Datensicherheit EINFÜHRUNG

Transkript

1 Datensicherheit EINFÜHRUNG Die Anzahl drahtloser lokaler Netzwerke wächst sehr schnell. Da sich die Geschäftsumgebung ständig ändert, wird von den Mitarbeitern und ihrer Arbeitsumgebung eine größere Flexibilität gefordert. Deshalb erkennen Unternehmen aller Größenordnungen die Bedeutung der mobilen Vernetzung innerhalb von Gebäuden. Gleichzeitig haben die Industriestandards IEEE und IEEE b neue Möglichkeiten zur Implementierung von Funk-LAN- Lösungen eröffnet. Mit den neuen auf dem Markt erhältlichen Funk-LAN- Produkten können alle Unternehmen den Komfort der mobilen LAN-Verbindung nutzen. Da in vielen dieser Firmen auch vertrauliche Daten übertragen werden, haben Sicherheitsgesichtspunkte häufig einen sehr hohen Stellenwert. Ein Funk-LAN ist ein flexibles Datenkommunikationssystem, das als Erweiterung eines Kabel-LANs innerhalb eines Gebäudes oder Campus implementiert ist. Bei Funk-LANs erfolgt das Senden und Empfangen von Daten drahtlos über Hochfrequenztechnologie, wodurch keine Kabelverbindungen benötigt werden. Funk- LANs bieten Benutzern den mobilen Zugriff auf ein Kabel-LAN innerhalb der Reichweite. Die Funk-LAN-Technologie hat in jüngster Zeit zunehmende Verbreitung in einer Anzahl vertikaler Märkte gefunden, etwa an Universitäten, in der Medizin, im Einzelhandel, in der Produktion oder in der Lagerverwaltung. Diese Branchen können ihre Produktivität steigern, indem sie Handheld-Geräte und Laptop-Computer einsetzen, um Daten in Echtzeit an zentralisierte Host- Rechner zur Verarbeitung zu übertragen. Auch in der normalen Büroumgebung wächst der Bedarf nach LAN-Funktionen, die sich überall ohne komplizierte Installationen und Kabelverbindungen einsetzen lassen. Durch die Standardisierung drahtloser LAN-Technologien wurde es attraktiver, Teile herkömmlicher LANs durch Funk-Lösungen zu erweitern oder zu ersetzen. Bei der Planung einer Netzwerkarchitektur sollten alle Sicherheitsgesichtspunkte sorgfältig überlegt und Sicherheitsmaßnahmen ergriffen werden, um die Vertraulichkeit und Integrität der Daten im lokalen Netzwerk zu gewährleisten, unabhängig davon, ob diese mit Kabel oder drahtlos übertragen werden. Im Vergleich zu Telekommunikationsnetzen bieten LAN-Netzwerke mit IP- Datenverkehr und Zugang zum öffentlichen Internet keine hohe Zuverlässigkeit oder Sicherheits-garantien. Ohne entsprechende Vorsichtsmaßnahmen ist jedes LAN ganz gleich, ob die Verbindung über Kabel oder drahtlos erfolgt anfällig für Sicherheitsrisiken und Probleme. So könnten Außenstehende, die daran interessiert sind, vertrauliche Informationen über Ihr Unternehmen an Konkurrenten zu verkaufen, beispielsweise auf Netzwerkdaten zugreifen oder 1

2 diese sogar ändern. In den letzten Jahren konnten aufgrund dieser Risiken die Vorteile der Funk-LAN-Technologie in Netzwerken mit vertraulichen Daten nicht voll ausgeschöpft werden, weil Benutzer normalerweise strenge Anforderungen und Richtlinien für die Sicherheit und Datenintegrität haben. Übersicht über die Datensicherheit Bedrohungen der Sicherheit Bei Computersystemen und Netzwerken bestehen ernsthafte Sicherheitsbedrohungen, die zu erheblichen Schäden am System selbst bzw. dessen Diensten oder Informationen führen können. Unter einem Sicherheitsangriff versteht man eine Aktion, die die Sicherheit der in einem Unternehmen vorhandenen Informationen beeinträchtigt. Eine Sicherheitsbedrohung ist dagegen die Möglichkeit für einen solchen Angriff. Zu den gängigen Sicherheitsbedrohungen gehören Lahmlegung von Diensten durch gezielte Überlastung mit großen Datenmengen (Denial of Service), Abhören, Manipulationen, Masquerade (Adressumsetzung) und Repudiation (Verleugnung). Denial of Service bedeutet, dass ein System oder ein Netzwerk für berechtigte Benutzer nicht mehr verfügbar ist oder die Kommunikation unterbrochen oder