DATASIKKERHET
Transcription
DATASIKKERHET
1/1 Copyright © Nokia Corporation 2002. All rights reserved. | Ver. 1.0 DATASIKKERHET Innhold 1. INNLEDNING................................................................................................................. 3 2. ARKITEKTUR FOR EKSTERN TILGANG ..................................................................... 3 2.1 PÅLOGGINGSTILGANG FOR MODEM...................................................................... 3 2.2 SIKKER INTERNETT-TILGANG (GPRS, WLAN)........................................................ 3 2.2.1 INTERNETT-SIKKERHETSKRAV........................................................................ 5 2.2.2 KORT OM VPN-TEKNOLOGI .............................................................................. 5 2.2.3 KOMMERSIELLE VPN-VERKTØY ...................................................................... 6 2.2.4 PERSONLIG BRANNMUR................................................................................... 6 2.3 SIKKERHET PÅ PROGRAMNIVÅ FOR SURFING PÅ INTERNETT........................... 7 3. SIKKER GPRS-TILGANG TIL FIRMANETTVERK ......................................................... 7 4. SIKKER TRÅDLØST LAN-TILGANG ............................................................................. 9 4.1 TRÅDLØST LAN-TILGANG PÅ KONTORET .............................................................. 9 4.2 EKSTERN TRÅDLØST LAN-TILGANG..................................................................... 10 5. OPPSUMMERING – SIKKER FIRMATILGANG MED NOKIA D211 ............................ 11 Juridiske merknader Copyright © Nokia Corporation 2002. Alle rettigheter forbeholdt. Kopiering, overføring, distribusjon eller lagring av deler av eller hele innholdet i dette dokumentet i enhver form, uten på forhånd å ha mottatt skriftlig tillatelse fra Nokia, er forbudt. Nokia og Nokia Connecting People er registrerte varemerker for Nokia Corporation. Andre produkt eller firmanavn som nevnes her, kan være varemerker eller produktnavn for sine respektive eiere. Nokia har en uttrykt målsetting om kontinuerlig utvikling. Vi forbeholder oss derfor retten til uten varsel å endre og forbedre alle produktene som er omtalt i dette dokumentet. Ikke under noen omstendigheter er Nokia ansvarlige for tap av data eller inntekter, eller spesifikke, vilkårlige, påførte eller indirekte skader uansett årsak. Innholdet i dette dokumentet gjøres tilgjengelig "som det er". Bortsett fra der det er påkrevet etter gjeldende lover ytes ingen garantier av noe slag, verken direkte eller underforstått, inkludert, men ikke begrenset til, de underforståtte garantiene for salgbarhet og egnethet til et bestemt formål, i forhold til nøyaktigheten av, påliteligheten til eller innholdet i dette dokumentet. Nokia forbeholder seg retten til å revidere dette dokumentet eller trekke det tilbake, når som helst og uten forvarsel. 2/2 1. INNLEDNING Det nye Nokia D211-radiokortet med flere modi er en ideell løsning for forretningsbrukere av mobil som ønsker tilgang til firmanettverket når de er ute og reiser. Den overførte informasjonen er ofte viktig for firmaet, og slik informasjon bør ikke oppgis til utenforstående. Derfor har sikkerhet en viktig rolle når du bruker Nokia D211 for eksterne tilkoblingstjenester. Dette dokumentet forklarer hvordan sikkerhet bør håndteres når du bruker Nokia D211. Dokumentet forklarer det grunnleggende når det gjelder Internett-sikkerhet og illustrerer referansearkitektur som gjør det mulig å få sikker tilgang til et firmanettverk over GPRSnettverk (GPRS = General Packet Radio Service) og WLAN-nettverk (WLAN = Wireless Local Area Network). 