DATASIKKERHED 1/1. Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0



Relaterede dokumenter
KORT VEJLEDNING TIL MODEM OPTIONS FOR NOKIA 7650

KORT VEJLEDNING TIL NOKIA MODEM OPTIONS

Din brugermanual NOKIA C110

Datasikkerhed INTRODUKTION

Forbindelsesstyring Brugervejledning

Del online. Kom godt i gang. Åbning af onlinetjenesten. Overførsel af filer. Del online

Netværk, WAN teknik. Introduktion til VPN. Afdeling A Odense. WAN kredsløb. Hovedkontor Viborg. Afdeling B Roskilde

Nokia Nseries PC Suite udgave

KORT VEJLEDNING TIL. Installation af Nokia Connectivity Cable Drivers

Nokia C110/C111 Kort til trådløst LAN Installationsvejledning

Din brugermanual NOKIA

Onlinedeling 2.0 Nokia N76-1

Nokia Lifeblog 2.5 Nokia N76-1

Sikkerhed i trådløse netværk

KORT VEJLEDNING TIL NOKIA PC SUITE 4.81 TIL NOKIA 6310i

2007 Nokia. Alle rettigheder forbeholdes. Nokia, Nokia Connecting People og Nseries er varemærker eller registrerede varemærker tilhørende Nokia

Trådløs Brugervejledning

Nokia-bilhåndsæt Installationsvejledning Brugervejledning

Tryk og tal. 1. udgave

Trådløs (kun udvalgte modeller)

Brugervejledning til trådløst bilsæt (CK-1W) udgave

Nokia HS-2R-radioheadset Brugervejledning udgave

Udskriv online udgave

Nu kommer bredbånds-wwan: hvilken betydning har det for den mobile professionelle bruger?

beskrivelse af netværket på NOVI

F-Secure Mobile Security for S60

Bilsæt CK-10 Brugervejledning , 1. udgave

Trådløs (kun udvalgte modeller)

VPN-klienten SecureClient for TDC Managed Firewall

Trådløs (kun udvalgte modeller)

Trådløs (kun udvalgte modeller)

Introduktion til computernetværk

DAU REMOTE ACCESS LØSNINGSMULIGHEDER OG TEKNOLOGIER MED REMOTE ACCESS JOHN AMMENTORP

Ruko ARX Access. Total tryghed og sikkerhed med online adgangskontrol STAND OFF ALONE LINE LINE

Tryk og tal Nokia N76-1

Trådløs, håndfri Nokia HF-33Wenhed til montering i bil /1

Forår Firewalls

Beskyt din forretning

Før du starter installationen, skal du først kontrollere, at alle de nødvendige dele er der. Æsken skal indeholde:

Trådløs (kun udvalgte modeller) Brugervejledning

Toshiba EasyGuard i brug:

Din brugermanual NOKIA HS-36W

Brugervejledning til Nokia-headset med display HS udgave

Application Note: AN-Z05

«Lejekontrakt_Selskab» BRUGERVEJLEDNING OPSÆTNING AF INTERNET

Brugervejledning til Nokia-musikholder MD udgave

WLAN sikkerhedsbegreber -- beskrivelse

BIPAC-7500G g ADSL VPN Firewall-router med 3DES-accelerator Kom hurtigt i gang

Nokia Internet Modem Brugervejledning

Trådløst download (DLD ) - Hurtigt, bekvemt, omkostningsbesparende

Introduktion til MPLS

Installationsvejledning. til PC Suite. DA Issue 2

Nu er det nemt for nutidens nomader at være online overalt

Gode råd til netbankbrugere - sikring af en typisk hjemme-pc med adgang til netbank