verzögert ist. Eine solche Situation ist beispielsweise denkbar, wenn ein Netzwerk durch illegale Datenpakete überlastet wird. Bei Funk-LANs kann eine solche Situation auch dadurch hervorgerufen werden, dass ein Angreifer die Funkfrequenz durch Interferenzen stört, um den Betrieb des Funk-LANs zu verhindern. Abhören kann in zwei Varianten auftreten: Abhören der Identität, bedeutet, dass die Identität eines Kommunikationspartners aufgezeichnet wird, um diese später missbräuchlich zu verwenden. Beim Abhören von Daten überwacht ein nicht berechtigter Benutzer die in einer Kommunikationssitzung übertragenen Daten. Ein solcher Angriff auf die Vertraulichkeit ist es etwa, wenn ein Angreifer das Übertragungsmedium Kabel- oder Funkverbindung anzapft und die übertragenen Daten aufzeichnet. Manipulation bezieht sich auf eine Situation, bei der Daten in einem System ersetzt, eingefügt oder gelöscht werden. Dies ist ein Angriff auf die Datenintegrität, der sowohl unbeabsichtigt (aufgrund eines Hardwarefehlers) oder beabsichtigt sein kann. Im letzteren Fall hört ein Angreifer die Datenkommunikation ab und verändert die Benutzerdaten. Von Masquerading spricht man, wenn ein Angreifer vorgibt, ein berechtigter Besucher zu sein, um Zugriff auf die Informationen eines Systems zu erhalten. Ein Beispiel für Masquerading in einem Funk-LAN wäre etwa, wenn ein nicht berechtigter Benutzer versucht, auf das Funk-LAN zuzugreifen. Repudiation bedeutet, dass ein Benutzer leugnet, eine für das System oder die Kommunikation schädliche Aktion ausgeführt zu haben. So könnte ein Benutzer etwa abstreiten, bestimmte Mitteilungen gesendet zu haben oder ein Funk-LAN- System benutzt zu haben. 2

3 Sicherheitsdienste und Sicherheitsmechanismen Um sich gegen die genannten Sicherheitsbedrohungen zu schützen, müssen verschiedene Sicherheitsdienste und Sicherheitsmechanismen eingesetzt werden. Sicherheitsdienste erhöhen die Sicherheit von Informationssystem und Datenübertragungen. Sicherheitsmechanismen sind dagegen aktive Maßnahmen, die zur Bereitstellung von Sicherheitsdiensten ergriffen werden. Chiffrierung (Encipherment) ist ein Beispiel für einen Mechanismus, der mit verschiedenen Sicherheitsdiensten verwendet werden kann. Authentifizierung ist ein Dienst, der die Identität eines Benutzers, Geräts oder einer anderen Einheit bestätigt bzw. die Echtheit einer übertragenen Mitteilung überprüft. Authentifizierung ist in der Regel erforderlich, um einen Schutz vor Masquerading und Manipulationen zu erreichen. In den heutigen Funk-LAN- Systemen müssen beispielsweise Zugänge die Identität von mobilen Komponenten authentifizieren, um unberechtigte Zugriffe auf das Netzwerk zu verhindern. Eng verwandt mit der Authentifizierung ist der Zugriffskontrolldienst, der den Zugriff auf die Systeme und Anwendungen eines Netzwerks begrenzt und kontrolliert. Damit ein Objekt Zugang zu einem System erhält, muss es zuerst identifiziert, oder authentifiziert, werden. Vertraulichkeit von Daten ist der Schutz der übertragenen Daten vor einem etwaigen Abhören. Bei drahtlosen Übertragungen könnte dies bedeuten, dass die Daten zwischen einer mobilen Komponente und einem Zugang so übertragen werden, dass sie für Unbefugte nicht zugänglich sind. Obwohl natürlich nicht alle Daten vertraulich sind, sollten wichtige Informationen nur übertragen werden, wenn entsprechende Sicherheitsvorkehrungen getroffen wurden. Datenintegrität ist ein wichtiger Sicherheitsdienst, der nachweist, dass die übertragenen Daten nicht manipuliert wurden. Die Authentifizierung der Kommunikationspartner reicht nicht aus, wenn das System nicht mit Sicherheit ausschließen kann, dass eine Mitteilung auf dem Übertragungsweg verändert wird. Mit Hilfe der Datenintegrität lassen sich Manipulationen an Daten erkennen und verhindern. Non-Repudiation verhindert, dass eine Einheit etwas abstreiten