DATASÄKERHET 1/1 Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0
Innehåll 1. INTRODUKTION... 3 2. STRUKTURER FÖR FJÄRRANSLUTNING... 3 2.1 MODEMANSLUTNING... 3 2.2 SÄKER INTERNET-ANSLUTNING (GPRS, WLAN)... 3 2.2.1 SÄKERHETSKRAV FÖR INTERNET... 5 2.2.2 KORT OM VPN-TEKNIK... 5 2.2.3 KOMMERSIELL VPN-UTRUSTNING... 6 2.2.4 PERSONLIG BRANDVÄGG... 6 2.3 SÄKERHET PÅ PROGRAMNIVÅ FÖR INTERNET-ANVÄNDNING... 7 3. SÄKER GPRS-ANSLUTNING TILL FÖRETAGETS NÄTVERK... 7 4. SÄKER TRÅDLÖS LAN-ANSLUTNING... 8 4.1 TRÅDLÖS LAN-ANSLUTNING PÅ KONTORET... 9 4.2 TRÅDLÖS LAN-FJÄRRANSLUTNING... 10 5. SAMMANFATTNING SÄKER FÖRETAGSANSLUTNING MED NOKIA D211... 11 Juridiska anmärkningar Copyright Nokia Corporation 2002. Alla rättigheter förbehållna. Reproduktion, överföring, distribution eller lagring av delar av eller hela innehållet i detta dokument i vilken som helst form, utan skriftlig tillåtelse från Nokia är förbjuden. Nokia och Nokia Connecting People är registrerade varumärken som tillhör Nokia Corporation. Andra produktoch företagsnamn som det hänvisats till kan vara varumärken eller varunamn som tillhör sina respektive ägare. Nokia utvecklar ständigt sina produkter. Nokia förbehåller sig rätten att göra ändringar och förbättringar i de produkter som beskrivs i detta dokument utan föregående meddelande. Under inga omständigheter skall Nokia vara ansvarig för förlust av data eller inkomst eller särskild, tillfällig eller indirekt skada, oavsett orsaken till förlusten eller skadan. Innehållet i detta dokument gäller aktuella förhållanden. Förutom vad som stadgas i tillämplig tvingande lagstiftning, ges inga garantier av något slag, varken uttryckliga eller underförstådda, inklusive, men utan begränsning till, garantier avseende produktens allmänna lämplighet och/eller lämplighet för ett särskilt ändamål, vad gäller riktighet, pålitlighet eller innehållet i detta dokument. Nokia förbehåller sig rätten att ändra detta dokument eller återkalla det utan föregående meddelande. 2/2
1. INTRODUKTION Det nya Nokia D211-nätkortet med flera lägen är den idealiska lösningen för mobila företagsanvändare som behöver ansluta till företagets nätverk när de reser. Den information som överförs är ofta mycket viktig för företagets verksamhet och får inte läcka till utomstående. Säkerheten är därför en viktig faktor när Nokia D211 används för fjärranslutningstjänster. I detta dokument förklaras hur säkerhet hanteras när du använder Nokia D211. Grunderna i Internet-säkerhet presenteras och du får också exempel på strukturer som möjliggör en säker anslutning till företagets nätverk via GPRS-nätverk (General Packet Radio Service) och trådlösa lokala nätverk (WLAN). 2. STRUKTURER FÖR FJÄRRANSLUTNING 2.1 MODEMANSLUTNING Tills helt nyligen har tjänster för fjärranslutning huvudsakligen använts via hyrda anslutningar, modemuppringning och fjärranslutningsservrar. Anslutningen går via det allmänna telefonnätet och över välbekanta PPP-protokoll som finns i den vanligaste terminalprogramvaran. Fjärranslutning skapas med hjälp av en fast telefonlinje eller en trådlös terminal. Användaren verifieras med ett lösenord av anslutningsservern. För det mesta används inga ytterligare säkerhetsmekanismer. Med Nokia D211 finns två uppringningsalternativ: GSM-data och HSCSD (High Speed Circuit Switched Data). Då skyddas användarens data av GSM-nätverket under den trådlösa överföringen. Därför behövs inga ytterligare säkerhetsfunktioner och trådlös anslutning kan användas för uppringning precis som ett fast modem. Anslutningen skapas vanligen med fjärranslutningsfunktionen i Windows. 2.2 SÄKER INTERNET-ANSLUTNING (GPRS, WLAN) De nya trådlösa Internet-teknikerna, som till exempel GPRS och trådlöst LAN, ger snabbare och mer kostnadseffektiva sätt att komma åt data i företagets nätverk. De nya anslutningsfunktionerna kräver vissa uppgraderingar av företagets plattform för fjärranslutningstjänster för att kunna garantera att informationen förblir konfidentiell. Figur 1 visar strukturer för uppringning och fjärranslutning till Internet. Den viktigaste skillnaden är att med GPRS och trådlösa LAN används Internet i stället för telefonnätet när du ansluter till företagets nätverk. Användarens data överförs från det mobila nätverket via det osäkra Internet till företagets nätverk med hjälp av Internet-protokoll. Eftersom Internet är offentligt medför det ett antal säkerhetsrisker. En betydande svaghet i säkerheten är att till skillnad från en PPP-fjärranslutning kan paket som skickas via Internet läsas av vem som helst som har tillgång till nätverket. IP-paket har också en tendens att följa samma väg, så en potentiell inkräktare har troligen tillgång till alla IP-paket. 3/3