FORSKNING VISER, AT PRINTERE EFTER- LADES SÅRBARE OVER FOR CYBERANGREB

Positionering Nokia N76-1

Lumia med Windows Phone

It-sikkerhedstekst ST4

Infrastruktur i hjemmet og begreber

BIPAC 5102 / 5102S / 5102G. ADSL2+-Modem/Router. Kom hurtigt i gang

UniLock System 10. Manual til COM Server CV72. Version 1.0 Revision

Teknisk beskrivelse til TDC Managed Firewall

Norton Internet Security Online Brugerhåndbog

BIPAC 7402G g ADSL VPN Firewall-router. Kom hurtigt i gang

7. Indstilling af den trådløse forbindelse i Windows XP

Din brugermanual NOKIA BH-601

Indholdsfortegnelse: Firewall Erhvervsakademi Midtjylland

Nokia Bluetooth Headset BH /1

Nokia Bluetooth Headset BH /2

BIPAC-7100S / ADSL-modem/router. Kom hurtigt i gang

Din brugermanual HP COMPAQ DC7100 CONVERTIBLE MINITOWER PC

Google Cloud Print vejledning

Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant

BiPAC 7202 / 7202G. (802.11g) ADSL2+ Modem / Router. Kom hurtigt i gang

Ingen kompromier - Bedste beskyttelse til alle computerere CLIENT SECURITY

Afinstaller alle andre programmer Vigtigt! Fjern alle andre antivirus programmer før du installerer Panda Internet Security Mere end et antiviru

Nokia Bluetooth Headset BH /1

Installationsvejledning

STOFA VEJLEDNING SAFESURF INSTALLATION

Trådløst download (DLD ) - Hurtigt, bekvemt, omkostningsbesparende

Privatlivspolitik. Coverwise Limited deler en forpligtelse til at beskytte dit privatliv og holde dine personlige oplysninger sikre.

ARX. Fremtidssikret online adgangskontrol. ASSA ABLOY, the global leader in door opening solutions

BIPAC Kombineret firewall og router til bredbånd. Kom hurtigt i gang

Sikker Drift. Sikker Drift Light. Sikker Drift Standard. Sikker Drift Light inkluderer. Sikker Drift Standard inkluderer

Praesideo digitalt lydsystem til højttaleranlæg og talevarslingsanlæg Få alle meddelelserne ud - uanset hvad


BiPAC 7402R2. ADSL2+ VPN Firewall-router. Kom hurtigt i gang

Nokia Bluetooth Headset BH /1

Fuld installation af Jit-klient

Sådan fikser du din netværks forbindelse hurtigt

Synkron kommunikation

Sikker Drift. Sikker Drift Light inkluderer. Sikker Drift Standard inkluderer

Som aftalt tilbud for installation af trådløst lokalnetværk med fælles tilslutning til Internet (ADSL) samt instruktion mv.

DI-824VUP+ Før du går i gang. 2.4GHz Wireless VPN Router og printerserver. DI-824VUP+ 2.4GHz Wireless VPN Router og printerserver

BIPAC-5100 / 5100W. Trådløs ADSL-router. Kom hurtigt i gang

Billion. Hotfix for BIPAC 5200G Serien & Windows XP Service Pack 3. Revision 1.0DK. Dato: 22 maj, Side 1 af 1. Revision: V1.

Netservice Netservice-menuen giver dig mulighed for at opsætte og aktivere/deaktivere forskellige netfunktioner på kameraet.

BIPAC-7402 / 7402W (Trådløs) ADSL VPN Firewall-router med 3DES-accelerator Kom hurtigt i gang

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Sikkerhedsløsninger. Sharp Security Suite Stærk beskyttelse af dine fortrolige data og informationer

Transkript:

DATASIKKERHED 1/1 Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0

Indhold 1. INTRODUKTION... 3 2. ARKITEKTURER TIL EKSTERN ADGANG... 3 2.1 ADGANG VED HJÆLP AF MODEM... 3 2.2 SIKKER INTERNETADGANG (GPRS, WLAN)... 3 2.2.1 KRAV TIL INTERNETSIKKERHED... 4 2.2.2 KORT OM VPN-TEKNOLOGI... 5 2.2.3 KOMMERCIELLE VPN-PROGRAMMER... 6 2.2.4 PERSONLIG FIREWALL... 6 2.3 SIKKERHED PÅ PROGRAMNIVEAU VED INTERNETSØGNING... 7 3. SIKKER GPRS-ADGANG TIL VIRKSOMHEDENS NETVÆRK... 7 4. SIKKER TRÅDLØS LAN-ADGANG... 8 4.1 TRÅDLØS LAN-ADGANG PÅ KONTORET... 9 4.2 EKSTERN TRÅDLØS LAN-ADGANG... 10 5. OVERSIGT SIKKER VIRKSOMHEDSADGANG MED NOKIA D211... 11 Juridiske oplysninger Copyright Nokia Corporation 2002. Alle rettigheder forbeholdes. Kopiering, overførsel, overdragelse eller lagring af en del eller hele indholdet af dette dokument i nogen form uden forudgående skriftlig tilladelse fra Nokia er ikke tilladt. Nokia og Nokia Connecting People er registrerede varemærker tilhørende Nokia Corporation. Andre produkter og firmanavne, som er nævnt heri, kan være varemærker eller handelsnavne tilhørende deres respektive ejere. Nokia udvikler løbende sine produkter. Nokia forbeholder sig retten til at ændre og forbedre de produkter, der er beskrevet i dette dokument, uden forudgående varsel. Nokia kan under ingen omstændigheder holdes ansvarlig for tab af data eller fortjeneste eller nogen som helst form for specielle, tilfældige, betingede eller indirekte skader, uanset hvordan de er forvoldt. Oplysningerne i dette dokument leveres "som de er og forefindes". Medmindre det er krævet af gældende lovgivning, stilles der ikke nogen garantier, hverken udtrykkelige eller stiltiende, herunder, men ikke begrænset til, garantier for salgbarhed og egnethed til et bestemt formål, i forbindelse med nøjagtigheden, pålideligheden eller indholdet af dette dokument. Nokia forbeholder sig retten til at ændre dette dokument eller trække det tilbage på et hvilket som helst tidspunkt uden forudgående varsel. 2/2

1. INTRODUKTION Det nye Nokia D211-radiokort med flere tilstande er en ideel løsning til mobile medarbejdere i virksomheden, som gerne vil have adgang til virksomhedens netværk, mens de er på rejse. De oplysninger, der overføres, er ofte kritiske for virksomhedens forretninger, og sådanne oplysninger må ikke slippe ud til udenforstående. Derfor spiller sikkerheden en vigtig rolle, når du bruger Nokia D211 i forbindelse med tjenester til ekstern adgang. Denne vejledning forklarer, hvordan sikkerheden skal håndteres i forbindelse med brug af Nokia D211. Den giver en introduktion til grundlæggende principper i forbindelse med internetsikkerhed og belyser nogle referencearkitekturer, som gør det muligt at få sikker adgang til virksomhedens netværk via GPRS (General Packet Radio Service) og WLAN (Wireless Local Area Networks). 2. ARKITEKTURER TIL EKSTERN ADGANG 2.1 ADGANG VED HJÆLP AF MODEM Indtil for nylig er tjenester til ekstern adgang for det meste blevet implementeret ved hjælp af leasede linjer, opkaldsmodemmer og servere til ekstern adgang. Forbindelsen etableres via det offentlige telefonnetværk og den kendte PPP-protokol (Point-to-Point Protocol), som findes i næsten al terminalsoftware. Opkaldsforbindelsen etableres ved hjælp af en fastnettelefon eller en trådløs terminal. Serveren til ekstern adgang godkender brugeren ved hjælp af en adgangskode. Der bruges normalt ikke andre specielle sikkerhedsmekanismer. Nokia D211 indeholder to forskellige opkaldsmuligheder: GSM-data og HSCSD-data (High Speed Circuit Switched Data). I denne opsætning beskytter GSM-netværket brugerdataene via den trådløse forbindelse. Således kræver den trådløse adgang ikke ekstra sikkerhedsudvidelser, men kan bruges lige som et opkaldsmodem til fastnet. Opkaldsforbindelsen etableres typisk ved hjælp af opkaldsfunktionaliteten i Microsoft Windows. 2.2 SIKKER INTERNETADGANG (GPRS, WLAN) De nye trådløse internetteknologier, f.eks. GPRS og trådløst LAN, giver en hurtigere og mere omkostningsbegrænsende metode til at få adgang til virksomhedsdata. De nye adgangsmekanismer kræver nogle få forbedringer, før virksomhedens platform for tjenester til ekstern adgang kan garantere datafortroligheden. Figur 1 viser arkitekturerne for opkald og ekstern internetadgang. Den vigtigste forskel er, at GPRS og trådløst LAN i stedet for et telefonnetværk udnytter internettets basisnet som en gateway til virksomhedens netværk. Brugerdataene overføres fra det mobile netværk via det usikre internet til virksomhedens netværk ved hjælp af internetprotokoller. Det offentlige internet er udsat for adskillige sikkerhedsrisici. Et alvorligt sikkerhedsproblem er, at internetpakker, modsat en Point-to-Point-opkaldsforbindelse, kan læses af alle, der har adgang til netværket. Desuden følger IP-pakker ofte den samme rute, så mulige 3/3