2. ARKITEKTUR FOR EKSTERN TILGANG 2.1 PÅLOGGINGSTILGANG FOR MODEM Tidligere ble for det meste eksterne tilgangstjenester implementert ved hjelp av leasede linjer, eksterne modem og servere for ekstern tilgang. Tilkoblingen ble opprettet ved hjelp av offentlige telefoninettverk og kjente PPPer (PPP = Point-to-Point Protocol) som er tilgjenglige i nesten all terminalprogramvare. Den eksterne tilkoblingen opprettes ved hjelp av en fasttelefon eller en trådløs terminal. Den eksterne tilgangsserveren godkjenner brukeren med et passord. Vanligvis brukes det ingen andre sikkerhetsmekanismer. Nokia D211 tilbyr to alternativer til ekstern tilkobling: GSM-data og HSCSD (High Speed Circuit Switched Data). I dette oppsettet beskytter GSM-nettverket brukerdataene med OTAgrensesnitt. På den måten krever ikke den trådløse tilgangen noen ekstra sikkerhetsutvidelser, men den kan brukes på samme måte som et fast eksternt modem. Den eksterne tilkoblingen opprettes vanligvis ved hjelp av ekstern påloggingsfunksjonalitet i Microsoft Windows. 2.2 SIKKER INTERNETT-TILGANG (GPRS, WLAN) Ny trådløs Internett-teknologi, for eksempel GPRS og trådløst LAN, tilbyr en raskere og mer kostnadseffektiv måte å få tilgang til firmadata på. De nye tilgangsmekanismene krever få forbedringer på firmaets plattform for tjenester for ekstern pålogging for å sikre konfidensialiteten til dataene. Figur 1 viser påloggingsarkitekturen og den eksterne arkitekturen for Internett-tilgang. Den største forskjellen er at i stedet for et telefoninettverk utgjør GPRS og trådløst LAN Internettryggraden som en gateway for firmanettverket. Brukerdata overføres fra det mobile nettverket via det usikre Internett til firmanettverket ved hjelp av Internett-protokoller. Det åpne Internett er utsatt for mange sikkerhetsrisikoer. En viktig sikkerhetssvakhet er at, i motsetning til en ekstern punkt-til-punkt-tilkobling, Internett-pakker kan leses av alle som har tilgang til nettverket. IP-pakker følger også ofte samme rute, slik at en potensiell inntrenger 3/3 mest sannsynlig har tilgang til alle IP-pakker. Sikkerhetsfunksjonene for trådløse nettverk (GPRS og WLAN) er ikke alene en garanti for konfidensialitet. Et svært pålitelig eksternt tilgangssystem kan opprettes ved å kombinere trådløs tilgang med en ende-til-endesikkerhetsløsning for Internett (IP). Merk: For å oppnå en sikker GPRS-/WLAN-tilgang anbefaler Nokia å bruke det utbredte IP-nivået VPN (Virtual Private Network) som sikkerhetsløsning. Følgende avsnitt illustrerer hvordan denne teknologien kan brukes til GPRS-tilgang, trådløst LAN for tilgang på arbeidsplassen og hjemme. Intranett-tjenester Firmaets intranett Brannmur for sikker ekstern IP-tilgang Telefoninettverk Radiokoblingssikkerhet Ende-til-ende-Internett-sikkerhet Påloggingsserver GSMnettverk Det åpne Internett Trådløst pakkenettverk (GPRS, WLAN) Bærbar datamaskin med Nokia D211 Figur 1: Alternative eksterne tilgangsmekanismer: pålogging og Internetttilgang 4/4 2.2.1 Internett-sikkerhetskrav En Internett-sikkerhetsløsning bør inneholde følgende viktige funksjoner for å sikre datasikkerheten og firmanettverket: • Tilgangskontroll som hindrer at uautoriserte brukere får tilgang til firmanettverket. • Kryptering som gjør at ingen kan lese eller kopiere data som sendes over Internett. Datakryptering brukes til å beskytte data fra uautoriserte brukere ved å kode innholdet. Det finnes mange krypteringsmetoder tilgjengelig, forskjellen ligger hovedsakelig i ulike krypteringsalgoritmer. • Godkjenning sikrer at dataene kommer fra oppgitt kilde. Bruk av VPN-teknologi (VPN = virtuelt privat nettverk ) er utbredt ved kobling av firma-LAN mellom områder, eller eksterne forretningspartnere til firmanettverket. 