DATASIKKERHET

Transcription

DATASIKKERHET
1/1
Copyright © Nokia Corporation 2002. All rights reserved. | Ver. 1.0
DATASIKKERHET
Innhold
1.
INNLEDNING................................................................................................................. 3
2.
ARKITEKTUR FOR EKSTERN TILGANG ..................................................................... 3
2.1 PÅLOGGINGSTILGANG FOR MODEM...................................................................... 3
2.2 SIKKER INTERNETT-TILGANG (GPRS, WLAN)........................................................ 3
2.2.1 INTERNETT-SIKKERHETSKRAV........................................................................ 5
2.2.2 KORT OM VPN-TEKNOLOGI .............................................................................. 5
2.2.3 KOMMERSIELLE VPN-VERKTØY ...................................................................... 6
2.2.4 PERSONLIG BRANNMUR................................................................................... 6
2.3 SIKKERHET PÅ PROGRAMNIVÅ FOR SURFING PÅ INTERNETT........................... 7
3.
SIKKER GPRS-TILGANG TIL FIRMANETTVERK ......................................................... 7
4.
SIKKER TRÅDLØST LAN-TILGANG ............................................................................. 9
4.1 TRÅDLØST LAN-TILGANG PÅ KONTORET .............................................................. 9
4.2 EKSTERN TRÅDLØST LAN-TILGANG..................................................................... 10
5.
OPPSUMMERING – SIKKER FIRMATILGANG MED NOKIA D211 ............................ 11
Juridiske merknader
Copyright © Nokia Corporation 2002. Alle rettigheter forbeholdt.
Kopiering, overføring, distribusjon eller lagring av deler av eller hele innholdet i dette dokumentet i enhver form,
uten på forhånd å ha mottatt skriftlig tillatelse fra Nokia, er forbudt.
Nokia og Nokia Connecting People er registrerte varemerker for Nokia Corporation. Andre produkt eller firmanavn
som nevnes her, kan være varemerker eller produktnavn for sine respektive eiere.
Nokia har en uttrykt målsetting om kontinuerlig utvikling. Vi forbeholder oss derfor retten til uten varsel å endre og
forbedre alle produktene som er omtalt i dette dokumentet.
Ikke under noen omstendigheter er Nokia ansvarlige for tap av data eller inntekter, eller spesifikke, vilkårlige,
påførte eller indirekte skader uansett årsak.
Innholdet i dette dokumentet gjøres tilgjengelig "som det er". Bortsett fra der det er påkrevet etter gjeldende lover
ytes ingen garantier av noe slag, verken direkte eller underforstått, inkludert, men ikke begrenset til, de
underforståtte garantiene for salgbarhet og egnethet til et bestemt formål, i forhold til nøyaktigheten av,
påliteligheten til eller innholdet i dette dokumentet. Nokia forbeholder seg retten til å revidere dette dokumentet
eller trekke det tilbake, når som helst og uten forvarsel.
2/2
1.
INNLEDNING
Det nye Nokia D211-radiokortet med flere modi er en ideell løsning for forretningsbrukere av
mobil som ønsker tilgang til firmanettverket når de er ute og reiser. Den overførte
informasjonen er ofte viktig for firmaet, og slik informasjon bør ikke oppgis til utenforstående.
Derfor har sikkerhet en viktig rolle når du bruker Nokia D211 for eksterne tilkoblingstjenester.
Dette dokumentet forklarer hvordan sikkerhet bør håndteres når du bruker Nokia D211.
Dokumentet forklarer det grunnleggende når det gjelder Internett-sikkerhet og illustrerer
referansearkitektur som gjør det mulig å få sikker tilgang til et firmanettverk over GPRSnettverk (GPRS = General Packet Radio Service) og WLAN-nettverk (WLAN = Wireless
Local Area Network).
2.
ARKITEKTUR FOR EKSTERN TILGANG
2.1 PÅLOGGINGSTILGANG FOR MODEM
Tidligere ble for det meste eksterne tilgangstjenester implementert ved hjelp av leasede
linjer, eksterne modem og servere for ekstern tilgang. Tilkoblingen ble opprettet ved hjelp av
offentlige telefoninettverk og kjente PPPer (PPP = Point-to-Point Protocol) som er tilgjenglige
i nesten all terminalprogramvare. Den eksterne tilkoblingen opprettes ved hjelp av en
fasttelefon eller en trådløs terminal. Den eksterne tilgangsserveren godkjenner brukeren med
et passord. Vanligvis brukes det ingen andre sikkerhetsmekanismer.
