TIETOTURVA 1/1. Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0



Samankaltaiset tiedostot
PIKAOPAS MODEM SETUP FOR NOKIA Copyright Nokia Oyj Kaikki oikeudet pidätetään.

Home Media Server. Home Media Server -sovelluksen asentaminen tietokoneeseen. Mediatiedostojen hallinta. Home Media Server

PIKAOPAS MODEM SETUP

PIKAOHJE MODEM OPTIONS for Nokia 7650

PIKAOPAS NOKIA PC SUITE 4.3. Nokia puhelimelle. Copyright Nokia Mobile Phones Kaikki oikeudet pidätetään Issue 6

Nokia Muunnin (CA-55) Asennusopas painos

PIKAOPAS NOKIA PC SUITE 4.51a NOKIA PUHELIMELLE

PIKAOPAS NOKIA PC SUITE 4.8 NOKIA 6310i -PUHELIMELLE

PIKAOPAS. Nokia Connectivity Cable Drivers -ohjainten asentaminen

Online-tulostus painos

Lataa-sovellus. 1. painos

PIKAOPAS NOKIA PC SUITE Copyright Nokia Oyj Kaikki oikeudet pidätetään

PIKAOPAS. Nokia Connectivity Cable Drivers -ohjainten asentaminen

Ohjattu asetusten luonti painos

Nokia Nseries PC Suite painos

mikä sen merkitys on liikkuvalle ammattilaiselle?

2007 Nokia. Kaikki oikeudet pidätetään. Nokia, Nokia Connecting People ja Nseries ovat Nokia Oyj:n tavaramerkkejä tai rekisteröityjä tavaramerkkejä.

PIKAOHJE NOKIA MODEM OPTIONS

PIKAOPAS NOKIA OBSERVATION CAMERAN KÄYTTÖLIITTYMÄSOVELLUS. Copyright 2003 Nokia. Kaikki oikeudet pidätetään Päivämäärä: , ver. 1.

2007 Nokia. Kaikki oikeudet pidätetään. Nokia, Nokia Connecting People, Nseries ja N77 ovat Nokia Oyj:n tavaramerkkejä tai rekisteröityjä

Nokia autoluuri Asennusohje Käyttöopas

Nokia Kannettava radio-hf HS-2R Käyttöohje painos

Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

Nokia Music Headset HS-20/AD /1

Langaton Tampere yrityskäyttäjän asetukset

Asennusopas. Huomautus. Observit RSS

Online-jako painos

Turvaa langattomat laitteesi ja verkkosi. Harri Koskinen Rossum Oy

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2012

Nokia Sport-HF (HS-29 ja AD-45) /1

Sisältö Chat

Nokia Lifeblog 2.5 Nokia N76-1

Online-jako 2.0 Nokia N76-1

TIETOTURVA LYHYESTI. Turvallisuusuhat. Tietoturvapalvelut ja -mekanismit

Online-jako painos

Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Windows XP

Yhteydenhallinta-käyttöohje

Nokia langaton audioyhteyslaite AD-42W /1

Käyttöoppaasi. NOKIA C110

Langattomien verkkojen tietosuojapalvelut

Käyttöoppaasi. NOKIA LD-1W

Sisäilmaston mittaus hyödyntää langatonta anturiteknologiaa:

Toshiba EasyGuard käytännössä: Portégé M300

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2011

Nokia Display Headset (HS-6) -laitteen käyttöohje painos

Nokia stereo-hf HS /1

F-Secure Mobile Security for S60

WL54AP2. Langattoman verkon laajennusohje WDS

Chat. Yhteyden muodostaminen chat-palvelimeen. Chat-asetusten vastaanottaminen. Chat

NELJÄ HELPPOA TAPAA TEHDÄ TYÖNTEKIJÖIDEN TYÖSTÄ JOUSTAVAMPAA

Langattoman Nokia AD-5B -äänisovittimen käyttöohje painos

Nokia C110/C111-langattoman lähiverkon kortti. Asennusopas

Ohjeita tietokoneverkon käyttöön Latokartano-säätiön ja Metsäylioppilaiden asuntosäätiön asuntoloissa

P-870HN-51b pikaopas. Oletusasetukset LAN-portti: LAN1~LAN4 IP-osoite: Salasana: 1234

Langattomat ominaisuudet (vain tietyt mallit)

Langaton tietokone (vain tietyt mallit) Käyttöopas

Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Mac OS X

Langaton tietokone (vain tietyt mallit)

Turvallinen etäkäyttö Aaltoyliopistossa

Liitäntäkaapelin CA-42 pika-asennusohje

Tietoa ja ohjeita Hämäläisten ylioppilassäätiön asuntoloiden laajakaistaverkon käytöstä

ECL Comfort 310 -säätimen yhdistäminen langattomaan verkkoon (WLAN)