Säkerhetsfunktionerna i de trådlösa nätverken (GPRS och WLAN) räcker inte själv för att garantera att inte information läcker ut. Ett mycket tillförlitligt fjärranslutningssystem kan skapas genom att en trådlös anslutning kombineras med en heltäckande Internetsäkerhetslösning (IP). Obs! Nokia rekommenderar att en vedertagen VPN-säkerhetslösning (Virtual Private Network) på IP-nivå används för säker GPRS- eller WLAN-anslutning. Följande avsnitt visar hur denna teknik kan tillämpas på GPRS-anslutning, trådlös LANkontorsanslutning och hemanslutning. Intranättjänster Intranät för företag Figur 1 : Alternativa fjärranslutningsmetoder: uppringnings- och Internetanslutning Fjärranslutningsserver Brandvägg för säker IP-fjärranslutning Heltäckande Internet-säkerhet GSMnätverk Radiolänkssäkerhet Telefonnät Allmänna Internet Trådlösa paketnätverk (GPRS, WLAN) Bärbar dator med Nokia D211 4/4
2.2.1 Säkerhetskrav för Internet En säkerhetslösning för Internet bör innehålla följande väsentliga funktioner för att kunna skydda företagets data och nätverk: Anslutningskontroll som hindrar obehöriga användare från att ansluta till företagets nätverk. Kryptering som hindrar att vem som helst läser eller kopierar information som överförs via Internet. Datakryptering används för att skydda data från obehöriga användare genom att innehållet kodas. Det finns många krypteringsmetoder. Den största skillnaden mellan dem är krypteringsalgoritmerna. Verifiering som kontrollerar att data kommer från den källa som uppges. VPN-tekniken används ofta för att sammanbinda företags lokala nätverk på olika platser eller för att ge externa affärspartners åtkomst till företagets nätverk. 2.2.2 Kort om VPN-teknik Figur 2 visar en typisk VPN-konfiguration. Samma teknik och plattform kan också användas för att ge användare av GPRS och trådlösa LAN en säker fjärranslutning. Intranät för avdelningar VPN-server Intranät för affärspartners VPN-server Internet VPN VPN VPN Brandvägg/ VPN-server Intranät för företag Fjärranslutning, VPN-klient Figur 2 : Virtuellt privat nätverk VPN-lösningen består av en nätverksserver och klientprogramvara. Genom VPN-servern skyddas nätverket från oönskad och obehörig kommunikation. All trafik till det privata nätverket måste passera genom VPN-servern. En tunnel skapas mellan enheten och VPNservern och alla användardata verifieras, krypteras och överförs genom tunneln till värddatorn. 5/5
Fördelen med VPN är att information som skickas till och från intranätet skyddas, och att obehörig åtkomst förhindras. Virtuella privata nätverk består inte av permanenta länkar mellan slutpunkterna. I stället skapas länkarna när en anslutning mellan en terminal och företagets nätverk behövs och försvinner när anslutningen stängs. Med klienten upprättas den säkra tunneln och i nätverket verifieras fjärranvändaren. Användarverifiering bekräftar alla fjärranvändares identitet. En anslutning till företagets nätverk upprättas bara efter att verifieringen slutförts. Det finns flera alternativa verifieringsmetoder såsom lösenord, säkerhetsnycklar (till exempel lagrade på ett smartkort) och certifikat. Tack vare direkttunneln skyddas dataöverföringen mot säkerhetsattacker. VPN-klienter och - servrar har dessutom ofta en integrerad brandvägg. Med en så kallad personlig brandvägg filtreras inkommande data och Internet-anslutning medges bara från fördefinierade värddatorer. Detta hindrar inkräktare från att ansluta till fjärrterminalen. Integrerad kryptering gör att det blir praktiskt taget omöjligt för obehöriga att läsa data. De flesta VPN-enheter använder automatiskt de mest avancerade algoritmerna för kryptering och dataverifiering som är möjlig för båda de kommunicerande parterna. Krypteringen är läsbar för alla program som använder IP-protokoll, som till exempel e-postprogram och webbläsare. Den enda betydande effekten är att VPN-inkapslingen lägger till en liten mängd extra data som måste skickas via den trådlösa länken. 