Datasäkerhet INTRODUKTION

Transkript

1 Datasäkerhet INTRODUKTION Användandet av trådlösa lokala nätverk (LAN) växer snabbare än någonsin. Dagens föränderliga marknader kräver flexibla människor med flexibla tekniska lösningar. Företag i alla storlekar börjar därför allt mer intressera sig för trådlösa nätverk. Samtidigt har industristandarden för trådlöst LAN (IEEE och IEEE b) skapat helt nya möjligheter för att använda trådlösa nätverkslösningar. Med alla de standardiserade produkter för trådlöst LAN som finns på marknaden kan företag och organisationer lättare utnyttja fördelarna med trådlösa nätverk. I många organisationer hanteras känslig information, och det innebär att nätverkets säkerhetströskel är en av de viktigaste frågorna vid nyinstallationer och uppgraderingar. Ett trådlöst LAN är ett mycket flexibelt system för datakommunikation som kan användas för att bygga ut ett konventionellt nätverk i en eller flera byggnader. Ett trådlöst LAN använder RF-teknik (Radio Frequency) för att skicka och ta emot information, vilket minskar behovet av fasta anslutningar. Med ett trådlöst LAN kan mobila användare ansluta till ett konventionellt nätverk inom nätverkets täckningsområde. Trådlösa nätverk används av många olika slags organisationer, till exempel inom sjukvård, tillverkning, lager och utbildning. Inom dessa verksamhetsområden kan handdatorer och bärbara datorer användas ute på golvet och samtidigt överföra information i realtid till centrala datasystem för analys och vidare bearbetning. Dessutom ökar behovet av att kunna använda mobila lösningar tillsammans med konventionella nätverk utan komplicerade installationsrutiner och kablar i vanliga kontorsmiljöer. Standardiseringen av trådlöst LAN gör det enklare och billigare att bygga ut eller ersätta delar av ett traditionellt LAN med en trådlös motsvarighet. När nätverksarkitekturen ska planeras är det viktigt att alla säkerhetsaspekter ingår i planeringen och att alla nödvändiga åtgärder vidtas för att säkerställa integritet och säkerhet både i det trådlösa och det konventionella nätverket. Till skillnad från nätverk för telekommunikation kan ett lokalt nätverk (med IP-trafik och Internet-anslutning) inte automatiskt erbjuda hög tillförlitlighet eller säkerhetsgarantier. Utan en genomtänkt säkerhetspolicy kan ett lokalt nätverk, trådlöst eller konventionellt, vara mycket sårbart och utgöra en säkerhetsrisk. Till exempel kan informationen som skickas i nätverket läsas eller till och med ändras av någon som vill sälja informationen vidare till konkurrenter. De här säkerhetsproblemen har under de senaste åren begränsat marknaden för trådlösa nätverk i miljöer med känslig information, eftersom användarna i många fall har stränga säkerhetsregler och rutiner för sekretess och dataintegritet. 1

2 DATASÄKERHET ÖVERSIKT Säkerhetshot Det finns många allvarliga säkerhetshot mot datorsystem och nätverk som kan leda till skador på systemet, systemets tjänster eller informationen i systemet. Ett säkerhetsintrång är en handling som på något sätt har skadat informationssäkerheten i en organisation. Ett säkerhetshot är möjligheten att en sådan attack ska kunna utföras. Exempel på hot är tjänsteblockering, avlyssning, manipulation, falsk identitet och förnekande. Tjänsteblockering betyder att tjänster i ett system eller ett nätverk inte kan utnyttjas av behöriga användare på grund av att datakommunikationen är blockerad eller avbruten. Den här situationen kan till exempel bero på överbelastning av obehöriga IP-paket i nätverket. I ett trådlöst nätverk kan problemet bero på avsiktliga störningar av radiofrekvenserna, vilket i sin tur stör nätverket. Avlyssning kan betyda identitetsavlyssning vilket innebär att en användaridentitet registreras när identiteten överförs i nätverket, eller dataavlyssning