Nokia D211 tilbyr to alternativer til ekstern tilkobling: GSM-data og HSCSD (High Speed
Circuit Switched Data). I dette oppsettet beskytter GSM-nettverket brukerdataene med OTAgrensesnitt. På den måten krever ikke den trådløse tilgangen noen ekstra
sikkerhetsutvidelser, men den kan brukes på samme måte som et fast eksternt modem. Den
eksterne tilkoblingen opprettes vanligvis ved hjelp av ekstern påloggingsfunksjonalitet i
Microsoft Windows.
2.2 SIKKER INTERNETT-TILGANG (GPRS, WLAN)
Ny trådløs Internett-teknologi, for eksempel GPRS og trådløst LAN, tilbyr en raskere og mer
kostnadseffektiv måte å få tilgang til firmadata på. De nye tilgangsmekanismene krever få
forbedringer på firmaets plattform for tjenester for ekstern pålogging for å sikre
konfidensialiteten til dataene.
Figur 1 viser påloggingsarkitekturen og den eksterne arkitekturen for Internett-tilgang. Den
største forskjellen er at i stedet for et telefoninettverk utgjør GPRS og trådløst LAN Internettryggraden som en gateway for firmanettverket. Brukerdata overføres fra det mobile
nettverket via det usikre Internett til firmanettverket ved hjelp av Internett-protokoller.
Det åpne Internett er utsatt for mange sikkerhetsrisikoer. En viktig sikkerhetssvakhet er at, i
motsetning til en ekstern punkt-til-punkt-tilkobling, Internett-pakker kan leses av alle som har
tilgang til nettverket. IP-pakker følger også ofte samme rute, slik at en potensiell inntrenger
3/3
mest sannsynlig har tilgang til alle IP-pakker. Sikkerhetsfunksjonene for trådløse nettverk
(GPRS og WLAN) er ikke alene en garanti for konfidensialitet. Et svært pålitelig eksternt
tilgangssystem kan opprettes ved å kombinere trådløs tilgang med en ende-til-endesikkerhetsløsning for Internett (IP).
Merk: For å oppnå en sikker GPRS-/WLAN-tilgang anbefaler Nokia å bruke det
utbredte IP-nivået VPN (Virtual Private Network) som sikkerhetsløsning.
Følgende avsnitt illustrerer hvordan denne teknologien kan brukes til GPRS-tilgang, trådløst
LAN for tilgang på arbeidsplassen og hjemme.
Intranett-tjenester
Firmaets intranett
Brannmur for
sikker ekstern
IP-tilgang
Telefoninettverk
Radiokoblingssikkerhet
Ende-til-ende-Internett-sikkerhet
Påloggingsserver
GSMnettverk
Det åpne
Internett
Trådløst
pakkenettverk
(GPRS, WLAN)
Bærbar datamaskin
med Nokia D211
Figur 1: Alternative eksterne tilgangsmekanismer: pålogging og Internetttilgang
4/4
2.2.1 Internett-sikkerhetskrav
En Internett-sikkerhetsløsning bør inneholde følgende viktige funksjoner for å sikre
datasikkerheten og firmanettverket:
•
Tilgangskontroll som hindrer at uautoriserte brukere får tilgang til firmanettverket.
•
Kryptering som gjør at ingen kan lese eller kopiere data som sendes over Internett.
Datakryptering brukes til å beskytte data fra uautoriserte brukere ved å kode
innholdet. Det finnes mange krypteringsmetoder tilgjengelig, forskjellen ligger
hovedsakelig i ulike krypteringsalgoritmer.
•
Godkjenning sikrer at dataene kommer fra oppgitt kilde.
Bruk av VPN-teknologi (VPN = virtuelt privat nettverk ) er utbredt ved kobling av firma-LAN
mellom områder, eller eksterne forretningspartnere til firmanettverket.
2.2.2 Kort om VPN-teknologi
Figur 2 illustrerer en typisk VPN-konfigurering. Den samme teknologien og plattformen kan
brukes for å oppnå en sikrere ekstern tilgang for GPRS- og trådløst LAN-brukere.
