason tietoturva) tai
muuta sovellustason kryptausmenetelmää. Lisäksi turvatunneli syntyy silloin, kun
langaton laite muodostaa yhteyden turvakäytävään. Tästä syystä vain langattomat
laitteet voivat muodostaa yhteyden intranet-palvelimiin, mutta intranetpalvelimet eivät voi suoraan muodostaa yhteyttä langattomiin laitteisiin.
TIETOTURVA JA NOKIAN LANGATTOMAT LÄHIVERKKOTUOTTEET
Tässä osassa kerrotaan, kuinka Nokian langattomien lähiverkkotuotteiden oikea
tietoturvataso määritetään.
Nokian langaton lähiverkko, jonka nopeus on 2 Mbit/s
Nokia C020/C021 -langattoman lähiverkon kortissa ja Nokia A020 -langattoman
lähiverkon tukiasemassa ei ole lisätietoturvatoimintoja, kuten WEPominaisuuksia. Jos Nokian nopeudeltaan 2 Mbit/s olevia langattomia lähiverkkotuotteita käytetään suurta tietoturvatasoa vaativissa kohteissa (kuten pankeissa),
on käytettävä kattavaa VPN-ratkaisua, jossa käytetään tehokkaita todennus- ja
tiedonkryptausratkaisuja.
Yrityksen lähiverkko
VPN-todennus ja tietojen kryptaus
Langattomat
laitteet
Nokia A020
-langattoman
lähiverkon
tukiasema
Kuva 2. Esimerkki VPN-todentamisesta langattomassa lähiverkossa
Tietoturvaa voi parantaa käyttämällä NID (Netword Identifier, verkkotunniste)
-luetteloita joissakin tai kaikissa tukiasemissa. Tämä estää valtuuttamattomia,
organisaation ulkopuolisia käyttäjiä ja organisaation omia käyttäjiä
muodostamasta yhteyttä tiettyihin tukiasemiin.
Kiinteä lähiverkko, jonka
nopeus on 10 Mbit/s
Keskitin
tai kytkin
VPNpalvelin
Tukiasemien kokoonpanon muuttaminen ja tukiasemien tietoliikenteen
seuraaminen voidaan estää käyttämällä tukiaseman lukitusominaisuutta tai
rajoittamalla niiden järjestelmänvalvojien määrää, jotka saavat määrittää
tukiasemien kokoonpanoja tai valvoa niitä (enintään neljä järjestelmänvalvojaa).
7
On myös mahdollista määrittää, mistä IP-osoitteista tukiasemia saa käyttää.
Tietyillä asetuksilla voidaan myös muuttaa portteja ja rajoittaa Telnet-, Web- ja
TFTP-käyttöä.
Nokian uusi langaton lähiverkko, jonka nopeus on 11 Mbit/s
Uudessa Nokia C110/C111 -langattoman lähiverkon kortissa on lisä-
ominaisuuksia, jotka parantavat langattoman lähiverkon tietoturvaa. Kortissa on
integroitu älykortinlukulaite, jonka avulla käyttäjien tunnistaminen ja
todentaminen on luotettavaa ja tehokasta. Lisäksi ratkaisuun kuuluu langattoman
lähiverkon WEP-todentaminen ja radiolinkin kryptaustoiminto. Kun vaadittava
tietoturvataso on suuri (esimerkiksi pankeissa), langattomassa lähiverkossa on
suositeltavaa käyttää lisäksi erillistä VPN-ratkaisua. Integroidun älykortin avulla
voidaan kuitenkin tallentaa VPN-tason käyttäjätietoja ja verkon sisään-
kirjautumissalasanoja.
Miksi WEP:iä kannattaa käyttää? WEP:n avulla verkon tietoturvatasoa voidaan
parantaa. Ensinnäkin WEP lisää radiorajapinnan turvallisuutta todentamisen ja
kryptauksen osalta. Toiseksi WEP mahdollistaa edulliset ja helposti asennettavat
ratkaisut. WEP:n avulla kahden langattoman laitteen välinen tietoliikenne voidaan
toteuttaa turvallisesti. WEP on todentamisessa ja tietojen kryptaamisessa
käytettävä työkalu, jota voidaan käyttää monissa sovelluksissa sellaisenaan.