kann, was tatsächlich passiert ist. Dies bezieht sich in der Regel auf eine Situation, in der eine Einheit einen Dienst genutzt oder eine Mitteilung übertragen hat und dies später abstreitet. SICHERHEIT UND IEEE Um die Sicherheit der in Computernetzwerken übertragenen Daten zu gewährleisten, existieren verschiedene Protokolle und Lösungen. Diese lassen sich auch in Funk-LANs anwenden, in denen die übertragenen Daten vor Angreifern geschützt werden sollen. In diesem Abschnitt werden die Lösungen vorgestellt, mit denen sich Sicherheitsprobleme in Funk-LANs verhindern lassen. Der Standard IEEE für drahtlose LANs wurde im Jahr 1997 verabschiedet. Dieser Standard wurde entwickelt, um eine möglichst weitgehende Interoperabilität zwischen Funk-LAN-Produkten verschiedener Hersteller zu gewährleisten. Ferner brachte er auch eine Reihe von Verbesserungen und Vorteilen hinsichtlich der Übertragungsleistung. IEEE definiert drei Optionen für die physische Schicht (PHY-Layer): FHSS, DSSS, und IR. DSSS bietet 3

4 einige Vorteile im Vergleich zu den beiden anderen PHY-Layer-Optionen. DSSS besitzt die höchsten möglichen Datenraten (bis zu 11 Mbit/s) und bietet eine größere Reichweite als die Optionen FH und IR. DSSS-Systeme wurden ursprünglich in der militärischen Kommunikation eingesetzt. DSSS-basierte Funksysteme sind auch sehr widerstandsfähig gehen Störstrahlung. Der vorhandene Funk-LAN-Standard IEEE definiert zwei Authentifizierungsdienste: Auf WEP (Wired Equivalent Privacy, Kabel-LAN-äquivalente Vertraulichkeit) basierende Authentifizierung mit gemeinsamem Schlüssel. Offene Systemauthentifizierung (kündigt lediglich an, dass eine mobile Komponente mit einer anderen mobilen Komponente oder einem Zugang kommunizieren möchte) WEP (Wired Equivalent Privacy) Die Stationen in einem drahtlosen LAN gemäß IEEE können Lauschangriffe durch Implementierung des optionalen WEP-Algorithmus verhindern, der auch in der Authentifizierung mit gemeinsamem Schlüssel eingesetzt wird. Der WEP- Algorithmus verwendet den RC4-Algorithmus mit einem geheimen Schlüssel von maximal 128 Bit Länge. Wenn die Komponenten in einem drahtlosen LAN über WEP kommunizieren möchten, müssen sie sich im Besitz desselben geheimen Schlüssels befinden. Der Standard legt nicht fest, wie die Schlüssel an die mobilen Komponenten verteilt werden. Aus kryptografischer Sicht ist es von Bedeutung, welche Schlüssellänge und welchen Schutz der Algorithmus bietet. Aus Sicht der Systemarchitektur geht es dagegen darum, wie die WEP-Schlüssel verteilt und verwaltet werden, da die Sicherheit darauf basiert, dass die geheimen Schlüssel nicht für Unbefugte sichtbar sein dürfen. WEP erwartet, dass zuvor ein gemeinsamer Schlüssel auf sichere Weise an alle mobilen Komponenten übertragen wurde. Die Schlüssel können beispielsweise beim Einrichten der Zugänge und der mobilen Komponenten in deren Management-Basen geladen werden. Der Einsatz von WEP bietet den Vorteil, dass der Datenverkehr bereits auf der Verbindungsschicht zwischen den mobilen Komponenten verschlüsselt ist und deshalb auf den höheren Schichten keine Verschlüsselungsmechanismen erforderlich sind. Der Algorithmus kann in die Hardware-Karte integriert werden, sodass die Verschlüsselung schneller erfolgt als mit Softwarelösungen. Offene Systemauthentifizierung Um den Zugriff auf ein Funk-LAN ohne den Einsatz von WEP zu beschränken, haben die meisten Hersteller drahtloser LAN-Produkte ein Verfahren zur Zugriffssteuerung implementiert, das Assoziationen von unerwünschten MAC- Adressen in den Zugängen blockiert. Funk-LAN-Karten werden durch eine 48 Bit lange MAC-Adresse gemäß IEEE 802 eindeutig identifiziert. In den Zugängen kann eine Liste, welche die MAC-Adressen der gültigen Funk-LAN-Karten enthält, definiert werden. Alle mobilen Komponenten, die eine Verbindung mit einer Funk- LAN-Karte herzustellen versuchen, deren MAC-Adresse nicht in der Liste enthalten ist, werden zurückgewiesen und können die Funk-LAN-Schnittstelle nicht benutzen. Funk-LANs, die keine Authentifizierungs- oder Verschlüsselungsverfahren verwenden, können ein Sicherheitsrisiko darstellen, 4