Intranett for
avdelingskontor
VPN-server
VPN
VPN-server
Intranett for
forretningspartner
Internet
VPN
VPN
Brannmur/
VPN-server
Firmaets
intranett
Ekstern
tilgang,
VPN-klient
Figur 2: VPN
VPN-løsningen består av en nettverksserver og klientprogramvare. VPN-serveren beskytter
uønsket og uautorisert kommunikasjon til eller fra det beskyttede nettverket. All trafikk til det
private nettverket er tvunget til å passere gjennom VPN-serveren. Det opprettes en tunnel
mellom terminalen og VPN-serveren, og brukerdataene godkjennes, krypteres og overføres
inne i vertstunnelen.
5/5
Fordelen med VPN er at den beskytter informasjon som overføres til og fra intranettet, og at
uautorisert tilgang forhindres. VPN opprettholder ikke permanente koblinger mellom
endepunktene. Når en tilkobling mellom en terminal og firmanettverket er nødvendig,
opprettes den og avsluttes når tilkoblingen lukkes. Klienten oppretter den sikre tunnelen, og
nettverket godkjenner den eksterne brukeren. Ved hjelp av brukergodkjenning bekreftes
identiteten til alle eksterne brukere. Tilgang til firmanettverket gis bare etter at godkjenningen
er fullført. Det finnes ulike alternative godkjenningsmekanismer, for eksempel passord,
sikkerhetsmerker (som kan være lagret på et smartkort) og sertifikater.
Oppretting av ende-til-ende-tunneler beskytter dataoverføringen mot angrep. Ofte har VPNklienter og servere også en innebygd brannmur. En såkalt personlig brannmur filtrerer
innkommende data og tillater Internett-tilkoblinger bare fra forhåndsdefinerte verter. Dette
forhindrer uautorisert tilgang på den eksterne terminalen.
Integrert kryptering sikrer at det er praktisk talt umulig for uautoriserte brukere å lese data.
De fleste VPN-enheter bruker automatisk den sterkest mulige krypteringen og
datagodkjenningsalgoritmene mellom brukere som kommuniserer. Krypteringen er
transparent for alle applikasjoner, for eksempel e-post- og Web-leserprogrammer, som
bruker IP-protokoller. Den eneste merkbare forskjellen er at VPN-innkapslingen legger til litt
ekstra data som må sendes over den trådløse koblingen.
2.2.3 Kommersielle VPN-verktøy
Den finnes mange ulike kommersielle VPN-løsninger på markedet. En VPNsikkerhetsgateway kan passe til alle de følgende kategorier: høyytelses-VPN-rutere,
brannmurer, integrert VPN-maskinvare og rimelig VPN-programvare. Pakkekryptering er
normalt inkludert i rutere, enten som tilleggsprogramvare eller som ekstra kretskort. Det
sistnevnte er best i tilfeller hvor det kreves større gjennomstrømning. En kombinasjon av
opprettede tunneler og kryptering med brannmur er sannsynligvis den beste løsningen for
små nettverk med lave trafikkvolumer.
I de fleste tilfeller er det firmaets IT-ansvarlige som velger og administrerer VPN-systemet.
Det er mange tilgjengelige produkter på markedet. Hovedkriteriet for utvelging av en egnet
løsning er nødvendig kapasitet, som i praksis vil si antallet eksterne brukere. VPN må utføre
en konvertering mellom firmanettverket og IP-adresseoppsettet til operatørnettverket. Derfor
anbefales det å velge en løsning som støtter overføring av NAT
(nettverksadresseoversettelse).
Den standardiserte interoperabiliteten mellom ulike VPN-enheter garanterer
interoperabiliteten for VPN-klienten og en rekke VPN-servere. Nokia D211 er
interoperabilitetstestet med ledende VPN-klienter og serverprodukter. Du finner en detaljert
liste over testede produkter på: www.nokia.com.
