Öryggismál Það er Ijóst að í dag eru fjölmargar ráð- stafanir gerðar til að tryggja öryggi á þráðlausu neti og von er á fleirum núverandi staðlar og því eru aðilar að veðja á að þeirra lausnir verði samþykktar sem hluti af 802.1 le og 802.1 li. Hafaber í huga að rekstraraðili sem vill nýta þessar útvíkkanir þarf að gera það upp við sig hvort hann er til- búinn til þess að byggja á lausn sem ekki er samhæfð Wi-Fi og einangra sig við netbúnað frá einum framleiðanda. Viðbótarvarnir Hér að neðan er fjallað lítillega um viðbótar- lausnir frá tveimur stærstu framleiðendunum, Symbol Technologies og Cisco Systems. Lucent Technologies fara svipaða leið og Cisco en þó ekki þá sömu. Aðrir aðilar hafa ekki kynnt lausnir sínar með jafn afgerandi hætti og því er ekki fjallað um þær hér. Lausn Symbol byggir á Kerberos-sannpróf- un. Kerberos-þjónn þarf að vera á netinu til að sinna þessu hlutverki en Kerberos er staðlaður hluti af Windows 2000, Unix- og Linux-stýrikerfum. í grófum dráttum gengur Kerberos út á að notandi sem vill tengjast þarf að sanna hver hann er með notendanafni og dulrituðu lykilorði. Fram að því treystir netið (sendir og Kerberos-þjónn) honum ekki og leyfir honum ekki að tengjast sendi. Því næst þarf netið að sanna fyrir notandanum að hann sé að tengjast neti sem hann getur treyst. Þegar þessu trúnaðarstigi er náð geta báðir aðilar deilt með sér lykli fyrir dulráðn- ingu með öruggri dreifingu (e. dynamic key exchange) frá Kerberos-þjóninum, sem t.d. er sértækur fyrir hverja setu eða hvern notanda og því veitir lausnin viðbótarvörn gagnvart hlerun sem og sannprófun notenda. Kerberos býður upp á reiki milli senda sem tekur um 30ms og truflar því ekki t.d. hand- tölvunotanda eða tal yfir IP-símtal. Þó svo að skilgreind þjónustugæði (QoS) séu ekki hluti af staðlinum í dag er mikilvægt fyrir hreyfan- lega tölvuvinnslu og tal yfir IP að njóta lág- marksgæða. Lausn Cisco byggir á útvíkkun á RADIUS sem er staðall til að veita sannpróf- aðan og mælanlegan hringiaðgang að net- kerfum (e. Remote Access Dial In User Service). RADIUS-staðallinn styður ekki reiki rnilli senda einn og sér og því hefur Cisco þróað eigin tækni sem kallast LEAP (e. Lightweight Extensible Application Protocol) sem bætir þessum eiginleika við RADIUS ásamt dreifingu á WEP. Cisco ACS 2.6 RADIUS-þjónn þarf að vera á netinu til að sinna þessu hlutverki. I grófum dráttum gengur RADIUS út á að notandi sem vill tengjast þarf að sanna hver hann er með not- endanafni og dulrituðu lykilorði. Eftir sannprófun sendir RADIUS-þjónn svar til notanda og heimilar tengingu við netið (e. authorization). Með svarinu fylgir WEP-lyk- ill. Lausnin býður upp á reikiflutning en þjónustugæði er einungis hægt að tryggja fyrir færanlega tölvuvinnslu (e. portable computing). LEAP þarf að afhenda aðgang frá einum sendi til annars og reiki getur tekið frá 1 upp í 10 sekúndur sem ekki er nægjan- legt fyrir hreyfanlega tölvuvinnslu eða tal yfir IP. Lausnin býður heldur ekki upp á vörn gegn hlerun umfram WEP. Að ofansögðu er ljóst að ef rekstraraðili vill tryggja öryggi með öllum þeim ráðstöfunum sem völ er á í dag skiptir meginmáli við val á búnaði í hvaða rekstur á að nýta þráðlausa netið þannig að hægt sé að tryggja þjónustugæði. Ef ofangreindar ráðstafanir falla ekki að rekstri netkerfis fyrirtækis eða ef fyrirtækið treystir þeim ekki er hægt að halda þráðlausu neti utan eldveggja og hleypa notendum inn á netkerfi með sýndarneti (VPN). Þetta gera sum fyrirtæki og þetta er leið sem farin er ef notendur tengjast þráðlausu almenningsneti sem veitir aðgang að einkaneti á s.k. net- vangi (e. Hotspot). Er loftió hættulegra en vírinn? Það er ljóst að í dag eru fjölmargar ráðstafan- ir gerðar til að tryggja öryggi á þráðlausu neti og von er á fleirum. Lágmarkskrafan er að þráðlaus net séu jafn örugg og kapalnet. Þessar ráðstafanir eru verkfæri sem í boði eru til varnar gegn innri skemmdarverkum, árás- um að utan og hlerun. Þráðlaus net eru vissu- lega hættulegri en kapalnet ef verkfærin eru ekki notuð. En ef rétt er að málum staðið hættir loftið að vera hættulegra en vírinn. Sigurður Hjalti Kristjánsson er framkvæmdastjóri Króla verkfræðistofu ehf. Höfundur er CS véla- og iðnaðarverk- fræðingur frá Háskóla Islands. 1 MAC-vistfang er auðkenni netbúnaðar. Þetta er ein- kvæm talnaruna þannig engin tvö tæki, t.d. netkort eða þráðlaus sendir, hafa sarna vistfangið. Netkerfi nota MAC-vistfangið til að beina s'amskiptum sín í milli.. 2 MAC stendur fyrir Media Access Control. MAC-lag- ið er neðra lag DLL eða svokallaðs greinalags sem veitir þjónustu til þess að flytja gögn milli eininda í netlagi. Tölvumál 29

Page 1
Page 2
Page 3
Page 4
Page 5
Page 6
Page 7
Page 8
Page 9
Page 10
Page 11
Page 12
Page 13
Page 14
Page 15
Page 16
Page 17
Page 18
Page 19
Page 20
Page 21
Page 22
Page 23
Page 24
Page 25
Page 26
Page 27
Page 28
Page 29
Page 30
Page 31
Page 32
Page 33
Page 34
Page 35
Page 36
Page 37
Page 38
Page 39
Page 40