2.2.3 Kommersiell VPN-utrustning Det finns ett stort utbud av kommersiella VPN-lösningar på marknaden. En VPNsäkerhetsgateway kan passa i någon eller några av följande kategorier: kraftfulla VPNroutrar, brandväggar, integrerad VPN-maskinvara och billig VPN-programvara. Paketkryptering inkluderas för det mesta i routrar antingen som tilläggsprogram eller extra kretskort. Det senare är bäst i situationer där hög kapacitet krävs. En kombination av tunnlar och kryptering med brandväggar är troligen den bästa lösningen för mindre nätverk med liten trafikvolym. I de flesta fall är det företagets IT-chef som väljer ut och administrerar VPN-systemet. Produktutbudet är mycket stort. Det viktigaste kriteriet när du ska välja rätt lösning är att avgöra vilken kapacitet som behövs. I praktiken är detta hur många som ska använda fjärranslutningen. För det mesta måste företagsnätverkets och operatörsnätverkets IPadresseringsschema konverteras. Därför rekommenderas en lösning som stöder NATöverföring (Network Address Translation). Standardiserad interoperabilitet mellan olika VPN-enheter garanterar att VPN-klienten fungerar med ett antal VPN-servrar. Nokia D211 är testad för interoperabilitet med ledande VPN-klient- och -serverprodukter. En detaljerad lista över de testade produkterna finns på: www.nokia.com. 2.2.4 Personlig brandvägg En personlig brandvägg är ett program som innehåller regler för nätverksbelastningen i en dator. Den övervakar och kontrollerar också program för att skydda dem mot trojaner och keyloggers (program som registrerar tangentbordsanvändningen). En personlig brandvägg används i första hand för att öka säkerheten när en VPN-klient används. Den kontrollerar åtkomsten till datorn. När du använder en bärbar dator i ett nätverk som inte är säkert måste 6/6
säkerhetsnivån vara mycket hög. Alla anslutningsförsök till datorn ska stoppas. När brandväggens motor upptäcker ett intrång spärras hackarens IP-adress. Hackare kan inte ta sig förbi en spärr i brandväggen eftersom den kontrollerar överföring på nätverkets TCP/IPstacknivå. Den här sortens skydd ska alltid vara aktiverat oavsett var du använder din dator. 2.3 SÄKERHET PÅ PROGRAMNIVÅ FÖR INTERNET-ANVÄNDNING Vissa Internet-program, till exempel webbläsare, medför ytterligare en säkerhetsnivå. Dagens Netscape- och Internet Explorer-program använder säkerhetsprotokoll på programnivå, som till exempel TLS (Transport Layer Security) och SSL (Secure Socket Layer), vilket skyddar användarens data mellan klientprogrammet och servern. Dessa metoder används i stor utsträckning till exempel av Internet-banker och för elektroniska transaktioner. Säkerhet på programnivå medför en ytterligare säkerhetsnivå som kan användas för Internet-åtkomst när företagets konfidentiella data inte berörs och den mobila enheten inte innehåller konfidentiell information. I dessa fall kan användaren använda Nokia D211 utan VPN-tjänster. Säkerhetsfunktioner på programnivå skyddar dock inte den mobila enheten mot intrång utifrån. Dessutom är krypteringsnivån oftast lägre än i VPN-anslutningen. Obs! Användaren bör alltid använda direkta VPN-tunnlar för företagets dataprogram då innebär säkerhet på programnivå en extra säkerhetsnivå utöver VPN-tunneln. 3. SÄKER GPRS-ANSLUTNING TILL FÖRETAGETS NÄTVERK GPRS-standardnätverket skyddar den trådlösa överföringen av data, men är inte en heltäckande Internet-säkerhetslösning för mobil anslutning till ett företags LAN. GPRSnätverket innehåller två säkerhetsfunktioner: abonnentverifiering och datakryptering. Rutinerna för användarverifiering i GPRS liknar dem i GSM-nätverket. Alla säkerhetsfunktioner baseras på den hemliga nyckeln Ki som lagras både på SIM-kortet (Subscriber Identification Module) och i operatörens lokala register. I GPRS chiffreras data och signalöverföring mellan enheten och Internet. Obs! Vid användning av en GPRS-anslutning med Nokia D211 för företagsanslutningar rekommenderas en VPN-säkerhetslösning som ger heltäckande verifiering och datakryptering. VPN behövs inte om GPRS används för icke-konfidentiella tillämpningar som Internetsökning. VPN-tjänsten tillhandahålls vanligen av företagets IT-chef eller mobiloperatör. Systemet, som visas i Figur 3, fungerar så här: 1. Användaren aktiverar GPRS-anslutningen. 