2.2.4
Personlig brannmur
Personlig brannmur er programvare med et regelsett som tillater og nekter nettverkstrafikk
gjennom en datamaskin. Den overvåker eller kontrollerer også programmene for å beskytte
dem mot trojanske hester og "nøkkelknekkere". Den brukes primært for å forbedre
sikkerheten når en VPN-klient brukes. En personlig brannmur kontrollerer tilgangen til
brukerens datamaskin. Når den bærbare maskinen brukes på et usikret nettverk, bør
6/6
beskyttelsesnivået være konfigurert høyt. Alle forsøk på å koble seg til datamaskinen din bør
avvises. Når brannmurmotoren oppdager en inntrenging, kommanderer den programvaren til
å blokkere hackerens IP-adresse. Siden brannmuren kontrollerer overføringer på nettverkets
TCP/IP-stakknivå, kan ikke hackere navigere seg rundt en blokkering i brannmuren. Denne
typen beskyttelse bør alltid være aktivert, uansett hvor du jobber.
2.3 SIKKERHET PÅ PROGRAMNIVÅ FOR SURFING PÅ INTERNETT
Enkelte Internett-programmer, for eksempel Web-lesere, tilbyr et ekstra sikkerhetsnivå. De
nåværende Netscape- og Internet Explorer-programmene bruker sikkerhetsprotokoller på
programnivå, for eksempel TLS (Transport Layer Security) og SSL (Secure Sockets Layer),
som tilbyr brukerdatabeskyttelse mellom klientprogrammet og serveren. Disse mekanismene
brukes for eksempel i forbindelse med banktjenester på Internett og ved elektroniske
transaksjoner.
Sikkerhet på programnivå sikrer et ekstra sikkerhetsnivå, som kan brukes ved Internetttilgang i tilfeller hvor en ikke har å gjøre med konfidensielle firmadata og den mobile
terminalen ikke inneholder konfidensiell informasjon. I slike tilfeller kan Nokia D211 brukes
uten VPN-tjenester. Sikkerhetsmekanismene på programnivå beskytter likevel ikke mobile
terminaler mot eksterne angrep. I tillegg er krypteringsnivået ofte lavere enn i VPNtilkoblingen.
Merk: I forbindelse med programmer som inneholder firmadata, bør brukeren
alltid bruke oppretting av ende-til-ende-VPN-tunneler, sikkerhet på programnivå
tilbyr et ekstra sikkerhetsnivå i tillegg til VPN-tunneler.
3.
SIKKER GPRS-TILGANG TIL FIRMANETTVERK
Standard GPRS-nettverk tilbyr OTA-databeskyttelse, men ikke en sikkerhetsløsning for
ende-til-ende-Internett for mobil tilgang til et firma-LAN. GPRS-nettverk gir to
sikkerhetsfunksjoner: abonnentgodkjenning og datakryptering.
Brukergodkjenningsprosedyrene ved GPRS er lik dem som brukes i forbindelse med GSMnettverk. Alle sikkerhetsfunksjoner er basert på den hemmelige koden Ki som er lagret både
på SIM-kortet (SIM = Subscriber Identification Module) og operatørens
hjemmeplasseringsregister. I forbindelse med GPRS blir data og signaler kodet mellom
terminalen og Internett.
Merk: Ved bruk av en GPRS-tilkobling med Nokia D211 for firmatilkobling
anbefales det å bruke en VPN-sikkerhetsløsning som tilbyr ende-til-endegodkjenning og datakryptering.
VPN er ikke nødvendig hvis GPRS brukes i forbindelse med ikke-konfidensielle programmer,
for eksempel ved surfing på Internett. VPN-tjenester tilbys i hovedsak fra firmaets IM eller
mobiloperatør. Systemet som er gjengitt i figur 3, fungerer som følger:
1. Brukeren aktiverer GPRS-tilkoblingen.
2. GPRS-nettverket godkjenner mobilterminalen med SIM-kortet og etablerer en sikker
trådløs GPRS-kobling til Internett (GPRS-kryptering).
7/7
3. Brukeren starter VPN-klienten på den mobile terminalen, som etablerer en ende-tilende-kryptert IP-tunnel til firmanettverket (Internett-datakryptering).
Løsningen er svært pålitelig og sikker fordi all trafikk er kryptert hele veien fra den mobile
terminalen til firmaets VPN-server, og VPN tilbyr et høyt sikkerhetsnivå. Brukeren kan få
tilgang til intranettet fra et hvilket som helst GPRS-operatørnettverk.