5 wenn die Funksignale außerhalb des Bürogebäudes gelangen. Ein Eindringling, der den SSID (Service Set Identifier, Dienstgruppenkennung) zur Identifizierung des Funk-LANs kennt, kann eine mobile Komponente so konfigurieren, dass es im selben Netzwerk und mit derselben Frequenz wie die Zugänge arbeitet und dadurch Zugriff auf das Netzwerk erhalten könnte, falls keine MAC- Adressblockierung verwendet wird. Mit den geeigneten Tools könnte der Eindringling auch die Daten belauschen, die Benutzer zur Übertragung berechtigen. Die in Funk-LAN-Karten verwendeten MAC-Adressen lassen sich theoretisch ebenfalls fälschen. Wenn ein Eindringling eine autorisierte MAC- Adresse ausspäht, könnte er damit eine Funk-LAN-Karte für dieselbe MAC- Adresse programmieren und auf das Funk-LAN zugreifen. Die gleichzeitige Verwendung zweier Funk-LAN-Karten mit derselben MAC-Adresse würde natürlich zu Netzwerkproblemen führen. VIRTUELLE PRIVATE NETZWERKE (VPN) Die VPN-Technologie (Virtual Private Network, virtuelles privates Netzwerk) kann in Funk-LANs verwendet werden, um Tunnel für die sichere Kommunikation einzurichten. Bei einem richtig konfigurierten VPN stellen diese Tunnel sicher, dass nur autorisierte Personen auf das Firmennetzwerk zugreifen und keine Außenstehenden die Daten verändern können. Zur Implementierung virtueller privater Netzwerke werden verschiedene technische Ansätze und Standards verwendet. In allen Ansätzen wird der Sicherheitsinhalt im Allgemeinen durch zwei Hauptkomponenten unterschieden: Benutzerauthentifizierung und Datenverschlüsselung. Benutzerauthentifizierung Zuverlässige Verfahren zur Benutzerauthentifizierung sind in Funk-LAN- Umgebungen unverzichtbar. Bis vor Kurzem erfolgte die Authentifizierung oft auf der Basis von Benutzer-ID und Kennwort, gegenseitige Authentifizierung durch Challenge/Response oder einer zentralen Richtliniendatenbank für Benutzer. Ein Beispiel für eine zentrale Benutzerrichtlinien-Datenbank ist das RADIUS- Protokoll (Remote Authentication Dial-in User Service). Dabei erfolgt die Übertragung von Authentifizierungsanforderungen durch die Verwendung von festen Benutzer-IDs und Kennwörtern. Die SecurID-Karte von RSA Security verwendet eine andere Methode zur Authentifizierung. SecurID ist eine Hardwarekomponente, die eindeutige und unvorhersagbare Zugriffscodes erzeugt, die jeweils nur einmal verwendet werden. Der Zugriffscode kann in Verbindung mit einer geheimen persönlichen PIN-Nummer verwendet werden, um eine noch sicherere Authentifizierung zu gewährleisten. Es gibt auch viele neue, moderne Methoden der Benutzerauthentifizierung. Auf Smart-Cards mit integriertem Mikrocontroller und Speicher lassen sich Anwendungen unterbringen, die vom einfachen Authentifizierungsalgorithmus bis hin zu E-Cash reichen. Smart-Cards bieten Benutzern eine einfache Möglichkeit, das Authentifizierungsgerät bei sich zu tragen. Datenverschlüsselung Bei diesem Verfahren werden die Daten verschlüsselt übertragen, um sie vor unbefugtem Zugriff zu schützen. Es können zahlreiche Verschlüsselungsmethoden eingesetzt werden, die sich hauptsächlich durch den jeweils verwendeten 5