Diagnoosi- ja korjaustarjous riippumattomille korjaamoille

F-Secure Mobile Security. Android

Taloyhtiön laajakaistan käyttöohje, Tekniikka: HomePNA. Käyttöjärjestelmä: Windows XP

Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure

1 Suunto Cadence POD Tietoja Suunto Cadence POD:ista JOHDANTO OHJEET PUHDISTAMINEN TEKNISET TIEDOT...

Langattoman kotiverkon mahdollisuudet

Toimi langattomasti. Uusia ulottuvuuksia työhön ja vapaa-aikaan

Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Windows Vista

Langaton tietokone (vain tietyt mallit)

Kieku-tietojärjestelmä Työasemavaatimukset sla-

Lyhyt oppimäärä mistä salauksessa on kyse? Risto Hakala, Kyberturvallisuuskeskus, Viestintävirasto

Verkottunut suunnittelu

Identiteettipohjaiset verkkoja tietoturvapalvelut

Adobe Photoshop Album Starter Edition 3.0

Hans Aalto/Neste Jacobs Oy

Option GlobeSurfer III pikakäyttöopas

INTERNET-yhteydet E L E C T R O N I C C O N T R O L S & S E N S O R S

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus

WELHO ADSL -LAAJAKAISTAPALVELUIDEN PALVELUKUVAUS KULUTTAJA-ASIAKKAILLE (alkaen )

1. päivä ip Windows 2003 Server ja vista (toteutus)

Asennus Windows XP ja Vista -käyttöjärjestelmiin

päiväys tekijä tarkastaja hyväksyjä Muutoshistoria Julkunen (Marja Julkunen)

Tätä ohjetta tai sen osaa ei saa kopioida tai välittää missään muodossa ilman DNA:n kirjallista suostumusta.

DPI (DEEP PACKET INSPECTION) By Sami Lehtinen

Nokia stereo-hf WH /1

Connection Manager -käyttöohje

2. Modeemi- ja ISDN-yhteyden käyttöönotto

Kytkentäohje KYTKENTÄOHJE. Kuitupääte Alcatel-Lucent I-040G-R. WLAN-reititin TP-Link Archer C7.

Mobiililaitteiden WiFi-vahvistin WN1000RP Asennusopas

dyntäminen rakennusautomaatiossa Jussi Rantanen Myyntipää äällikkö Fidelix Oy

ESET CYBER SECURITY Mac Pikaopas. Lataa tämän asiakirjan uusin versio napsauttamalla tätä

N150 WiFi-reititin (N150R)

Nokia Display Headset HS-69 Käyttöopas painos, FI

Jos epäilet, että isännän yksityisavain on joutunut vaaran kohteeksi, voit luoda uuden yksityisavaimen suorittamalla seuraavat toimenpiteet:

SUOJAA JA HALLINNOI MOBIILILAITTEITASI. Freedome for Business

Järjestelmäarkkitehtuuri (TK081702) Web Services. Web Services

ECL Comfort 296 / 310 -säätimen yhdistäminen langattomaan verkkoon (WLAN)

Nokia Bluetooth Headset BH /1

Transkriptio:

TIETOTURVA 1/1 Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0

Sisällys 1. JOHDANTO... 3 2. ETÄKÄYTTÖARKKITEHTUURIT... 3 2.1 PUHELINVERKKOYHTEYS... 3 2.2 SUOJATTU INTERNET-YHTEYS (GPRS, WLAN)... 3 2.2.1 INTERNET-TIETOTURVAN VAATIMUKSET... 5 2.2.2 VPN-TEKNIIKAN LYHYT KUVAUS... 5 2.2.3 KAUPALLISET VPN-SOVELLUKSET... 6 2.2.4 HENKILÖKOHTAINEN PALOMUURI... 6 2.3 SOVELLUSTASON TIETOTURVA INTERNET-KÄYTTÖÖN... 7 3. SUOJATTU GPRS-YHTEYS YRITYKSEN VERKKOON... 7 4. SUOJATTU YHTEYS LANGATTOMAAN LÄHIVERKKOON... 9 4.1 LANGATTOMAN LÄHIVERKON KÄYTTÖ TOIMISTOSSA... 9 4.2 LANGATTOMAN LÄHIVERKON ETÄKÄYTTÖ... 10 5. YHTEENVETO YRITYSVERKON TURVALLINEN KÄYTTÖ NOKIA D211 -RADIOKORTILLA... 11 Juridiset tiedot Copyright Nokia Oyj 2002. Kaikki oikeudet pidätetään. Tämän asiakirjan sisällön jäljentäminen, jakeleminen tai tallentaminen kokonaan tai osittain on kielletty ilman Nokian myöntämää kirjallista lupaa. Nokia ja Nokia Connecting People ovat Nokia Oyj:n rekisteröityjä tavaramerkkejä. Muut tässä asiakirjassa mainitut tuotteiden ja yritysten nimet voivat olla omistajiensa tavaramerkkejä tai kauppanimiä. Nokia kehittää tuotteitaan jatkuvasti ja pidättää siksi oikeuden tehdä muutoksia ja parannuksia mihin tahansa tässä asiakirjassa mainittuun tuotteeseen ilman ennakkoilmoitusta. Nokia ei vastaa välittömistä tai välillisistä vahingoista, mukaan lukien tietojen tai tulojen menetys. Tämän asiakirjan sisältö tarjotaan "sellaisenaan". Sen tarkkuudesta, luotettavuudesta tai sisällöstä ei anneta mitään suoraa tai epäsuoraa takuuta eikä nimenomaisesti taata sen markkinoitavuutta tai sopivuutta tiettyyn tarkoitukseen, ellei pakottavalla lainsäädännöllä ole toisin määrätty. Nokia varaa itselleen oikeuden muuttaa tätä asiakirjaa tai poistaa sen jakelusta milloin tahansa ilman erillistä ilmoitusta. 2/2

