Din manual NOKIA C111

Transkript

1 Du kan läsa rekommendationerna i instruktionsboken, den tekniska specifikationen eller installationsanvisningarna för NOKIA C111. Du hittar svar på alla dina frågor i instruktionsbok (information, specifikationer, säkerhetsanvisningar, tillbehör etc). Detaljerade användarinstruktioner finns i bruksanvisningen Instruktionsbok Manual Bruksanvisning Användarguide Bruksanvisningar

2 Utdrag ur manual: I många organisationer hanteras känslig information, och det innebär att nätverkets säkerhetströskel är en av de viktigaste frågorna vid nyinstallationer och uppgraderingar. Ett trådlöst LAN är ett mycket flexibelt system för datakommunikation som kan användas för att bygga ut ett konventionellt nätverk i en eller flera byggnader. Ett trådlöst LAN använder RF-teknik (Radio Frequency) för att skicka och ta emot information, vilket minskar behovet av fasta anslutningar. Med ett trådlöst LAN kan mobila användare ansluta till ett konventionellt nätverk inom nätverkets täckningsområde. Trådlösa nätverk används av många olika slags organisationer, till exempel inom sjukvård, tillverkning, lager och utbildning. Inom dessa verksamhetsområden kan handdatorer och bärbara datorer användas "ute på golvet" och samtidigt överföra information i realtid till centrala datasystem för analys och vidare bearbetning. Dessutom ökar behovet av att kunna använda mobila lösningar tillsammans med konventionella nätverk utan komplicerade installationsrutiner och kablar i vanliga kontorsmiljöer. Standardiseringen av trådlöst LAN gör det enklare och billigare att bygga ut eller ersätta delar av ett traditionellt LAN med en trådlös motsvarighet. När nätverksarkitekturen ska planeras är det viktigt att alla säkerhetsaspekter ingår i planeringen och att alla nödvändiga åtgärder vidtas för att säkerställa integritet och säkerhet både i det trådlösa och det konventionella nätverket. Till skillnad från nätverk för telekommunikation kan ett lokalt nätverk (med IP-trafik och Internet-anslutning) inte automatiskt erbjuda hög tillförlitlighet eller säkerhetsgarantier. Utan en genomtänkt säkerhetspolicy kan ett lokalt nätverk, trådlöst eller konventionellt, vara mycket sårbart och utgöra en säkerhetsrisk. Till exempel kan informationen som skickas i nätverket läsas eller till och med ändras av någon som vill sälja informationen vidare till konkurrenter. De här säkerhetsproblemen har under de senaste åren begränsat marknaden för trådlösa nätverk i miljöer med känslig information, eftersom användarna i många fall har stränga säkerhetsregler och rutiner för sekretess och dataintegritet. 1 DATASÄKERHET ÖVERSIKT Säkerhetshot Det finns många allvarliga säkerhetshot mot datorsystem och nätverk som kan leda till skador på systemet, systemets tjänster eller informationen i systemet. Ett säkerhetsintrång är en handling som på något sätt har skadat informationssäkerheten i en organisation. Ett säkerhetshot är möjligheten att en sådan attack ska kunna utföras. Exempel på hot är tjänsteblockering, avlyssning, manipulation, falsk identitet och förnekande. Tjänsteblockering betyder att tjänster i ett system eller ett nätverk inte kan utnyttjas av behöriga användare på grund av att datakommunikationen är blockerad eller avbruten. Den här situationen kan till exempel bero på överbelastning av obehöriga IP-paket i nätverket. I ett trådlöst nätverk kan problemet bero på avsiktliga störningar av radiofrekvenserna, vilket i sin tur stör nätverket. Avlyssning kan betyda identitetsavlyssning vilket innebär att en användaridentitet registreras när identiteten överförs i nätverket, eller dataavlyssning då en obehörig användare övervakar informationen som skickas mellan användare i nätverket. Det här är ett sekretessintrång. Ett exempel på avlyssning är när en utomstående "avlyssnar" överföring i ett konventionellt eller trådlöst nätverk och registrerar informationen som skickas