då en obehörig användare övervakar informationen som skickas mellan användare i nätverket. Det här är ett sekretessintrång. Ett exempel på avlyssning är när en utomstående avlyssnar överföring i ett konventionellt eller trådlöst nätverk och registrerar informationen som skickas i nätverket. Manipulation definieras som en situation där data har ersatts, lagts till eller tagits bort i ett system. Det här är ett säkerhetsintrång och kan vara oavsiktligt (till exempel på grund av ett hårdvarufel) eller avsiktligt, där en utomstående avlyssnar datakommunikationen och manipulerar informationen. Falsk identitet sker när en utomstående använder en annans användaridentitet för att hämta information eller få tillgång till ett system. Ett exempel i ett trådlöst LAN är en obehörig användare som försöker få tillgång till det trådlösa nätverket. Förnekande innebär att en användare förnekar att han eller hon har gjort något som är skadligt för systemet eller kommunikationen. Till exempel kan en användare förneka att vissa meddelanden har skickats eller att användaren har använt ett trådlöst LAN-system. Säkerhetstjänster och säkerhetsmekanismer Det finns många olika sätt att skydda systemet mot de här säkerhetshoten. Säkerhetstjänster förbättrar säkerheten i informationssystemet och dataöverföringarna. Säkerhetsmekanismer är aktiva åtgärder som utförs för att skapa säkerhetstjänster. Chiffrering är ett exempel på en mekanism som kan användas tillsammans med olika säkerhetstjänster. Verifiering är en tjänst som bekräftar en identitet, som till exempel en användareller maskinidentitet eller att ett meddelande verkligen har skickats från den plats som meddelandet påstår. Verifieringen används vanligtvis som ett skydd mot falska identiteter och manipulation. I de trådlösa system som finns i dag används till exempel verifiering av anslutningsstationer för att skydda nätverket från intrång. Åtkomstkontroll är en tjänst som ligger nära verifiering, och innebär att åtkomsten till nätverkssystem och nätverksprogram begränsas. En användare 2

3 måste först identifieras eller verifieras innan systemet ger användaren åtkomst till nätverket eller programmet. Datasekretess innebär att informationsöverföringar skyddas mot avlyssning. I ett trådlöst nätverk är ett exempel på detta när informationen som skickas mellan en trådlös enhet och en anslutningsstation skyddas på något sätt. Naturligtvis hanterar inte systemet alla data på det här sättet, men känslig information bör inte skickas vidare utan att skyddas. Dataintegritet är en viktig säkerhetstjänst som kontrollerar att information inte har ändrats eller skadats under överföringen. Det räcker inte att användare och enheter verifieras om systemet inte kan garantera att nätverksmeddelanden inte har ändrats under överföringen. Dataintegritet kan användas för att upptäcka och skydda information från manipulering. Icke-förnekande förhindrar att en användare eller enhet kan förneka att någonting har skett. Det här handlar vanligen om en situation där en användare eller enhet har använt en tjänst eller skickat ett meddelande, och senare förnekar detta. SÄKERHET OCH IEEE Det finns flera olika säkerhetsprotokoll och säkerhetslösningar som skyddar dataöverföringar i nätverk. Samma protokoll och lösningar kan också användas i ett trådlöst LAN för att skydda nätverkstrafiken från avlyssning. Det här avsnittet innehåller en introduktion till de lösningar som kan användas för att åtgärda säkerhetsproblem i trådlösa nätverk. Standarden för trådlöst LAN (IEEE ) fastställdes Standarden utvecklades för att maximera kompatibiliteten mellan olika typer av produkter för trådlösa nätverk samtidigt som standarden introducerade flera nyheter för bland annat bättre prestanda och högre säkerhet. Standarden IEEE definierar tre olika PHY-nivåer: FHSS, DSSS och IR. Det finns vissa fördelar med DSSS som saknas i de andra PHY-nivåerna. DSSS kan hantera stora informationsflöden (upp till 11 Mbit/s) och har i allmänhet större täckningsområde än nivåerna FH och IR. DSSS-system användes ursprungligen för militära ändamål. DSSS-baserade radiosystem är också mycket svåra att avlyssna. IEEE standarden definierar två verifieringstjänster: WEP (Wired Equivalent Privacy, Delad säkerhet) som bygger på verifiering med delade nycklar OSA (Open System Authentication, Öppen systemverifiering) som helt enkelt innebär att en enhet i nätverket talar om att den vill ansluta till en annan enhet eller anslutningsstation WEP Wired Equivalent Privacy De olika stationerna i ett trådlöst LAN enligt IEEE standarden kan skydda sig mot avlyssning genom att implementera WEP-algoritmen, som också används för verifieringsmetoder med delade nycklar. WEP-algoritmen bygger på RC4- algoritmen som kan hantera säkerhetsnycklar med upp till 128 bitars längd. När en enhet i ett trådlöst LAN ska kommunicera med en annan enhet via WEP måste de 3

4 ha tillgång till samma privata nyckel. I standarden anges inte hur dessa nycklar distribueras till enheterna. Ur en kryptologisk synvinkel är nyckellängden och det skydd som algoritmen skapar viktiga, medan det ur en systemarkitektonisk synvinkel är metoden för att distribuera och hantera WEP-nycklarna som är avgörande, eftersom hela säkerheten bygger på att nycklarna aldrig hamnar i orätta händer. WEPmekanismen antar att de delade privata nycklarna kan levereras till alla trådlösa enheter på ett säkert sätt. Till exempel kan nycklarna lagras i hanteringsdatabaser när anslutningsstationerna och de trådlösa enheterna installeras. Fördelen med att använda WEP är att nätverkstrafiken är krypterad redan när informationen lämnar enheterna och att systemet därför inte behöver arbeta med kryptering på högre nivåer. Algoritmen kan byggas in i maskinvaran så att krypteringen går snabbare än med programvarubaserade lösningar. OSA Open System Authentication För att begränsa åtkomsten till ett nätverk utan WEP använder de flesta tillverkare av produkter för trådlöst LAN en metod för åtkomstkontroll som bygger på att associeringar mellan oönskade MAC-adresser blockeras vid anslutningsstationerna. Alla nätverkskort för trådlöst LAN (som följer IEEE 802- standarden) har en inbyggd 48-bitars MAC-adress som identifierar enheten. Det går att definiera en lista över giltiga MAC-adresser i anslutningsstationerna, vilket gör att en enhet med en MAC-adress som inte finns i listan inte kan få tillgång till nätverksresurserna via den anslutningsstationen. Om systemet inte innehåller verifierings- eller krypteringsmekanismer kan ett trådlöst LAN innebära en säkerhetsrisk om radiosignalerna når utanför byggnaden. En utomstående som känner till den SSID (Service Set Identifier, Tjänstidentifierare) som identifierar nätverket kan bygga en enhet som använder samma nätverk och radiofrekvens som en anslutningsstation, och därigenom få tillgång till nätverket (om MACadressblockering inte används). Med rätt verktyg kan en utomstående avlyssna all information som behöriga användare skickar i nätverket. Det är också möjligt att förfalska MAC-adresser som används i ett trådlöst LAN. En utomstående kan avlyssna en giltig MAC-adress, programmera om MAC-adressen på ett nätverkskort och sedan använda adressen för att komma åt nätverket. Om det giltiga LAN-kortet används samtidigt leder det här naturligtvis till nätverksproblem. VIRTUELLA PRIVATA NÄTVERK Virtuella privata nätverk (VPN) kan användas i ett trådlöst LAN för att skapa virtuella tunnlar för säker datakommunikation. Om ett VPN är korrekt konfigurerat kan de här virtuella tunnlarna säkerställa att bara behöriga användare har tillgång till nätverket och att inga utomstående kan läsa eller ändra informationen. Det finns många olika sätt och standarder för att implementera virtuella privata nätverk. Säkerheten definieras i alla metoder av två huvudkomponenter: användarverifiering och datakryptering Användarverifiering En säker metod för att verifiera en användares identitet är bland det viktigaste i ett trådlöst LAN. Tills alldeles nyligen har verifieringen byggt på ett användarnamn 4

