Martin Højriis Kristensens hjemmeside

Koncept for sikker trådløs roaming

Offentliggjort 13/09-07 af makr (version: 1.2)
Nedenstående artikel er fra makr.dk og må betragtes som forældet. Den er fra 2001 og er kun bibeholdt at historiske årsager.
Artiklen omhandler et system der kan give sikker, krypteret adgang til interne netværk fra Internettet, via vidt forskellige adgangsformer.

Systemet er tænkt baseret på en PCMCIA-kort til en bærbar, men kunne i princippet godt realiseres med et CompactFlash kort eller en enhed der forbindes til en USB-port eller lign.
Dette kort er som udgangspunkt en GSM enhed.
Kortet skal understøtte de forskellige GSM-frekvenser for at sikre størst mulig roaming.
Kortet skal understøtte alle opkaldstyper, fx HSCSD og GPRS
Som mobilnettet udvikler sig skal kortet følge med. Hovedpointen er blot verdensomspændende kommunikation via et mobilnet.

Kortet skal via GPRS forbinde via IP til en access-server placeret ved det net der ønskes adgang til.
HSCSD skal pga. den øgede udgift kun anvendes begrænset, og kun hvor GPRS ikke er tilgængelig. Når kortet kører via HSCSD kaldes op til en opkaldsserver der er forbundet til access-serveren.

I kortet skal være indbygget et VPN Hard Token og hardware kryptering, som arbejder sammen med tilsvarende hardware på access-serveren.
Dermed sikres at kun folk der har dette kort kan forbinde til access-serveren, selvom man i princippet kan komme fra hvilken som helst IP-adresse, der måtte være tildelt via GPRS på det netværk man nu befinder sig på.

Når denne forbindelse er opnået kan man overføre IP-trafik (eller principielt anden trafik ved bridging) til access-serveren og dermed det interne netværk.

Når man har adgang til en hurtigere forbindelse end mobilnettet kobler man sig blot på.
Det kan være via modem fra et hotelværelse eller via wlan derhjemme eller i en lufthavn.
Softwaren til kortet detekterer (hvis aktivt) den nye forbindelse og opretter igennem denne en tunnel til access-serveren. Tunnelen skal så vidt muligt kunne fungere igennem de forhindringer der nu kan være, dvs NAT, firewalls, proxies mm.
Access-serveren og softwaren på klienten forhandler nu en sikker tunnel ved at udveksle information gennem GPRS-forbindelsen. Klienten autoriserer sig dermed og sender og modtager offentlige nøgler til hw-kryptering af trafikken gennem tunnelen. Disse nøgler fornyes løbende gennem GPRS-forbindelsen for at sikre størst mulig sikkerhed.
Efter denne udveksling har man nu en sikker tunnel til access-serveren og softwaren på klienten lukker nu forbindelser ud af og indtil maskinen af, således at alt trafik skal køre over denne tunnel.
Man har dermed en sikker forbindelse af høj (dvs højere end GPRS) hastighed til access-serveren og det interne netværk.

Softwaren skal kunne genkende (via forhandling med access-serveren) når den tilsluttes det interne netværk direkte, og skal i den situation enten ikke køre igennem access-serveren, eller køre igennem en intern access-server, såfremt man fx ønsker ekstra sikkerhed på interne wlan-forbindelser.