indtrængende personer sandsynligvis har adgang til alle IP-pakker. De trådløse netværkssikkerhedsfunktioner (GPRS og WLAN) alene er ikke nok til at garantere fortrolighed. Et yderst pålideligt system til ekstern adgang kan oprettes ved at kombinere trådløs adgang med en internetsikkerhedsløsning (IP) med slutpunkt-til-slutpunkt. Bemærk! Til sikker GPRS-/WLAN-adgang anbefaler Nokia brug af en bredt anvendt VPN-sikkerhedsløsning (Virtual Private Network) på IP-niveau. De følgende afsnit beskriver, hvordan denne teknologi kan bruges til GPRS-adgang, kontortilslutning og hjemmetilslutning via trådløst LAN. Intranettjenester Opkaldsserver Virksomhedens intranet Firewall til sikker ekstern IP-adgang Sikkerhed vedslutpunkt-tilslutpunkt-internetforbindelse Sikkerhed ved radioforbindelse Fastnettelefonnetværk GSMnetværk Offentligt internet Trådløst pakkenetværk (GPRS, WLAN) Bærbar pc med Nokia D211 Figur 1: Alternative mekanismer til ekstern adgang: opkald og internetadgang 2.2.1 Krav til internetsikkerhed En internetsikkerhedsløsning bør omfatte følgende kritiske funktioner til at garantere sikkerheden for data og virksomhedens netværk: Adgangskontrol til at hindre uautoriserede brugere i at få adgang til virksomhedens netværk. Kryptering til at forhindre, at data blive læst eller kopieret af nogen, mens de befinder sig på internettet. Datakryptering bruges til at beskytte data mod uautoriserede brugere ved at kode indholdet. Der er mange tilgængelige krypteringsmetoder, som hovedsageligt adskiller sig fra hinanden ved deres krypteringsalgoritmer. 4/4

Godkendelse, som sikrer, at dataene stammer fra den kilde, som det påstås. VPN-teknologien (Virtual Private Network) bruges i vid udstrækning til at sammenkæde virksomhedens LAN-netværk mellem forskellige lokationer eller til at sammenkæde eksterne forretningspartnere med virksomhedens netværk. 2.2.2 Kort om VPN-teknologi Figur 2 viser en typisk VPN-konfiguration. Den samme teknologi og platform kan også bruges til at give sikker ekstern adgang for brugere af GPRS og trådløst LAN. Afdelingskontorets intranet VPN-server VPN-server Forretningspartnerens intranet Internet VPN VPN VPN Firewall / VPN-server Virksomhedens intranet Ekstern adgang, VPN-klient Figur 2: VPN (Virtual Private Network) VPN-løsningen består af en netværksserver og klientsoftware. VPN-serveren beskytter mod uønsket og uautoriseret kommunikation ind i eller ud af det beskyttede netværk. Al trafik til det private netværk tvinges til at gå gennem VPN-serveren. Der oprettes en tunnel mellem terminalen og VPN-serveren, og brugerdataene godkendes, krypteres og overføres via tunnelen til værten. Fordelen ved VPN er, at det beskytter de oplysninger, som overføres til og fra intranettet, og at uautoriseret adgang forhindres. VPN-netværk opretholder ikke permanente links mellem slutpunkterne. I stedet oprettes der en forbindelse mellem en terminal og virksomhedens netværk, når der er brug for en, og bagefter fjernes den igen, når forbindelsen lukkes. Klienten initierer den sikre tunnel, og netværket godkender den eksterne bruger. Brugergodkendelse bekræfter identiteten for alle eksterne brugere. Der tildeles først adgang til virksomhedens netværk, efter at godkendelsen er udført uden fejl. Der findes forskellige alternative godkendelsesmekanismer, f.eks. adgangskoder, sikkerhedstokens (f.eks. gemt på et chipkort) og certifikater. 5/5