5 och ett lösenord, fråga/svar eller en centraliserad databas med användarprinciper. Ett exempel på en central databas är protokollet RADIUS (Remote Administration Dial-in User Service, Uppringningstjänst för fjärradministratör), som används för att skicka verifieringsinformation baserat på ett förbestämt användarnamn och lösenord. SecurID-kortet från RSA Security är en annan metod för verifiering. SecurID är en maskinvara som skapar unika, oförutsägbara åtkomstkoder som bara används en enda gång. Åtkomstkoden kan sedan användas tillsammans med en privat PIN-kod, vilket innebär en mycket säker verifieringsmetod. Det finns också många nya metoder för användarverifiering. Smartkort med inbyggda mikrokretsar kan lagra program för allt från enkla verifieringsalgoritmer till elektroniska pengar. Smartkort är kanske det enklaste sätt att bära sin identitet med sig. Datakryptering Datakryptering används för att skydda informationen från utomstående, och innebär att informationen kodas. Många olika krypteringsmetoder kan användas, och de skiljer sig huvudsakligen åt genom olika krypteringsalgoritmer. Algoritmer som bygger på offentliga nycklar (som till exempel RSA) använder olika matematiskt relaterade nycklar för chiffrering och dechiffrering. Exempel på algoritmer med privata nycklar är RC4, DES och 3DES. Dessa algoritmer använder samma nyckel både för chiffrering och dechiffrering. Metoder som bygger på privata nycklar är snabbare, men eftersom samma nyckel används både för chiffrering och dechiffrering kan säkerheten hotas om inte nycklarna kan hanteras på ett säkert sätt. Krypteringens effektivitet beror till största delen på nyckelhanteringen och nycklarnas längd. Nyckeln måste vara tillräckligt lång, och alla moderna implementationer bör arbeta med nycklar som är mycket längre än minimikravet (56 bitar). IPSEC säkerhetsstandarden på Internet IPSEC är en ny säkerhetsstandard som definierar olika säkerhetstjänster på IPnivån, som till exempel verifiering och kryptering. IPSEC-standarden publicerades 1998 av IETF (Internet Engineering Taskforce). IPSEC kan fungera på två olika sätt. I transportläge läggs de ursprungliga IP-adresserna in i datapaketet, och det enda som krypteras är meddelandepaketets innehåll. I tunnelläge kapslas även IPadresserna in, och ett nytt huvud skapas för paketet. Säkerhetsassociationer (SA) är grunden för IPSEC-standarden. SA skapas mellan kommunicerande värdar och specificerar till exempel vilken krypterings- och verifieringsalgoritm som ska användas, hur nycklar ska hanteras och livslängden på krypteringsnycklar och säkerhetsassociationen. Ett av de större områden som IPSEC definierar är IKEprotokollet (Internet Key Exchange, Nyckelutbytesprotokoll) som anger hur nycklarna som används vid kryptering ska hanteras. IPSEC- och IKE-standarden använder nyckelpar med en offentlig och en privat nyckel. Varje klient eller användare har en privat nyckel, och i nätverket lagras motsvarande offentliga nyckel. Metoden med delade nycklar stöds också, där klienten och nätverket delar samma privata nyckel. Nyckeln har i det här fallet levererats till klienten och nätverket innan kommunikationen inleds. I framtiden kommer IPSEC dessutom att standardisera metoderna för att skydda datainnehållet och antagligen kommer alla större maskin- och programvarutillverkare att lansera IPSEC-kompatibla produkter under år IPSEC förväntas bli den absolut vanligaste standarden för säkerhetslösningar på Internet. IPSEC-standarden kan också användas i trådlösa 5