i nätverket. Manipulation definieras som en situation där data har ersatts, lagts till eller tagits bort i ett system. Det här är ett säkerhetsintrång och kan vara oavsiktligt (till exempel på grund av ett hårdvarufel) eller avsiktligt, där en utomstående avlyssnar datakommunikationen och manipulerar informationen. Falsk identitet sker när en utomstående använder en annans användaridentitet för att hämta information eller få tillgång till ett system. Ett exempel i ett trådlöst LAN är en obehörig användare som försöker få tillgång till det trådlösa nätverket. Förnekande innebär att en användare förnekar att han eller hon har gjort något som är skadligt för systemet eller kommunikationen. Till exempel kan en användare förneka att vissa meddelanden har skickats eller att användaren har använt ett trådlöst LAN-system. Säkerhetstjänster och säkerhetsmekanismer Det finns många olika sätt att skydda systemet mot de här säkerhetshoten. Säkerhetstjänster förbättrar säkerheten i informationssystemet och dataöverföringarna. Säkerhetsmekanismer är aktiva åtgärder som utförs för att skapa säkerhetstjänster. Chiffrering är ett exempel på en mekanism som kan användas tillsammans med olika säkerhetstjänster. Verifiering är en tjänst som bekräftar en identitet, som till exempel en användareller maskinidentitet eller att ett meddelande verkligen har skickats från den plats som meddelandet påstår. Verifieringen används vanligtvis som ett skydd mot falska identiteter och manipulation. I de trådlösa system som finns i dag används till exempel verifiering av anslutningsstationer för att skydda nätverket från intrång. Åtkomstkontroll är en tjänst som ligger nära verifiering, och innebär att åtkomsten till nätverkssystem och nätverksprogram begränsas. En användare 2 måste först identifieras eller verifieras innan systemet ger användaren åtkomst till nätverket eller programmet. Datasekretess innebär att informationsöverföringar skyddas mot avlyssning. I ett trådlöst nätverk är ett exempel på detta när informationen som skickas mellan en trådlös enhet och en anslutningsstation skyddas på något sätt.

3 Naturligtvis hanterar inte systemet alla data på det här sättet, men känslig information bör inte skickas vidare utan att skyddas. Dataintegritet är en viktig säkerhetstjänst som kontrollerar att information inte har ändrats eller skadats under överföringen. Det räcker inte att användare och enheter verifieras om systemet inte kan garantera att nätverksmeddelanden inte har ändrats under överföringen. Dataintegritet kan användas för att upptäcka och skydda information från manipulering. Icke-förnekande förhindrar att en användare eller enhet kan förneka att någonting har skett. Det här handlar vanligen om en situation där en användare eller enhet har använt en tjänst eller skickat ett meddelande, och senare förnekar detta. SÄKERHET OCH IEEE Det finns flera olika säkerhetsprotokoll och säkerhetslösningar som skyddar dataöverföringar i nätverk. Samma protokoll och lösningar kan också användas i ett trådlöst LAN för att skydda nätverkstrafiken från avlyssning. Det här avsnittet innehåller en introduktion till de lösningar som kan användas för att åtgärda säkerhetsproblem i trådlösa nätverk. Standarden för trådlöst LAN (IEEE ) fastställdes Standarden utvecklades för att maximera kompatibiliteten mellan olika typer av produkter för trådlösa nätverk samtidigt som standarden introducerade flera nyheter för bland annat bättre prestanda och högre säkerhet. Standarden IEEE definierar tre olika PHY-nivåer: FHSS, DSSS och IR. Det finns vissa fördelar med DSSS som saknas i de andra PHY-nivåerna. DSSS kan hantera stora informationsflöden (upp till 11 Mbit/s) och har i allmänhet större täckningsområde än nivåerna FH och IR. DSSS-system användes ursprungligen för militära ändamål. DSSS-baserade radiosystem är också mycket svåra att avlyssna. IEEE standarden definierar två verifieringstjänster: WEP (Wired Equivalent Privacy, Delad säkerhet) som bygger på verifiering med delade nycklar OSA (Open System Authentication, Öppen systemverifiering) som helt enkelt innebär att en enhet i nätverket talar om att den vill ansluta till en annan enhet eller anslutningsstation WEP Wired Equivalent Privacy De olika stationerna i ett trådlöst LAN enligt IEEE standarden kan skydda sig mot avlyssning genom att implementera WEP-algoritmen, som också används för verifieringsmetoder med delade nycklar. WEP-algoritmen bygger på RC4algoritmen som kan hantera säkerhetsnycklar med upp till 128 bitars längd. När en enhet i ett trådlöst LAN ska kommunicera med en annan enhet via WEP måste de 3 ha tillgång till samma privata nyckel. I standarden anges inte hur dessa nycklar distribueras till enheterna. Ur en kryptologisk synvinkel är nyckellängden och det skydd som algoritmen skapar viktiga, medan det ur en systemarkitektonisk synvinkel är metoden för att distribuera och hantera WEP-nycklarna som är avgörande, eftersom hela säkerheten bygger på att nycklarna aldrig hamnar i orätta systemet inte innehåller verifierings- eller Nyckeln måste vara tillräckligt lång, och alla moderna implementationer bör arbeta med nycklar som är mycket längre än minimikravet (56 bitar). IPSEC säkerhetsstandarden på Internet IPSEC är en ny säkerhetsstandard som definierar olika säkerhetstjänster på IPnivån, som till exempel verifiering och kan fungera på två olika är möjligt att integrera en gateway och en brandvägg så att det trådlösa LAN-segmentet är anslutet till en enhet som också är ansluten till Internet. Administrativt sett (och på grund av det fysiska avståndet mellan brandväggen och det trådlösa LAN-segmentet) kan det vara bättre att använda olika separata enheter enligt figuren ovan. Fördelen med den här lösningen är att den skyddar informationen som skickas till och från intranätet, och att systemet skyddas från obehörig åtkomst. Lägg märke till att eftersom nätverkstrafiken i den här modellen är krypterad mellan den trådlösa enheten och systemets gateway, är trafiken mellan två mobila enheter i det trådlösa LAN-segmentet inte krypterad om de inte använder andra metoder, som till exempel IPSEC (Internet Protocol Security, IP-säkerhet), TLS (Transport Layer Security, Transportskiktssäkerhet) eller kryptering på programnivå. Dessutom upprättas den säkra tunneln när den trådlösa enheten ansluter till nätverkets säkerhetsgateway, vilket innebär att det bara är den trådlösa enheten som kan 6 ansluta till intranätvärdar. En intranätvärd kan alltså inte ansluta direkt till en trådlös enhet i den här modellen. SÄKERHET OCH NOKIAS PRODUKTER FÖR TRÅDLÖST LAN I det här avsnittet kan du få mer information om hur du definierar en lämplig säkerhetsnivå för Nokias produkter för trådlöst LAN. Nokias trådlösa 2 Mbit/s-LAN I Nokia C020/C021-nätverkskortet för trådlösa LAN och Nokia A020-anslutningsenhet för trådlösa LAN finns inga inbyggda funktioner för säkerhet, som exempelvis WEP-funktioner. Det här medför att en fullständig VPNlösning med stark verifiering och datakryptering bör användas med produkter för Nokias trådlösa 2 Mbit/s-LAN i miljöer med höga säkerhetskrav, som till exempel banker. Lokalt nätverk VPN-verifiering och datakryptering Trådlösa enheter Konventionellt 10 Mbit/s-LAN Hubb eller växel Nokia A020anslutningsenhet för trådlösa LAN VPNserver Figur 2. Exempel på VPN-verifiering i ett trådlöst LAN Du kan förbättra säkerheten genom att använda NID-listor (Network Identifier, Nätverksidentifierare) i alla eller vissa anslutningsstationer. Det här förhindrar att både utomstående och interna användare får tillgång till vissa anslutningsstationer. Konfigurering och övervakning av anslutningsstationerna kan blockeras genom att använda låsningsfunktionen i enheten eller genom att begränsa antalet användare som har behörighet att konfigurera och övervaka anslutningsstationen.