2.2.2 Kort om VPN-teknologi Figur 2 illustrerer en typisk VPN-konfigurering. Den samme teknologien og plattformen kan brukes for å oppnå en sikrere ekstern tilgang for GPRS- og trådløst LAN-brukere. Intranett for avdelingskontor VPN-server VPN VPN-server Intranett for forretningspartner Internet VPN VPN Brannmur/ VPN-server Firmaets intranett Ekstern tilgang, VPN-klient Figur 2: VPN VPN-løsningen består av en nettverksserver og klientprogramvare. VPN-serveren beskytter uønsket og uautorisert kommunikasjon til eller fra det beskyttede nettverket. All trafikk til det private nettverket er tvunget til å passere gjennom VPN-serveren. Det opprettes en tunnel mellom terminalen og VPN-serveren, og brukerdataene godkjennes, krypteres og overføres inne i vertstunnelen. 5/5 Fordelen med VPN er at den beskytter informasjon som overføres til og fra intranettet, og at uautorisert tilgang forhindres. VPN opprettholder ikke permanente koblinger mellom endepunktene. Når en tilkobling mellom en terminal og firmanettverket er nødvendig, opprettes den og avsluttes når tilkoblingen lukkes. Klienten oppretter den sikre tunnelen, og nettverket godkjenner den eksterne brukeren. Ved hjelp av brukergodkjenning bekreftes identiteten til alle eksterne brukere. Tilgang til firmanettverket gis bare etter at godkjenningen er fullført. Det finnes ulike alternative godkjenningsmekanismer, for eksempel passord, sikkerhetsmerker (som kan være lagret på et smartkort) og sertifikater. Oppretting av ende-til-ende-tunneler beskytter dataoverføringen mot angrep. Ofte har VPNklienter og servere også en innebygd brannmur. En såkalt personlig brannmur filtrerer innkommende data og tillater Internett-tilkoblinger bare fra forhåndsdefinerte verter. Dette forhindrer uautorisert tilgang på den eksterne terminalen. Integrert kryptering sikrer at det er praktisk talt umulig for uautoriserte brukere å lese data. De fleste VPN-enheter bruker automatisk den sterkest mulige krypteringen og datagodkjenningsalgoritmene mellom brukere som kommuniserer. Krypteringen er transparent for alle applikasjoner, for eksempel e-post- og Web-leserprogrammer, som bruker IP-protokoller. Den eneste merkbare forskjellen er at VPN-innkapslingen legger til litt ekstra data som må sendes over den trådløse koblingen. 2.2.3 Kommersielle VPN-verktøy Den finnes mange ulike kommersielle VPN-løsninger på markedet. En VPNsikkerhetsgateway kan passe til alle de følgende kategorier: høyytelses-VPN-rutere, brannmurer, integrert VPN-maskinvare og rimelig VPN-programvare. Pakkekryptering er normalt inkludert i rutere, enten som tilleggsprogramvare eller som ekstra kretskort. Det sistnevnte er best i tilfeller hvor det kreves større gjennomstrømning. En kombinasjon av opprettede tunneler og kryptering med brannmur er sannsynligvis den beste løsningen for små nettverk med lave trafikkvolumer. I de fleste tilfeller er det firmaets IT-ansvarlige som velger og administrerer VPN-systemet. Det er mange tilgjengelige produkter på markedet. Hovedkriteriet for utvelging av en egnet løsning er nødvendig kapasitet, som i praksis vil si antallet eksterne brukere. VPN må utføre en konvertering mellom firmanettverket og IP-adresseoppsettet til operatørnettverket. Derfor anbefales det å velge en løsning som støtter overføring av NAT (nettverksadresseoversettelse). Den standardiserte interoperabiliteten mellom ulike VPN-enheter garanterer interoperabiliteten for VPN-klienten og en rekke VPN-servere. Nokia D211 er interoperabilitetstestet med ledende VPN-klienter og serverprodukter. Du finner