6 Algorithmus unterscheiden. Algorithmen mit öffentlichen Schlüsseln wie beispielsweise RSA verwenden zur Verschlüsselung und Entschlüsselung verschiedene Schlüssel, die mathematisch zueinander in Beziehung stehen. Algorithmen mit geheimen Schlüsseln wie etwa RC4, DES und 3DES verwenden zur Verschlüsselung und Entschlüsselung denselben Schlüssel. Die Methoden mit geheimem Schlüssel bieten den Vorteil hoher Geschwindigkeit. Da jedoch derselbe Schlüssel für Verschlüsselung und Entschlüsselung verwendet wird, kann die Datensicherheit gefährdet sein, wenn die Verwaltung der Schlüssel unzuverlässig ist. Die Effizienz der Verschlüsselung hängt im hohen Maße von der Verwaltung und der Länge der Schlüssel ab. Der Schlüssel muss eine ausreichende Länge besitzen. Bei modernen Lösungen sollten dies mindestens 56 Bit sein. IPSEC - Der Sicherheitsstandard des Internet-Protokolls IPSEC ist ein neuer Sicherheitsstandard und besteht aus Komponenten, die verschiedene Sicherheitsdienste auf der IP-Schicht bereitstellen, beispielsweise Authentifizierung und Verschlüsselung. Der IPSEC-Standard wurde 1998 durch die IETF (Internet Engineering Taskforce) verabschiedet. IPSEC kann auf zwei verschiedene Arten funktionieren. Im Transportmodus werden die ursprünglichen IP-Adressen in das Datenpaket aufgenommen und nur die Nutzdaten verschlüsselt. Im Tunnelmodus werden die ursprünglichen IP-Adressen ebenfalls gekapselt, und ein neuer Header wird dem Paket hinzugefügt. Die sichere Verbindung gemäß Security Association (SA) ist die Basis des IPSEC-Standards. SA wird zwischen kommunizierenden Hosts gebildet und legt beispielsweise die zu verwendenden Verschlüsselungs- und Authentifizierungsalgorithmen, wichtige Verwaltungseigenschaften sowie auch die Lebensdauer von Schlüsseln und der sicheren Verbindung fest. Eine der Hauptkomponenten von IPSEC ist das IKE- Protokoll (Internet Key Exchange, Internet-Schlüsselaustausch), das die Schlüssel für die Verschlüsselung einrichtet. Der Sicherheitsstandard nach IPSEC und IKE arbeitet mit Paaren privater und öffentlicher Schlüssel. Jeder Client/Benutzer besitzt einen privaten Schlüssel. Der entsprechende öffentliche Schlüssel wird im Netzwerk gespeichert. Das Verfahren auf Basis von vorher bekannten gemeinsamen Schlüsseln wird ebenfalls unterstützt. Dabei verwenden Client/ Benutzer und Netzwerk identische geheime Schlüssel, die ihnen vor Beginn der Kommunikation zugestellt wurden. In Zukunft wird IPSEC die Methode zur Durchführung des Datenschutzes standardisieren. Alle namhaften Hardware- und Softwarehersteller werden voraussichtlich noch im Jahr 2000 mit IPSECkompatiblen Produkten auf den Markt kommen. Es wird damit gerechnet, dass IPSEC zum De-facto-Sicherheitsstandard im Internet entwickeln wird. Dieses Verfahren könnte auch in Funk-LANs eingesetzt werden. Damit wären dann alle Sicherheitslösungen und -systeme miteinander interoperabel. Sichere Verbindungen zu Intranets mit VPN Eine alternative Möglichkeit zur Implementierung eines drahtlosen LANs mit Intranet-Zugriff besteht im Aufbau eines dedizierten LAN-Segments, in dem die Zugänge miteinander verbunden sind. Die Trennung des Funk-LAN-Segments vom Intranet kann dann über ein Sicherheits-Gateway erfolgen, das den Zugriff auf Intranet-Ressourcen kontrolliert. 6

7 Unternehmen Funk-LAN Sicherheits-Gateway (Firewall/VPN-Gateway) Unternehmens- DBs Zugänge Authentifizierungsserver VPN- Tunnel Workstation Firewall Workstation INTERNET Funk-Komponenten mit VPN-Client Abbildung 1. Ein Funk-LAN-Segment in einem Unternehmen Zwischen den mobilen Komponenten und dem Sicherheits-Gateway wird ein Tunnel erstellt, durch den die Daten authentifiziert und verschlüsselt übertragen werden. Aus Implementierungssicht könnte diese Installation auf einer VPN- Konfiguration basieren. Sicherheits-Gateway und Haupt-Firewall können integriert werden, sodass das Funk-LAN-Segment mit demselben Gerät verbunden ist, das auch mit dem Internet verbunden ist. Aus administrativen Gründen (und wegen der Tatsache, dass der Firewall sich physisch weit entfernt vom Funk-LAN- Segment befinden kann) ist eine Trennung der Geräte wie in der obigen Abbildung sinnvoller. Diese Lösung bietet den Vorteil, dass sie die vom und zum Intranet übertragenen Informationen schützt und jeden unberechtigten Zugriff