4 Det är också möjligt att definiera de IP-adresser som har tillgång till enheten. Det finns även alternativ för att ange giltiga portar och därigenom begränsa användandet av Telnet, WWW och TFTP (Trivial FTP). Nokias nya trådlösa 11 Mbit/s-LAN I det nya Nokia C110/C111 nätverkskort för trådlöst LAN finns inbyggda säkerhetsfunktioner som kan användas för att förbättra säkerheten i ett trådlöst nätverk. I korten finns en inbyggd smartkortläsare som är ett mycket pålitligt och effektivt verktyg för hantering av användaridentiteter. Dessutom innehåller lösningen WEP-verifiering för trådlöst LAN och radiolänkkryptering. I miljöer med höga säkerhetskrav bör ett trådlöst 11 Mbit/s-LAN ändå kompletteras med en VPN-lösning. Däremot kan de integrerade smartkortläsarna fortfarande användas för att hantera användaridentiteter och lösenord på VPN-nivån. 7 Vad är fördelarna med WEP? WEP kan användas för att förbättra säkerhetsnivån i nätverket. För det första ökas säkerheten i radiogränssnittet både på verifieringsoch krypteringssidan. För det andra är WEP en kostnadseffektiv och lättimplementerad lösning. WEP möjliggör säkra dataöverföringar mellan två trådlösa enheter. Med WEP får du ett kompletterande verktyg för verifiering och datakryptering som kan användas i många olika nätverksinstallationer. Lokalt nätverk WEP VPN-verifiering och datakryptering Konventionellt 10 Mbit/s-LAN Nokia A032anslutningsenhet för trådlösa LAN Hubb eller växel WEP-verifiering och datakryptering VPNserver Figur 3. Exempel på VPN och WEP i ett trådlöst LAN Vad är då fördelarna med smartkort? Den integrerade kortläsaren i Nokias nätverkskort för trådlösa LAN är ett effektivt verktyg för att hantera användaridentiteter och verifiering i ett trådlöst nätverk. Korten som används är samma kort som används som standard i Windows (ID-kortsstorlek) och nätverkskorten stöder många olika smartkortlösningar som hanterar företagsnät och tjänsteverifiering. I Nokia C110/C111 finns ett öppet gränssnitt för smartkortläsaren som stöder de flesta VPN-lösningar som finns på marknaden och gränssnittet kan till och med skräddarsys för specifika mobila lösningar. Den inbyggda smartkortläsaren stöder Microsoft Smart Card API (Application Program Interface, Programmeringsgränssnitt). Kortläsaren är också ett effektivt sätt att hantera elektroniska signaturer. Med Nokia C110/C111 kan du använda PKI-baserad (Public Key Infrastructure, Infrastruktur för offentliga krypteringsnycklar) verifiering tillsammans med andra säkerhetslösningar. PKI är en standard som blir vanligare och vanligare inom exempelvis finans- och ekonomitjänster. Stödet för PKI gör Nokia C110 till en stabil och varaktig lösning för ökande säkerhetskrav. De största fördelarna med att använda smartkort är: Ett smartkort är ett handgripligt och pålitligt sätt att distribuera nycklar för nätverksverifiering till mobila användare. Dessutom kan lösenorden på kortet skyddas av PIN-koder. Ett smartkort kan integreras med nätverksverifiering genom att utnyttja befintliga säkerhetsprodukter i organisationens nätverk. I framtiden kommer smartkort att kunna hantera digitala signaturer och PKItjänster, som blir vanligare och vanligare inom till exempel banker. Den integrerade kortläsaren är en kostnadseffektiv lösning för att implementera smartkorttjänster i bärbara datorer. 