Brug af en slutpunkt-til-slutpunkt-tunnel beskytter overførslen af data mod sikkerhedsangreb. Ofte omfatter VPN-klienter og -servere også en indbygget firewall. En såkaldt personlig firewall filtrerer de indkommende data og tillader kun internetforbindelser fra foruddefinerede værter. Dette forhindrer indtrængende personer i at få adgang til den eksterne terminal. Integreret kryptering sikrer, at det er praktisk talt umuligt for uautoriserede personer at læse data. De fleste VPN-enheder forhandler automatisk om brugen af de stærkest mulige krypterings- og datagodkendelsesalgoritmer mellem de kommunikerende parter. Krypteringen kan læses af alle programmer, f.eks. e-mail-program og webbrowser, som bruger IP-protokoller. Den eneste betydelige virkning er, at VPN-indkapsling tilføjer nogle ekstra data, som skal overføres via det trådløse link. 2.2.3 Kommercielle VPN-programmer Der findes en bred vifte af kommercielle VPN-løsninger på markedet. En VPNsikkerhedsgateway kan passe til en af følgende kategorier: højtydende VPN-routere, firewalls, integreret VPN-hardware og billig VPN-software. Pakkekryptering er normalt inkluderet i routere, enten som et tilføjelsesprogram eller et ekstra printkort. Sidstnævnte er bedst til situationer, som kræver stor dataoverførselshastighed. Tunnelføring og kryptering i kombination med firewalls er sandsynligvis den bedste løsning til mindre netværk med små mængder trafik. I de fleste tilfælde vælger og administrerer virksomhedens IT-chef VPN-systemet. Udvalget af produkter er stort. Hovedkriteriet for valg af den rigtige løsning er den krævede kapacitet, hvilket i praksis er antallet af brugere med ekstern adgang. Typisk skal VPN-netværket lave en konvertering mellem virksomhedens netværk og operatørens netværks-ipadresseringsskema. Det anbefales derfor at vælge en løsning, som understøtter NATtraversal (Network Address Translation). Den standardiserede funktionsdygtighed mellem forskellige VPN-enheder garanterer funktionsdygtigheden mellem VPN-klienten og et antal VPN-servere. Nokia D211 er testet mht. funktionsdygtighed sammen med førende VPN-klient- og -serverprodukter. En detaljeret liste over de testede produkter kan findes på adressen: www.nokia.com. 2.2.4 Personlig firewall En personlig firewall er et stykke software, der indeholder et regelsæt, der tillader og nægter netværkstrafik på en computer. Den overvåger eller kontrollerer også programmer for at beskytte dem mod trojanere og keyloggere. Den vigtigste funktion er at forbedre sikkerheden, når der benyttes en VPN-klient. En personlig firewall kontrollerer adgangen til brugerens pc. Når din bærbare pc benyttes i et usikkert netværk, skal beskyttelsesniveauet konfigureres, så det er meget højt. Faktisk skal alle forsøg på at oprette forbindelse til din computer nægtes. Når firewall-programmet registrerer et forsøg på indtrængen, modtager softwaren en kommando om at blokere hackerens IP-adresse. Da firewall'en kontrollerer overførsel på netværkets TCP/IP-stakniveau, kan hackere ikke omgå en blokering i firewall'en. Denne form for beskyttelse bør altid være aktiveret, uanset hvor pc'en benyttes. 6/6