verhindert. Hierzu ist Folgendes anzumerken: Da in diesem Modell die Daten zwischen der mobilen Komponente und dem Gateway verschlüsselt übertragen werden, ist der Datenverkehr zwischen zwei mobilen Komponenten im Funk-LAN-Segment unverschlüsselt, sofern beide keine anderen Maßnahmen wie beispielsweise IPSEC (Internet Protocol Security, Internet-Protokoll-Sicherheit), TLS (Transport Layer Security, Sicherheit auf der Transportschicht) oder andere Verschlüsselungsmethoden auf Anwendungsebene verwenden. Ferner wird der Tunnel eingerichtet, wenn die mobile Komponente die Verbindung zum Sicherheits-Gateway herstellt, sodass nur die mobilen Komponenten eine Verbindungen mit den Intranet-Hosts aufbauen können die Intranet-Hosts können keine direkte Verbindung zu den mobilen Komponenten herstellen. SICHERHEIT DER FUNK-LAN-PRODUKTE VON NOKIA Dieser Abschnitt hilft Ihnen, eine angemessene Sicherheitsstufe für Nokia Funk- LAN-Produkte festzulegen. 7

8 Nokia's 2 Mbit/s wireless LAN Die Nokia C020/C021 Funk-LAN-Karte und der Nokia A020 Funk-LAN-Zugang bieten keine zusätzlichen Sicherheitsoptionen wie etwa WEP-Funktionen. Deshalb sollte in Installationen mit hohen Sicherheitsanforderungen wie beispielsweise im Bankbereich mit Nokia Funk-LAN-Produkten für 2 Mbit/s eine komplette VPN- Lösung mit leistungsfähiger Authentifizierung und Datenverschlüsselung verwendet werden. VPN-Authentifizierung und Datenverschlüsselung Unternehmens-LAN Mobile Komponenten 10 Mbit/s Kabel-LAN Nokia A020 Funk-LAN- Zugang Hub oder Switch VPN- Server Abbildung 2. Beispiel für VPN-Authentifizierung in einem Funk-LAN Die Sicherheit lässt sich noch erhöhen, wenn NID-Listen (Network Identifier, Netzwerkkennung) in einigen oder allen Zugängen verwendet werden. Dies verhindert, dass unbefugte Benutzer von außerhalb oder auch interne Benutzer bestimmte Zugänge verwenden können. Die Konfiguration und die Überwachung des Zugangs lässt sich auf zwei Arten verhindern: Einmal über die Sperrfunktionen des Zugangs. Zum anderen, indem die Anzahl der Verwalter, die den Zugang konfigurieren und überwachen dürfen, eingeschränkt wird (maximal 4 Manager). Es ist auch möglich, die IP-Adressen zu definieren, die Zugriff erhalten sollen. Ferner stehen auch Optionen zur Verfügung, um Ports zu ändern oder die Nutzung von Telnet, Web und TFTP einzuschränken. Nokias neues Funk-LAN mit 11 Mbit/s Die neue Nokia C110/C111 Funk-LAN-Karte besitzt zusätzliche Funktionen zur Erhöhung der Sicherheit im Funk-LAN. Hier ist zunächst das integrierte Smart- Card-Lesegerät zu nennen, das ein äußerst zuverlässiges und effizientes Instrument zur Verwaltung von Benutzeridentitäten darstellt. Ferner enthält die Lösung die WEP-Authentifizierung und Verschlüsselung der Funkstrecke des Funk-LANs. In sicherheitsrelevanten Bankinstallationen wird dennoch empfohlen, das Funk-LAN mit einer VPN-Lösung zu integrieren. Hier kann jedoch die integrierte Smart-Card verwendet werden, um die Benutzeridentitäten auf VPN-Ebene und sogar die Netzwerkanmeldekennwörter zu speichern. Welche Vorteile bietet WEP? WEP kann eingesetzt werden, um die Netzwerksicherheit zu erhöhen. Dadurch verbessert sich zum Einen die Sicherheit vor Funkstörungen sowohl auf der Authentifizierungs- als auch der Verschlüsselungsseite. Zum Anderen werden dadurch kostengünstige und einfach zu installierende Lösungen möglich. WEP erlaubt die sichere Übertragung von Daten zwischen mobilen Komponenten. WEP stellt ein zusätzliches Tool zur 8