1. JOHDANTO Uusi Nokia D211 on monen toimintatilan radiokortti, joka on ihanteellinen valinta paljon liikkuville ammattikäyttäjille, jotka haluavat käyttää yrityksen verkkoa myös muualla kuin omassa työpisteessään. Siirretyt tiedot ovat usein erittäin tärkeitä yrityksen liiketoiminnan kannalta, eivätkä tällaiset tiedot saa joutua ulkopuolisten käsiin. Tästä syystä tietoturvalla on keskeinen rooli käytettäessä Nokia D211 -radiokorttia etäkäyttöpalveluiden yhteydessä. Tässä asiakirjassa neuvotaan, kuinka tietoturva on otettava huomioon käytettäessä Nokia D211 -radiokorttia. Asiakirjassa selvitetään Internet-tietoturvan perusteet ja kuvataan joitakin tiedonsiirtoarkkitehtuureja, jotka mahdollistavat yrityksen verkon turvallisen käytön GPRSverkkojen ja langattomien lähiverkkojen kautta. 2. ETÄKÄYTTÖARKKITEHTUURIT 2.1 PUHELINVERKKOYHTEYS Etäkäyttöpalvelut on viime aikoihin asti toteutettu käyttämällä vuokrattuja puhelinlinjoja, puhelinverkkomodeemeja ja etäkäyttöpalvelimia. Yhteys muodostetaan julkisen puhelinverkon ja yleisesti tunnetun PPP-yhteyskäytännön avulla. Lähes kaikki pääteyhteysohjelmat tukevat PPP-yhteyskäytäntöä. Puhelinverkkoyhteys muodostetaan käyttämällä kiinteää puhelinverkkoa tai langatonta päätettä. Etäkäyttöpalvelin todentaa käyttäjän salasanan avulla. Yleensä ei käytetä mitään erityisiä suojaustapoja. Nokia D211 -radiokortti tarjoaa kaksi eri mahdollisuutta puhelinverkkoyhteyden muodostamiseen. Mahdollisuudet ovat GSM-data ja HSCSD (High Speed Circuit Switched Data). Tässä kokoonpanossa GSM-verkko suojaa käyttäjän tiedot, kun niitä siirretään radioteitse. Tämä langaton yhteydenmuodostustapa ei näin ollen vaadi muita suojausominaisuuksia. GSM-verkkoa voidaan käyttää puhelinverkkomodeemiyhteyden tapaan. Puhelinverkkoyhteys muodostetaan yleensä käyttämällä Microsoft Windowsin puhelinverkkoyhteyden ominaisuutta. 2.2 SUOJATTU INTERNET-YHTEYS (GPRS, WLAN) Uudet, langattomat Internet-tekniikat (kuten GPRS ja langattoman lähiverkon tekniikka eli WLAN) tarjoavat entistäkin nopeamman ja edullisemman tavan käyttää yrityksen verkon tietoja. Uudet yhteysmenetelmät edellyttävät kuitenkin, että yrityksen etäkäyttöympäristöön tehdään joitakin parannuksia. Näin taataan siirrettyjen tietojen luottamuksellisuus. Kuvassa 1 kuvataan puhelinverkkoyhteyden ja Internet-etäkäyttöyhteyden arkkitehtuurit. GPRS- ja WLAN-tekniikoissa tiedonsiirron väylänä käytetään Internetiä puhelinverkon asemesta. Tämä on GPRS- ja WLAN-tekniikoiden merkittävin ero verrattuna puhelinverkkoyhteyksiin. Käyttäjän tiedot siirretään matkaviestinverkosta suojaamattoman Internetin kautta yrityksen verkkoon. Tiedonsiirrossa käytetään IP-tiedonsiirtokäytäntöjä. 3/3