2. I GPRS-nätverket verifieras den mobila enheten med SIM-kortet och en säker trådlös GPRS-länk till Internet (GPRS-kryptering) upprättas. 3. Användaren startar VPN-klienten på den mobila enheten. Genom VPN-klienten upprättas en direkt krypterad IP-tunnel till företagets nätverk (Internet-datakryptering). 7/7
Denna lösning är mycket pålitlig och mycket säker eftersom all trafik är krypterad hela vägen från den mobila enheten till företagets VPN-server, och VPN medför en mycket hög säkerhetsnivå. Användaren kan ansluta till intranätet från vilket GPRS-operatörsnätverk som helst. Figur 3 : Säker GPRS-åtkomst till företagets data En alternativ konfiguration är att använda en specialiserad anslutning från mobiloperatörens GPRS-nätverk till företagets intranät och helt förbigå det allmänna Internet. I denna modell behöver inte den mobila enheten ha någon VPN-klient. GPRS-nätverkets säkerhetsfunktioner skyddar informationen mellan enheten och GPRS-kärnan. Mobiloperatören etablerar sedan en säker tunnel mellan operatörsnätverket och företagets nätverk. I det här fallet måste kundföretaget ha fullt förtroende för mobiloperatören som tillhandahåller den säkra tunneln. Några mobiloperatörer erbjuder den här typen av lösningar till sina större kunder. Kontakta din mobiloperatör om du vill ha mer information. 4. SÄKER TRÅDLÖS LAN-ANSLUTNING Trådlösa LAN används för det mesta på kontor, i hemmet eller på allmänna anslutningsplatser, t ex hotell och flygplatser. Med trådlösa LAN kan människor röra sig fritt 8/8
på kontoret och i konferensrum, eller arbeta hemifrån och fortfarande hålla sig uppdaterade med den senaste informationen i företagets nätverk. Liksom GPRS använder trådlösa LAN stommen i Internet. Därför stöder samma säkra VPN-plattform för fjärranslutning både GPRS och trådlösa LAN. Nokia D211-användaren kan välja mellan en GPRS-länk eller en trådlös LAN-länk och sedan använda samma VPN-konfiguration för att ansluta till företagets nätverk. WLAN kan medföra en säkerhetsrisk, eftersom radiosignalerna går utanför kontorsbyggnaden. Säkerhetsriskerna med trådlösa LAN kan undvikas genom att använda rätt verifiering och kryptering. Obs! Nokia rekommenderar en heltäckande VPN-lösning för anslutning till företagets nätverk via trådlöst LAN. Specifikationen för trådlöst LAN (IEEE 802.11b) innehåller säkerhetsalgoritmen WEP (Wired Equivalent Privacy) som kan användas för att verifiera enheterna i ett WLAN och för att kryptera data som överförs via radiolänken. Säkerhetsnivån i WEP är låg jämfört med IPsäkerhet (VPN). WEP kan aktiveras som ett extra säkerhetsskikt som används för att kontrollera åtkomst till ett trådlöst LAN, till exempel hemifrån, men är inte rätt lösning för kontroll av åtkomst till företagets nätverk eller för skydd av konfidentiell data. Vissa försäljare har implementerat egna förbättringar, till exempel 802.1x-förbättringar för WEP-säkerhet, och påstår att dessa är tillräckliga för att garantera säkerheten i företagets nätverk. Säkerhetsnivån i dessa icke-standardlösningar är dock avsevärt lägre än i en heltäckande VPN-lösning. Kombinationen av ett trådlöst LAN och ett välkonfigurerat VPN är mycket säker och därmed en utmärkt lösning för alla WLAN-miljöer. 4.1 TRÅDLÖS LAN-ANSLUTNING PÅ KONTORET Den vanligaste platsen för ett trådlöst LAN är ett kontor. Användaren kan fritt och lätt röra sig på kontoret, gå från skrivbordet till konferensrummet eller till och med mellan två närliggande byggnader, och hela tiden upprätthålla en anslutning till nätverket. Figur 4 visar en typisk säker kontorskonfiguration med trådlöst LAN. De trådlösa LAN-anslutningsenheterna är avskilda från företagets nätverk genom en VPNserver. En VPN-tunnel skapas mellan den trådlösa enheten och VPN-servern, vilket skyddar den information som överförs till och från intranätet och förhindrar obehörig åtkomst. Användaren kan verifieras med ett lösenord, ett engångslösenord, exempelvis maskinvarunycklar eller certifikat. 9/9
