Torna al Sommario

Informazioni generali sulla protezione: Manuale dell'utente di Intel(R) PRO/Wireless 2915ABG Network Connection



Crittografia WEP

La crittografia WEP (Wired Equivalent Privacy) di IEEE 802.11 consente di impedire la ricezione non autorizzata dei dati wireless. La crittografia WEP offre due livelli di protezione, uno che utilizza una chiave a 64 bit (talvolta chiamata a 40 bit) e l'altro che usa una chiave a 128 bit (chiamata anche a 104 bit). Per ottenere un livello di protezione maggiore, utilizzare la chiave a 128 bit. Quando si usa la crittografia, tutte le periferiche wireless della rete wireless devono utilizzare le stesse chiavi di crittografia.

La crittografia WEP (Wired Equivalent Privacy) e l'autenticazione condivisa offrono la protezione dei dati sulla rete. Quando si utilizza la crittografia WEP i dati vengono codificati tramite una chiave di crittografia prima di essere trasmessi. Solo i computer che usano la stessa chiave di crittografia possono accedere alla rete o decodificare i dati crittografati trasmessi da altri computer. L'autenticazione offre un ulteriore processo di convalida a partire dalla scheda di rete verso il punto di accesso.

L'algoritmo crittografato WEP è vulnerabile agli attacchi attivi e passivi della rete. Gli algoritmi TKIP e CKIP includono dei miglioramenti al protocollo WEP che mitigano gli attacchi alla rete esistente cercando di risolverne i punti deboli.

Autenticazione con chiave aperta e condivisa

802.11 supporta due tipi di metodi di autenticazione di rete: sistema aperto e chiave condivisa.


Autenticazione 802.1x

Come funziona l'autenticazione 802.1x
Funzioni 802.1x

Panoramica

L'autenticazione 802.1x è indipendente dal processo di autenticazione 802.11. Lo standard 802.1x offre una struttura per vari protocolli di autenticazione e di gestione delle chiavi. Esistono autenticazioni 802.1x di tipo diverso; ciascuna offre un approccio differente all'autenticazione ma tutte impiegano lo stesso protocollo 802.1x e struttura per la comunicazione tra un client e un punto di accesso. Nella maggior parte dei protocolli, al completamento del processo di autenticazione 802.1x il richiedente riceve una chiave che utilizza per crittografare i dati. Per ulteriori informazioni fare riferimento a Come funziona l'autenticazione 802.1x. L'autenticazione 802.1x prevede l'uso di un metodo di autenticazione tra il client e un server RADIUS (Remote Authentication Dial-In User Service) connesso al punto di accesso. Il processo di autenticazione usa credenziali, come una password dell'utente che non sono trasmesse sulla rete wireless. La maggior parte dei tipi 802.1x supportano chiavi dinamiche per utente e per sessione, che rafforzano la protezione della chiave statica. 802.1x si avvantaggia dell'utilizzo di un protocollo di autenticazione esistente conosciuto come l'Extensible Authentication Protocol (EAP).

L'autenticazione 802.1x per le LAN wireless è costituita da tre maggiori componenti: l'autenticatore (il punto di accesso), il richiedente (il software del client) e il server di autenticazione (un server RADIUS). Un client wireless dà inizio a una richiesta di autenticazione 802.1x presso un punto di accesso, il quale esegue l'autenticazione del client a un server RADIUS compatibile con EAP. Il server RADIUS può autenticare l'utente (tramite password o certificati) o il sistema (tramite l'indirizzo MAC).  In teoria, al client wireless non è consentito far parte della rete finché la transazione non è completata. Per 802.1x sono usati svariati algoritmi di autenticazione. Alcuni esempi sono: MD5-Challenge, EAP-TLS, EAP-TTLS, EAP protetto (PEAP) e EAP Cisco Wireless Light Extensible Authentication Protocol (LEAP). Sono tutti metodi utilizzati dai client wireless per identificare se stessi presso il server RADIUS. Con l'autenticazione RADIUS, le identità degli utenti sono controllate confrontandole con i dati contenuti nei database. RADIUS è costituito da un insieme di standard di autenticazione, autorizzazione e accounting (AAA). Radius dispone di un processo proxy per convalidare i client in un ambiente multiserver. Lo standard IEEE 802.1x serve per controllare e autenticare l'accesso alle reti Ethernet basate su cavo e a quelle wireless 802.11 basate su porta. Il controllo dell'accesso alle reti basate su porta è simile a un'infrastruttura LAN con tecnologia switch che autentica le periferiche collegate a una porta LAN e impedisce l'accesso a tale porta se il processo di autenticazione non riesce.

Che cos'è RADIUS?

RADIUS (Remote Access Dial-In User Service) è un protocollo client-server AAA (Authorization, Authentication, Accounting) utilizzato quando un client AAA remoto esegue la procedura di accesso o di chiusura della sessione da un server di accesso alla rete (NAS). I server RADIUS sono in genere utilizzati dai provider di servizi Internet (ISP) per eseguire operazioni di tipo AAA. Le fasi AAA sono le seguenti:


Come funziona l'autenticazione 802.1x

La procedura di autenticazione 802.1x può essere semplicemente descritta nel modo seguente:

  1. Un client invia a un punto di accesso un messaggio di "richiesta di accesso". Il punto di accesso richiede l'identità del client.

  2. Il client risponde inviando il pacchetto contenente la propria identità, che viene quindi trasmesso al server di autenticazione.

  3. Il server di autenticazione invia al punto di accesso un pacchetto di "accettazione".

  4. Il punto di accesso cambia lo stato della porta del client che viene autorizzata a far passare il traffico di dati.


Funzioni 802.1x

Per ulteriori informazioni, fare riferimento a Impostazioni protezione.


WPA/WPA2

L'accesso protetto Wi-Fi (WPA/WPA2) rappresenta una funzione di protezione potenziata che aumenta significativamente il livello di protezione dei dati e il controllo dell'accesso alla rete wireless. WPA impone l'autenticazione 802.1x e lo scambio di chiavi e funziona solo con le chiavi di crittografia dinamiche. Per rendere ancora più sicura la crittografia dei dati, WPA utilizza TKIP (Temporal Key Integrity Protocol). TKIP offre importanti miglioramenti per la crittografia dei dati, che includono una funzione di utilizzo misto di chiavi per pacchetto, il controllo dell'integrità dei messaggi (MIC) chiamato Michael, un vettore di inizializzazione (IV) esteso con regole di sequenza e un meccanismo di rigenerazione delle chiavi. Questi miglioramenti di TKIP offrono una protezione maggiore dai punti deboli di WEP.

La seconda generazione di WPA che è compatibile con la specifica IEEE TGi si chiama WPA2.

WPA/WPA2 – Enterprise offre questo livello di protezione sulle reti aziendali con un server RADIUS 802.1x. Viene selezionato un tipo di autenticazione che corrisponda al protocollo di autenticazione del server 802.1x.

WPA/WPA2 - Personale offre questo tipo di protezione nelle reti di piccole dimensioni o in un ambiente di utilizzo domestico. Utilizza una password chiamata anche chiave precondivisa (PSK). Maggiore è la lunghezza di questa password e maggiore è la protezione della rete wireless. Se il punto di accesso o il router wireless supporta la funzione WPA/WPA2 Personale (WPA-PSK) allora è necessario attivarla nel punto di accesso e fornire una password lunga e sicura. La stessa password immessa nel punto di accesso deve essere usata sul computer e su tutte le altre periferiche wireless che accedono alla rete wireless.


Funzioni Cisco

Cisco LEAP

Cisco LEAP (Cisco Light EAP) è un metodo di autenticazione 802.1x per server e client realizzata tramite una password di accesso fornita dall'utente. Quando un punto di accesso wireless comunica con un server Cisco RADIUS compatibile con LEAP (server Cisco Secure Access Control Server (ACS)), Cisco LEAP offre il controllo dell'accesso tramite l'autenticazione reciproca delle schede di rete wireless dei client e della rete wireless, realizzata con chiavi di crittografia per utente singolo che facilitano la salvaguardia della privacy dei dati trasmessi.

Roaming veloce (CCKM)

Quando una LAN wireless è configurata per la riconnessione veloce, alle periferiche client abilitate LEAP è consentito di passare in roaming da un punto di accesso all'altro senza coinvolgere il server principale. L'uso di CCKM (Cisco Centralized Key Management) consente a un punto di accesso configurato per fornire i servizi WDS (Wireless Domain Services) di sostituire il server RADIUS e autenticare il client senza introdurre ritardi percepibili nella trasmissione della voce o nell'esecuzione di altre applicazioni che dipendono dal tempo.

CKIP

Cisco Key Integrity Protocol (CKIP) è il protocollo di protezione proprietario di Cisco per la crittografia su supporti 802.11. CKIP usa le seguenti funzioni per migliorare la protezione di 802.11 nella modalità infrastruttura:

 

EAP-FAST

 

EAP-FAST, come EAP-TTLS e PEAP, protegge il traffico usando il tunneling. La differenza principale è che per l'autenticazione EAP-FAST non usa i certificati.

 

La preparazione in EAP-FAST viene negoziata unicamente dal client come primo scambio di comunicazione e quando EAP-FAST è richiesto dal server.  Se il client non ha una credenziale di accesso protetto (PAC) segreta e precondivisa, può richiedere di iniziare uno scambio di preparazione EAP-FAST per ottenerne dinamicamente una dal server.

 

EAP-FAST dispone di due metodi per consegnare la PAC: la consegna manuale attraverso un meccanismo protetto fuori banda e la preparazione automatica.

Il metodo EAP-FAST può essere diviso in due parti: la preparazione e l'autenticazione.

La fase di preparazione comporta la consegna iniziale della PAC al client. È necessario eseguire questa fase solo una volta per client e utente.

 

 

Modalità cella mista

 

Alcuni punti di accesso, come i Cisco 350 o Cisco 1200, supportano gli ambienti in cui non tutte le stazioni client adottano la crittografia WEP, ovvero supportano il funzionamento cosiddetto in modalità cella mista. Quando queste reti wireless operano in modalità "crittografia opzionale", le stazioni client che partecipano alla rete in modalità WEP inviano tutti i messaggi crittografati, mentre le stazioni che funzionano in modalità standard inviano tutti i messaggi senza crittografarli. I punti di accesso di questo tipo annunciano che sulla rete non è usata la crittografia, ma consentono ai client di parteciparvi in modalità WEP. Quando in un profilo viene attivata la “cella mista” è possibile connettersi ai punti di accesso configurati per il funzionamento con la “crittografia opzionale”.  Per ulteriori informazioni, fare riferimento a Opzioni delle estensioni compatibili con Cisco.

 

Gestione della radio

 

L'attivazione di questa opzione consente alla scheda di rete wireless di fornire le informazioni di gestione della radio all'infrastruttura Cisco. Se nell'infrastruttura è usata l'utilità di gestione della radio Cisco, vengono configurati i parametri radio e rilevate le interferenze e i punti di accesso non autorizzati.

 

 


 

Torna al Sommario