2.3 SIKKERHED PÅ PROGRAMNIVEAU VED INTERNETSØGNING Visse internetprogrammer, f.eks. webbrowsere, udgør et yderligere sikkerhedsniveau. De aktuelle Netscape- og Internet Explorer-programmer bruger protokoller til sikkerhed på programniveau, f.eks. Transport Layer Security og SSL (Secure Socket Layer), som indeholder brugerdatabeskyttelse mellem klientprogrammet og serveren. Disse mekanismer er vidt udbredt, f.eks. inden for internetbankvirksomhed og elektroniske transaktioner. Sikkerhed på programniveau medfører et yderligere sikkerhedsniveau, som kan bruges til internetadgang, når det ikke drejer sig om virksomhedsfortrolige data, og den mobile terminal ikke indeholder fortrolige oplysninger. I sådanne tilfælde kan brugeren bruge Nokia D211 uden VPN-tjenester. Men mekanismer til sikkerhed på programniveau beskytter ikke den mobile terminal mod eksterne angreb. Herudover er krypteringsniveauet ofte lavere end i VPN-forbindelsen. Bemærk! I forbindelse med programmer med virksomhedsdata bør brugeren altid anvende slutpunkt-til-slutpunkt-vpn-tunnelføring. Sikkerhed på programniveau indeholder dermed et yderligere sikkerhedsniveau oven i VPN-tunnelføringen. 3. SIKKER GPRS-ADGANG TIL VIRKSOMHEDENS NETVÆRK Standard-GPRS-netværket indeholder trådløs databeskyttelse, men giver ikke nogen internetsikkerhedsløsning med slutpunkt-til-slutpunkt for mobil adgang til en virksomheds LAN. GPRS-netværket indeholder to sikkerhedsfunktioner: abonnentgodkendelse og datakryptering. Brugergodkendelsesprocedurerne i GPRS er de samme som ved GSMnetværket. Alle sikkerhedsfunktioner er baseret på den hemmelige nøgle Ki, som er gemt på både SIM-kortet (Subscriber Identification Module) og i operatørens register over hjemmelokationer. I GPRS chifreres data og signalføring mellem terminalen og internettet. Bemærk! Hvis du bruger en GPRS-forbindelse sammen med Nokia D211 til tilslutning til virksomheden, anbefales det, at du bruger en VPNsikkerhedsløsning, som indeholder slutpunkt-til-slutpunkt-godkendelse og datakryptering. VPN er ikke nødvendig, hvis GPRS bruges til ikke-fortrolige programmer, f.eks. søgning på internettet. Typisk leveres VPN-tjenesten af virksomhedens IT-afdeling eller af mobiloperatøren. Systemet, som vises i Figur 3, fungerer på følgende måde: 1. Brugeren aktiverer GPRS-forbindelsen. 2. GPRS-netværket godkender den mobile terminal med SIM-kortet og etablerer et sikkert og trådløst GPRS-link til internettet (GPRS-kryptering). 3. Brugeren starter VPN-klienten på den mobile terminal, som derefter etablerer en slutpunkt-til-slutpunkt-krypteret IP-tunnel til firmaets netværk (internetdatakryptering). Løsningen er usædvanlig pålidelig og sikker, eftersom al trafik krypteres hele vejen fra den mobile terminal til virksomhedens VPN-server, og VPN tilbyder et højt sikkerhedsniveau. Brugeren kan få adgang til intranettet fra ethvert GPRS-operatørnetværk. 7/7