6 nätverk med den fördelen att alla säkerhetslösningar och säkerhetssystem blir kompatibla. Säkra intranätanslutningar med VPN Ett sätt att implementera intranätåtkomst i ett trådlöst LAN är att definiera ett dedikerat LAN-segment där anslutningsstationerna är anslutna. Det trådlösa LAN-segmentet kan då avgränsas från intranätet med en gateway som styr åtkomsten till intranätresurserna. Företag Trådlöst LAN Gateway (brandvägg/vpn-gateway) Databaser Anslutningsenhet Verifieringsserver VPNtunnlar Arbetsstation Brandvägg Arbetsstation INTERNET Trådlösa enheter med VPN-klient Figur 1. Ett trådlöst LAN-segment i en organisation En tunnel skapas mellan den trådlösa enheten och nätverkets gateway, och den information som skickas i tunneln är verifierad och krypterad. Ur en implementationsteoretisk synvinkel kan den här installationen sägas bygga på en VPN-konfiguration. Det är möjligt att integrera en gateway och en brandvägg så att det trådlösa LAN-segmentet är anslutet till en enhet som också är ansluten till Internet. Administrativt sett (och på grund av det fysiska avståndet mellan brandväggen och det trådlösa LAN-segmentet) kan det vara bättre att använda olika separata enheter enligt figuren ovan. Fördelen med den här lösningen är att den skyddar informationen som skickas till och från intranätet, och att systemet skyddas från obehörig åtkomst. Lägg märke till att eftersom nätverkstrafiken i den här modellen är krypterad mellan den trådlösa enheten och systemets gateway, är trafiken mellan två mobila enheter i det trådlösa LAN-segmentet inte krypterad om de inte använder andra metoder, som till exempel IPSEC (Internet Protocol Security, IP-säkerhet), TLS (Transport Layer Security, Transportskiktssäkerhet) eller kryptering på programnivå. Dessutom upprättas den säkra tunneln när den trådlösa enheten ansluter till nätverkets säkerhetsgateway, vilket innebär att det bara är den trådlösa enheten som kan 6

7 ansluta till intranätvärdar. En intranätvärd kan alltså inte ansluta direkt till en trådlös enhet i den här modellen. SÄKERHET OCH NOKIAS PRODUKTER FÖR TRÅDLÖST LAN I det här avsnittet kan du få mer information om hur du definierar en lämplig säkerhetsnivå för Nokias produkter för trådlöst LAN. Nokias trådlösa 2 Mbit/s-LAN I Nokia C020/C021-nätverkskortet för trådlösa LAN och Nokia A020-anslutningsenhet för trådlösa LAN finns inga inbyggda funktioner för säkerhet, som exempelvis WEP-funktioner. Det här medför att en fullständig VPNlösning med stark verifiering och datakryptering bör användas med produkter för Nokias trådlösa 2 Mbit/s-LAN i miljöer med höga säkerhetskrav, som till exempel banker. VPN-verifiering och datakryptering Lokalt nätverk Trådlösa enheter Konventionellt 10 Mbit/s-LAN Nokia A020- anslutningsenhet för trådlösa LAN Hubb eller växel VPNserver Figur 2. Exempel på VPN-verifiering i ett trådlöst LAN Du kan förbättra säkerheten genom att använda NID-listor (Network Identifier, Nätverksidentifierare) i alla eller vissa anslutningsstationer. Det här förhindrar att både utomstående och interna användare får tillgång till vissa anslutningsstationer. Konfigurering och övervakning av anslutningsstationerna kan blockeras genom att använda låsningsfunktionen i enheten eller genom att begränsa antalet användare som har behörighet att konfigurera och övervaka anslutningsstationen. Det är också möjligt att definiera de IP-adresser som har tillgång till enheten. Det finns även alternativ för att ange giltiga portar och därigenom begränsa användandet av Telnet, WWW och TFTP (Trivial FTP). Nokias nya trådlösa 11 Mbit/s-LAN I det nya Nokia C110/C111 nätverkskort för trådlöst LAN finns inbyggda säkerhetsfunktioner som kan användas för att förbättra säkerheten i ett trådlöst nätverk. I korten finns en inbyggd smartkortläsare som är ett mycket pålitligt och effektivt verktyg för hantering av användaridentiteter. Dessutom innehåller lösningen WEP-verifiering för trådlöst LAN och radiolänkkryptering. I miljöer med höga säkerhetskrav bör ett trådlöst 11 Mbit/s-LAN ändå kompletteras med en VPN-lösning. Däremot kan de integrerade smartkortläsarna fortfarande användas för att hantera användaridentiteter och lösenord på VPN-nivån. 7