Julkiseen Internetiin liittyy useita tietoturvariskejä. Yksi merkittävimmistä Internetin tietoturvan heikkouksista on se, että IP-paketit ovat kaikkien verkkoon pääsevien käyttäjien luettavissa. IP-paketit toimitetaan useimmiten samaa reittiä pitkin, joten mahdollisella verkkoon murtautujalla on mahdollisuus kaapata kaikki IP-paketit. Langattoman verkon (GPRS ja WLAN) suojaustoiminnot eivät yksinään riitä tietojen luottamuksellisuuden takaamiseen. Erittäin luotettava etäkäytön järjestelmä voidaan luoda yhdistämällä langattomaan käyttömahdollisuuteen koko tiedonsiirtoketjun kattava IP-tietoturvaratkaisu. Huomautus: Nokia suosittelee suojatun GPRS-/WLAN-yhteyden luomiseen yleisesti käytössä olevaa IP-tason VPN (Virtual Private Network) -tietoturvaratkaisua. Seuraavissa osissa selvitetään, kuinka tätä tekniikkaa voidaan käyttää GPRS-yhteyksien, toimiston langattoman lähiverkon ja kodin verkkoyhteyksien suojaamiseen. Intranet-palvelut Puhelinverkkopalvelin Yrityksen intranet Palomuuri suojattua IP-etäyhteyttä varten Puhelinverkko Julkinen Internet Koko tiedonsiirtoketjun kattava Internet-tietoturva Radiolinkin suojaus GSMverkko Langaton pakettipohjainen verkko (GPRS, WLAN) Kannettava tietokone, jossa Nokia D211 Kuva 1: Vaihtoehtoiset etäkäyttömenetelmät: puhelinverkkoyhteys ja Internet-yhteys 4/4

2.2.1 Internet-tietoturvan vaatimukset Internet-tietoturvaratkaisussa on oltava seuraavat toiminnot, joiden avulla voidaan taata tietojen ja yritysverkon tietoturva: Käyttöoikeusvalvonnalla estetään valtuuttamattomia käyttäjiä pääsemästä yrityksen verkkoon. Salaus estää tietojen kopioimisen tai lukemisen, kun tiedot siirretään Internetin kautta. Salaus estää valtuuttamattomia käyttäjiä pääsemästä tietoihin käsiksi. Saatavilla on useita tiedonsiirron salausmenetelmiä. Menetelmät eroavat toisistaan lähinnä käytettävien salausalgoritmien osalta. Todentamisella varmistetaan, että tietojen todellinen ja väitetty lähde ovat sama asia. VPN (Virtual Private Network) -tekniikkaa käytetään yleisesti yrityksen eri toimipaikkojen lähiverkkojen yhdistämiseen sekä ulkoisten liikekumppanien yhdistämiseen yrityksen verkkoon. 2.2.2 VPN-tekniikan lyhyt kuvaus Kuvassa 2 on tyypillinen VPN-kokoonpano. Samaa tekniikkaa ja käyttöympäristöä voidaan käyttää myös suojatun etäyhteyden muodostamiseen GPRS- ja WLAN-käyttäjille. Sivutoimiston intranet VPN-palvelin Liikekumppanin intranet VPN-palvelin Internet VPN VPN VPN Palomuuri/ VPN-palvelin Yrityksen intranet Etäyhteys, VPN-asiakas Kuva 2: VPN (Virtual Private Network) -verkko eli virtuaalinen yksityisverkko VPN-ratkaisu koostuu verkkopalvelimesta ja asiakasohjelmistosta. VPN-palvelin estää eitoivotun liikenteen pääsemisen verkkoon. Lisäksi se estää VPN-verkossa siirrettäviä tietoja vuotamasta VPN-verkon ulkopuolelle. Virtuaalisen yksityisverkon eli VPN-verkon kaiken liikenteen on kuljettava VPN-palvelimen kautta. Päätelaitteen ja VPN-palvelimen välille luodaan tiedonsiirtotunneli. Käyttäjän tiedot lähetetään isäntäkoneeseen todennettuina ja salattuina. 5/5