Figur 3: Sikker GPRS-adgang til virksomhedsdata En alternativ konfiguration er at bruge en dedikeret forbindelse fra den mobile operatørs GPRS-netværk til virksomhedens intranet og helt forbigå det offentlige internet. I denne model kræver den mobile terminal ikke en VPN-klient. Funktioner til GPRSnetværkssikkerhed beskytter dataene mellem terminalen og GPRS-kernen. Den mobile operatør etablerer så en sikker tunnel mellem operatørens netværk og virksomhedens netværk. Ved denne fremgangsmåde skal virksomhedskunden stole på den mobile operatør, som tilbyder en sikker tunnelføring. Nogle få mobile operatører tilbyder denne slags løsninger til deres store virksomhedskunder. Hvis du vil have detaljer, skal du kontakte din mobile operatør. 4. SIKKER TRÅDLØS LAN-ADGANG Trådløst LAN anvendes typisk på kontoret, i hjemmet eller i den offentlige adgangszone, f.eks. hoteller, lufthavne osv. Med trådløst LAN kan medarbejderne flytte fleksibelt rundt på kontoret og i møderum eller arbejde hjemme og stadig have adgang til de nyeste oplysninger 8/8

på virksomhedens netværk. Ligesom GPRS benytter trådløst LAN også internettets basisnet. Som en konsekvens heraf understøtter den samme sikre VPN-platform til ekstern adgang både GPRS og trådløst LAN. Nokia D211-brugeren kan vælge mellem et GPRS-link og et link til trådløst LAN og derefter udnytte den samme VPN-konfiguration til at oprette forbindelse til virksomhedens netværk. WLAN kan skabe en sikkerhedsrisiko, fordi radiosignalerne bevæger sig uden for kontorbygningen. Sikkerhedsrisici i et trådløst LAN kan undgås ved at bruge korrekt godkendelse og kryptering. Bemærk! Nokia anbefaler, at du anvender en slutpunkt-til-sutpunkt-vpn-løsning, når du skal have adgang til virksomhedsdata via det trådløse LAN. Specifikationen for det trådløse LAN (IEEE 802.11b) indeholder WEP-sikkerhedsalgoritmen (Wired Equivalent Privacy), som kan bruges til at godkende terminalerne i WLAN'et samt til kryptering af dataene på radiolinket. Sikkerhedsniveauet for WEP er lavt sammenlignet med IP-sikkerhed (VPN). WEP kan aktiveres som et yderligere sikkerhedslag, som bruges til at kontrollere adgangen til det trådløse LAN, f.eks. hjemme, men det er ikke det rigtige valg til kontrol af adgangen til en virksomheds netværk eller til at beskytte fortrolige data. Nogle leverandører har implementeret egne forbedringer, f.eks. 802.1x-forbedringer, til WEPsikkerhed og hævder, at disse er nok til at garantere virksomhedens netværkssikkerhed. Sikkerhedsniveauet for disse ikke-standardløsninger er imidlertid markant lavere sammenlignet med en slutpunkt-til-slutpunkt-vpn-løsning. Kombinationen af et trådløst LAN og korrekt konfigureret VPN giver høj sikkerhed og er en fortrinlig løsning for alle WLAN-miljøer. 4.1 TRÅDLØS LAN-ADGANG PÅ KONTORET Det mest typiske sted for et trådløst LAN er på kontoret. Brugeren kan let og frit flytte omkring på kontoret fra skrivebordet til møderummet eller selv mellem to ved siden af hinanden liggende bygninger og hele tiden opretholde en forbindelse til netværket. Figur 4 viser en typisk sikker konfiguration af et trådløst LAN på kontoret. Adgangspunkterne for det trådløse LAN er adskilt fra virksomhedens netværk med en VPNserver. Der er oprettet en VPN-tunnel mellem den trådløse terminal og VPN-serveren, som beskytter de oplysninger, som overføres til og fra intranettet, og forhindrer uautoriseret adgang. Brugeren kan godkendes med en adgangskode, en engangsadgangskode, f.eks. hardwaretokens, eller certifikater. 9/9