9 Authentifizierung und Daten-verschlüsselung bereit, das als solches in vielen Installationen eingesetzt werden kann. Unternehmens-LAN WEP VPN-Authentifizierung und Datenverschlüsselung WEP-Authentifizierung und Datenverschlüsselung Nokia A032 Funk-LAN- Zugang 10 Mbit/s Kabel-LAN Hub oder Switch VPN- Server Abbildung 3. Beispiel für VPN und WEP in einem Funk-LAN Welche Vorteile bieten Smart-Cards? Nokia bietet mit dem integrierten Smart- Card-Lesegerät ein effizientes Werkzeug zur Identifizierung und Authentifizierung von Benutzern im Funk-LAN. Die Funk-LAN-Karte von Nokia besitzt eine standardmäßige Windows-Schnittstelle für Smart-Card-Lesegeräte im Format ID000, die eine Reihe kommerzieller Smart-Card-Lösungen für Unternehmensnetzwerke und zur Authentifizierung von Diensten unterstützt. Die Nokia C110/C111 Funk-LAN-Karte besitzt eine offene Schnittstelle für Smart- Card-Lesegeräte, die die meisten auf dem Markt erhältlichen VPN-Lösungen unterstützt und sogar die Entwicklung kundenspezifischer Smart-Card-Lösungen für mobile Benutzer ermöglicht. Das integrierte Smart-Card-Lesegerät unterstützt die standardmäßige Smart-Card-API von Microsoft. Das integrierte Smart-Card-Lesegerät bietet darüber hinaus eine effiziente Möglichkeit zur Einführung von elektronischen Signaturen. Mit der Nokia C110/ C111 Funk-LAN-Karte können Sie leistungsfähige Authentifizierungsprodukte auf Basis von PKI (Public Key Infrastructure, Infrastruktur mit öffentlichen Schlüsseln) zusammen mit einer anderen Sicherheitslösung einsetzen. PKI wird von einer wachsenden Zahl von Institutionen im Finanzbereich und anderen Branchen verwendet. In dieser Hinsicht bietet die Nokia C110 eine solide Lösung für erhöhte Sicherheitsanforderungen. Der Smart-Card-Ansatz bietet die folgenden Hauptvorteile: Eine Smart-Card bietet eine hardwaremäßige, zuverlässige Möglichkeit zur Verteilung von Netzwerk-Authentifizierungsschlüsseln an mobile Benutzer. Darüber hinaus stellt sie einen PIN-geschützten Speicher für Kennwörter bereit. Eine Smart-Card lässt sich effizient in die Netzwerk-Authentifizierung einbinden, indem vorhandene Netzwerk-Authentifizierungsprodukte des Unternehmens verwendet werden. In Zukunft wird die integrierte Smart-Card auch digitale Signaturen und PKI-Dienste ermöglichen, die sich vor allem im Bankbereich vermehrt durchsetzen. Das integrierte Smart-Card-Lesegerät ermöglicht eine kostengünstige Lösung, um Smart-Card-Dienste auf Laptop-Computern bereitzustellen. 9

10 HÄUFIG GESTELLTE FRAGEN F1: Wie erfolgt die Benutzer-Authentifizierung und die Datenverschlüsselung zwischen einem Funk-LAN-Gerät und einem Zugang? Der bestehende Funk-LAN-Standard IEEE definiert zwei Authentifizierungsdienste: Offene System-Authentifizierung (kündigt lediglich an, dass eine mobile Komponente die Verbindung mit einer anderen mobilen Komponente oder einem Zugang herstellen möchte) Authentifizierung mit gemeinsamem Schlüssel auf Basis von WEP (Wired Equivalent Privacy) Bei der offenen System-Authentifizierung können nur gültige Funk-LAN-Karten die Verbindung mit Zugängen herstellen. Die offene System-Authentifizierung bietet weder eine paketbasierte Authentifizierung noch einen Schutz der Daten. Um die vertrauliche Übertragung von Frames zu gewährleisten, wird in IEEE das optionale WEP definiert. WEP ist eine symmetrische Verschlüsselung und trägt dazu bei, ein Abhören von Informationen durch Lauscher zu verhindern. Mit den Funk-LAN-Produkten für 11 Mbit/s von Nokia sind Schlüssellängen bis zu 128 Bit möglich. Der WEP-Mechanismus verschlüsselt alle Benutzerdatenpakete mit dem RC4-Algorithmus. Die neue Nokia C110/C111 Funk-LAN-Karte mit WEP und Authentifizierung verhindert den unbefugten Zugriff auf Netzwerkdienste und bietet Datenverschlüsselung über die Funkstrecke. In Installationen mit noch höheren Sicherheitsanfor-derungen lässt sich die Vertraulichkeit von Netzwerk- und Benutzerdaten durch Einsatz von Sicherheitsmechanismen auf IP-Ebene wie beispielsweise VPN-Produkten weiter steigern. In diesem Fall ist das Funk-LAN- Segment vom Unternehmensnetzwerk durch die Verwendung eines VPN-Geräts isoliert. Das VPN-Gerät führt die Benutzer-Authentifizierung und Datenverschlüsselung zwischen dem Funk-Terminal und dem Netzwerk