VPN-tekniikan etuna on se, että intranetin lähtevä ja saapuva liikenne voidaan suojata ja valtuuttamaton käyttö estää. VPN-verkoissa ei käytetä pysyviä linkkejä verkon päätepisteiden välillä. Päätelaitteen ja yrityksen verkon välille tarvittava yhteys luodaan erikseen joka kerta. Yhteys puretaan aina tietoliikenteen loputtua. Asiakas luo suojatun tiedonsiirtotunnelin, ja verkko todentaa etäkäyttäjän. Käyttöoikeuksien tarkistuksella vahvistetaan kaikkien etäkäyttäjien tunnistetiedot. Käyttäjälle myönnetään pääsy yrityksen verkkoon vasta sitten, kun käyttöoikeuksien tarkistus on onnistunut. Käytettävissä on useita eri todentamismenetelmiä, kuten salasanat, suojaustunnukset (tallennettu esimerkiksi älykortille) ja varmenteet. Koko tiedonsiirtoketjun kattava tunnelointi suojaa tietovuon tietomurtoja vastaan. VPNasiakkaissa ja -palvelimissa on usein myös sisäänrakennettu palomuuri. Niin kutsuttu henkilökohtainen palomuuri suodattaa saapuvat tiedot. Internet-yhteydet sallitaan vain etukäteen määritetyistä isäntäkoneista. Tämä estää mahdollista tietomurtautujaa pääsemästä käsiksi etäpäätelaitteen tietoihin. Integroitu salaus varmistaa sen, että valtuuttamattomien käyttäjien on käytännössä mahdotonta lukea tietoja. Useimmat VPN-laitteet neuvottelevat automaattisesti tiedonsiirron osapuolten välille tehokkaimmat mahdolliset salauksen ja tiedon varmennuksen algoritmit. Salaus on läpinäkyvä kaikille IP-käytäntöjä käyttäville sovelluksille, kuten sähköpostiasiakkaille ja Web-selaimille. Ainoa merkittävä vaikutus on se, että VPNkapselointi lisää tietovuohon hieman lisätietoja, jotka on siirrettävä langattoman linkin kautta. 2.2.3 Kaupalliset VPN-sovellukset Markkinoilla on useita kaupallisia VPN-ratkaisuja. Suojattu VPN-yhdyskäytävä voi kuulua seuraaviin luokkiin: tehokkaat VPN-reitittimet, palomuurit, integroidut VPN-laitteistot ja edulliset VPN-ohjelmistot. Pakettien salaustoiminto sisältyy yleensä reitittimiin joko lisäohjelmistona tai lisäpiirilevynä. Piirilevyratkaisu sopii parhaiten sellaisiin tilanteisiin, joissa vaaditaan suurta tiedonsiirtokapasiteettia. Tunneloinnin ja salauksen yhdistäminen palomuureihin on todennäköisesti paras ratkaisu pienissä verkoissa, joissa tietoliikennemäärät ovat pieniä. Useimmissa tapauksissa yrityksen tietotekniikkajohto valitsee VPN-järjestelmän ja hallitsee sitä. Saatavilla oleva tuotevalikoima on laaja. Oikean ratkaisun valitsemisen kannalta tärkein tekijä on vaadittava kapasiteetti. Käytännössä tämä tarkoittaa etäkäyttäjien määrää. Tyypillisessä tapauksessa VPN-verkon on tehtävä muunnos yrityksen verkon ja operaattorin verkon IP-osoitemallin välillä. Tästä syystä on suositeltavaa valita sellainen ratkaisu, joka tukee verkko-osoitteen muunnostekniikkaa (NAT, network address translation). Standardoitu yhteensopivuus eri VPN-laitteiden välillä takaa VPN-asiakkaan yhteensopivuuden useiden VPN-palvelinten kanssa. Nokia D211 -radiokortin yhteensopivuus on testattu johtavien VPN-asiakas- ja -palvelinratkaisujen kanssa. Tarkka luettelo testatuista tuotteista on Web-osoitteessa www.nokia.com. 2.2.4 Henkilökohtainen palomuuri Henkilökohtainen palomuuri on ohjelmisto, jonka säännöt sallivat tai estävät verkkoliikenteen tietokoneen kautta. Palomuurin valvonta- ja ohjaustoiminnot myös suojaavat sovelluksia Troijan hevosilta ja näppäinpainallusten kirjausohjelmilta. Ensisijainen käyttötarkoitus on 6/6