8 FRÅGOR OCH SVAR 1: Hur fungerar användarverifieringen och hur krypteras informationen mellan en trådlös enhet och en anslutningsstation? IEEE standarden definierar två verifieringstjänster: OSA (Open System Authentication, Öppen systemverifiering) som helt enkelt innebär att en enhet i nätverket talar om att den vill ansluta till en annan enhet eller anslutningsstation. WEP (Wired Equivalent Privacy, Delad säkerhet) bygger på verifiering med delade nycklar Med OSA kan bara giltiga nätverkskort för trådlöst LAN ansluta till anslutningsenheterna. Med OSA-verifiering sker ingen verifiering av paket eller datakryptering. Dessutom definierar IEEE en utökad säkerhetsstandard, den här situationen isolerar en VPN-enhet det trådlösa LAN-segmentet från resten av nätverket. VPN-enheten utför användarverifiering och datakryptering mellan den trådlösa enheten och nätverket med kraftfulla krypteringsalgoritmer, som till exempel DES eller 3DES. Nokias lösning för trådlöst LAN stöder alla ledande VPN-lösningar som är transparenta gentemot det trådlösa nätverket. 2: Kan själva radiolänken vara en säkerhetsrisk? Tekniken (direct sequence spread spectrum) utgår från IEEE standarden och är utformad för att motstå avlyssning. Däremot är det viktigt att komma ihåg att inga system för trådlösa nätverk kan hantera avsiktliga störsändningar på ett robust sätt. 3: Hur gör man för att garantera att alla trådlösa enheter använder ett lösenord och att de loggas av efter en tids inaktivitet? Åtkomstpunkten annullerar automatiskt verifieringen när den trådlösa enheten har varit avstängd eller utom räckhåll under en viss tidsperiod. Nokia C110/C111-nätverkskort för trådlösa LAN har inbyggd WEP-verifiering som använder en WEP-nyckel som lösenord vid start. Det trådlösa nätverket kan inte garantera tidsbaserad automatisk avloggning, utan fungerar i det avseendet som ett fysiskt kopplat nätverk. Om miljön kräver en pålitlig mekanism för startlösenord och avloggning bör det trådlösa nätverket integreras med en VPN-lösning som innehåller den typen av funktionalitet. 4: Går det att neka åtkomst till det trådlösa nätverket för varje enskild nod? Ja. Gör så här: Det går att använda NID-listor i anslutningsstationerna för det trådlösa nätverket.

5 Powered by TCPDF ( I det här fallet ger anslutningsstationerna bara tillgång till de 9 LAN-kort (MAC-adresser) som finns i listan. NID-listor begränsar åtkomsten till det radiobaserade nätverket baserat på de inbyggda MAC-adresserna i nätverkskorten. I miljöer med höga säkerhetskrav bör en starkare VPN-baserad verifieringsmetod användas för att minimera risken för intrång och säkerhetsläckor. Det är däremot möjligt att använda VPN-verifiering tillsammans med LAN-baserad verifiering. I den här situationen är LAN-verifieringen den första försvarslinjen som måste brytas igenom innan VPN-brandväggen kan forceras. 5: Hur påverkar ett trådlöst LAN säkerhetsfrågorna i en organisation? Det beror helt och hållet på organisationens säkerhetspolicy. Ett trådlöst nätverk gör säkerhetsarbetet mer komplext, men som alltid kan möjliga problem undvikas genom metodisk planering. För tilllämpningar med höga säkerhetskrav bör det trådlösa nätverket isoleras från känsliga delar av nätverket med en VPNbrandvägg. Däremot har Nokias nätverkskort för trådlöst 11 Mbit/s-LAN (till skillnad från de flesta andra kort) två inbyggda säkerhetsverktyg som kan integreras med befintliga säkerhetslösningar: smartkortsbaserad användarverifiering och WEP-baserad verifiering och kryptering för trådlöst LAN. WEP-skyddet är en extra säkerhetsnivå som skyddar mot intrång. Med den integrerade kortläsaren kan en nätverksadministratör enkelt distribuera användaridentiteter och säkra nycklar till mobila LAN-stationer. Ett smartkort kan också innehålla PIN-kodsskydd för lösenord och verktyg för att generera engångslösenord, som är en avsevärt säkrare lösning än vanliga statiska lösenord. Om du vill ha mer information om Nokias produkter för trådlöst LAN och datasäkerhet kan du besöka vår hemsida på nokia.com. 10.