8 Vad är fördelarna med WEP? WEP kan användas för att förbättra säkerhetsnivån i nätverket. För det första ökas säkerheten i radiogränssnittet både på verifieringsoch krypteringssidan. För det andra är WEP en kostnadseffektiv och lättimplementerad lösning. WEP möjliggör säkra dataöverföringar mellan två trådlösa enheter. Med WEP får du ett kompletterande verktyg för verifiering och datakryptering som kan användas i många olika nätverksinstallationer. Lokalt nätverk WEP VPN-verifiering och datakryptering WEP-verifiering och datakryptering Nokia A032- anslutningsenhet för trådlösa LAN Konventionellt 10 Mbit/s-LAN Hubb eller växel VPNserver Figur 3. Exempel på VPN och WEP i ett trådlöst LAN Vad är då fördelarna med smartkort? Den integrerade kortläsaren i Nokias nätverkskort för trådlösa LAN är ett effektivt verktyg för att hantera användaridentiteter och verifiering i ett trådlöst nätverk. Korten som används är samma kort som används som standard i Windows (ID-kortsstorlek) och nätverkskorten stöder många olika smartkortlösningar som hanterar företagsnät och tjänsteverifiering. I Nokia C110/C111 finns ett öppet gränssnitt för smartkortläsaren som stöder de flesta VPN-lösningar som finns på marknaden och gränssnittet kan till och med skräddarsys för specifika mobila lösningar. Den inbyggda smartkortläsaren stöder Microsoft Smart Card API (Application Program Interface, Programmeringsgränssnitt). Kortläsaren är också ett effektivt sätt att hantera elektroniska signaturer. Med Nokia C110/C111 kan du använda PKI-baserad (Public Key Infrastructure, Infrastruktur för offentliga krypteringsnycklar) verifiering tillsammans med andra säkerhetslösningar. PKI är en standard som blir vanligare och vanligare inom exempelvis finans- och ekonomitjänster. Stödet för PKI gör Nokia C110 till en stabil och varaktig lösning för ökande säkerhetskrav. De största fördelarna med att använda smartkort är: Ett smartkort är ett handgripligt och pålitligt sätt att distribuera nycklar för nätverksverifiering till mobila användare. Dessutom kan lösenorden på kortet skyddas av PIN-koder. Ett smartkort kan integreras med nätverksverifiering genom att utnyttja befintliga säkerhetsprodukter i organisationens nätverk. I framtiden kommer smartkort att kunna hantera digitala signaturer och PKItjänster, som blir vanligare och vanligare inom till exempel banker. Den integrerade kortläsaren är en kostnadseffektiv lösning för att implementera smartkorttjänster i bärbara datorer. 8

9 FRÅGOR OCH SVAR 1: Hur fungerar användarverifieringen och hur krypteras informationen mellan en trådlös enhet och en anslutningsstation? IEEE standarden definierar två verifieringstjänster: OSA (Open System Authentication, Öppen systemverifiering) som helt enkelt innebär att en enhet i nätverket talar om att den vill ansluta till en annan enhet eller anslutningsstation. WEP (Wired Equivalent Privacy, Delad säkerhet) bygger på verifiering med delade nycklar Med OSA kan bara giltiga nätverkskort för trådlöst LAN ansluta till anslutningsenheterna. Med OSA-verifiering sker ingen verifiering av paket eller datakryptering. Dessutom definierar IEEE en utökad säkerhetsstandard, WEP. WEP är en symmetrisk krypteringsstandard som skyddar systemet mot avlyssning. Nokias produkter för trådlöst 11 Mbit/s LAN kan hantera nyckellängder upp till 128 bitar och WEP-mekanismen krypterar alla datapaket med RC4-algoritmen. Det nya Nokia C110/C111 nätverkskort för trådlöst LAN har inbyggd WEPfunktionalitet som förhindrar att utomstående kan använda nätverkstjänsterna och som dessutom chiffrerar informationen som skickas via radiolänk. I miljöer med höga säkerhetskrav kan nätverks- och datasäkerheten förbättras med säkerhetsmekanismer på IP-nivån, som till exempel VPN-produkter. I den här situationen isolerar en VPN-enhet det trådlösa LAN-segmentet från resten av nätverket. VPN-enheten utför användarverifiering och datakryptering mellan den trådlösa enheten och nätverket med kraftfulla krypteringsalgoritmer, som till exempel DES eller 3DES. Nokias lösning för trådlöst LAN stöder alla ledande VPN-lösningar som är transparenta gentemot det trådlösa nätverket. 2: Kan själva radiolänken vara en säkerhetsrisk? Tekniken (direct sequence spread spectrum) utgår från IEEE standarden och är utformad för att motstå avlyssning. Däremot är det viktigt att komma ihåg att inga system för trådlösa nätverk kan hantera avsiktliga störsändningar på ett robust sätt. 3: Hur gör man för att garantera att alla trådlösa enheter använder ett lösenord och att de loggas av efter en tids inaktivitet? Åtkomstpunkten annullerar automatiskt verifieringen när den trådlösa enheten har varit avstängd eller utom räckhåll under en viss tidsperiod. Nokia C110/C111-nätverkskort för trådlösa LAN har inbyggd WEP-verifiering som använder en WEP-nyckel som lösenord vid start. Det trådlösa nätverket kan inte garantera tidsbaserad automatisk avloggning, utan fungerar i det avseendet som ett fysiskt kopplat nätverk. Om miljön kräver en pålitlig mekanism för startlösenord och avloggning bör det trådlösa nätverket integreras med en VPN-lösning som innehåller den typen av funktionalitet. 4: Går det att neka åtkomst till det trådlösa nätverket för varje enskild nod? Ja. Gör så här: Det går att använda NID-listor i anslutningsstationerna för det trådlösa nätverket. I det här fallet ger anslutningsstationerna bara tillgång till de 9

10 LAN-kort (MAC-adresser) som finns i listan. NID-listor begränsar åtkomsten till det radiobaserade nätverket baserat på de inbyggda MAC-adresserna i nätverkskorten. I miljöer med höga säkerhetskrav bör en starkare VPN-baserad verifieringsmetod användas för att minimera risken för intrång och säkerhetsläckor. Det är däremot möjligt att använda VPN-verifiering tillsammans med LAN-baserad verifiering. I den här situationen är LAN-verifieringen den första försvarslinjen som måste brytas igenom innan VPN-brandväggen kan forceras. 5: Hur påverkar ett trådlöst LAN säkerhetsfrågorna i en organisation? Det beror helt och hållet på organisationens säkerhetspolicy. Ett trådlöst nätverk gör säkerhetsarbetet mer komplext, men som alltid kan möjliga problem undvikas genom metodisk planering. För tilllämpningar med höga säkerhetskrav bör det trådlösa nätverket isoleras från känsliga delar av nätverket med en VPNbrandvägg. Däremot har Nokias nätverkskort för trådlöst 11 Mbit/s-LAN (till skillnad från de flesta andra kort) två inbyggda säkerhetsverktyg som kan integreras med befintliga säkerhetslösningar: smartkortsbaserad användarverifiering och WEP-baserad verifiering och kryptering för trådlöst LAN. WEP-skyddet är en extra säkerhetsnivå som skyddar mot intrång. Med den integrerade kortläsaren kan en nätverksadministratör enkelt distribuera användaridentiteter och säkra nycklar till mobila LAN-stationer. Ett smartkort kan också innehålla PIN-kodsskydd för lösenord och verktyg för att generera engångslösenord, som är en avsevärt säkrare lösning än vanliga statiska lösenord. Om du vill ha mer information om Nokias produkter för trådlöst LAN och datasäkerhet kan du besöka vår hemsida på 10