Tölvumál - 01.07.2001, Síða 29
Öryggismál
Það er Ijóst að í dag
eru fjölmargar ráð-
stafanir gerðar til að
tryggja öryggi á
þráðlausu neti og von
er á fleirum
núverandi staðlar og því eru aðilar að veðja á
að þeirra lausnir verði samþykktar sem hluti
af 802.1 le og 802.1 li. Hafaber í huga að
rekstraraðili sem vill nýta þessar útvíkkanir
þarf að gera það upp við sig hvort hann er til-
búinn til þess að byggja á lausn sem ekki er
samhæfð Wi-Fi og einangra sig við netbúnað
frá einum framleiðanda.
Viðbótarvarnir
Hér að neðan er fjallað lítillega um viðbótar-
lausnir frá tveimur stærstu framleiðendunum,
Symbol Technologies og Cisco Systems.
Lucent Technologies fara svipaða leið og
Cisco en þó ekki þá sömu. Aðrir aðilar hafa
ekki kynnt lausnir sínar með jafn afgerandi
hætti og því er ekki fjallað um þær hér.
Lausn Symbol byggir á Kerberos-sannpróf-
un. Kerberos-þjónn þarf að vera á netinu til
að sinna þessu hlutverki en Kerberos er
staðlaður hluti af Windows 2000, Unix- og
Linux-stýrikerfum. í grófum dráttum gengur
Kerberos út á að notandi sem vill tengjast
þarf að sanna hver hann er með notendanafni
og dulrituðu lykilorði. Fram að því treystir
netið (sendir og Kerberos-þjónn) honum ekki
og leyfir honum ekki að tengjast sendi. Því
næst þarf netið að sanna fyrir notandanum að
hann sé að tengjast neti sem hann getur
treyst. Þegar þessu trúnaðarstigi er náð geta
báðir aðilar deilt með sér lykli fyrir dulráðn-
ingu með öruggri dreifingu (e. dynamic
key exchange) frá Kerberos-þjóninum, sem
t.d. er sértækur fyrir hverja setu eða hvern
notanda og því veitir lausnin viðbótarvörn
gagnvart hlerun sem og sannprófun notenda.
Kerberos býður upp á reiki milli senda sem
tekur um 30ms og truflar því ekki t.d. hand-
tölvunotanda eða tal yfir IP-símtal. Þó svo að
skilgreind þjónustugæði (QoS) séu ekki hluti
af staðlinum í dag er mikilvægt fyrir hreyfan-
lega tölvuvinnslu og tal yfir IP að njóta lág-
marksgæða. Lausn Cisco byggir á útvíkkun á
RADIUS sem er staðall til að veita sannpróf-
aðan og mælanlegan hringiaðgang að net-
kerfum (e. Remote Access Dial In User
Service). RADIUS-staðallinn styður ekki
reiki rnilli senda einn og sér og því hefur
Cisco þróað eigin tækni sem kallast LEAP
(e. Lightweight Extensible Application
Protocol) sem bætir þessum eiginleika við
RADIUS ásamt dreifingu á WEP. Cisco ACS
2.6 RADIUS-þjónn þarf að vera á netinu til
að sinna þessu hlutverki. I grófum dráttum
gengur RADIUS út á að notandi sem vill
tengjast þarf að sanna hver hann er með not-
endanafni og dulrituðu lykilorði. Eftir
sannprófun sendir RADIUS-þjónn svar til
notanda og heimilar tengingu við netið (e.
authorization). Með svarinu fylgir WEP-lyk-
ill. Lausnin býður upp á reikiflutning en
þjónustugæði er einungis hægt að tryggja
fyrir færanlega tölvuvinnslu (e. portable
computing). LEAP þarf að afhenda aðgang
frá einum sendi til annars og reiki getur tekið
frá 1 upp í 10 sekúndur sem ekki er nægjan-
legt fyrir hreyfanlega tölvuvinnslu eða tal
yfir IP. Lausnin býður heldur ekki upp á vörn
gegn hlerun umfram WEP. Að ofansögðu er
ljóst að ef rekstraraðili vill tryggja öryggi
með öllum þeim ráðstöfunum sem völ er á í
dag skiptir meginmáli við val á búnaði í
hvaða rekstur á að nýta þráðlausa netið
þannig að hægt sé að tryggja þjónustugæði.
Ef ofangreindar ráðstafanir falla ekki að
rekstri netkerfis fyrirtækis eða ef fyrirtækið
treystir þeim ekki er hægt að halda þráðlausu
neti utan eldveggja og hleypa notendum inn
á netkerfi með sýndarneti (VPN). Þetta gera
sum fyrirtæki og þetta er leið sem farin er ef
notendur tengjast þráðlausu almenningsneti
sem veitir aðgang að einkaneti á s.k. net-
vangi (e. Hotspot).
Er loftió hættulegra en vírinn?
Það er ljóst að í dag eru fjölmargar ráðstafan-
ir gerðar til að tryggja öryggi á þráðlausu
neti og von er á fleirum. Lágmarkskrafan er
að þráðlaus net séu jafn örugg og kapalnet.
Þessar ráðstafanir eru verkfæri sem í boði eru
til varnar gegn innri skemmdarverkum, árás-
um að utan og hlerun. Þráðlaus net eru vissu-
lega hættulegri en kapalnet ef verkfærin eru
ekki notuð. En ef rétt er að málum staðið
hættir loftið að vera hættulegra en vírinn.
Sigurður Hjalti Kristjánsson er
framkvæmdastjóri Króla verkfræðistofu ehf.
Höfundur er CS véla- og iðnaðarverk-
fræðingur frá Háskóla Islands.
1 MAC-vistfang er auðkenni netbúnaðar. Þetta er ein-
kvæm talnaruna þannig engin tvö tæki, t.d. netkort
eða þráðlaus sendir, hafa sarna vistfangið. Netkerfi
nota MAC-vistfangið til að beina s'amskiptum sín í
milli..
2 MAC stendur fyrir Media Access Control. MAC-lag-
ið er neðra lag DLL eða svokallaðs greinalags sem
veitir þjónustu til þess að flytja gögn milli eininda í
netlagi.
Tölvumál
29