Figur 4: Sikkert trådløst LAN på kontoret 4.2 EKSTERN TRÅDLØS LAN-ADGANG Mobile medarbejdere kan anvende trådløst LAN-udstyr, også når de ikke er på kontoret. Mange internetudbydere (ISP'er) og mobile operatører har startet tjenester til offentlig WLANadgang i lufthavne, på hoteller og andre offentlige steder. Herudover kan man have trådløst LAN hjemme. Brugere af Nokia D211 kan have en sikker ekstern og trådløs LAN-forbindelse til virksomhedens netværk fra alle disse steder. Arkitekturen i et eksternt WLAN ligner WLAN'et på kontoret. Den eneste vigtige forskel er, at på kontoret routes trafikken via et privat netværk direkte til VPN-serveren. Hvis det drejer sig om en offentlig adgangszone eller et trådløst LAN i hjemmet, routes brugerdataene via det offentlige internet. Ud fra et sikkerhedsperspektiv kræver begge disse løsninger brugen af VPN. Den samme konfiguration af terminalsikkerheden kan bruges til både ekstern adgang og kontoradgang. Figur 5 viser arkitekturen for ekstern adgang. Nokia D211-brugeren bliver først godkendt af det offentlige trådløse LAN. Derefter starter brugeren VPN-klienten, som automatisk etablerer en sikker tunnel til virksomhedens netværk. 10/10

Figur 5: Ekstern WLAN-adgang 5. OVERSIGT SIKKER VIRKSOMHEDSADGANG MED NOKIA D211 Nokia D211 gør det muligt for brugeren at arbejde ved hjælp af almindelige netværksopkald (figur 1). I denne konfiguration er VPN-klienten ikke påkrævet, men forbindelsen oprettes ved hjælp af almindelige Microsoft Windows-opkaldsfunktioner. Den introducerede arkitektur til ekstern adgang, vist på figur 6, består af to hoveddele: VPNserveren og VPN-klienten. VPN-serveren udvider virksomhedens netværk med internetadgang og tilbyder en sikker adgang til virksomhedens netværksressourcer fra alle alternative trådløse netværk: GPRS, HSCSD eller trådløst LAN. Den samme server tilbyder tjenester til ekstern adgang for alle slags eksterne brugere : hjemmearbejdere, brugere af GPRS-roaming, brugere af offentligt trådløst LAN osv. Dette reducerer administrationsomkostninger og gør netværksarkitekturen enklere. Det er typisk virksomhedens IT-afdeling, som administrerer VPN-serveren. VPN-klientprogrammet installeres på brugerens pc og kører over Nokia D211-softwaren. Den samme standardklientkonfiguration bruges sammen med både GPRS og WLAN. Klient 11/11

etablerer automatisk en sikker tunnel til virksomhedens VPN-server. Herudover kan den tilbyde en personlig firewall, som beskytter pc'en mod angreb. Firmaet kan vælge den VPNklient, som passer bedst, da Nokia D211 er kompatibel med de førende VPN-klienter. Figur 6: Oversigt over arkitekturen for sikker ekstern adgang VPN er den korrekte måde til at bygge en sikker, privat kommunikationsinfrastruktur oven på internettet. Der er en række fordele ved at bruge internettilslutning, GPRS, og WLAN, når det er tilgængeligt: I stedet for at brugeren skal foretage opkald til udlandet for at få en direkte forbindelse til firmaet, gør GPRS og trådløst LAN det muligt for brugeren at benytte den offentlige internetforbindelse. Typisk er omkostningerne i forbindelse med WLAN og GPRS baseret på den overførte datamængde, ikke på forbindelsestiden. På den måde kan e-mail og internetsøgning være betydeligt billigere over denne slags forbindelse. Med VPN slipper virksomhederne af med deres modemgrupper, dyre lejede linjer og servere til ekstern adgang. Yderligere besparelser kommer via en reduktion af de driftsomkostninger, der er forbundet med at understøtte eksterne brugere. 12/12

Nokia D211-radiokortet med flere tilstande sætter en ny standard for pc-tilslutning ved at tilbyde både opkaldstilslutning og GPRS- og WLAN-tilslutning i en enkelt enhed. Der er taget højde for sikkerhedsaspekterne i udformningen af produktet. Nokia D211 er testet for funktionsdygtighed i de afbildede referenceudgaver sammen med software fra førende producenter af VPN-klienter og sammen med Microsofts indbyggede internetsikkerhedsløsninger (IPSEC). Detaljerede oplysninger om sikkerhedsproblemer findes på adressen www.nokia.com. 13/13

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback