Sikkerhet i bredbåndsnettverk

Transkript

1 Sikkerhet i bredbåndsnettverk Prosjektrapport fra HØYSIKK et Høykom prosjekt Versjon januar 2002 KITH Rapport 2/02 ISBN

2 KITH-rapport Tittel Sikkerhet i bredbåndsnettverk Prosjektrapport fra HØYSIKK et Høykom prosjekt Forfatter(e) Bjarte Aksnes, Arnstein Vestad, Harald Norvik, Ivar Kufås Oppdragsgiver(e) Høykom-programmet (NFR), Midt-Norsk Helsenett Rapportnummer R 2/02 ISBN Godkjent av URL Dato 18. januar 2002 Antall sider 69 Kvalitetssikret av Olaf Trygve Berglihn Kompetansesenter for IT i helsevesenet AS Postadresse Sukkerhuset 7489 Trondheim Besøksadresse Sverresgt 15, inng G Telefon Telefaks e-post firmapost@kith.no Foretaksnummer Prosjektkode NFR-HØYSIKK01 Gradering Jacob Hygen Adm. direktør Sammendrag Høyhastighetsnettverk blir stadig mer utbredt, og dermed oppstår nye sikkerhetsmessige utfordringer. I en konkurransesituasjon blir fokuset ofte lagt på pris og kapasitet, og sikkerhetsbehovene kommer i andre rekke. Dette kan medføre at det introduseres nye sikkerhetstrusler og en økt sårbarhet for samfunnet, og spesielt kritisk er dette innenfor helsevesenet. Målsetningen for det Høykom finansierte HØYSIKK-prosjektet har vært å vurdere sårbarhet og trusselområder ved bruk av høyhastighetsnett, kartlegge og vurdere ulike typer sikkerhetsløsninger for bruk i bredbåndsnettverk i helsevesenet, pilotere og utprøve sikkerhetsløsninger og spre kunnskap om sikkerhet i høyhastighetsnett. Denne rapporten oppsummerer konklusjonene fra dette arbeidet og samler viktig bakgrunnsinformasjon om sikkerhet i høyhastighetsnett. Fokus for prosjektet har vært helsevesenets behov for høyhastighetsnett til bl.a. videokonferansebaserte løsninger, teleradiologi, elektroniske journalsystemer osv. Rapporten vurderer sikkerhetsutfordringer som er karakteristiske for høyhastighetsnett, og ser på ulike sikkerhetsløsninger som VPN som tilbyr krypterte kanaler for å sikre sensitiv informasjon, personlige brannmurer som kan beskytte bl.a. hjemmebrukere mot angrep fra Internett. Utfordringer for trådløse nettverk av ulike typer vurderes også. Til slutt er en løsning som egner seg for mindre institusjoner med behov for båndbredde under 10Mbps utprøvd, i tillegg gis en oversikt over tilgjengelig løsninger og prisnivå. Forslag til tema for videre oppfølging er utprøving av ulike sikkerhetsløsninger ved bredbånds overføring av video eller røntgenbilder (f.eks VPN) og utprøving av mekanismer for tjenestekvalitet (QoS) i bredbåndsnettverk, samt pilotering av personlige brannmurer.

3 Innhold INNLEDNING... 1 Hva er bredbånd? 2 Bredbånd i Midt-Norsk Helsenett 3 Målsetninger for HØYSIKK-prosjektet 5 Organisering av prosjektet 5 Resultater fra prosjektet 5 BREDBÅNDSTJENESTER I HELSENETT... 7 Videokonferanser 7 Sikkerhet og tjenestekvalitet...8 Bruk av videokonferanser i helsevesenet...8 Eksempel: Telepatologi i MNH...10 Radiologi 11 Tekniske aspekter...11 Sikkerhet...12 Journalsystemer 12 Trusler mot elektroniske pasientjournaler...13 NOEN SIKKERHETSUTFORDRINGER Tjenestenektingsangrep 14 Ulike typer tjenestenektingsangrep...14 Tjenestenektingsangrep og bredbånd...15 Avlytting og overvåking 16 KRYPTOGRAFI Symmetrisk kryptografi 18 Asymmetrisk kryptografi 18 Kryptering av video 19 Videoformatet MPEG 20 Kryptering 20 Overføring av MPEG video 21 Konklusjon 22 VPN OG PERSONLIGE BRANNMURER VPN virtuelle private nett 24 IPSec 25 Bruk av PKI-løsninger...27

4 Bruksområder for VPN 27 Nettverk til nettverk...27 Arbeidsstasjon til server...28 Arbeidsstasjon til nettverk...28 Lukkede brukergrupper...28 Personlige brannmurer 29 Hvorfor er det behov for en personlig brannmur?...29 Personlig brannmur kontra distribuert brannmur...30 TESTING AV PERSONLIGE BRANNMURER Sygate Personal Firewall Norman Personal Firewall ZoneAlarm 36 Symantec Desktop Firewall Samlet vurdering av testene 40 F-Secure Distributed Firewall TJENESTEKVALITET Sentrale begreper 43 Behovet for tjenestekvalitet 44 Løsningsmekanismer 45 Tjenestekvalitet og sikkerhetstjenester 47 Konklusjon 47 VPN FOR TJENESTELEVERANDØRER Konklusjon 50 TRÅDLØSE NETTVERK Bluetooth 53 IEEE Teknisk beskrivelse...53 Sårbarhet og trusler...54 Eksisterende sikkerhetsmekanismer...55 HIPERLAN 57 Teknisk beskrivelse...57 Sikkerhetsmekanismer...58

5 Infrarød overføring 58 Konklusjon 59 PRAKTISK UTPRØVING AV VPN--TEKNOLOGI Test av Cisco 1710 VPN-ruter 60 Simulering av seriell link mellom VPN enheter...61 Ytelsestest VPN-til-VPN over 10Mbps Ethernet Markedssituasjonen for VPN-løsninger 64 REFERANSER OG BIBLIOGRAFI Videokonferanser 66 Radiologi 66 MPLS 67 Sikkerhetsutfordringer 67 Video og kryptering 67 VPN 68 Tjenestekvalitet 68 Trådløse nettverk 68

6 SIKKERHET I BREDBÅNDSNETTVERK Kapittel Innledning Høyhastighetsnettverk blir stadig mer utbredt, og dermed oppstår nye sikkerhetsmessige utfordringer. I en konkurransesituasjon blir fokuset ofte lagt på pris og kapasitet, og sikkerhetsbehovene kommer i andre rekke. Dette kan medføre at det introduseres nye sikkerhetstrusler og en økt sårbarhet for samfunnet, og spesielt kritisk er dette innenfor helsevesenet. Det er allerede etablert bredbåndsnettverk mellom sykehus og helsevirksomheter i flere regioner, og et nasjonalt helsenettverk planlegges etablert innen utgangen av Dette tilsier at helsesektoren vil bli en stor bruker av høyhastighetskommunikasjon. Med en utstrakt bruk av bredbåndskommunikasjon vil det oppstå nye sikkerhetsmessige utfordringer. Tradisjonelt har bredbåndskommunikasjon foregått innenfor lukkede nettverk, noe som har gjort sikkerhetstruslene håndterbare. Fremover vil vi i stadig større grad se at slik kommunikasjon vil foregå over åpnere nettverk. Nye løsninger vil også gjøre det mer vanlig å være tilknyttet nettet hele tiden, noe som kan gi aktørene en større eksponering ovenfor trusler utenfra. Det er allerede etablert bredbåndsnettverk mellom sykehus og helsevirksomheter i flere regioner, og et nasjonalt helsenettverk planlegges etablert innen utgangen av Dette tilsier at helsesektoren vil bli en stor bruker av høyhastighetskommunikasjon. Bredbåndsnettverkene vil for en stor del benyttes for informasjon med sensitivt innhold, for eksempel for videokonsultasjoner, røntgenbilder, pasientjournaler (som også kan innholde bilder/video/lyd). Sikringen av konfidensialiteten til den sensitive informasjonen blir da vesentlig. Tradisjonelt sikres konfidensialitet ved bruk av kryptering, men ved høyhastighetskommunikasjon kan kryptering være problematisk. Den høye hastigheten gjør at krypteringen kan bli en flaskehals som senker hastigheten vesentlig, i tillegg kan utstyr for kryptering ved høye hastigheter ha en høy kostnad. Innenfor Midt-Norsk Helsenett benyttes VLAN-teknologi for å segmentere nett (eller soner) på samme fysiske kabel og nettverkselektronikk. Dette kan medføre at både sensitiv og ikke-sensitiv informasjon går over den samme kabelen og de samme nettverkskomponentene. Det er også 1 Kilde: Si@! Statlig tiltaksplan for Elektronisk samhandling i helse- og sosialsektoren 1

7 INNLEDNING etablert VLAN som går på tvers av ulike virksomheter for å tilby høyhastighetskommunikasjon mellom helseinstitusjoner med uavhengige, men tilsvarende, sikkerhetsbehov og sikkerhetspolicyer. Helsevirksomhetene har dessuten behov for å kombinere ulik båndbredde innenfor ett og samme fysiske nettverk, noe som kan medføre problemer i forhold til sikring og kontroll av trafikken. Det er derfor viktig å studere hvilken risiko dette kan medføre for virksomhetene samt identifisere tiltak som kan redusere risikoen. Vanligvis sikres overgangen mellom nettverk med ulike sikkerhetspolicyer med brannmurer. De fleste brannmurer har begrensninger i hvor mye data de kan kontrollere og logge per tidsenhet, og ved høyhastighetskommunikasjon over brannmurer kan disse grensene utfordres. Resultatene kan bli at trafikken forsinkes eller avvises, noe som i mange tilfeller ikke vil være akseptabelt innenfor helsevesenet. Vi kan heller ikke utelukke at det kan skje feil som følge av overbelastninger. Resultatene kan bli at man må la noe kommunikasjon gå utenom brannmurene med de sikkerhetsutfordringene dette representerer. Systemer for nettverksovervåkning (IDS) kan også få problemer ved høy båndbredde og stort trafikkvolum. Ikke minst gjelder dette muligheten for å plukke ut relevante data fra den store mengden, samt muligheten for å logge trafikken. Et bredbåndsnettverk gir nye muligheter for sentralisering av driftstjenester eller datalagring. Sentrale tjenere og lagringsmedium, samt tjenester for drift av disse, f.eks. sikkerhetskopiering kan samles ett sted. Dette bør kunne gi bedre driftssikkerhet samt lavere kostnader. Trådløse radiobaserte nettverk med bredbåndskapasitet kan i stadig større grad benyttes som lokalnett eller for tilknytning til eksterne nett. Nye utfordringer ved bruk av trådløse nettverk er m.a. en økt fare for avlytting, og dette kan gjøre det nødvendig å kryptere trafikken, også på lokalnettet. I dag er legekontorene i MNH tilknyttet ved hjelp av ISDN-teknologi. For å få bedre kapasitet og tilgang til nye tjenester kan det etter hvert kan det bli aktuelt å benytte ADSL (el VDSL) til legekontorene. Dette kan medføre nye sikkerhetsmessige utfordringer, spesielt fordi legekontorene kan være tilknyttet nettet i lengre tidsrom (eller permanent). Dette kan også medføre et behov for personlige brannmurer på legekontorene. Hva er bredbånd? Bredbånd er en samlebetegnelse for flere ulike teknologier med mulighet for å kommunisere med høy overføringskapasitet. Med høy overføringskapasitet (eller hastighet) mener vi vanligvis hastigheter fra ca 1 Mbit/s og oppover. Høyhastighetskommunikasjon benyttes ofte synonymt med bredbåndskommunikasjon, og vi vil i denne rapporten også bruke disse begrepene om hverandre. 2

8 INNLEDNING I første omgang vil vi utelukke en del teknologier som klart ikke regnes som bredbånd, nemlig ISDN, Analoge telefonlinjer (PSTN), X21/X25, GSM, GPRS, UMTS? Et grensetilfelle er derimot ADSL (Asymmetric Digital Subscriber Line) som er basert på DSL teknologien som potensielt kan gi hastigheter på opptil 54Mbit/s. Vanlig hastighet på ADSL er per i dag kbit/s på nedlastinger. Men ADSL kan i løpet av et par år gi hastigheter på inntil 6-8 Mbit/s. Selv om ADSL med de laveste hastighetene strengt tatt ikke er bredbånd, vil vi i det følgende behandle ADSL som en bredbåndsteknologi fordi teknologien kan ha mulighet for å kommunisere med hastigheter høyere enn 1 Mbit/s. Vi vil skille mellom kabelbasert og trådløs høyhastighetskommunikasjon. Kabelbaserte bredbånd kan benytte seg av en rekke ulike overføringsmedia og teknologier, som kobberkabel, optisk fiber, kabelnett (coax) som kan være basert på dedikerte linjer eller ulike former for svitsjing (linjesvitsjing, pakkesvitsjing). Trådløse nettverk sender signalene gjennom lufta enten i form av radiobasert kommunikasjon (lokalnett/kort rekkevidde) eller satellittkommunikasjon. Et viktig skille går på om kommunikasjonen er enveis, som f.eks TV, eller om den går begge veier. For en del teknologier vil dessuten mottakshastigheten for brukeren være høyere enn sendehastigheten, såkalt asymmetrisk hastighet (f.eks. ADSL). Bredbånd i Midt-Norsk Helsenett Midt-Norsk Helsenett (MNH) ble igangsatt som et resultat av en samordnet strategi for IT og telemedisin i Helseregion Midt Norge og etter vedtak i Det regionale helse- og sosialutvalg i helseregionen i Prosjektet ble organisert som et prosjekt under Styringsgruppa for IT og telemedisin i Helseregion Midt Norge, med prosjektledelse og sekretariat ved KITH. I dag er styringsgruppa for prosjektet regionalt lederteam. Det er planlagt at prosjektet skal videreføres i et selskap i løpet av Prosjektet vil bli videreført inntil selskapet er etablert og bemanning er på plass. Midt-norsk helsenett har (både som organisasjon og infrastruktur) som visjon å være en "muliggjørende" arena for helsetjeneste-, kunnskaps- og IKT-rettet næringsutvikling i helseregionen. Prosjektet Midt-Norsk Helsenett har hatt som hovedmål å: etablere en basis infrastruktur ("Midt-norsk helsenett") som det tekniske og informasjonsmessige grunnlaget for et helhetlig og sikkert informasjonsnett for helseregionens virksomheter etablere en organisasjon ("Midt-norsk helsenett") som på vegne av fylkeskommunene og det regionale helse- og sosialutvalget utvikler og driver det helhetlige og sikre informasjonsnettet (med samme navn) for helseregionen 3

9 INNLEDNING Figur 1 - Teknisk oversiktsbilde MNH integrere eksisterende og nye nettilkoplinger og -anvendelser i regionen inn i Midt-norsk helsenett, slik at alle regionens institusjoner og virksomheter på sikt får én ekstern nettilkopling til Midtnorsk helsenett starte utviklingen av en grunnleggende kultur for elektronisk samhandling og nettanvendelser blant regionens helsearbeidere og administratorer utvikle en arena for forskning og næringsutvikling på området elektronisk samhandling og framtidsrettet bruk av informasjonsnett i norsk helsetjeneste, i et nært samarbeide mellom helsesektoren, universitets- og høyskolesektoren og næringslivet i regionen. Innenfor MNH ser vi en rekke behov for høyhastighetskommunikasjon, for eksempel: Videokonferanser: Billedoverføring av undervisningsleksjoner og faglige møter for kliniske-, utdannings- og forskningsformål, med mulighet for flere deltagende parter på ulike oppholdssteder. Teleradiologi, telepatologi og billedoverføing for kliniske formål: Rask overføring av røntgenbilder og andre billeddiagnostiske data, avbildet undersøkelsesmateriale, og annet klinisk relevant film- eller billedstoff, direkte eller i opptak. Telekirurgi: Direkte overføring av videobilder av høy kvalitet for fjernovervåkning og fjernassistanse ved inngrep med kikkhullskirugi,- laparoskopisk kirurgi. Denne tjenesten er tatt i bruk av noen av sykehusene, og av primærlegetjenesten i Oppdal. 4

10 INNLEDNING Bredbåndstilknytning til legekontor MNH er teknisk realisert som et bredbåndsnettverk (se fig. 1) mellom de 8 somatiske sykehusene i helseregion Midt-Norge (helseforetaket). Dette er realisert ved bruk av et SDH-nett (Synchronous Digital Hierarchy). I et SDH-nett overføres informasjonen i en STM (Synchronous Transport Module). SDH-nettet kan gi overføringshastigheter på opptil 155 Mbit/s. Målsetninger for HØYSIKK-prosjektet I HØYSIKK prosjektet, som har vært finansiert av HØYKOMprogrammet, samt av egeninnsats fra helseregion Midt-Norge, har hatt følgende målsetninger: Hovedmålsetningen er at HØYSIKK skal bidra til å sikre høyhastighetskommunikasjon gjennom delmålene: 1. Gjøre risikovurderinger og vurdere sårbarheter ved bruk av bredbåndskommunikasjon i helsevesenet 2. Kartlegge og vurdere ulike typer sikkerhetsløsninger for bruk i bredbåndsnettverk i helsevesenet 3. Pilotere utvalgte sikkerhetsløsninger innenfor Midt-Norsk Helsenett 4. Spre informasjon og bidra til kunnskapsutvikling om hvordan sikkerhetsutfordringene ved bruk av bredbånd kan løses Denne rapporten oppsummerer de viktigste vurderinger og utprøvinger som er gjort i prosjektet, og rapporten har som formål å bidra til informasjonsspredning om sikkerhetsutfordringer ved bruk av bredbånd. Organisering av prosjektet Regionalt helse- og sosialutvalg i helseregion Midt-Norge har vært kontraktspartner og prosjektansvarlig, mens KITH har stått for prosjektledelsen og den praktiske utføringen av arbeidet. Prosjektleder har vært seniorrådgiver Bjarte Aksnes. Fra KITH har dessuten Arnstein Vestad, Harald Norvik og Ivar Kufaas deltatt i arbeidet. Resultater fra prosjektet De viktigste resultatene fra HØYSIKK-prosjektet har vært følgende: Vi har fått samlet og dokumentert er mengde relevant informasjon om sikkerhet i bredbåndsnettverk. Informasjonen er oppsummert i denne sluttrapporten fra prosjektet. Prosjektet har pekt på en rekke sårbarheter og trusler ved bruk av ulike typer sikkerhetsteknologi, noe som gir et godt grunnlag for å gjøre risikovurderinger når nye bredbåndsløsninger skal tas i bruk 5

11 INNLEDNING innenfor Midt-norsk helsenett og andre steder innenfor og utenfor helsevesenet. Vi har kommet med forslag til sikkerhetsløsninger på en del områder, samt utført testing og evaluering av noen utvalgte løsninger for VPN og personlige brannmurer. Dette vil være en nyttig grunnlag når slike løsninger skal tas i bruk innen helsevesenet. Vi har diskutert sikkerhetsutfordringer og videreformidlet våre erfaringer og kunnskaper med andre aktører innen helsevesenet, og regner med at kontakten vil opprettholdes etter at HØYSIKKprosjektet er avsluttet. 6

12 BREDBÅNDSTJENESTER I HELSENETT Kapittel Bredbåndstjenester i helsenett Som beskrevet i innledningen benyttes bredbåndstjenester i en rekke ulike sammenhenger innen helsevesenet. Videobaserte tjenester benyttes både for konsultasjon med spesialister, undervisning og ved kliniske undersøkelser. Også overføring av stillbilder av høy kvalitet, f.eks. vevsprøver er en aktuell bredbåndsanvendelser. Vi har her valgt å se på noen konkrete eksempler på slik bruk som kan bidra til å forstå sikkerhetsbehovene knyttet til slike tjenester og de spesielle behov som helsevesenet må ivareta. Videokonferanser Videokonferanser har vært brukt i mange år innenfor flere bransjer og fagfelt. Slike konferanser kan redusere reiseutgifter og øke produktiviteten i en bedrift. I helsevesenet har videokonferanser ført til at flere pasienter kan behandles på lokale sykehus. Moderne videokonferanser operere med en billedkvalitet som krever bredbåndsnettverk for å kunne overføres med tilstrekkelig kvalitet. I en enkel videokonferanse har hver deltaker kamera, mikrofon, TVskjerm og codec-enhet. Codec-enheten komprimerer lyd og bilde fra mikrofon og kamera og sender det over nettverket eller en digital telefonlinje. En tilsvarende enhet i andre enden dekomprimerer signalet slik at det kan vises på en TV-skjerm. Det finnes standarder som definerer lydog bildekommunikasjon. H.320 spesifiserer kommunikasjon over ISDNlinjer. H323 spesifiserer kommunikasjon over IP-nettverk og gjør det mulig å sende større mengder data. Standarden er fleksibel med tanke på båndbredde og støtter kommunikasjon av videobilder som er lite komprimerte. For å sende og motta høykvalitets videobilder kreves bredbåndsnettverk. H.323 er bygd opp av flere mer grunnleggende standarder, blant annet standarder som spesifiserer komprimering av lyd og bilde. Lyd kan komprimeres til bitrater fra 5,3 til 64 Kbps. Videobildet kan komprimeres etter en av to standarder, H.261 eller H.263: H.261 komprimerer ved å endre bildets oppløsning og tilpasse dette til et visst antall ISDN-linjer (64Kbps). 7

13 BREDBÅNDSTJENESTER I HELSENETT H.263 komprimerer basert på endringer og bevegelse i bildet og gir mulighet for god komprimering med lite tap av kvalitet. Videokonferanser basert på H.263 krever ofte båndbredde på 1-2 Mbps. H.263 er mest aktuelt for videokonferanser over bredbåndsnettverk i dag. Det ventes imidlertid at MPEG vil bli mer populær i framtida [Asim Karim, 1999]. Sikkerhet og tjenestekvalitet En videokonferanseløsning er sårbar ovenfor uønsket datalekkasje og nekting eller svekking av tjenesten. Uønsket datalekkasje kan skje dersom en angriper avlytter nettverket hvor kommunikasjonstrafikken foregår. Dersom bilde og lyd fra videokonferansen er sensitive data, bør kommunikasjonen foregå kryptert. I mange situasjoner, spesielt i helsevesenet, brukes videokonferanser i kritiske situasjoner, som for eksempel under en operasjon. Da er det absolutt nødvendig at konferansetjenesten er tilgjengelig til enhver tid, og at kvaliteten er stabilt bra. De viktigste faktorene knyttet til overføringskvaliteten er hastighet, forsinkelse, jitter og pakketap [ref kapittel om QoS]: Hastigheten må være høy. Ved mange typer videokonferanser sendes og mottas høykvalitets videobilder i sanntid. Dette innebærer at store mengder data skal overføres. Dette krever et stabilt bredbåndsnett som kan garantere nok båndbredde til enhver tid. Forsinkelse (tiden fra en pakke sendes til den kommer fram) bør være så lav som mulig. Rutere, brannmurer og svitsjer bidrar til økt forsinkelse. Dersom overføringen krypteres, får vi ytterligere forsinkelse. En enkel kommunikasjonslinje er derfor å foretrekke, og kryptering bør unngås dersom det ikke er nødvendig. Jitter (forskyvning i signalet, ujevnheter og gal rekkefølge) bør unngås. Ved mange spesialtilpassede videokonferanser er detaljene i bildet svært viktige, og alle forstyrrelser gjør det vanskelig å vurdere bildet. Pakketap kan til en viss grad tolereres ved overføring av video, så lenge det ikke fører til for store forstyrrelser. Kravene til sikkerhet og kvalitet vil variere med ulike bruksområder for videokonferanser. Bruk av videokonferanser i helsevesenet I helsevesenet brukes i dag tre hovedgrupper av videokonferanser: Fjernundervisning, ulike typer konsultasjoner og telekirurgi. Fjernundervisning kan foregå en til en eller en til mange. En spesialist kan gi veiledning ved å kommunisere med sin elev med bilde og tale. En foreleser kan kringkaste sine foredrag til flere geografiske steder. 8

14 BREDBÅNDSTJENESTER I HELSENETT Videokonferanser brukes mer og mer til forksjellige typer konsultasjoner. Med samme utstyr som brukes til veiledning, med gjensidig bilde og tale, kan helsepersonell konsultere spesialister som befinner seg på et annet sted. Det finnes flere typer telekonsultasjoner og mange krever spesialtilpasset utstyr: En vanlig konsultasjon mellom behandler og spesialist trenger kun vanlig videokonferanseutstyr. Telepsykiatri er et eksempel på en slik konsultasjon. Da sitter lokal behandler sammen med pasienten og har videokonferanse med en spesialist. I dette tilfellet kommuniseres svært sensitive data, noe som stiller sterke krav til konfidensialitet. Garanti av tilgjengelighet og tjenestekvaliteten er ikke så kritisk. Telepatologi med frysesnittdiagnostikk brukes til å sende levende bilder fra mikroskop på et lokalt sykehus til en patolog som vurderer vevs- eller cellematerialet. Et av de viktigste bruksområdene for patologi er ved mistanke om kreft, og diagnostisk informasjon mens operasjonen pågår kan gi informasjon om hvordan man bør fortsette operasjonen. Telepatologi krever spesialutstyr for kobling mellom kamera og mikroskop. De data som kommuniseres inneholder ikke personsensitive data. Garanti av tjenestens tilgjengelighet og kvalitet er imidlertid svært viktig, spesielt når kirurgen etterspør diagnose under en operasjon. Telekardiologi brukes for å få en ekspertvurdering av Ekkodoppler-bilder av hjertet. Ved en undersøkelse kan ultralydbildene av hjertet sendes til en spesialist ved hjelp av videokonferanseutstyr. Metoden krever ultralydutstyr som kan kobles til videokamera. Det vil ikke være personsensitive data som sendes. Billedkvaliteten bør imidlertid være god, men garantert tilgjengelighet er ikke kritisk nødvendig. Teledermatologi brukes for å diagnostisere utslett og hudsykdommer. Man tar levende film av pasientens hud ved hjelp av vanlig videokonferanseutstyr og konsulterer en hudlege som hjelper til med diagnose. Videobildene er ikke personsensitive og tjenestens tilgjengelighet er ikke kritisk. Endoskopi, undersøkelser hvor man fører rør med kamera inn gjennom naturlige åpninger på kroppen, gjennomføres telemedisinsk ved å sende bildene til en ekspert som hjelper til med vurdering. Videobildene er ikke personsensitive og tjenestens tilgjengelighet er ikke så kritisk. Ulike typer telemedisin er i stadig utvikling, og nye spesialtilpassede videokonferanser vil nok tas i bruk i framtida. Alle de nevnte bruksområdene med spesialtilpasset utstyr kan også benyttes til veiledning, undervisning eller annenhånds vurdering. Telekirurgi er den mest kritiske situasjonen hvor videokonferanseutstyr brukes. Utstyret brukes her i forbindelse med laparoskopi, hvor pasienten blir operert gjennom tynne rør med kamera i enden. Bildene kan sendes 9

15 BREDBÅNDSTJENESTER I HELSENETT til spesialist som kan gi hjelp og veiledning mens operasjonen pågår. Utviklingen på dette området er enorm, og i framtida regner man med å kunne operere ved å sitte langt unna og styre en robot. Dette stiller store krav til sikkerhet. Bildene er ikke personsensitive, men tilgjengelighet og garantert tjenestekvalitet er absolutt nødvendig. Eksempel: Telepatologi i MNH Det er stor mangel på patologer i Norge, og telepatologi er derfor et viktig hjelpemiddel, spesielt i forbindelse med rask diagnostisering mens operasjonen pågår. Helseregion Midt-Norge skal i løpet av 2001 installere utstyr for telepatologi ved flere sykehus. Utstyret består av et videokamera med tilkobling til PC. Begge enhetene kommuniserer med tilsvarende utstyr ved et annet sykehus. Figur 2 viser en prinsippskisse av kommunikasjonsløsningen. RS-232 RS-232 Computer Video Computer Video VLAN 402 Cisco PIX Cisco PIX Omnistack MNH Samtrafikk Omnistack Figur 2 Kommunikasjonsløsningen for telepatologi Det benyttes to kommunikasjonskanaler i denne løsningen: Fra PC til PC kommuniseres kontroll og styredata. PCen er koblet til sykehusets lokale nettverk og har tilgang til nettverkets fellesressurser. Kommunikasjonslinjen går gjennom sykehusets brannmur (Cisco PIX) og ut på MNHs fellesnett. Data som overføres fra PC til PC kan krypteres i brannmuren dersom det er nødvendig. Selve videobildene kommuniseres fra kamera til kamera. Denne datastrømmen inneholder ikke personsensitive opplysninger og kan derfor gå utenfor sykehusets brannmur. Det er ønskelig å avlaste brannmurene med unødvendig kontroll samtidig som brannmurer påfører en videoforbindelse ekstra forsinkelser. Det etableres derfor et eget VLAN (Virtual LAN) for videotrafikk mellom kameraene basert 10

16 BREDBÅNDSTJENESTER I HELSENETT på H.323-standarden. Et VLAN er en gruppe av ulike fysiske LANsegmenter som kan kommunisere som om de lå i det samme fysiske LAN-segmentet. I tillegg vil det skje kommunikasjon mellom PC og kamera. Dette dreier seg stort sett om styredata, og forbindelsen mellom PC og kamera, basert på RS-232-standarden og kan ikke medføre lekkasjetrafikk [Telepatologi i MNH]. Radiologi Teleradiologi gjør det mulig å sende digitale røntgenbilder mellom geografisk spredte lokasjoner for å få hjelp til vurdering av en spesialist. Men en viktig del av bruksområdet for digitale røntgenbilder vil være internt på et sykehus hvor digitalt lagrede bilder gjør informasjonen tilgjengelig for alle som trenger den til enhver tid. Tre av Norges fem helseregioner har teleradiologiske forbindelser i dag. Det brukes både analoge og digitale røntgenapparater. Tradisjonelle røntgenapparater tar analoge røntgenbilder som lagres på film eller bildeplater.. For at disse skal kunne behandles digitalt, må de scannes inn. Moderne røntgenapparater lagrer imidlertid digitale bilder uten å gå veien om film/bildeplater. Dette gir lavere kostnad for hvert bilde som kombinert med muligheten for å ta flere typer bilder det før var vanskelig å ta., kan lett føre til at det blir tatt flere bilder. Datamengdene som digitale røntgenbilden representerer vokser derfor raskt, og billedbehandling (lagring og overføring) krever dermed stor båndbredde. Tekniske aspekter Ved digitalisering av røntgen er to forskjellige datasystemer sentrale, RIS (Radiologisk informasjonssystem) og PACS (Picture Archiving and Communication System). Sykehus som innfører digitale røntgenbilder velger gjerne et helhetlig system som integrerer RIS og PACS. RIS er et pasientadministrativt system for røntgen. Det overfører pasient- og undersøkelsesdata til røntgenlaboratorier og styrer bildestrømmen i PACS. PACS består av digitalt lager, server, nettverk, web-server og arbeidsstasjoner. Koblingen opp mot helsenettet skjer gjennom et sentralt lager. For å kunne utveksle bilder mellom enheter i PACS/RIS, bør systemet ha et standard grensesnitt og lagringsformat. Den desidert mest brukte standarden i dag er DICOM, en internasjonal standard for kommunikasjon av medisinske bilder og tilhørende informasjon. DICOM er en svært omfattende standard som definerer et konkret filformat for lagring og overføring av medisinske bilder. En DICOM-fil beskriver blant annet hvilken informasjon som ligger i bildet og hvordan bildet kan kommuniseres mellom ulike enheter (for eksempel en CT-maskin og PACS-systemet). Pasientdata lagres også i samme fil slik at bildet knyttes til person. Digitale røntgenbilder krever stor lagringsplass. Hvert bilde fra en CTeller MR-skanner krever 2-3 Mbytes uten komprimering, og disse appa- 11

17 BREDBÅNDSTJENESTER I HELSENETT ratene tar ofte mange bilder ved hver undersøkelse. Et vanlig røntgenbilde, for eksempel av en brystkasse, krever opp til 10 Mbytes uten komprimering. Et middels stort sykehus vil da produsere rundt 3-4 Gbytes hver dag. Så store datamengder stiller enorme krav til nettverkets båndbredde og lagringskapasitet. DICOM-standarden støtter imidlertid alle typer JPEG-komprimering. Komprimering kan utføres uten tap av kvalitet, men graden av komprimering blir da liten. Erfaringer fra prøveprosjekt ved danske sykehus viser at bilder kan komprimeres opp til 50:1 uten å forringe den diagnostiske kvaliteten [White Book on JPEG Compression in Medical Imaging]. Et 10 Mbytes stort bilde kan da reduseres til 250 Kbytes. De enorme mengder røntgenbilder som tas vil allikevel kreve bredbåndsnettverk for å kunne kommuniseres effektivt. Sikkerhet Når digitale røntgenbilder og datalager erstatter papirbilder og tradisjonelle arkiver, stiller det store krav til informasjonens konfidensialitet, integritet og tilgjengelighet. Konfidensialitet er en utfordring med DICOM-standarden, spesielt ved utveksling av bilder. Pasientens navn ligger lagret sammen med røntgenbildet, noe som gjør DICOM-filer personsensitive. Dersom store mengder røntgenbilder skal sendes over nettverket vil kommunikasjonen forsinkes betydelig dersom filene skal krypteres. En løsning kan være å kryptere kun pasientinformasjonen som ligger i bildet. Det er ventet at muligheten for selektiv kryptering av DICOM-filens ulike attributter vil bli en del av standarden [Herman Oosterwijk, Security Provisions in DICOM Extended]. Integritet er svært viktig ved lagring av digitale røntgenbilder. Ingen uatorisert må få tilgang til lageret slik at han kan endre på innholdet i bildene. Muligheten for digitale signaturer på DICOM-bilder er nylig lagt til i standarden. For å oppnå høy tilgjengelighet kreves et stabilt system med minimal nedetid. Det skal ikke være mulig at bilder noen gang forsvinner for godt. Journalsystemer Elektronisk pasientjournal (EPJ) blir stadig mer utbredt på norske sykehus, og denne utviklingen vil ventelig fortsette. Med pasientjournal menes alle opplysninger om en persons sykdom og relevante personlige forhold nedtegnet av lege og annet helsepersonell. Journalen skal gi så riktige og tilstrekkelige opplysninger som mulig om pasienten og forhold av betydning for den hjelp personen trenger. En elektronisk pasientjournal (EPJ) er en pasientjournal hvor informasjonen er elektronisk lagret på en slik måte at den kan gjenfinnes ved hjelp av Edb-verktøy. 12

18 BREDBÅNDSTJENESTER I HELSENETT En overgang til EPJ kan gi en betydelig høyere sårbarhet for helsesektoren. Ved dagens bruk av papirjournaler, enten i tillegg til den elektroniske journalen eller som eneste pasientjournal, er det forholdsvis liten fare for at journalen skal gå tapt for godt. Ved overgang til EPJ som den eneste journalen, kan man risikere at store mengder journaler blir utilgjengelig eller går tapt samtidig. Sårbarhetsutvalget ledet av Kåre Willoch har i sin utredning pekt på at tele- og elektronisk kommunikasjon ved sykehus er et område som har høy risiko. En overgang til EPJ som eneste lagringsmedium vil kunne øke denne risikoen ytterlige, og det er derfor viktig at det settes i verk tiltak for å redusere denne risikoen. Økt bruk av elektroniske pasientjournaler, og spesielt det at papirkopier ikke lenger må oppbevares, medfører en rekke utfordringer og trusler som må tas alvorlig. Mens en papirjournal er et fysisk objekt som kan bæres fra sted til sted, forutsetter tilgang til elektroniske opplysninger en omfattende infrastruktur hvor alle elementer i kjeden, fra tjenere, databaseprogramvare, nettverksinfrastruktur, arbeidsstasjoner osv., må fungere og være effektive. Feil i enkelte ledd i kjeden mellom bruker og datasystem vil ha ulike omfang av konsekvenser. Mens feil på den enkelte arbeidsstasjon vil ramme enkeltbrukere eller en mindre arbeidsgruppe, vil feil på mer sentrale komponenter kunne ramme hele virksomheten. Trusler mot elektroniske pasientjournaler Trusler knyttet til konfidensialitet for elektroniske pasientjournaler er naturligvis mange, men skiller seg i liten grad fra andre systemer som inneholder sensitive opplysninger. Av vel så stor betydning er trusler knyttet til driftssikkerheten, dvs. trusler som kan medføre utilgjengelighet eller tap av store mengder data (se egen KITH-rapport om dette). Noen sentrale trusler er: Kabelbrudd og strømbrudd avhengig av hvor bruddet er lokalisert, sentralt eller perifert, vil brudd føre til kortere eller lengre utilgjengelighet Kritiske tjenester er utilgjengelig f.eks. nettverksressurser for pålogging til systemet, katalogtjenester og nettverkstjenester som er nødvendig for å gi tilgang Overbelastning eller skade på nettverkskomponenter, alt fra nettverkskort på servere og arbeidsstasjoner til svitsjer og rutere Tyveri av sentrale servere Systemfeil - feil i operativsystemet, i grensesnittet mellom lagringsmediet og datasystemet eller i selve harddisken kan medføre at data ødelegges. Manglende og/eller defekte sikkerhetskopier Dårlig skalerte løsninger som ikke håndterer økte brukermengder Manglende redundans i løsningene isolerte feilpunkter hvor en feil får store konsekvenser 13

19 NOEN SIKKERHETSUTFORDRINGER Kapittel Noen sikkerhetsutfordringer Økt bruk av bredbåndsnettverk vil endre sikkerhetslandskapet betraktelig. Selv om truslene i hovedsak vil være de samme som før, vil egenskapene i bredbåndsnett kunne endre både alvorlighetsgrad, sannsynlighet og virkemåte for en rekke trusler. Dette kapittelet vil se på noen ulike typer trusler og sikkerhetsutfordringer og hvordan disse vil kunne arte seg i bredbåndsnett. Tjenestenektingsangrep Noen angrep på et datasystem har som hensikt å nekte offeret tilgang til de ressurser han er autorisert til å bruke. Slike angrep kalles tjenestenektingsangrep. Eksempler på denne typen angrep er: Forsøk på å overbelaste et nettverkt med høy trafikk slik at det forhindrer den legitime trafikken som vanligvis går over nettet. Forsøk på å bryte koblingen mellom to datamaskiner slik at en bruker ikke får tilgang til de nødvendige ressurser. Uautorisert lagring av data på et systems åpne lagringsområde slik at viktig lagringsplass forbrukes og uautorisert nettverkstrafikk genereres. Et vellykket tjenestenektingsangrep kan lamme datamaskiner, tjenere eller hele nettverk. Ulike typer tjenestenektingsangrep Det finnes tre hovedtyper av tjenestenektingsangrep: Forbruk av knappe, begrensede ressurser Ødelegging av konfigurasjonsdata Modifisering av nettverkskomponenter. Alle datamaskiner og nettverk trenger ressurser for å kunne fungere, for eksempel båndbredde, minne og lagringsplass. Tabellen nedenfor gir en oversikt over ulike typer angrep som forbruker knappe ressurser. Oppkobling mot nettverk Angriper starter prosessen med å etablere en kobling mot nettverket, men fullfører ikke operasjonen. På denne måten okkuperer angriperen en av noen få 14

20 NOEN SIKKERHETSUTFORDRINGER Sette offerets egne ressurser opp mot hverandre Forbruk av båndbredde Forbruk av andre ressurser begrensede datastrukturer som brukes for å komplettere oppkoblingen. Legitime oppkoblinger kan da bli nektet adgang. Angriper kan sette prosesser som kommuniserer opp mot hverandre slik at de går i uendelige løkker som krever større og større overføringskapasitet. Et eksempel er kommandoene echo og chargen i UNIX og NT. Chargen genererer tegn, mens echo svarer med de samme data som funksjonen mottar. Disse to funksjonene vil forbruke all tilgjengelig båndbredde mellom dem. Angriper genererer et stort antall pakker som sendes mot et nettverk. Ved hjelp av en eller flere maskiner kan det genereres så mye trafikk mot nettverket at all tilgjengelig båndbredde forbrukes. Angriper forbruker prosessorkraft eller diskplass ved å for eksempel kjøre store prosesser på nettverkets server eller sende store mengder epost til nettverket (spam). Angriper kan gjøre systemet ustabilt ved å sende uventede data over nettverket. Hvis en angriper får tilgang til å ødelegge eller endre konfigurasjonsdata, kan han sette nettverket helt eller delvis ut av drift. Dårlig konfigurasjon av operativsystemet kan gjøre systemet sårbart ovenfor slike angrep. Modifisering av nettverkskomponenter kan skje dersom komponentene ikke er forsvarlig sikret. Hvis en angriper har fysisk tilgang til datamaskiner, rutere, strømforsyning eller andre kritiske komponenter, kan han ødelegge eller endre disse og sette nettverket ut av spill. Tjenestenektingsangrep og bredbånd De ulike typene av tjenestenektingsangrep som er nevnt over, gjelder i prinsippet på samme måte for bredbåndsnettverk som for nettverk med lavere overføringshastigheter. Noen aspekter kan imidlertid trekkes fram som spesielle for høyhastighetsnettverk. Disse gjør seg gjeldende i forbindelse med angrep som forbruker knappe ressurser da båndbredde er en slik viktig ressurs. Bredbåndsnett er bygget for å tilby større ytelse for tradisjonell kommunikasjon over nettverk. Men vel så viktig er det at den økte båndbredden gir mulighet for nye kommunikasjonstjenester. Sanntids videooverføring er et eksempel på dette. Når flere slike viktige tjenester er avhengig av de ressursene som et bredbåndsnettverk kan tilby, blir de samtidig mer sårbare overfor feil. Utstrakt bruk av bredbåndskommunikasjon i kritiske situasjoner stiller dessuten krav til ytelse og kvalitet. For eksempel vil en videokonferanse være sårbar selv for små forsinkelser i overføringen. Et 15

21 NOEN SIKKERHETSUTFORDRINGER tjenestenektingsangrep kan derfor få mye større konsekvenser for et bredbåndsnettverk enn for et tradisjonelt nettverk. Dersom en angriper selv har høyhastighetsoppkobling mot et bredbåndsnettverk, er han bedre rustet for å lamme et annet nettverk. Det blir enklere å sende store datamengder til et nettverk med lavere båndbredde. Bredbånd kan derfor gi større muligheter for angrep som forbruker all båndbredde hos offeret. Et bredbåndsnettverk har imidlertid god ytelse, og det skal derfor mer til før nettverket blir lammet på grunn av for stor trafikk. På denne måten tilbyr bredbånd mer sikkerhet mot små angripere som ikke har store nok ressurser til å overbelaste nettverket. Dette kan imidlertid gi falsk trygghet da det finnes gode muligheter for angripere med små egne ressurser å allikevel ramme et bredbåndsnettverk. Ved hjelp av distribuerte tjenestenektingsangrep (DDoS) kan en angriper kontrollere store dataressurser for å rette disse mot et enkelt nettverk og lamme dette. De bredbåndsløsninger som eksisterer på markedet i dag innebærer ofte at brukerne har en konstant oppkobling mot nettet. En bruker som alltid er koblet opp vil være mer sårbar for alle typer angrep, også tjenestenektingsangrep. Med konstant oppkobling har man en fast IP-adresse og det er derfor lettere for en angriper å finne fram til denne, noe som gjør det enkelt å utføre ulike typer av angrep (se også kapittel 5 personlige brannmurer). Avlytting og overvåking Utfordringene det er å sikre tilstrekkelig tjenestekvalitet og ytelse for de virkelig krevende bredbåndsprosjektene bidrar til dels å redusere risikoen for avlytting, overvåking og trusler knyttet til datainnbrudd. Ved at ytelseskravene blir så høye og det blir nødvendig med et mest mulig homogent nettverk for å overføre informasjon, blir det vanskelig f.eks. å sende informasjonen ut av de dedikerte nettenet (f.eks. helsenett) og ut på Internett hvor mulighetene for tilpassing av tjenestekvalitet forsvinner. Dette er foreløpig status, men stadig økende ytelse på de enkelte nettverkskomponentene vil medføre at kapasitetsproblemer ikke lenger vil være hovedutfordringen for å tappe f.eks. video og lydinformasjon som går i nettverket. Dette er allerede et problem ift. lyd-overføring, hvor en rekke nettverksovervåkingsprogrammer (såkalte sniffere ) allerede inneholder dekodere for Voice over IP (VoIP). Dette medfører at IP-baserte telefonsamtaler kan overvåkes hvis en angriper har tilgang til et nettverkspunkt mellom avsender og mottaker og overføringen ikke er kryptert. Selv om det er støtte for kryptering i standarden er det de færreste VoIP-produkter som benytter dette pr. i dag. 16

22 KRYPTOGRAFI Kapittel Kryptografi I over tusen år har mennesker brukt kryptografi for å skjule innholdet i skriftlige meldinger. Ved hjelp av en beregningsmetode/algoritme og en hemmelig nøkkel endres en melding slik at den ikke kan forstås uten bruk av den hemmelige nøkkelen. Dette kapittelet vil beskrive hovedtypene av kryptering og se spesielt på bruk av kryptering i forbindelse med høyhastighetsoverføringer, som f.eks. videooverføringer. Tabellen nedenfor forklarer noen viktige begreper som brukes i forbindelse med kryptografi. Klartekst Kryptotekst Kryptering Dekryptering Nøkkel Krypteringsalgoritme Den opprinnelige meldingen som ikke er kryptert. Den krypterte og uleselige meldingen. Prosessen som fører til forvrenging av innholdet i en melding slik at bare mottaker med riktig nøkkel kan lese den opprinnelige meldingen. Prosessen som overfører den krypterte meldingen tilbake til den opprinnelige klarteksten. En sekvens av symboler som representerer den hemmeligheten som brukes ved kryptering og dekryptering. Den funksjonen som brukes for å forvrenge innholdet i en melding slik at den blir uleselig. I dag er kryptografi et nødvendig verktøy for sikkerhet ved elektronisk kommunikasjon. I en kommunikasjonsprosess utveksles ofte sensitiv informasjon som ikke må komme i hendene på uautoriserte personer. Dette gjelder spesielt innenfor helsevesenet som opererer med store mengder sensitive personopplysninger. Fagfeltet kryptografi har utviklet seg i takt med kravet om strengere sikkerhet og større datamengder. I dag består krypteringsalgoritmer av avanserte matematiske funksjoner, og det kreves til dels enorm datakraft for å knekke de mest avanserte algoritmene. 17

23 KRYPTOGRAFI De kryptografiske metodene som finnes i dag kan deles inn i to hovedtyper, symmetriske og asymmetriske. Innenfor hver av disse hovedtypene finner man flere ulike krypteringsalgoritmer med sine fordeler og ulemper. Symmetrisk kryptografi Ved symmetrisk kryptografi brukes den samme nøkkelen til kryptering og dekryptering. Denne typen kryptografi egner seg utmerket til hemmelighold (beskyttelse av konfidensialitet). Krypteringsalgoritmene som ligger til grunn er svært raske. Problemet med symmetrisk kryptografi ligger i distribusjonen av nøkler. Det må skje på en sikker måte slik at nøkler ikke kommer på avveie. De viktigste symmetriske krypteringsalgoritmene er DES, IDEA og AES. DES (Data Encryption Standard) ble utviklet på 1970-tallet og brukes fortsatt. DES benytter seg av nøkler på 56 bits. Metoden holder angripere med små ressurser ute, men er sårbar for angripere som sitter med spesiell teknologi for å søke gjennom og prøve ut alle mulige nøkler. Etter hvert som kraftigere datamaskiner utvikles anses DESalgoritmen å være for svak. En videreutvikling, 3DES (trippel DES), er basert på å bruke DES-algoritmen tre ganger, og nøkkellengden er da på 128 bits. Metoden er derfor svært sikker, men krypteringsprosessen tar lang tid. IDEA (International Data Encryption Algorithm) er utviklet på tallet. Den benytter seg av nøkler på 128 bits og er kjent som en svært sikker metode. Det eksisterer ennå ingen kjente, vellykkede angrep på IDEA. Hastigheten til krypteringsprosessen er omtrent lik hastigheten til DES. National Institute of Standards and Technology (NIST) valgte i 2000 en nyutviklet algoritme, Rijndael 2, som den nye AES (Advanced Encryption Standard). I oktober 2001 blir AES offisiell krypteringsstandard for bruk av den amerikanske regjeringen. Algoritmen støtter bruk av nøkler på enten 128, 192 eller 256 bits. Den er praktisk umulig å knekke, og den har bra ytelse. AES er fortsatt så ny at få produsenter har valgt å implementere denne i sine produkter. DES og varianter av denne er derfor mest brukt i dag. Asymmetrisk kryptografi Ved asymmetrisk kryptografi er nøkkelen som klarteksten krypteres med forskjellig fra nøkkelen som brukes til dekryptering. De mest populære asymmetriske kryptosystemer baserer seg på nøkkelpar. Hver av partene har da en privat nøkkel (hemmelig) og en offentlig nøkkel (tilgjengelig 2 Rijndael-algoritmen er utviklet av to belgiske kryptografikere, Joan Daemen og Vincent Rijmen, som et svar på NISTs forespørsel om kandidater til AES. 18

24 KRYPTOGRAFI for alle kommunikasjonsparter). En melding krypteres med den offentlige nøkkelen og kan kun dekrypteres med den private. Eventuelt kan man kryptere med den private nøkkelen og dekryptere med den offentlige. På denne måten kan man verifisere opphavet til en melding, noe som er grunnlaget for digitale signaturer. Asymmetrisk kryptografi løser problemet med nøkkeldistribusjon. Ulempen er at denne typen kryptografi er svært tidkrevende i forhold til symmetrisk kryptering. RSA (Rivest-Shamir-Adleman) er den mest brukte asymmetriske krypteringsalgoritmen. Algoritmen er i praksis umulig å knekke dersom man velger en lang nok nøkkel (bør være over 1024 bits). Metoden er imidlertid sårbar ovenfor kjøretidsfeil i krypteringsprogrammet, angrep mot hardware og angrep med valgt klartekst. Angrep mot hardware innebærer målinger av for eksempel stråling eller strømforbruk i krypteringsenheter. Angrep med valgt klartekst vil si at en angriper kan mate krypteringsmekanismen med den teksten han selv ønsker. Ved å velge spesielle mønster av klartekster, kan han lettere avsløre den hemmelige nøkkelen. På grunn av de ulike egenskapene til symmetriske og asymmetriske krypteringsmetoder, brukes de ofte sammen for å utnytte hverandres fordeler. Asymmetrisk kryptografi brukes da til å distribuere en tilfeldig generert sesjonsnøkkel. Denne nøkkelen brukes så til å kryptere den aktuelle meldingen ved hjelp av en symmetrisk algoritme. Dette kalles hybrid kryptering. Kryptering av video Datamengdene som utveksles over ulike nettverk blir bare større og større, og nettverkene bygges ut for å kunne overføre slike store mengder data. Det blir stadig vanligere å sende bilder med høy oppløsning, lyd og video. Røntgenbilder og videokonferanser er konkrete eksempler på dette i helsesektoren. På sikkerhetssiden ligger utfordringen derfor i å kunne beskytte konfidensialiteten til de store datamengdene som overføres. Samtidig skal datakvaliteten opprettholdes, hastigheten må være god og forsinkelsen må være lav. Hensiktsmessig bruk av kryptografiske metoder kan bidra til nødvendig konfidensialitet uten at overføringshastigheten blir for dårlig. Dette kapitlet tar for seg problemer i forhold til kryptografi og ikke begrensninger i forhold til den tekniske nettverksløsningen. Et viktig bruksområde for bredbåndstjenester i framtida er overføring av videobilder. Innenfor helsevesenet vil for eksempel overvåking av pasienter, telekirurgi og videokonferanser være aktuelle bruksområder. I disse tilfellene er det viktig å beskytte konfidensialitet gjennom sikker kryptering av de data som overføres. En avansert krypteringsalgoritme innebærer imidlertid tunge beregninger. I kombinasjon med de store datamengdene som video representerer, krever dette mye ressurser. 19

25 KRYPTOGRAFI Videoformatet MPEG Analog TV i hele Europa er basert på standarden PAL (Phase Alternate Line). Hvis dette TV-bildet skulle digitaliseres og kringkastes, ville det kreve en overføring på 216 Mbps, og en slik datamengde vil okkupere store deler av et bredbåndsnett. Samtidig vil forsinkelsen i en sanntidsoverføring bli stor på grunn av at svært store datamengdene skal prosesseres (komprimering/dekomprimering og eventuell kryptering). MPEG 3 er et standardsystem for komprimering av digital video og lyd. MPEG-1 standarden er utviklet primært for lagring på CD-ROM og kan greit overføres over Internett da det krever en hastighet på under 1,5 Mbps. MPEG-2 tilbyr bedre kvalitet på både bilde og lyd, og er derfor egnet til TV-kringkasting og lagring på DVD. Når TV-bildet i PAL-format digitaliseres og komprimeres med MPEG-2, ligger størrelsen på mellom 4 og 10 Mbps. Takket være MPEG-2 er det mulig med direkteoverføring av videobilder. Det vil si overføring i sanntid med svært lav forsinkelse. MPEG-teknologien baserer seg på at mange bilder i en videostrøm har likheter. Internt i et bilde er det mange like felter, og fra bilde til bilde er det likheter. MPEG-video er satt sammen av grupper av bilder. Hver gruppe er en serie av I-, P- og B-bilder. I-bilder komprimeres med JPEGstandarden 4, uten noen referanse til andre bilder. P-bilder er kodet ved å bruke referanser til et tidligere I- eller P-bilde. B-bilder er satt sammen av både det foregående og det neste I- og/eller P-bildet. Kryptering Ved kryptering av tekstlige data, for eksempel med DES-algoritmen, vil hele meldingen kodes bit for bit. Dersom overføring av video krypteres på denne måten, krever dette stor datakraft for at forsinkelsen ikke skal bli for stor i forhold til kravet om sanntidsoverføring. Krypteringsalgoritmer som er implementert direkte i hardware gir rask prosessering. Man kan oppnå tilfredsstillende hastighet på en videokonferanse ved å sette opp en linje mellom to krypteringsenheter som bruker hardwarekryptering. En slik løsning er imidlertid både kostbar og upraktisk da man trenger krypteringsenheter på alle steder som skal delta i videokonferanser. Løsningen er lite fleksibel fordi muligheten for videokonferanse er begrenset til de parter som har krypteringsenheter tilgjengelig. Krypteringsalgoritmer som er implementert i software er trege og gir for stor forsinkelse i forhold til kravet om sanntidsoverføring (Shi et.al, 1998). En løsningen ligger imidlertid i å kryptere kun deler av den kodede MPEG-videoen på en slik måte at bildene blir uleselige. Det er utvik- 3 MPEG står for Motion Pictures Expert Group. Gruppen ble etablert i 1988 og arbeider med utvikling av standarder for koding av digital video og audio. 4 JPEG står for Joint Photographic Experts Group og er et standard format for komprimering av stillbilder. Ved komprimering med JPEG endres billedkvaliteten noe, men metoden utnytter kjente begrensninger hos det menneskelige øyet for å gjøre dette så lite merkbart som mulig. 20

26 KRYPTOGRAFI let mange krypteringsalgoritmer som utfører en slik selektiv kryptering. Disse skiller seg i hovedsak på hvordan de velger ut hvilke deler av videoen som skal krypteres. Qiao og Nahrstedt vurderer ulike krypteringsalgoritmer og kommer fram til at Video Encryption Algorithm (VEA) er den best egnede for multimediabruk (Qiao et.al, 1998). Shi, Wang og Bhargava presenterer en forbedret utgave av VEA i sin artikkel (Shi et.al, 1998). Den forbedrede algoritmen kalles Real-time Video Encryption Algorithm (RVEA) og har bedre sikkerhet samtidig som den er mye raskere. Figur 3 Til venstre vises det orginale bildet. Til høyre vises det samme bildet etter at det er kryptert med RVEA (Shi et.al, 1998). RVEA tar utgangspunkt i MPEG-videoens inndeling i I-, P- og B-bilder. Algoritmen henter ut et antall bits. Metoden for å velge ut disse bitene varierer mellom I-, P- og B-bilder. Deretter krypteres de valgte bitene med DES- eller IDEA-algoritmen og settes tilbake på sine orginale posisjoner. RVEA kan spare 90% av den tiden det tar å kryptere video med algoritmer som krypterer hele datastrømmen. (Shi et.al, 1998). Overføring av MPEG video Byggingen av en MPEG datastrøm skjer via flere prosesser. Første steg er koding av original video eller audio. Resultatet av denne prosessen er en elementærstrøm (ES). En elementærstrøm er som regel komprimerte data av type lyd, video, kontrolldata eller tekstlige data. En MPEG videostrøm kodet i I-, P- og B-bilder er et eksempel på en slik elementærstrøm. I neste prosess samles hver elementærstrøm i blokker av ulik størrelse. Output fra denne prosessen blir da en pakket elementærstrøm (PES). 21

27 KRYPTOGRAFI Figur 4 Skjematisk skisse av oppbyggingen av en MPEG datastrøm. Kilde: For å lagre eller overføre en PES er det nødvendig å kombinere de ulike PES til en enkelt datastrøm. Denne sammenstillingsprosessen kalles multipleksing. MPEG-2-standarden gir rom for to ulike typer multipleksing: MPEG Programstrøm multipleksing setter sammen grupper av tett koblede PES som så kan lagres på fil på for eksempel en DVD-plate. MPEG Transportstrøm multipleksing bryter ned hver PES til transportpakker med fast størrelse. En slik transportstrøm er egnet for overføring over usikre nettverk og brukes for eksempel ved DVB 5. Ved en videokonferanse vil dataene overføres som en MPEG transportstrøm. Mottakeren av en slik datastrøm må ha en dekoder som oversetter dataene tilbake til video og lyd. Konklusjon Vi har sett at digital video representerer så store datamengder at tradisjonell kryptering av hele datastrømmen vil gi for stor forsinkelse ved direkteoverføring i sanntid dersom krypteringen skjer ved hjelp av softwareløsninger. Det er to løsninger som peker seg ut i forhold til dette problemet: Ta i bruk krypteringsenheter eller brannmurer som har spesialtilpasset hardware for kryptering. I dag finnes det hardwareprodukter på markedet som gir raske nok løsninger for direkteoverføring i sanntid. Den teknologiske utviklingen fører dessuten til at prosessorer blir raskere, og krypteringshastigheten vil bare bli bedre i framtida. Løs- 5 DVB står for Digital Video Broadcast 22

28 KRYPTOGRAFI ningen krever imidlertid kompatibelt hardwareutstyr plassert hos alle kommunikasjonsparter. Implementere en selektiv krypteringsalgoritme som RVEA. RVEA benyttes på en MPEG elementærstrøm, det vil si den datastrømmen som kommer ut fra komprimeringsprosessen i MPEG. Videoen vil altså krypteres før den blir delt opp i blokker til en pakket elementærstrøm. Krypteringen skjer ved den vertikale, stiplede linjen i Figur 4. Mottak av de krypterte dataene innebærer dekoding ved å reversere prosessen. En MPEG video kan inneholde flere spor med lyd og tekstlige data. Disse må krypteres på tradisjonelt vis med for eksempel DES- eller AES-algoritmen. For å oppnå riktig synkronisering av den totale datastrømmen, må denne krypteringen skje på samme sted i prosessen som krypteringen av videostrømmen, skissert ved den vertikale, stiplede linjen i Figur 4. RVEA og liknende selektive krypteringsalgoritmer ble utviklet for noen år siden, da hardwareløsninger ennå ikke var raske nok for å kryptere for eksempel videobilder. I dag er slike krypteringsenheter raske nok og foretrekkes derfor i de fleste tilfeller. Fordelene med hardwareløsninger er at det er en fleksibel løsning som ikke krever komplisert programvare. Fleksibiliteten ligger i at man ikke trenger å skille mellom ulike krypteringsalgoritmer ut fra hvilke data som skal sendes. Dessuten finnes det i dag mange produkter for hardwarekryptering på markedet, noe som gjør det enkelt å finne løsninger som fungerer. Sikker videokonferanse basert på hardwarekryptering av hele datastrømmen er blant annet testet ut i Østnorsk helsenett. 23

29 VPN OG PERSONLIGE BRANNMURER Kapittel VPN og personlige brannmurer Økt bruk av bredbåndsnettverk vil kunne skape endringer i arbeidsmønsteret for store brukergrupper. Bredbånd vil f.eks. kunne bedre muligheten for hjemmekontor og for brukere som må knytte seg til bedriftsinterne nettverk når de er andre steder. Slike scenarier reiser to hovedutfordringer: Å beskytte brukerne mot angrep utenfra, og på en sikker måte gi tilgang til nødvendige ressurser internt. VPN virtuelle private nett Mens kommunikasjon over lengre distanser, f.eks. mellom to avdelinger av en virksomhet plassert i ulike byer, før foregikk over leide og dedikerte linjer, velge stadig flere virksomheter å kommunisere over Internett. Ved at hver avdeling knytter seg til en lokal internettleverandør reduseres kostnadene ved å leie kommunikasjonslinjer ved at begge benytter en delt og åpen infrastruktur. Derimot øker risikoen for at informasjon kan kompromitteres, og stadig flere velger derfor å benytte virtuelle private nett (VPN) for å opprette sikre kommunikasjonskanaler seg i mellom. Begrepet VPN benyttes i ulike sammenhenger, men betegner her en kombinasjon av teknologier for tunnelering, kryptering, autentisering og tilgangskontroll for å kommunisere over Internett eller andre IP-nett. Hovedhensikten med VPN-nett er å redusere kostnadene med kommunikasjon ved å utnytte offentlig telekommunikasjonsinfrastruktur på en sikker måte. VPN-nett benyttes i flere sammenhenger, særlig for fjerntilgang f.eks. for mobile brukere, for å knytte sammen to geografisk avskilte nettverk eller for å bygge ekstranett som gir andre organisasjoner som kunder og leverandører tilgang til utvalgte deler av det interne nettverket. I tillegg kan VPN benyttes internt i virksomheter for å skille mellom ulike brukergrupper eller ressurser. Å bygge VPN-nett baserer seg i all hovedsak på å opprette tunneler, og disse eksisterer i to hovedtyper, ende-til-ende tunneler og node-til-node tunneler. Ende-til-ende tunneler benyttes for å opprette sikker kommunikasjon mellom to systemer, f.eks. en arbeidsstasjon og en server, og de enkelte systemene er ansvarlig for å etablere tunnelene, kryptere og autentisere data. Node-til-node tunneler benyttes for å koble sammen to ulike nettverk (LAN). De enkelte systemene (arbeidsstasjoner, servere) på de to LAN ene kommuniserer som om de var på samme nettverk, og 24

30 VPN OG PERSONLIGE BRANNMURER VPN-kanal Node til node Ende til ende VPN-systemer, ett på hvert LAN, overfører kommunikasjonen mellom de to nettverkene. IPSec Figur 5 - Ulike typer VPN-forbindelse IPSec er en samling protokoller som tilbyr kryptering og autentisering på nettverksnivået (IP-nivå). Basert på standarder definert av IETF sikrer IPSec konfidensialitet, integritet og autentisering av data som kommuniseres over IP-nettverk. Standarden definerer to utvidelser til IP-pakkene, Authentication Header (AH) for å sikre autentisering og dataintegritet, og Encapsulating Security Payload (ESP) for å sikre konfidensialitet og dataintegritet. Disse utvidelsene kan benyttes i kombinasjon, men for de fleste formål vil kun en av disse benyttes. I tillegg utveksles og forhandles nøkkelinformasjon og andre nødvendige parametere ved hjelp av Internet Key Exchange (IKE). IKE kan benytte digitale signaturer for å sikre store nettverk i kombinasjon med TTP-tjenester, i mindre nettverk kan passord eller andre autentiseringsmekanismer benyttes. IPSec baserer seg på en rekke sikkerhetsteknologier for å tilby sikker nettverkskommunikasjon: Nøkkelutveksling basert på offentlig nøkkel-kryptering Symmetriske krypteringsalgoritmer for å kryptere informasjonen Nøkkelavhengige hash-funksjoner i kombinasjon med tradisjonelle hash-algoritmer for å sikre pakkeautentisering og integritet Kan benytte digitale sertifikater Authentication Header benyttes for å autentisere pakkene som utveksles, dvs. å sikre at en pakke som er mottatt virkelig kommer fra riktig 25

31 VPN OG PERSONLIGE BRANNMURER avsender, og å sikre at pakken ikke er endret under transport. I stedet for å signere pakkene med en digital signatur benyttes normalt en nøkkelavhengig hash-funksjon. Dette vil si at en kryptografisk hash-funksjon genererer et unikt nummer av IP-pakken som så kombineres med en hemmelig nøkkel, slik at kun avsender og mottaker kan generere riktig nummer når pakken skal kontrolleres. Dette er en operasjon som går raskere enn å benytte alminnelige offentlig nøkkel-baserte algoritmer for digital signatur. Til slutt ser IP-pakken slik ut: IP-header Aut. Header Data IP-headeren inneholder som normalt avsender- og mottaker-adresse og annen informasjon som benyttes for å rute pakken i nettverket. AH tilbyr kun autentisering og integritet. For å sikre IP-pakkene mot innsyn, dvs. konfidensialitet, må Encapsulating Security Payload (EPS) benyttes. EPS krypterer pakkene og kan benyttes i to hovedmodus, transportmodus og tunnelmodus. I transportmodus krypteres kun IP-pakken mens IP-headerne med avsender og mottakeradresse er ukryptert. I tunnelmodus krypteres hele IP-pakken for så å legges inn i en ny IP-pakke. Denne modusen benyttes normalt av rutere eller andre nettverksenheter som utfører kryptering uavhengig av systemene som kommuniserer. Denne løsningen medfører at systemene som skal beskyttes ikke må endres på og at det blir umulig for noen som avlytter trafikkstrømmen å avdekke den reelle mottakeren og avsenderen (trafikkanalyse). En ESPpakke i transportmodus ser slik ut: IP-header ESP-info Data IP-headeren fra originalpakken er mer eller mindre uendret. En ESP-pakke i tunnelmodus ser slik ut: Ny IP-header ESP-info Orginal-pakken For å holde orden på informasjonen som er nødvendig for å etablere en IPSec-forbindelse, f.eks. hvilke sikkerhetsmekanismer som skal benyttes, nøkkelinformasjon, hvilke algoritmer som skal brukes osv, benyttes en Security Association (SA). Det opprettes en SA for hver vei kommunikasjonen foregår. Informasjonen som er nødvendig for å opprette en slik SA kan legges inn manuelt, eller den kan forhandles mellom de to systemene som oppretter kommunikasjonen vha. Internet Key Exchange - protokollen. SA en kan derfor ses på som nøkkelen til å åpne en gitt kommunikasjonskanal, og hver kanal har ulik nøkkel. 26

32 VPN OG PERSONLIGE BRANNMURER Bruk av PKI-løsninger Endepunktene for IP-tunneler i forbindelse med VPN er normalt datamaskiner, rutere, brannmurer, og ikke personer. Autentisering og aksesskontroll i VPN foregår på nettverks- eller link-laget, og det betyr at det normalt er aksess til nett og maskiner som kontrolleres. Dette kan by på problemer dersom man skal benytte PKI-nøkler og sertifikater som er utstedt til personer, da man kan risikere at flere ulike personer har tilgang til den autentiserte kanalen. Normalt bør det benyttes spesielle nøkler for VPN-formål som er utstedt til maskiner eller spesielle tjenester, og benytte andre mekanismer i tillegg der det er behov å autentisere personer. Det kan også være aktuelt å benytte sertifikater utstedt til en virksomhet eller en underenhet i enkelte tilfeller. Alle aktørene som er involvert i en VPN-løsning vil trolig være kjente aktører, som i utgangspunktet har tillit til hverandre. Det er derfor ikke noe i veien for at man selv håndterer nøkkelutsteding og distribusjon av nøkler, og at man dermed operere en egen PKI, men merk at dette vil ikke være en tiltrodd tredjepart (TTP). Det vil trolig også være andre krav til sikkerhetspolicy for VPN-sertifikater enn for sertifikater som skal benyttes direkte av personer, f.eks. til digital signering. Bruksområder for VPN De to hovedtypene av tilknytting som VPN-nett gir, beskrevet ovenfor, gir opphav til en rekke ulike tilknyttingsløsninger og arkitekturer som kan velges når løsninger med slik teknologi skal implementeres. Valg av arkitektur vil få konsekvenser ift. ytelse og skalerbarhet. Særlig vil dette gjelde for systemer som må håndtere oppkoblinger fra en rekke andre systemer (typisk klient-server arkitektur). Nettverk til nettverk Denne typen VPN benyttes for å knytte sammen to (geografisk) separate nettverk slik at de fungerer som om de var ett nettverk. Nettene knyttes sammen ved at to VPN-enheter (f.eks. som del av brannmur), en i ytterkant av hvert nettverk bygger en tunnel hvor pakker overføres når det er nødvendig. Ytelsen for denne type VPN vil avhenge av mengden informasjon som må overføres over VPN-kanalen. Hvis alle brukerne på det ene nettverket kommuniserer opp mot servere på det andre nettverket i stedet for servere på eget nettverk vil krav til ytelse kunne bli høye. Maksimal kapasitet vil begrenses av yteevnen til den svakeste VPN-enheten, evt. til linjekapasiteten mellom nettverkene hvis denne er lavere. Den enkelte arbeidsstasjon eller server må ikke benytte kapasitet til å kryptere. 27

33 VPN OG PERSONLIGE BRANNMURER Arbeidsstasjon til server Denne type VPN benyttes for å oppnå sikker kommunikasjon på nettverksnivå mellom to datasystemer. Et viktig bruksområde vil være å sikre kommunikasjonen mellom to systemer hvor man ikke ønsker å endre på applikasjonene for å legge til sikringsmekanismer. Dette kan være eldre databasesystemer eller andre legacy -systemer som det vil koste for mye å endre på, men hvor man ønsker å kryptere kommunikasjonen f.eks. mellom en stormaskin og arbeidsstasjoner med terminalprogramvare. Denne typen sikring vil også kunne benyttes for å sikre at kun godkjente arbeidsstasjoner og brukere kommuniserer med serveren (dvs. at kun arbeidsstasjoner som kan presentere et godkjent sertifikat får kommunisere med serveren). Flaskehalsen for ytelse i denne type løsninger vil normalt ligge på serveren, som må håndtere kommunikasjon mellom en rekke klienter og kryptere og dekryptere data til/fra disse. Arbeidsstasjonene må kunne kryptere og dekryptere data til/fra serveren. Selv om dette vil kreve mindre enn serveren, vil dette kunne stille krav til arbeidsstasjonene som vil kunne utelukke de aller svakeste typer tynne klienter. På serversiden vil det kunne være nødvendig å benytte hardware-løsninger for å bidra til å håndtere de kryptografiske mekanismene, f.eks. dedikerte kryptoinnstikkskort eller krypto-co-prosessorer. Arbeidsstasjon til nettverk Denne typen VPN benyttes ofte for å knytte mobile brukere eller hjemmekontor opp mot sentrale nettverk, f.eks. bedriftsinterne nettverk. Her benyttes ofte en VPN-tjeneste i virksomhetens brannmur eller en egen VPN-tjeneste før eller i parallell med brannmuren som slipper nettverkstrafikk fra klienter utstyrt med VPN-programvare (f.eks. i form av IPSec-støtte i operativsystemet eller egne komponenter). Dette gjør at trafikk internt på virksomhetens nettverk kan overføres sikkert til den eksterne brukeren og at virksomheten kan være sikker på at brukeren er den han utgir seg for å være. Flaskehalsen for denne type løsning vil normalt være ytelsen på den brannmuren eller aksesstjeneren som skal håndtere oppkoblinger fra en rekke klienter. Lukkede brukergrupper VPN-teknologi kan også benyttes til å opprette lukkede brukergrupper for brukere som ønsker å kommunisere sikkert med hverandre. Dette kan f.eks. benyttes i forbindelse med videokonferanser over IP-protokollen, og erstatte bruken av eventuelle sikkerhetsløsninger internt i konferanseløsningen. Hver enkelt deltagende arbeidsstasjon vil da være ansvarlig for å kryptere og dekryptere informasjon til og fra seg selv. 28

34 VPN OG PERSONLIGE BRANNMURER Personlige brannmurer En personlig brannmur (PB) er en barriere som sørger for å kontrollere og filtrere trafikken til en enkelt PC. Personlige brannmurer er vanligvis en programvarekomponent, men kan også være i form av en boks (hardware) som kobles mellom PC-en og det eksterne nettverket. Det er hovedsakelig i forbindelse med hjemme-pc-er eller bærbare-pc-er at behovet for en PB oppstår. Men en PB kan også benyttes for ekstra beskyttelse av en PC som står koblet i et bedriftsinternt nettverk. Hvorfor er det behov for en personlig brannmur? Det kan være flere ulike årsaker til at det oppstår behov for en personlig brannmur. PC-er som benyttes utenfor bedriftenes nettverk vil ofte være utsatt for flere trusler som må håndteres. En PB kan ha følgende oppgaver: Beskyttelse av sensitiv eller privat informasjon som er lagret på PC-en Sørge for sikker tilkopling mellom hjemmekontor og bedriftens nettverk Hindre at uvedkommende benytter PC-en for å få tilgang til bedriftens nettverk Hindre kjøring av aktive komponenter, f.eks basert på Java/VB script eller Active-X Hindre at Trojanske hester sender ut informasjon Hindre at uvedkommende utnytter ressurser (CPU, disk, nettilgang) på PC-en din. Sentral administrasjon av sikkerhetspolicy (og overvåkning) for flere enheter (spesielt for distribuerte brannmurer) Hindre misbruk av IP-adresser Sperre for bruk av enkelte tjenester Beskytte PC-en mot tjenestenektangrep eller involvering i slike, som kan gjøre PC-en utilgjengelig for normal bruk Mulighet for å oppdage eller oppklare angrep eller misbruk Ha kontroll på hva PC-en benyttes til (f.eks sperring av webområder, logging) Det har spesielt vært fokus på at det er behov for en PB når man benytter et kabelmodem, som er direkte koblet til en kabel som deles mellom flere brukere (f.eks i et borettslag), og ofte får man også en fast IP-adresse. Uten en PB eller en annen form for tilgangsbegrensning kan andre brukere som er tilkoblet samme medium få tilgang til disken din. Noe som 29

35 VPN OG PERSONLIGE BRANNMURER øker trusselen ytterlig er at PC-ene ofte står permanent tilkoblet, fordi man betaler en fast avgift og ikke etter oppkoblingstiden, og dette øker også eksponeringstiden betydelig. Mange har tilgang til nettverket på jobben ved bruk av VPN-løsninger, gjerne fra samme PC som benyttes til web-surfing og lignende. VPNløsningen beskytter bare kommunikasjonen mellom bedriftens nettverk og din PC. Det oppstår dermed en fare for at det kan etableres bakdører inn i bedriftens nettverk via PC-er som også har direkte tilgang mot Internett. Operativsystemet som benyttes på PC-en og hvordan dette er konfigurert er også avgjørende for hvor god sikkerheten er på PC-en. PC-er med operativsystemene Windows 95 og 98 har svært dårlige muligheter for tilgangsbegrensning i utgangspunktet, og behovet for PB vil være spesielt stort for slike maskiner. Benytter man derimot operativsystemer som Windows NT, 2000, eller XP har man større muligheter for å begrense hvem som skal ha tilgang til PC-en (autentisering) og til de enkelte filene, og det er dessuten større muligheter for å sperre (eller deaktivere) enkelte tjenester eller protokoller. Dette kan til en viss grad redusere behovet for en personlig brannmur, men det kreves desto større kompetanse for å konfigurere maskinene på en sikker måte. I tillegg kan bruk av mekanismer for kryptering av informasjon på harddisken redusere behovet for en PB. Noe som gjør trusselen ved telependling ekstra stor er at dagens typiske bærbare PC-er og hjemmedatamaskiner har disker som kan inneholde store mengder data (i størrelsesorden 10 GB), og mange er derfor lite kritisk til hva de kopierer over på sine maskiner. Dette kan føre til at store deler av en virksomhets data kan befinne seg på hjemmemaskiner, og som regel er dette lagret ukryptert. Sikkerhetsprogramvare-leverandøren Symantec satte nylig opp et forsøk med 167 hjemmebrukere med både bredbåndslinjer og analoge modemer. PC-ene ble utstyrt med en personlige brannvegger som logget og stoppet forskjellige typer angrep. I løpet av én måned var det bare åtte brukere som ikke hadde vært utsatt for angrep Loggene viste 1703 angrepsforsøk. Det meste var forsøk på å skanne portene og å installere trojanske hester (digitoday 14/8-2001). Dette illustrerer at truslene er reelle og at det er all grunn til å ta de alvorlig. Personlig brannmur kontra distribuert brannmur Betegnelsen PB brukes vanligvis om programvare som installeres og konfigureres på hver enkelt PC og som vedlikeholdes av brukeren selv, og vil være det mest aktuelle for hjemmebrukere. En distribuert brannmur er en løsning som installeres på flere utsatte PC-er i en virksomhet, og som har mulighet for en sentral overvåking og oppdatering av en felles sikkerhetspolicy. En slik løsning kan f.eks. sperres for at brukeren skal gjøre endringer som er i strid med sikkerhetspolicyen, og kan rapportere mistenkelige aktiviteter til en administrator. 30

36 VPN OG PERSONLIGE BRANNMURER I en del tilfeller vil enheten som skal beskyttes være et lite lokalnettverk eller hjemmenettverk (SOHO - Small Office, Home Office ). Som regel vil internettilgangen da gå via en av maskinene, og en PB kan da vanligvis installeres på denne maskinen. Det finnes også brannmurløsninger som består av en boks som kan stå foran et lite lokalnettverk. En PB løser normalt ikke virusproblematikken, og antivirusprogramvare må derfor også være installert på alle maskiner. I det neste kapittelet vil vi se på noen utvalgte personlige brannmurer og en distribuert brannmur. 31

37 TESTING AV PERSONLIGE BRANNMURER Testing av personlige brannmurer Kapittel Vi har testet et utvalg av personlige brannmurer samt en distribuert brannmur. Vi har lagt vekt på å vurdere brukervennligheten, sikkerheten og loggingsmulighetene til hvert av produktene. I HØYSIKK-prosjektet ønsket vi å teste hvordan ulike personlige brannmur produkter fungerte i praksis. Hovedmålet med denne testen har ikke vært å plukke ut et produkt som er best i test, men heller det å se på hvilke muligheter og begrensninger som ligger i noen typiske produkter som tilbys i dag. Selv om vi har gjort enkelte tester av sikkerheten har vi ikke lagt stor vekt på å finne hull i de testede produktene. Man må også være klar over at det finnes et stort utvalg av personlige brannmurer, og det at vi har plukket ut noen (få) produkter, betyr ikke at disse er bedre enn produkter vi ikke har testet. Alle testene ble utført på en PC satt opp med Windows 98. Sygate Personal Firewall

38 TESTING AV PERSONLIGE BRANNMURER Programmet var enkelt å installere og krevde ingen spesielle konfigurasjoner for å komme i gang. I utgangspunktet er all trafikk inn/ut fra PCen sperret, og idet du starter et program eller en tjeneste som prøver å kommunisere med omverdenen får du spørsmål om denne trafikken skal tillates permanent, sperres permanent, eller om du skal spørres for hver gang (se figur). Du kan f.eks tillate at Internet Explorer får kommunisere med omverdenen. Det er også mulig å sette mer avanserte opsjoner som at trafikken bare skal tillates til spesielle IP-adresser eller portnummer, eller kun til bestemte tider på døgnet. Brannmuren har fire ulike logger (Security, System, Traffic, Packets), som kan slås av og på etter behov. Security-loggen varsler om sikkerhetshendelser som forsøk på angrep og skanning eller installerte trojanere. Traffic-loggen gir opplysninger om all trafikk eller forsøk på trafikk som går inn og ut av PC-en, og her får en opplysninger både om protokoll og IP-adressen til mottageren (se figur). Packets-loggen gir detaljerte opplysninger om IP-pakkene som når PC-en, og denne vil en normalt kunne slå av. Alt i alt gode loggmuligheter, men loggene kan selvsagt bli noe forvirrende for en bruker uten spesielle kunnskaper om nettverk og lignende. 33

39 TESTING AV PERSONLIGE BRANNMURER Under uttestingen forsøkte vi å angripe og skanne PC-en utenfra. PC-en svarte ikke på ping-forespørsler eller forsøk på å koble opp mot telnetporten. PC-en ble skannet med verktøyet NetSonar fra Cisco, og det ble ikke avdekket at noen porter stod åpne for angrep. Det er også mulig å benytte de innebygde skanning muligheten til Sygate, dersom PC-en er tilknyttet internett direkte, og ikke står bak en bedrifts brannvegg el. Brannmuren har en grei mulighet for å blokkere all trafikk, f.eks når PCen står ubrukt, eller for å tillate all trafikk, f.eks ved uttesting av nye tjenester. På denne måten kan sikkerhetsnivået lett endres etter behov. Konklusjon: En personlig brannmur med svært god sikkerhet og gode muligheter for spesialtilpassing og logging. Brukervennligheten var ganske god, men de avanserte mulighetene kan være noe forvirrende for vanlige brukere, uten spesiell kompetanse på sikkerhet. Norman Personal Firewall 1.0 Norman sitt produkt er enkelt å installere, og vi fikk hjelp av en assistent til å sette opp brannmuren. Norman har mulighet for å kontrollere script, Active-X og applets. Det er også mulig å begrense hva som skal tillates av inngående og utgående cookies. For hver tjeneste er det mulig å velge om den skal tillates, sperres eller om man skal spørres for hver gang (ledsaget av en assistent). Dersom man velger å basere seg på assistenten f.eks for scripts blir det lett plagsomt med alle spørsmålene man får ved vanlig surfing, og det går trolig ikke lang tid før man slår av denne muligheten. 34

40 TESTING AV PERSONLIGE BRANNMURER I utgangspunktet er det definert tre sikkerhetsnivåer: lav, medium og høy, men det er mulig for å tilpasset sikkerhetsnivået til egne behov (se under). Det er også mulig å legge inn egne regler, enten direkte via grensesnittet eller ved bruk av assistenten. Man skal ha relativ god kompetanse å vite hva man gjør for å definere egne regler, og det er lett å miste oversikten her. Loggemuligheten var ikke imponerende. Man må eksplisitt merke av hver aktivitet som skal logges og det er også begrenset med informasjon i loggen. Under uttestingen erfarte vi dessuten at enkelte hendelser ikke ble logget selv om logging var satt på for den aktuelle tjenesten. 35

41 TESTING AV PERSONLIGE BRANNMURER Konklusjon: Produktet har sin styrke i forhold til sikkerhet i forbindelse med web-surfing, der det er gode muligheter for å legge inn begrensninger. I forhold til andre tjenester syntes vi at produktet hadde dårligere funksjonalitet og var mindre brukervennlig. Loggemulighetene var også dårlige. ZoneAlarm ZoneAlarm fra ZoneLabs er det eneste av de testede produktene som er freeware. Installasjonen av produktet var forholdsvis enkel, og det var bare nødvendig med en fil på ca 3 MB. ZoneAlarm opererer med 3 sikkerhetsnivåer (Low, Medium, High). Som eneste produkt vi testet har ZoneAlarm mulighet for å sette forskjellige sikkerhetsnivå mot Internett og andre maskiner i en lokal sone (lokalnett etc.). Det er også en egen opsjon for å beskytte mot script i e-post vedlegg. Ellers fungerer programmet på samme måte som de fleste andre personlige brannmurer ved at tillatelser til å kommuniserer knyttes til applikasjoner, med mulighet for å sperre, åpne eller spørre for hver gang applikasjonen prøver å få tilgang. 36

42 TESTING AV PERSONLIGE BRANNMURER Loggen er forholdsvis enkel, og såkalte Alert vises i eget vindu ved spesielle hendelser. Men det er ikke en egen mulighet i brukergrensesnittet for å vise hele loggen. Den lagres i Windows katalogen og må hentes opp i en teksteditor Da vi gjorde tester av brannmuren på lokalnett oppdaget vi at det var mulig å få tilgang til delte kataloger fra en annen maskin, selv om sikkerhetsnivå var satt til High eller alt var sperret (Locked). Sannsynligvis skyldes dette at NetBEUI (Windows-protokoll) som benyttes på lokalnettet ikke stoppes av brannveggen. Selv om denne protokollen bare benyttes på lokalnett kan det innebære en trussel. 37

43 TESTING AV PERSONLIGE BRANNMURER Muligheten for å operere med forskjellige sikkerhetsnivå for lokalnett og Internett (se fig) gjør at produktet er spesielt godt egnet for maskiner som jevnlig er tilkoblet et lokalnett, f.eks bærbare PC-er. Dokumentasjonen til produktet er god og god integrert med ZoneLabs websted. Konklusjon: Alt i alt er dette et produkt med god sikkerhet, bra brukervennlig og ikke minst er den billig (gratis). Symantec Desktop Firewall 2.0 Symantecs brannvegg var at av de produktene som hadde flest muligheter. Nedlasting og installasjon tok relativt lang tid i forhold til flere av de andre produktene. Som de fleste produktene opererer denne brannveggen med 3 sikkerhetsnivåer, samt muligheter for spesialtilpasning (se fig.) 38

44 TESTING AV PERSONLIGE BRANNMURER Dette produktet var spesielt god på beskyttelse av personlig informasjon (privacy). Det er mulig å legge inn spesiell konfidensiell informasjon som epost-adresser, bankkontonummer, PIN-koder etc. som brannveggen reagerer på dersom dette blir forsøkt sendt ut av PC-en. Det er også muligheter for å hindre at cookies sendes ut fra maskinen. Loggmulighetene er gode, og loggen er splittet i ulike områder som vist i figuren. Det er m.a en egen logg som viser de sist besøkte web-stedene, samt egne logger for brudd på brannvegg-regler og oppkoblinger. 39

45 TESTING AV PERSONLIGE BRANNMURER Det var muligheter for å lage spesialtilpassede installasjoner som kunne installeres over nettverket, og for å oppdatere regelsettet på allerede installerte produkter. Dette er en mulighet som vil være svært nyttig for bedrifter som ønsker å ta i bruk en personlig brannvegg på mange ulike PC-er, og som ønsker å ha kontroll med regelsettet. En annen nyttig mulighet var LiveUpdate som lastet ned de siste oppdateringer fra Symantecs websted, på denne måten var det mulig å f.eks få lagt inn oppdateringer av programvaren eller nye regler som sperrer for sikkerhetshull som er oppdaget i det siste. Konklusjon: En personlig brannmur med mange muligheter, som er bra for større bedrifter med egen kompetanse på brannmurer, men noe tung for privatbrukere og andre med mindre kompetanse. Samlet vurdering av testene En generell konklusjon fra testene var at løsningene må vurderes i forhold til de behov og den kompetanse man selv har. Har man f.eks. kun behov for beskyttelse av en hjemme-pc, eller er det bedriftens bærbare PC-er som skal beskyttes. Noen grunnprinsipper er stort sett like for de fleste produktene (f.eks muligheten for å tillate, sperre eller spør for hver enkelt tjenester/program), mens det på andre områder er betydelige forskjeller. Når det gjaldt loggemulighetene var det store forskjeller, men for mange vanlige brukerer vil det være lite interessant å studere loggene, det er normalt en jobb for teknisk personale. De fleste produktene hadde mulighet for å lage egne regler, enten automatisk eller ved hjelp av en assistent. Man kan ikke forvente at vanlige brukere har kompetanse til å selv lage regler, så gode verktøy for generering av regler er en forutsetning for utstrakt bruk. Samtidig er det en fare for at man ukritisk aksepterer alle forespørsler om nye regler, og at man til slutt har et like åpent system. Det er derfor en stor fordel at de fleste verktøyene har ferdig definerte regelsett for ulike sikkerhetsnivå (typisk høy, medium og lav). F-Secure Distributed Firewall 5.20 Dette er en såkalt distribuert brannvegg, og produktet skiller seg dermed en del fra de andre produktene vi har testet. Fordelen med en distribuert brannvegg er at felles regler kan settes opp av en administrator og distribueres til alle aktuelle PC-er. Ulempen er at det kreves god kompetanse for å sette opp fornuftige regelsett. Det er også mulig å installere produktet som en stand-alone løsning, men det krever fremdeles en del kompetanse å sette den opp på en sikker måte. Vi testet i en stand-alone installasjon. 40

46 TESTING AV PERSONLIGE BRANNMURER Grensesnittet for å sette opp regler var ikke spesielt brukervennlig, og det tok en tid før vi fant ut hvordan dette fungerte. Her må man vite hvilke protokoller (TCP, ICMP, SMTP etc.) som skal tillates og til/fra hvilke IP-adresser/subnett (se fig). Det er ikke noen assistent for å automatisk sette opp nye regler for tjenester som trenger tilgang, slik de fleste andre produktene. Dette gjør at produktet kun er egnet for de som besitter god kompetanse på dette området. Bedrifter som har kompetanse på å drifte sin egen brannvegg mot Internett, har trolig nødvendig kompetanse, og da kan produktet utgjøre en andre skanse (barriere) for beskyttelse av bedriftens nettverk. 41