Figur 3: Sikker GPRS-tilgang til firmanettverk
En alternativ konfigurering er å bruke en dedikert tilkobling fra mobiloperatørens GPRSnettverk til firmaintranettet og gå utenom det åpne Internett. I denne modellen er det ikke
nødvendig med en VPN-klient. Sikkerhetsfunksjonene til GPRS-nettverket beskytter data
mellom terminalen og GPRS-kjernen. Mobiloperatøren etablerer deretter en sikker tunnel
mellom operatørnettverket og firmanettverket. Ved bruk av denne fremgangsmåten må
firmakunden stole på mobiloperatøren, som tilbyr oppretting av sikre tunneler. Noen
mobiloperatører tilbyr denne typen løsninger for store firmakunder. Hvis du vil ha mer
informasjon, kontakter du mobiloperatøren din.
8/8
4.
SIKKER TRÅDLØST LAN-TILGANG
Trådløst LAN brukes ofte på kontorer, hjemme eller felles tilgangssoner, for eksempel
hoteller, flyplasser og så videre. Med trådløst LAN kan de ansatte bevege seg mer fleksibelt
rundt på kontoret og møterom, eller arbeide hjemmefra og likevel ha tilgang til den siste
informasjonen på firmanettverket. Som GPRS bruker også trådløst LAN Internett-ryggraden.
Derfor støtter den samme plattformen for sikker ekstern VPN-tilgang både GPRS og trådløst
LAN. Nokia D211-brukeren kan velge mellom GPRS eller trådløst LAN-kobling, og deretter
bruke den samme VPN-konfigurasjonen for å koble til firmanettverket.
WLAN kan skape en sikkerhetsrisiko fordi radiosignalene beveger seg utenfor
kontorbygningen. Sikkerhetsrisiko i trådløst LAN kan unngås ved bruk av egnet godkjenning
og kryptering.
Merk: Nokia anbefaler bruk av en ende-til-ende-løsning for VPN ved tilgang til
firmadata over trådløst LAN.
Trådløst LAN (IEEE 802.11b)-spesifikasjoner inneholder WEP-sikkerhetsalgoritmer (WEP =
Wired Equivalent Privacy) som kan brukes for å godkjenne terminalene i WLAN i tillegg til å
kryptere data på radiokoblingen. Sikkerhetsnivået til WEP er lavt sammenlignet med IPsikkerhet (VPN). WEP kan aktiveres som et ekstra sikkerhetsnivå, som brukes til å
kontrollere tilgangen til trådløst LAN, for eksempel hjemme. Dette er likevel ikke den riktige
løsningen for firmanettverk eller beskyttelse av konfidensielle data.
Noen leverandører har implementert innehaverforsterkninger, for eksempel 802.1xforsterkninger, for WEP-sikkerhet og hevder at dette er nok for å garantere firmasikkerheten.
Sikkerhetsnivået på disse ikke-standardiserte løsningene er likevel betydelig lavere
sammenlignet med ende-til-ende-VPN-løsning. Kombinasjonen av trådløst LAN og et egnet
konfigurert VPN er svært sikkert og er en utmerket løsning for alle WLAN-miljø.
4.1 TRÅDLØST LAN-TILGANG PÅ KONTORET
Det mest typiske stedet for et trådløst LAN er kontorlokaler. Brukeren kan bevege seg fritt og
enkelt rundt på kontoret, fra skrivebordet til møterommet, til og med mellom to
nabobygninger, og opprettholde kontakten med nettverket hele tiden. Figur 4 illustrerer en
typisk kontorkonfigurasjon for et sikkert trådløst LAN.
Trådløst LAN-tilgangpunkt er atskilt fra firmanettverket med en VPN-server. En VPN-tunnel
opprettes mellom den trådløse terminalen og VPN-serveren, som beskytter informasjonen
som overføres til og fra intranettet og forhindrer uautorisert tilgang. Brukeren kan godkjennes
ved hjelp av et passord, et engangspassord, for eksempel maskinvaremerker eller
sertifikater.
9/9
Figur 4: Sikkert trådløst LAN-kontor
4.2 EKSTERN TRÅDLØST LAN-TILGANG
Personer som reiser mye, kan bruke trådløst LAN-utstyr, også når de ikke er på kontoret.
Mange Internett-leverandører og mobiloperatører tilbyr felles WLAN-tilgangstjenester på
flyplasser, hoteller og andre offentlige steder. I tillegg kan en ha trådløst LAN hjemme.
Brukerene av Nokia D211 kan ha en sikker ekstern trådløst LAN-tilkobling til firmanettverket
fra alle disse stedene.
Arkitekturen til et eksternt WLAN er nesten den samme som til et kontor-WLAN. Den
viktigste forskjellen er at på kontoret er trafikken rutet via et privat nettverk direkte til VPNserveren. I forbindelse med en felles tilgangssone eller et trådløst LAN hjemme rutes
brukerdataene via det åpne Internett. Fra et sikkerhetsperspektiv krever begge disse bruk av
VPN. Den samme terminalsikkerhetskonfigurasjonen kan brukes både for ekstern tilgang og
kontortilgang. Figur 5 viser arkitekturen til den eksterne tilgangen. Nokia D211-brukeren
godkjennes først av et felles trådløst LAN og starter deretter VPN-klienten, som automatisk
etablerer en sikker tunnel til firmanettverket.
10/10
Figur 5: Ekstern WLAN-tilgang
5.
OPPSUMMERING – SIKKER FIRMATILGANG MED NOKIA D211
Nokia D211 gir brukeren mulighet til å bruke konvensjonelle påloggingsnettverk (figur 1). I
denne konfigurasjonen er VPN-klienten ikke nødvendig, men tilkoblingen etableres ved bruk
av standard Microsoft Windows-påloggingsfunksjoner.
Den angitte arkitekturen til en ekstern tilgang som er gjengitt i figur 6, er komponert av to
hoveddeler: VPN-serveren og VPN-klienten. VPN-serveren utvider firmanettverket med
Internett-tilgang og tilbyr en sikker tilgang til firmanettverkressursene fra alle alternative
trådløse nettverk: GPRS, HSCSD eller trådløst LAN. Den sammen serveren tilbyr tjenester
for ekstern tilgang for alle typer eksterne brukere: hjemmearbeidere, GPRS-samtrafikk,
brukere av felles trådløst LAN og så videre. Dette reduserer administrasjonskostnadene og
forenkler arkitekturen til nettverket. Det er vanligvis firmaets IT-avdeling som administrerer
VPN-serveren.
VPN-klientprogramvaren er installert på brukerens PC og kjøres over Nokia D211programvaren. Den samme standardklientkonfigurasjonen brukes sammen med både GPRS
og WLAN. Klienten etablerer automatisk en sikker tunnel til firma-VPN-serveren. I tillegg kan
den tilby en personlig brannmur, som beskytter PCen mot angrep. Firmaet kan velge den
VPN-klienten som passer best fordi Nokia D211 er kompatibel med ledende VPN-klienter.
11/11
Figur 6: Oppsummering av arkitekturen til en sikker ekstern tilgang
VPN er den riktige måten å bygge en sikker, privat kommunikasjonsinfrastruktur på toppen
av Internett. Det er en rekke fordeler ved bruk av Internett-tilkobling, GPRS og WLAN når det
er tilgjengelig:
•
I stedet for at brukeren må ringe fjernsamtaler for direkte oppringing til firmaet, gjør
GPRS og trådløst LAN at brukeren kan benytte seg av den åpne Internett-tilgangen.
•
Vanligvis er kostnadene i forbindelse med WLAN og GPRS basert på mengden med
overførte data, ikke tilkoblingstid. Det gjør at e-post og surfing kan bli betydelig
billigere ved bruk av denne typen tilkobling.
•
Med VPN blir firmaer kvitt modemressurser, kostbare leasede linjer og
fjerntilgangservere.
•
Ytterligere innsparing kan oppnås ved reduksjon av driftskostnader tilknyttet
brukerstøtte for eksterne brukere.
Nokia D211-multimoderadiokort gir en ny referanse for PC-tilkobling ved å tilby både
pålogging i tillegg til GPRS- og WLAN-tilkobling på en og samme enhet. Det er tatt hensyn til
sikkerhetsaspektene i produktutformingen. Nokia D211 er interoperabilitetstestet, i gjengitte
referanseutforming, med ledende leverandører av programvare for VPN-klienter og med
Microsofts innebygde sikkerhetsløsninger for Internett (IPSEC). Du finner mer detaljert
informasjon om sikkerhet på www.nokia.com.
12/12