tietoturvan parantaminen VPN-asiakasohjelmaa käytettäessä. Henkilökohtainen palomuuri ohjaa käyttäjän tietokoneen käyttöä. Kun kannettavaa tietokonetta käytetään suojaamattomassa verkossa, suojaustaso on määritettävä hyvin suureksi. Itse asiassa kaikki yhteydenmuodostamisyritykset tietokoneeseen olisi estettävä. Kun palomuuri havaitsee tunkeutumisen, se käskee ohjelmiston estää yhteydet hakkerin IP-osoitteesta ja - osoitteeseen. Koska palomuuri ohjaa tiedonsiirtoa verkon TCP/IP-pinotasolla, hakkerit eivät voi ohittaa palomuurin asettamaa estettä. Tällaisen suojauksen olisi oltava aina käytössä tietokoneen sijainnista riippumatta. 2.3 SOVELLUSTASON TIETOTURVA INTERNET-KÄYTTÖÖN Jotkin Internet-sovellukset, kuten Web-selaimet, tarjoavat lisätietoturvaa. Netscapen ja Internet Explorerin nykyisissä versioissa käytetään sovellustason suojauskäytäntöjä, kuten siirtokerroksen suojausta (Transport Layer Security) ja SSL:ää (Secure Socket Layer). Nämä käytännöt tarjoavat tietoturvaa asiakassovelluksen ja palvelimen välille. Näitä suojaustekniikoita käytetään laajasti esimerkiksi Internet-pankkipalveluissa ja sähköisten maksutapahtumien yhteydessä. Sovellustason tietoturva varmistaa hyvän tietoturvatason, jota voidaan käyttää Internetyhteyksissä, kun siirrettävä aineisto ei sisällä yrityksen luottamuksellisia tietoja eikä langaton päätelaite sisällä luottamuksellisia tietoja. Tällaisissa tapauksissa käyttäjä voi käyttää Nokia D211 -radiokorttia ilman VPN-palveluita. Sovellustason tietoturvaratkaisut eivät kuitenkaan suojaa langatonta päätelaitetta ulkoiselta häirinnältä. Lisäksi salaustaso on usein pienempi kuin VPN-yhteyksissä. Huomautus: Jos sovelluksen yhteydessä käytetään yrityksen kannalta tärkeitä tietoja, käyttäjän on käytettävä koko tiedonsiirtoketjun kattavaa VPN-tunnelointia. VPN-tunneloinnin turvallisuutta lisätään sovellustason tietoturvaratkaisulla. 3. SUOJATTU GPRS-YHTEYS YRITYKSEN VERKKOON Normaali GPRS-verkkoyhteys suojaa radiotiedonsiirron. GPRS ei kuitenkaan tarjoa koko tiedonsiirtoketjun kattavaa Internet-tietoturvaratkaisua, jonka avulla yrityksen lähiverkkoa voitaisiin käyttää langattomalla päätelaitteella. GPRS-verkko tarjoaa kaksi tietoturvatoimintoa, jotka ovat tilaajan todentaminen ja tietojen salaus. GPRS-tekniikan käyttäjän käyttöoikeuksien tarkistusmenetelmä on samanlainen kuin GSM-verkossa. Kaikki tietoturvatoiminnot perustuvat salaiseen Ki-avaimeen, joka on tallennettu sekä SIM-kortille että operaattorin kotipaikkarekisteriin. GPRS-yhteyksissä päätelaitteen ja Internetin välinen tietoliikenne ja signaali salataan. Huomautus: Kun yritysverkossa käytetään GPRS-yhteyttä Nokia D211 -radiokortin kanssa, on suositeltavaa ottaa käyttöön VPN-tietoturvaratkaisu, joka tarjoaa koko tiedonsiirtoketjun kattavan varmennuksen ja tietojen salauksen. VPN-ratkaisu ei ole välttämätön, jos GPRS-yhteyttä käytetään sellaisessa käytössä, jossa ei siirretä luottamuksellisia tietoja. Esimerkiksi Web-selailu on tällaista käyttöä. Tyypillisessä tilanteessa VPN-palvelun tarjoaa yrityksen tietohallinto-osasto tai matkaviestintäoperaattori. Kuvassa 3 kuvattu järjestelmä toimii seuraavasti: 1. Käyttäjä ottaa GPRS-yhteyden käyttöön. 7/7

2. GPRS-verkko varmentaa langattoman päätelaitteen SIM-kortin avulla ja muodostaa suojatun, langattoman GPRS-yhteyden Internetiin (GPRS-salaus). 3. Käyttäjä käynnistää langattoman päätelaitteen VPN-asiakkaan, joka muodostaa koko tiedonsiirtoketjun kattavan, salatun IP-tunnelin yrityksen verkkoon (Internetissä siirrettävien tietojen salaus). Ratkaisu on erittäin luotettava ja turvallinen, koska kaikki liikenne on salattua langattomasta päätelaitteesta aina yrityksen VPN-palvelimeen saakka. VPN tarjoaa siis erittäin hyvän tietoturvatason. Käyttäjä pääsee intranetiin minkä tahansa GPRS-operaattorin verkosta. Kuva 3: Suojattu GPRS-yhteys yrityksen tietoihin Toinen vaihtoehto on käyttää erillistä yhteyttä matkaviestinoperaattorin GPRS-verkosta yrityksen intranetiin ja ohittaa näin julkinen Internet kokonaan. Tässä mallissa langaton päätelaite ei vaadi VPN-asiakasta. GPRS-verkon tietoturvaominaisuudet suojaavat päätelaitteen ja GPRS-ytimen välisen tietoliikenteen. Matkaviestinoperaattori muodostaa tämän jälkeen suojatun tunnelin operaattorin verkon ja yrityksen verkon välille. Tässä mallissa yritysasiakkaan on luotettava matkaviestinoperaattoriin, joka tarjoaa suojatun tunneloinnin. Vain harvat matkaviestinoperaattorit tarjoavat suurille yritysasiakkailleen tällaisen ratkaisun. Pyydä lisätietoja matkaviestinoperaattorilta. 8/8

4. SUOJATTU YHTEYS LANGATTOMAAN LÄHIVERKKOON Langattomia lähiverkkoja käytetään tyypillisesti toimistoissa, kodeissa tai julkisilla käyttövyöhykkeillä, kuten hotelleissa ja lentokentillä. Langattoman lähiverkon ansiosta ihmiset voivat liikkua vapaasti toimistossa ja kokoushuoneissa tai työskennellä kotona pystymällä silti hyödyntämään yrityksen verkossa olevia uusimpia tietoja. GPRS-tekniikan tapaan myös langattoman lähiverkon tekniikassa Internetiä käytetään tiedonsiirron perusrunkona. Näin sama, suojattu VPN-etäkäyttöyhteys tukee sekä GPRS:ää että langatonta lähiverkkoa. Nokia D211 -radiokortin käyttäjä voi valita GPRS-linkin tai langattoman lähiverkon linkin välillä ja käyttää samaa VPN-kokoonpanoa muodostaessaan yhteyden yrityksen verkkoon. WLAN voi muodostaa tietoturvariskin, koska radiosignaalit pääsevät vuotamaan toimiston ulkopuolelle. Langattoman lähiverkon tietoturvariskit voidaan välttää käyttämällä asianmukaista varmennusta ja salausta. Huomautus: Nokia suosittelee koko tiedonsiirtoketjun kattavan VPN-ratkaisun käyttöä, kun yrityksen tietoja käytetään langattoman lähiverkon kautta. Langattoman lähiverkon standardi (IEEE 802.11b) sisältää WEP (Wired Equivalent Privacy) -suojaus-algoritmin, jota voidaan käyttää langattoman lähiverkon päätelaitteiden varmentamiseen sekä radiolinkin tietojen salaamiseen. WEP-menetelmän suojaustaso on huono IP-suojaukseen (VPN) verrattuna. WEP-suojaus voidaan ottaa käyttöön tietoturvan lisätasona, jota käytetään langattoman lähiverkon käytön hallintaan esimerkiksi kotona. WEP ei kuitenkaan ole oikea ratkaisu yritysverkon käytön hallintaan tai luottamuksellisten tietojen suojaamiseen. Jotkin laitetoimittajat ovat toteuttaneet WEP-suojaukseen omia laajennuksiaan. Esimerkkejä tästä ovat 802.1x-laajennukset. Laitetoimittajat väittävät, että nämä laajennukset riittävät yrityksen verkon tietoturvan takaamiseen. Näiden standardeja noudattamattomien ratkaisujen suojaustaso on kuitenkin huomattavasti huonompi kuin koko tiedonsiirtoketjun kattavien VPN-ratkaisujen suojaustaso. Langattoman lähiverkon ja oikein rakennetun VPNverkon yhdistelmä on erittäin turvallinen. Tällainen yhdistelmä on erinomainen ratkaisu kaikkiin WLAN-käyttöympäristöihin. 4.1 LANGATTOMAN LÄHIVERKON KÄYTTÖ TOIMISTOSSA Toimistot ovat langattomien lähiverkkojen tyypillisin käyttöpaikka. Käyttäjä voi liikkua vapaasti ja helposti toimistossa oman työpöytänsä äärestä kokoushuoneeseen tai jopa kahden vierekkäisen rakennuksen välillä mutta säilyttää kuitenkin koko ajan yhteyden verkkoon. Kuvassa 4 on tyypillinen, suojattu langaton lähiverkkokokoonpano, joka on tarkoitettu toimistokäyttöön. Langattoman lähiverkon tukiasemat on erotettu yrityksen verkosta VPN-palvelimella. Langattoman päätelaitteen ja VPN-palvelimen välille luodaan VPN-tunneli, joka suojaa intranet-tietoliikenteen ja estää valtuuttamattoman käytön. Käyttäjä voidaan todentaa salasanalla, kertakäyttösalasanalla (kuten laitteistopohjaisella muuttuvalla suojaustunnuksella) tai varmenteilla. 9/9

Kuva 4: Suojattu, langaton lähiverkko toimistossa 4.2 LANGATTOMAN LÄHIVERKON ETÄKÄYTTÖ Paljon matkustavat ammattilaiset voivat käyttää langattoman lähiverkon laitteita myös ollessaan poissa toimistosta. Monet Internet-palveluntarjoajat ja matkaviestinoperaattorit ovat perustaneet julkisia WLAN-käyttöalueita lentokentille, hotelleihin ja muihin julkisiin tiloihin. Langatonta lähiverkkoa voidaan käyttää myös kodeissa. Nokia D211 -radiokortin käyttäjillä voi olla langattoman lähiverkon kautta suojattu etäyhteys yrityksen verkkoon kaikista näistä paikoista. WLAN-etäverkon arkkitehtuuri muistuttaa toimistossa käytettävän langattoman lähiverkon arkkitehtuuria. Ainoa merkittävä ero on se, että toimistossa tietoliikenne reititetään yksityisen verkon kautta suoraan VPN-palvelimeen. Julkisen käyttöalueen tai kodin langattoman lähiverkon tapauksessa käyttäjän siirtämät tiedot reititetään julkisen Internetin kautta. Tietoturvan suhteen molemmat toteutustavat edellyttävät VPN-ratkaisua. Samaa päätelaitteiden tietoturvakokoonpanoa voidaan käyttää sekä etäkäytön lähiverkossa että toimiston lähiverkossa. Kuvassa 5 on havainnollistettu etäkäyttöverkon arkkitehtuuria. Julkinen langaton lähiverkko varmentaa ensin Nokia D211 -radiokortin käyttäjän. Tämän jälkeen käyttäjä käynnistää VPN-asiakkaan, joka muodostaa automaattisesti suojatun tunnelin yrityksen verkkoon. 10/10