Figur 4 : Kontor med säkert trådlöst LAN 4.2 TRÅDLÖS LAN-FJÄRRANSLUTNING Mobila anställda kan använda trådlös LAN-utrustning även när de inte är på kontoret. Många Internet-leverantörer och mobiloperatörer har börjat erbjuda allmänna WLANanslutningstjänster på flygplatser, hotell och andra allmänna platser. Dessutom kan personer ha trådlöst LAN hemma. Nokia D211-användare kan också upprätta en säker fjärranslutning med trådlöst LAN till företagets nätverk från alla dessa platser. Strukturen i ett fjärr-wlan liknar den i ett kontors-wlan. Den enda väsentliga skillnaden är att på kontoret leds trafiken via ett privat nätverk direkt till VPN-servern. Om användaren ansluter från en allmän anslutningsplats eller hemifrån med WLAN går alla data via det allmänna Internet. Ur säkerhetssynpunkt kräver båda dessa att VPN används. Enheten kan ha samma säkerhetskonfiguration för både fjärranslutning och kontorsanslutning. Figur 5 visar fjärranslutningens struktur. Nokia D211-användaren verifieras först av det allmänna trådlösa LAN, sedan startar användaren VPN-klienten och en säker tunnel till företagets nätverk upprättas automatiskt. 10/10
Figur 5 : Fjärranslutning med WLAN 5. SAMMANFATTNING SÄKER FÖRETAGSANSLUTNING MED NOKIA D211 Nokia D211 gör att användaren kan använda konventionell uppringning (Figur 1). I denna konfiguration behövs ingen VPN-klient anslutningen etableras med hjälp av fjärranslutningsfunktionerna i Windows. Den fjärranslutningsarkitektur, som visas i Figur 6, består av två huvuddelar: VPN-servern och VPN-klienten. VPN-servern utgör en förlängning av företagets nätverk med Internetåtkomst och ger säker åtkomst till företagets nätverksresurser från alla alternativa trådlösa nätverk: GPRS, HSCSD eller WLAN. Samma server medför fjärranslutningstjänster för alla sorters fjärranvändare: t ex de som arbetar hemma, använder GPRS för roaming eller allmänna trådlösa LAN. Detta ger lägre administrationskostnader och förenklar nätverkets arkitektur. Vanligtvis administreras VPN-servern av företagets IT-avdelning. Programvaran för VPN-klienten installeras på användarens dator och körs ovanpå Nokia D211-programmet. Samma standardklientkonfiguration används med både GPRS och WLAN. Via klienten etableras automatiskt en säker tunnel till företagets VPN-server. Dessutom kan den medföra en personlig brandvägg som skyddar datorn mot angrepp. Företaget kan välja den mest lämpliga VPN-klienten eftersom Nokia D211 är kompatibelt med ledande VPN-klienter. 11/11
Figur 6 : Sammanfattning av strukturen för säker fjärranslutning VPN är det bästa sättet att bygga en säker och privat infrastruktur för kommunikation via Internet. Det finns ett antal fördelar med att använda Internet-anslutning, GPRS och WLAN när så är möjligt: I stället för att tvinga användaren att ringa långdistanssamtal direkt till företaget, gör GPRS och trådlöst LAN att användaren kan utnyttja en allmän Internet-anslutning. För det mesta beräknas debiteringen för WLAN och GPRS på den överförda datavolymen och inte på anslutningstiden. Därför kan e-posthantering och Internetsökningar bli mycket billigare med den här typen av anslutning. Med VPN slipper företagen ha modempooler, dyra hyrda linjer och servrar för fjärranslutning. Ytterligare besparingar kan göras genom att operativa kostnader för fjärranvändare minskas. Nokia D211-nätkortet med flera lägen är en ny standard för datoranslutningar som medför funktioner för både uppringning och GPRS- och WLAN-anslutning i samma enhet. Säkerhetsaspekterna har beaktats i produktdesignen. Nokia D211 är interoperabilitetstestad i avbildade referensritningar för ledande VPN-klienttillverkares programvara och för Microsofts inbyggda Internet-säkerhetslösningar (IPSEC). Detaljerad information om säkerhetsfrågorna finns på www.nokia.com. 12/12