en detaljert liste over testede produkter på: www.nokia.com. 2.2.4 Personlig brannmur Personlig brannmur er programvare med et regelsett som tillater og nekter nettverkstrafikk gjennom en datamaskin. Den overvåker eller kontrollerer også programmene for å beskytte dem mot trojanske hester og "nøkkelknekkere". Den brukes primært for å forbedre sikkerheten når en VPN-klient brukes. En personlig brannmur kontrollerer tilgangen til brukerens datamaskin. Når den bærbare maskinen brukes på et usikret nettverk, bør 6/6 beskyttelsesnivået være konfigurert høyt. Alle forsøk på å koble seg til datamaskinen din bør avvises. Når brannmurmotoren oppdager en inntrenging, kommanderer den programvaren til å blokkere hackerens IP-adresse. Siden brannmuren kontrollerer overføringer på nettverkets TCP/IP-stakknivå, kan ikke hackere navigere seg rundt en blokkering i brannmuren. Denne typen beskyttelse bør alltid være aktivert, uansett hvor du jobber. 2.3 SIKKERHET PÅ PROGRAMNIVÅ FOR SURFING PÅ INTERNETT Enkelte Internett-programmer, for eksempel Web-lesere, tilbyr et ekstra sikkerhetsnivå. De nåværende Netscape- og Internet Explorer-programmene bruker sikkerhetsprotokoller på programnivå, for eksempel TLS (Transport Layer Security) og SSL (Secure Sockets Layer), som tilbyr brukerdatabeskyttelse mellom klientprogrammet og serveren. Disse mekanismene brukes for eksempel i forbindelse med banktjenester på Internett og ved elektroniske transaksjoner. Sikkerhet på programnivå sikrer et ekstra sikkerhetsnivå, som kan brukes ved Internetttilgang i tilfeller hvor en ikke har å gjøre med konfidensielle firmadata og den mobile terminalen ikke inneholder konfidensiell informasjon. I slike tilfeller kan Nokia D211 brukes uten VPN-tjenester. Sikkerhetsmekanismene på programnivå beskytter likevel ikke mobile terminaler mot eksterne angrep. I tillegg er krypteringsnivået ofte lavere enn i VPNtilkoblingen. Merk: I forbindelse med programmer som inneholder firmadata, bør brukeren alltid bruke oppretting av ende-til-ende-VPN-tunneler, sikkerhet på programnivå tilbyr et ekstra sikkerhetsnivå i tillegg til VPN-tunneler. 3. SIKKER GPRS-TILGANG TIL FIRMANETTVERK Standard GPRS-nettverk tilbyr OTA-databeskyttelse, men ikke en sikkerhetsløsning for ende-til-ende-Internett for mobil tilgang til et firma-LAN. GPRS-nettverk gir to sikkerhetsfunksjoner: abonnentgodkjenning og datakryptering. Brukergodkjenningsprosedyrene ved GPRS er lik dem som brukes i forbindelse med GSMnettverk. Alle sikkerhetsfunksjoner er basert på den hemmelige koden Ki som er lagret både på SIM-kortet (SIM = Subscriber Identification Module) og operatørens hjemmeplasseringsregister. I forbindelse med GPRS blir data og signaler kodet mellom terminalen og Internett. Merk: Ved bruk av en GPRS-tilkobling med Nokia D211 for firmatilkobling anbefales det å bruke en VPN-sikkerhetsløsning som tilbyr ende-til-endegodkjenning og datakryptering. VPN er ikke nødvendig hvis GPRS brukes i forbindelse med ikke-konfidensielle programmer, for eksempel ved surfing på Internett. VPN-tjenester tilbys i hovedsak fra firmaets IM eller mobiloperatør. Systemet som er gjengitt i figur 3, fungerer som følger: 1. Brukeren aktiverer GPRS-tilkoblingen. 2. GPRS-nettverket godkjenner mobilterminalen med SIM-kortet og etablerer en sikker trådløs GPRS-kobling til Internett (GPRS-kryptering). 7/7 3. Brukeren starter VPN-klienten på den mobile terminalen, som etablerer en ende-tilende-kryptert IP-tunnel til firmanettverket (Internett-datakryptering). Løsningen er svært pålitelig og sikker fordi all trafikk er kryptert hele veien fra den mobile terminalen til firmaets VPN-server, og VPN tilbyr et høyt sikkerhetsnivå. Brukeren kan få tilgang til intranettet fra et hvilket som helst GPRS-operatørnettverk. Figur 3: Sikker GPRS-tilgang til firmanettverk En alternativ konfigurering er å bruke en dedikert tilkobling fra mobiloperatørens GPRSnettverk til firmaintranettet og gå utenom det åpne Internett. I denne modellen er det ikke nødvendig med en VPN-klient. Sikkerhetsfunksjonene til GPRS-nettverket beskytter data mellom terminalen og GPRS-kjernen. Mobiloperatøren etablerer deretter en sikker tunnel mellom operatørnettverket og firmanettverket. Ved bruk av denne fremgangsmåten må firmakunden stole på mobiloperatøren, som tilbyr oppretting av sikre tunneler. Noen mobiloperatører tilbyr denne typen løsninger for store firmakunder. Hvis du vil ha mer informasjon, kontakter du mobiloperatøren din. 8/8 4. SIKKER TRÅDLØST LAN-TILGANG Trådløst LAN brukes ofte på kontorer, hjemme eller felles tilgangssoner, for eksempel hoteller, flyplasser og så videre. Med trådløst LAN kan de ansatte bevege seg mer fleksibelt rundt på kontoret og møterom, eller arbeide hjemmefra og likevel ha tilgang til den siste informasjonen på firmanettverket. Som GPRS bruker også trådløst LAN Internett-ryggraden. Derfor støtter den samme plattformen for sikker ekstern VPN-tilgang både GPRS og trådløst LAN. Nokia D211-brukeren kan velge mellom GPRS eller trådløst LAN-kobling, og deretter bruke den samme VPN-konfigurasjonen for å koble til firmanettverket. WLAN kan skape en sikkerhetsrisiko fordi radiosignalene beveger seg utenfor kontorbygningen. Sikkerhetsrisiko i trådløst LAN kan unngås ved bruk av egnet godkjenning og kryptering. Merk: Nokia anbefaler bruk av en ende-til-ende-løsning for VPN ved tilgang til firmadata over trådløst LAN. Trådløst LAN (IEEE 802.11b)-spesifikasjoner inneholder WEP-sikkerhetsalgoritmer (WEP = Wired Equivalent Privacy) som kan brukes for å godkjenne terminalene i WLAN i tillegg til å kryptere data på radiokoblingen. Sikkerhetsnivået til WEP er lavt sammenlignet med IPsikkerhet (VPN). WEP kan aktiveres som et ekstra sikkerhetsnivå, som brukes til å kontrollere tilgangen til trådløst LAN, for eksempel hjemme. Dette er likevel ikke den riktige løsningen for firmanettverk eller beskyttelse av konfidensielle data. Noen leverandører har implementert innehaverforsterkninger, for eksempel 802.1xforsterkninger, for WEP-sikkerhet og hevder at dette er nok for å garantere firmasikkerheten. Sikkerhetsnivået på disse ikke-standardiserte løsningene er likevel betydelig lavere sammenlignet med ende-til-ende-VPN-løsning. Kombinasjonen av trådløst LAN og et egnet konfigurert VPN er svært sikkert og er en utmerket løsning for alle WLAN-miljø. 4.1 TRÅDLØST LAN-TILGANG PÅ KONTORET Det mest typiske stedet for et trådløst LAN er kontorlokaler. Brukeren kan bevege seg fritt og enkelt rundt på kontoret, fra skrivebordet til møterommet, til og med mellom to nabobygninger, og opprettholde kontakten med nettverket hele tiden. Figur 4 illustrerer en typisk kontorkonfigurasjon for et sikkert trådløst LAN. Trådløst LAN-tilgangpunkt er atskilt fra firmanettverket med en VPN-server. En VPN-tunnel opprettes mellom den trådløse terminalen og VPN-serveren, som beskytter informasjonen som overføres til og fra intranettet og forhindrer uautorisert tilgang. Brukeren kan godkjennes ved hjelp av et passord, et engangspassord, for eksempel maskinvaremerker eller sertifikater. 9/9 Figur 4: Sikkert trådløst LAN-kontor 4.2 EKSTERN TRÅDLØST LAN-TILGANG Personer som reiser mye, kan bruke trådløst LAN-utstyr, også når de ikke er på kontoret. Mange Internett-leverandører og mobiloperatører tilbyr felles WLAN-tilgangstjenester på flyplasser, hoteller og andre offentlige steder. I tillegg kan en ha trådløst LAN hjemme. Brukerene av Nokia D211 kan ha en sikker ekstern trådløst LAN-tilkobling til firmanettverket fra alle disse stedene. Arkitekturen til et eksternt WLAN er nesten den samme som til et kontor-WLAN. Den viktigste forskjellen er at på kontoret er trafikken rutet via et privat nettverk direkte til VPNserveren. I forbindelse med en felles tilgangssone eller et trådløst LAN hjemme rutes brukerdataene via det åpne Internett. Fra et sikkerhetsperspektiv krever begge disse bruk av VPN. Den samme terminalsikkerhetskonfigurasjonen kan brukes både for ekstern tilgang og kontortilgang. Figur 5 viser arkitekturen til den eksterne tilgangen. Nokia D211-brukeren godkjennes først av et felles trådløst LAN og starter deretter VPN-klienten, som automatisk etablerer en sikker tunnel til firmanettverket. 10/10 Figur 5: Ekstern WLAN-tilgang 5. OPPSUMMERING – SIKKER FIRMATILGANG MED NOKIA D211 Nokia D211 gir brukeren mulighet til å bruke konvensjonelle påloggingsnettverk (figur 1). I denne konfigurasjonen er VPN-klienten ikke nødvendig, men tilkoblingen etableres ved bruk av standard Microsoft Windows-påloggingsfunksjoner. Den angitte arkitekturen til en ekstern tilgang som er gjengitt i figur 6, er komponert av to hoveddeler: VPN-serveren og VPN-klienten. VPN-serveren utvider firmanettverket med Internett-tilgang og tilbyr en sikker tilgang til firmanettverkressursene fra alle alternative trådløse nettverk: GPRS, HSCSD eller trådløst LAN. Den sammen serveren tilbyr tjenester for ekstern tilgang for alle typer eksterne brukere: hjemmearbeidere, GPRS-samtrafikk, brukere av felles trådløst LAN og så videre. Dette reduserer administrasjonskostnadene og forenkler arkitekturen til nettverket. Det er vanligvis firmaets IT-avdeling som administrerer VPN-serveren. VPN-klientprogramvaren er installert på brukerens PC og kjøres over Nokia D211programvaren. Den samme standardklientkonfigurasjonen brukes sammen med både GPRS og WLAN. Klienten etablerer automatisk en sikker tunnel til firma-VPN-serveren. I tillegg kan den tilby en personlig brannmur, som beskytter PCen mot angrep. Firmaet kan velge den VPN-klienten som passer best fordi Nokia D211 er kompatibel med ledende VPN-klienter. 11/11 Figur 6: Oppsummering av arkitekturen til en sikker ekstern tilgang VPN er den riktige måten å bygge en sikker, privat kommunikasjonsinfrastruktur på toppen av Internett. Det er en rekke fordeler ved bruk av Internett-tilkobling, GPRS og WLAN når det er tilgjengelig: • I stedet for at brukeren må ringe fjernsamtaler for direkte oppringing til firmaet, gjør GPRS og trådløst LAN at brukeren kan benytte seg av den åpne Internett-tilgangen. • Vanligvis er kostnadene i forbindelse med WLAN og GPRS basert på mengden med overførte data, ikke tilkoblingstid. Det gjør at e-post og surfing kan bli betydelig billigere ved bruk av denne typen tilkobling. • Med VPN blir firmaer kvitt modemressurser, kostbare leasede linjer og fjerntilgangservere. • Ytterligere innsparing kan oppnås ved reduksjon av driftskostnader tilknyttet brukerstøtte for eksterne brukere. Nokia D211-multimoderadiokort gir en ny referanse for PC-tilkobling ved å tilby både pålogging i tillegg til GPRS- og WLAN-tilkobling på en og samme enhet. Det er tatt hensyn til sikkerhetsaspektene i produktutformingen. Nokia D211 er interoperabilitetstestet, i gjengitte referanseutforming, med ledende leverandører av programvare for VPN-klienter og med Microsofts innebygde sikkerhetsløsninger for Internett (IPSEC). Du finner mer detaljert informasjon om sikkerhet på www.nokia.com. 12/12