durch leistungsfähige Verschlüsselungsalgorithmen durch, etwa DES oder 3DES. Die Funk-LAN-Lösung von Nokia unterstützt führende VPN-Lösungen, die für das Funk-LAN transparent sind. F2: Ist die Funkstrecke gegen Störangriffe anfällig? Die Version von DSSS (Direct Sequence Spread Spectrum, Direktsequenz- Spreizspektrum) des Standards IEEE ist so konzipiert, dass sie robust gegen Interferenzen ist. Es ist jedoch zu beachten, dass kein kommerzielles Funk-LAN- System gut vor absichtlichen Störungen geschützt ist. F3: Wie können wir sicherstellen, dass jede mobile Komponente ein Systemstartkennwort besitzt und eine automatische Abmeldung der Sitzung bei längerer Nichtbenutzung durchführt? Der Zugang beendet die Authentifizierung nach einer bestimmten Zeitspanne, wenn die mobile Komponente abgeschaltet wird oder außerhalb der Reichweite gebracht wird. Die Nokia C110/C111 Funk-LAN-Karte bietet WEP-Authentifizierung, die einen WEP-Schlüssel als Systemstartkennwort verwendet. Das Funk-LAN stellt keine zeitbasierte Abmeldung sicher, sondern wird in dieser Hinsicht eher wie ein normales LAN betrachtet. 10

11 Falls eine zuverlässige Sitzungsabmeldung bei längerer Nichtaktivität und ein Systemstartkennwort gefordert werden, empfiehlt es sich, das Funk-LAN mit einem VPN-Produkt zu integrieren, das diese Funktionen normalerweise bereitstellt. F4: Ist es möglich, den Zugriff auf das Funk-LAN auf der Basis des einzelnen Knotens zu verweigern? Ja. Hierzu stehen zwei Optionen zur Verfügung, die einander ergänzen: Sie können NID-Listen in den LAN-Zugängen verwenden. In diesem Fall gewährt der Zugang nur den in der Liste aufgeführten Funk-LAN-Karten (MAC-Adressen) den Zugriff auf das Netzwerk. NIDs beschränken die Nutzung des Funk-Netzwerks auf der Basis der MAC-Adresse der Funk-LAN-Karten. In Installationen, für die eine noch höhere Sicherheitsstufe gefordert wird, empfiehlt sich der Einsatz einer leistungsfähigeren Authentifizierungsmethode auf der Basis einer VPN-Lösung, um das Risiko eines unbefugten Eindringens in das Netzwerk zu minimieren. In sicherheitskritischen Lösungen kann auch die Authentifizierung auf Funk-LAN- Ebene gemeinsam mit der VPN-Authentifizierung eingesetzt werden. Durchbricht ein Eindringling in einer solchen Konfiguration den ersten durch die Funk-LAN- Authentifizierung bereitgestellten Schutzgürtel, muss er danach noch den VPN- Firewall durchdringen. F5: Welchen Einfluss hat ein Funk-LAN auf die Sicherheitsaspekte in Unternehmen? Dies hängt voll und ganz von den Unternehmensrichtlinien ab. Das Funk-LAN bringt definitiv eine neue Dimension in die Sicherheitsfrage. Jedoch gilt hier wie überall, dass sich mögliche Probleme durch eine sinnvolle Planung vermeiden lassen. In sicherheitskritischen Anwendungen wird dringend empfohlen, das Funk- LAN mithilfe einer VPN-Firewall-Lösung von den kritischen Netzwerkkomponenten zu isolieren. Im Gegensatz zu den meisten anderen Produkten bietet die 11-Mbit/s-Funk-LAN-Karte von Nokia zwei fortschrittliche Sicherheitstools, die sich in die bereits im Unternehmensnetzwerk vorhandenen Sicherheitssysteme integrieren lassen: Benutzerauthentifizierung mit Smart-Card sowie Authentifizierung und Datenverschlüsselung im Funk-LAN über WEP. Der WEP-Schutz bietet zusätzliche Sicherheit gegen Eindringlinge. Das integrierte Smart-Card-Lesegerät ermöglicht es Netzwerkadministratoren, reale Benutzeridentitäten und Sicherheitsschlüssel auf einfache Weise an Funk-LAN- Terminals zu verteilen. Die Smart-Card bietet ferner auch einen durch PIN geschützten Kennwortspeicher und ermöglicht die Berechnung von einmaligen Kennwort-Token, die im Vergleich zu den üblichen statischen Kennwörtern einen erheblich besseren Schutz bieten. Die neuesten Informationen über Nokias Funk-LAN-Produkte und Datensicherheit finden Sie auf unserer Homepage die regelmäßig aktualisiert wird. 11