Yrityksen lähiverkko
WEP
VPN-todennus ja tietojen kryptaus
WEP-todennus
ja tietojen kryptaus
Nokia A032
-langattoman
lähiverkon
tukiasema
Kiinteä lähiverkko, jonka
nopeus on 10 Mbit/s
Keskitin
tai kytkin
VPNpalvelin
Kuva 3. Esimerkki VPN- ja WEP-ratkaisusta langattomassa lähiverkossa
Entä älykortit? Nokian langattoman lähiverkon kortissa olevalla älykortin-
lukulaitteella voidaan hallita käyttäjätietoja ja toteuttaa käyttäjätodennus
tehokkaasti. Nokian langattoman lähiverkon kortissa on standardinmukainen
ID000-kokoinen Windows-älykortinlukurajapinta (API), joka tukee useita
kaupallisia, yritysverkkoihin ja palvelutodennukseen liittyviä älykorttiratkaisuja.
Nokia C110/C111:ssä on avoin älykortinlukurajapinta, joka tukee useimpia
markkinoilla olevia VPN-ratkaisuja. Lisäksi rajapinta mahdollistaa sopeutettujen
älykorttiratkaisujen luomisen langattomiin ympäristöihin. Integroitu
älykortinlukulaite tukee Microsoftin® älykorttisovellusrajapintaa (API).
Integroidun älykortinlukulaitteen avulla voidaan käyttää tehokkaasti myös
sähköisiä allekirjoituksia. Nokia C110/C111:n avulla voidaan käyttää PKIpohjaisia (Public Key Infrastructure, julkisen avaimen infrastruktuuri) tehokasta
todentamista hyödyntäviä tuotteita jonkin muun tietoturvaratkaisun ohella.
Ennusteiden mukaan yhä useammat rahoitusalan yritykset ja muut vastaavat
organisaatiot alkavat käyttää PKI-tekniikkaa. Nokia C110 tarjoaa tässä suhteessa
hyvän ratkaisun kasvaville tietoturvavaatimuksille.
8
Älykorttiin perustuvan ratkaisumallin pääasialliset edut ovat:
•Älykortti on selkeä ja luotettava tapaa jakaa verkkokäytön todentamisavaimet
käyttäjille. Lisäksi älykorttiin voidaan tallentaa salasanoja, jotka voidaan suojata
PIN-koodilla.
•Älykortti voidaan integroida tehokkaasti verkon todentämisjärjelmään
käyttämällä verkon olemassa olevia todentamistuotteita.
• Tulevaisuudessa integroitu älykortti mahdollistaa digitaaliset allekirjoitukset ja
PKI-palvelut, jotka yleistyvät nopeasti etenkin pankkialalla.
• Integroitu älykortinlukulaite on edullinen tapa toteuttaa älykorttipalveluita
kannettavissa tietokoneissa.
KYSYMYKSIÄ VASTAUKSINEEN
1. kysymys: Kuinka käyttäjän identiteetti todennetaan ja kuinka tiedot kryptataan
langattoman lähiverkon laitteen ja tukiaseman välillä?
Langattomille lähiverkoille tarkoitettu olemassa oleva IEEE 802.11 -standardi
määrittelee kaksi eri todentamispalvelua:
• avoin järjestelmätodentaminen (tässä menetelmässä langaton laite yksinkertaisesti ilmoittaa haluavansa muodostaa yhteyden toiseen langattomaan
laitteeseen tai tukiasemaan)
• WEP-pohjainen (Wired Equivalent Privacy, WEP-suojaus) jaetun avaimen
todentaminen.
Avoimessa järjestelmätodentamisessa vain tietyt langattoman lähiverkon kortit
voivat muodostaa yhteyden tukiasemiin. Avoimessa järjestelmätodentamisessa ei
ole pakettipohjaista todentamista tai tietoturvaa.
IEEE 802.11 -standardissa on mahdollisuus valinnaiseen WEP-suojaukseen. WEP
on symmetrinen kryptausmenetelmä, joka auttaa suojautumaan verkon salakuuntelulta. Nokian nopeudeltaan 11 Mbit/s olevissa langattoman lähiverkon
tuotteissa voidaan käyttää jopa 128-bittisiä avaimia. WEP-mekanismi puolestaan
kryptaa kaikki tietopaketit RC4-algoritmin avulla.
Uudessa Nokia C110/C111-langattoman lähiverkon kortissa on WEP- ja
kryptausominaisuudet, joiden avulla voidaan estää verkon palveluiden luvaton
käyttö. Radioteitse lähetettävät tiedot salataan. Jos asennuskohteessa vaaditaan
suurta tietoturvatasoa, verkon turvatasoa ja tietojen salausta voidaan parantaa IPtason tietoturvamekanismeilla, kuten VPN-tuotteilla. Tässä tapauksessa
langattoman lähiverkon osa eristetään yritysverkosta VPN-laitteella. VPN-laite
varmentaa käyttäjän identiteetin ja kryptaa langattoman päätelaitteen ja verkon
välisen tietoliikenteen tehokkailla salausalgoritmeillä (kuten DES tai 3DES).
Nokian langattoman lähiverkon ratkaisu tukee johtavia VPN-ratkaisuja, jotka
ovat läpinäkyviä langattomalle lähiverkolle.
2. kysymys: Onko radiolinkki altis häirinnälle?
IEEE 802.11 -standardin suorasekvenssinen hajaspektri on suunniteltu kestämään
häiriötä hyvin. On kuitenkin syytä muistaa, etteivät kaupalliset langattomat
lähiverkkojärjestelmät siedä tahallista häirintää hyvin.
9
3. kysymys: Kuinka voimme varmistaa, että jokaisessa langattomassa laitteessa on
käynnistyksenaikainen salasanavarmennus ja automaattinen istunnon katkaisu?
Tukiasema katkaisee todennetun yhteyden tietyn ajan kuluttua, jos langaton laite
sammutetaan tai se siirtyy pois tukiaseman toiminta-alueelta.
Nokia C110/C111 -langattoman lähiverkon kortissa on WEP-todennus, joka
käyttää WEP-avainta käynnistyksenaikaisena salasanana. Langattomassa
lähiverkossa itsessään ei ole ajastinpohjaista yhteydenkatkaisua. Tässä suhteessa
langaton ja kiinteä lähiverkko eivät eroa toisistaan.
Jos luotettavaa automaattista yhteydenkatkaisua ja käynnistyksenaikaista
salasanaa vaaditaan, langaton lähiverkko kannattaa integroida sellaiseen VPNtuotteeseen, jossa on nämä ominaisuudet valmiina.
4. kysymys: Onko langattoman lähiverkon käyttö mahdollista kieltää solmukohtatasolla?
Kyllä, tämä on mahdollista. Toteuttamistapoja on kaksi ja ne täydentävät toisiaan.
Langattoman lähiverkon tukiasemissa voidaan käyttää NID-luetteloita. Tällöin
tukiasemat sallivat pääsyn verkkoon vain luettelossa oleville langattoman
lähiverkon korteille (MAC-osoitteen perusteella). NID-luetteloiden avulla
radioverkon käyttöä rajoitetaan langattoman lähiverkon kortin MAC-osoitteen
perusteella. Jos käyttökohteessa vaaditaan suurta tietoturvatasoa, suosittelemme
tehokkaamman todentamismenetelmän käyttämistä. Asianmukaisella VPNratkaisulla voidaan minimoida verkon väärinkäytön riski. Kriittisissä ratkaisuissa
voidaan kuitenkin käyttää sekä langattoman lähiverkon että VPN-tason
todentamista. Tässä ratkaisussa langaton lähiverkko on ensimmäinen suojaus,
joka tunkeutujan on murrettava päästäkseen käsiksi VPN-palomuuriin.
5. kysymys: Kuinka langaton lähiverkko vaikuttaa yritysten tietoturvakysymyksiin?
Tämä riippuu täysin yrityksen tietoturvakäytännöstä. Langaton, radio-
tekniikkaan perustuva lähiverkko tuo tietoturvaan uusia ulottuvuuksia, mutta
oikealla suunnittelulla voidaan välttää mahdollisia ongelmia. Turvallisuuskriittisissä sovelluksessa suosittelemme langattoman lähiverkon eristämistä
verkon kriittisistä komponenteista VPN-palomuuriratkaisulla. Nokian
langattoman lähiverkon kortti, jonka nopeus on 11 Mbit/s, tarjoaa kaksi
edistyksellistä tietoturvamenetelmää, jotka voidaan integroida olemassa oleviin
yritysverkkojen tietoturvajärjestelmiin. Nämä menetelmät ovat älykorttiin
perustuva käyttäjän identiteetin todentaminen ja langattoman lähiverkon WEPtodennus sekä tietojen kryptaaminen.
WEP-suojaus tarjoaa lisäturvaa tietomurtoja vastaan. Integroidun älykortin-
lukulaitteen avulla verkonvalvoja voi helposti jakaa käyttäjille selkeitä tunnistevälineitä ja turvallisia avaimia langattomien lähiverkkojen päätteisiin. Älykorttiin
voidaan myös tallentaa PIN-suojattuja salasanoja. Älykortin avulla voidaan
lisäksi laskea kertakäyttöisiä salasanatunnisteita, jotka ovat huomattavasti
turvallisempia kuin laajassa käytössä olevat muuttumattomat salasanat.
Uusimmat tiedot Nokian langattomista lähiverkoista ja tietoturvakysymyksistä
ovat osoitteessa www.forum.nokia.com.
10
Loading...