Kuva 5: Langattoman lähiverkon etäkäyttö 5. YHTEENVETO YRITYSVERKON TURVALLINEN KÄYTTÖ NOKIA D211 -RADIOKORTILLA Nokia D211 -radiokortti mahdollistaa perinteisen puhelinverkkoyhteyden (kuva 1) käytön. Tässä kokoonpanossa ei tarvita VPN-asiakasta. Yhteys muodostetaan käyttämällä Microsoft Windowsin normaaleja puhelinverkkoyhteyden toimintoja. Kuvassa 6 esitelty etäkäyttöarkkitehtuuri koostuu kahdesta pääosasta, jotka ovat VPNpalvelin ja VPN-asiakas. VPN-palvelin laajentaa yrityksen verkkoa Internet-yhteydellä. Lisäksi VPN-palvelin tarjoaa suojatun yhteyden yrityksen verkon resursseihin kaikista langattomista verkkotyypeistä, jotka ovat GPRS, HSCSD ja langaton lähiverkko. Sama palvelin tarjoaa etäkäyttöpalvelut kaikille etäkäyttäjille: kotona työskenteleville henkilöille, GPRS-käyttäjille, julkisen langattoman lähiverkon käyttäjille ja niin edelleen. Tämä pienentää hallinnollisia kustannuksia ja yksinkertaistaa verkon arkkitehtuuria. Yleensä yrityksen tietotekniikkaosasto hallitsee VPN-palvelinta. VPN-asiakasohjelma asennetaan käyttäjän PC-tietokoneeseen. Ohjelma toimii Nokia D211 -ohjelmiston päällä. Asiakaskokoonpanon samaa vakioversiota käytetään myös GPRS- ja WLAN-ratkaisuissa. Asiakas muodostaa suojatun tunnelin yrityksen VPN-palvelimeen automaattisesti. Lisäksi asiakas voi sisältää henkilökohtaisen palomuurin, joka suojaa PCtietokonetta tietomurtoja vastaan. Nokia D211 tukee markkinoiden johtavia VPN-asiakkaita, joten yritys voi valita tarpeisiinsa parhaiten sopivan VPN-asiakkaan. 11/11

Kuva 6: Yhteenveto suojatun etäkäytön arkkitehtuurista VPN on oikea menetelmä luoda suojattu, yksityinen tiedonsiirtoverkko, jonka rungon muodostaa Internet. Internet-, GPRS- ja WLAN-yhteyksien mahdollisimman laajalla käytöllä on useita etuja: GPRS-tekniikan ja langattoman lähiverkon tekniikan ansiosta käyttäjä voi muodostaa yhteyden yrityksen verkkoon julkisen Internetin kautta. Käyttäjän ei tarvitse muodostaa yhteyttä yrityksen verkkoon kaukopuhelun avulla. Yleensä WLAN- ja GPRS-käyttö hinnoitellaan siirretyn tietomäärän mukaan. Hinnoittelu ei siis perustu yhteysaikaan. Sähköpostin ja Web-selaimen käyttö on merkittävästi edullisempaa tällaisella yhteydellä. VPN-verkkojen ansiosta yritykset pääsevät eroon modeemisoittosarjoista, kalliista vuokralinjoista ja etäkäyttöpalvelimista. Myös etäkäyttäjien käyttötuen kustannukset pienenevät. Nokia D211 on monen toimintatilan radiokortti. Nokia D211 on langattomien PCtietoliikenneyhteyksien uusi vertailukohta. Sama laite tarjoaa mahdollisuuden puhelinverkkoyhteyksiin sekä GPRS- ja WLAN-yhteyksiin. Tietoturvakysymykset on otettu huomioon tuotteen suunnittelussa. Nokia D211 -radiokortin yhteensopivuus johtavien VPNasiakasvalmistajien ohjelmistojen ja Microsoftin integroitujen Internet-tietoturvaratkaisujen (IPSEC) kanssa on testattu kuvatuissa viitekäyttöympäristöissä. Tarkkoja tietoja tietoturvakysymyksistä on Web-osoitteessa www.nokia.com. 12/12

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute