Tilbage til Indhold

Oversigt over sikkerhed: Intel(R) PRO/Wireless 2915ABG Network Connection - Brugervejledning



WEP-kryptering

Du kan forhindre ikke-autoriseret modtagelse af dine trådløse data med IEEE 802.11 Wired Equivalent Privacy (WEP). WEP-kryptering indeholder to sikkerhedsniveauer, der bruger en 64 bit-nøgle (omtales somme tider som 40 bit) eller en 128 bit-nøgle (omtales også som 104-bit). For at opnå bedre sikkerhed skal du bruge en 128 bit-nøgle. Hvis du bruger kryptering, skal alle trådløse enheder på dit trådløse netværk bruge de samme krypteringsnøgler.

Wired Equivalent Privacy (WEP)-kryptering og delt godkendelse beskytter dine data på netværket. WEP bruger en krypteringsnøgle til at kryptere data, før de overføres. Kun computere, der bruger den samme krypteringsnøgle, kan få adgang til netværket eller afkryptere de krypterede data, der er overført af andre computere. Godkendelse giver en yderligere valideringsproces fra adapteren til adgangspunktet.

WEP-krypteringsalgoritmen er sårbar over for passive og aktive netværksangreb. TKIP- og CKIP-algoritmer indeholder forbedringer til WEP-protokollen, der afbøder eksisterende netværksangreb og udbedrer dets mangler.

Åben og delt nøglegodkendelse

802.11 understøtter to typer netværksgodkendelsesmetoder. Åben system og Delt nøgle.


802.1x-godkendelse

Sådan fungerer 802.1x-godkendelse
802.1x-funktioner

 

Oversigt

802.1x-godkendelse er uafhængig af 802.11-godkendelsesprocessen. 802.1x-standarden indeholder en ramme for forskellige godkendelses- og nøgleadministrationsprotokoller. Der findes forskellige 802.1x-godkendelsestyper, der hver indeholder en forskellig fremgangsmåde til godkendelse, men de bruger alle den samme 802.1x-protokol og ramme til kommunikation mellem en klient og et adgangspunkt. I de fleste protokoller vil den søgende ved fuldførelse af 802.1x-godkendelsesprocessen modtage en nøgle, som den bruger til datakryptering. Der henvises til sådan fungerer 802.1x-godkendelse, hvor der er flere oplysninger. Med 802.1x-godkendelse bruges en godkendelsesmetode mellem klienten og en fjern brugerservice for godkendelsesopkald (RADIUS)-server, der er tilsluttet til adgangspunktet. Godkendelsesprocessen bruger referencer, f.eks. en bruger adgangskode, som ikke transmitteres over det trådløse netværk. De fleste 802.1x-typer understøtter dynamisk pr. bruger-, pr. session-nøgler til at styrke den statiske nøglesikkerhed. 802.1x udnytter brugen af en eksisterende godkendelsesprotokol, der kaldes Extensible Authentication Protocol (EAP).

802.1x-godkendelse af trådløse netværk består af tre hovedkomponenter: Godkenderen (adgangspunktet), ansøgeren (klient-softwaren), og godkendelsesserveren (en fjern brugerservice for godkendelsesopkald (RADIUS)). 802.1x-godkendelsessikkerhed starter en autorisationsanmodning fra den trådløse klient til adgangspunktet, der godkender klienten på en Extensible Authentication Protocol (EAP)-kompatibel RADIUS-server. Denne RADIUS-server kan enten godkende brugeren (med adgangskoder eller certifikater) eller systemet (med MAC-adresse).  Teoretisk har den trådløse klient ikke lov til at tilslutte sig netværkene, før transaktionen er fuldført. Der anvendes flere godkendelsesalgoritmer til 802.1x. Nogle eksempler er MD5-Challenge, EAP-TLS, EAP-TTLS, Protected EAP (PEAP) og EAP Cisco Wireless Light Extensible Authentication Protocol (LEAP). De er alle sammen metoder, som den trådløse klient bruger til at identificere sig selv på RADIUS-serveren. Med RADIUS-godkendelse kontrolleres brugeridentiteter i forhold til databaser. RADIUS består af et sæt standarder inden for Godkendelse, Autorisation og Redegørelse (AAA). Radius indeholder en proxy-proces til validering af klienter i et multiservermiljø. IEEE 802.1x-standarden er til kontrol og godkendelse af adgang til portbaserede 802.11 trådløse og kabelførte Ethernet-netværk. Portbaseret netværksadgangskontrol minder om en omskiftet LAN-infrastruktur, der godkender enheder, der er forbundet til en LAN-port og forhindrer adgang til den port, hvis godkendelsesprocessen fejler.

Hvad er en RADIUS?

RADIUS er Remote Access Dial-In User Service, en autorisations-, godkendelses- og redegørelses (AAA)-klient-server-protokol, der bruges når en AAA-opkaldsklient logger på eller af en netværksadgangsserver. Typisk bruges en RADIUS-server af internetudbydere (Internet Service Providers (ISP)) til at udføre AAA-opgaver. AAA-faser beskrives som følger:


Sådan fungerer 802.1x-godkendelse

En simpel beskrivelse af 802.1x-godkendelsen er:

  1. En klient sender en "anmodning om adgang"-meddelelse til et adgangspunkt. Adgangspunktet anmoder om identiteten af klienten.

  2. Klienten svarer med dens identitetspakke, der overføres til godkendelsesserveren.

  3. Godkendelsesserveren sender en "accept"-pakke til adgangspunktet.

  4. Adgangspunktet placerer klientporten i den godkendte tilstand, og datatrafikken får lov til at fortsætte.


802.1x-funktioner

Der henvises til Sikkerhedsindstillinger, hvor der fås flere oplysninger.


WPA/WPA2

Wi-Fi-beskyttet adgang (WPA) er en sikkerhedsforbedring, der forøger databeskyttelsesniveauet og adgangskontrollen til et trådløst netværk betydeligt. WPA fastholder 802.1x-godkendelse og nøgleudveksling og fungerer kun med dynamiske krypteringsnøgler. For at styrke datakryptering bruger WPA dens Temporal Key Integrity Protocol (TKIP). TKIP indeholder vigtige datakrypteringsforbedringer, der inkluderer en pr. pakke-nøgleblandingsfunktion, en meddelelsesintegritetskontrol (MIC) kaldet Michael, en udvidet initialiseringsvektor (IV) med sekvenseringsregler og også en mekanisme til omskrivning af nøglen. Ved brug af diise forbedringer beskytter TKIP i mod WEPs kendte svagheder.

Den anden generation af WPA, som overholder IEEE TGi-specifikationen, kaldes WPA2.

WPA/WPA2 – Enterprise giver dette sikkerhedsniveau på koncernnetværk med en 802.1x RADIUS-server. Der vælges en godkendelsestype til at matche godkendelsesprotokollen på 802.1x-serveren.

WPA/WPA2 - Personal giver dette sikkerhedsniveau i mindre netværk eller hjemmenetværk. Det kræver en adgangskode, der også kaldes en foruddelt nøgle (PSK). Jo længere denne adgangskode er, jo mere sikkert er det trådløse netværk. Hvis det trådløse adgangspunkt eller routeren understøtter WPA/WPA2 Personal (WPA-PSK), skal du aktivere den i adgangspunktet og angive en lang stærk adgangskode. Den samme adgangskode, du angav for adgangspunktet, skal bruges på denne computer og til alle andre trådløse enheder, der har adgang til det trådløse netværk.


Cisco-funktioner

Cisco LEAP

Cisco LEAP (Cisco Light EAP) er en server- og klient 802.1x-godkendelse via en brugerangivet adgangskode. Når et trådløst adgangspunkt kommunikerer med en Cisco LEAP-aktiveret RADIUS (Cisco Secure Access Control Server (ACS) server), indeholder Cisco LEAP adgangskontrol via fælles godkendelse mellem klientens trådløse adaptere og de trådløse netværk og indeholder dynamiske, individuelle brugerkrypteringsnøgler til hjælp til beskyttelse af det private i transmitterede data.

Fast Roaming (CCKM)

Når et trådløst LAN er konfigureret til hurtig gentilslutning, kan en LEAP-aktiveret klientenhed "roame" fra at adgangspunkt til et andet uden at involvere hovedserveren. Ved hjælp af Cisco Centralized Key Management (CCKM), erstatter et adgangspunkt, der er konfigureret til at yde Wireless Domain Services (WDS), RADIUS-serveren og godkender klienten uden mærkbar forsinkelse under tale eller andre tidskritiske anvendelser.

CKIP

Cisco Key Integrity Protocol (CKIP) er Ciscos egen sikkerhedsprotokol til kryptering i 802.11-medier. CKIP bruger følgende funktioner til at forbedre 802.11-sikkerhed i infrastrukturtilstand:

 

EAP-FAST

 

EAP-FAST bruger ligesom EAP-TTLS og PEAP tunnelføring til beskyttelse af trafikken. Den væsentligste forskel er, at EAP-FAST ikke bruger certifikater til godkendelse.

 

Tildeling i EAP-FAST forhandles udelukkende af klienten som den første udveksling af oplysninger, når serveren anmoder om EAP-FAST.  Hvis klienten ikke har en foruddelt hemmelig PAC (Protected Access Credential), kan den anmode om start på tildeling af EAP-FAST for dynamisk at modtage en fra serveren.

 

EAP-FAST definerer to metoder til tildeling af PAC'en: manuel levering via en sikkerhedsmekanisme uden for båndet, og automatisk tildeling.

EAP-FAST-metoden kan opdeles i to dele: tildeling og godkendelse.

Tildelingsfasen omfatter den første levering af PAC'en til klienten. Denne behøver kun blive udført én gang pr. klient og bruger.

 

 

Blandede celler

 

Nogle adgangspunkter, f.eks. Cisco 350 eller Cisco 1200, understøtter miljøer, hvor ikke alle klientstationer understøtter WEP-kryptering, og dette kaldes blandet celle-tilstand. Når disse trådløse netværk arbejder i en “valgfri krypteringstilstand”, vil klientstationer, som tilmelder sig i WEP-tilstand, sende alle meddelelser krypteret, og stationer, som tilmelder sig i standardtilstand, vil sende alle meddelelser ikke-krypterede. Disse AP'er rundsender, at netværket ikke anvender kryptering, men tillader, at klienterne tilmelder sig i WEP-tilstand. Når “Blandet celle” er aktiveret i en profil, har du mulighed for at tilslutte dig adgangspunkter, som er konfigureret til “valgfri kryptering”.  Der henvises til Cisco Compatible Extensions Options, hvor der er flere oplysninger.

 

Radio Management

 

Når denne funktion er aktiveret, giver din trådløse adapter Cisco infrastrukturen Radio Management-oplysninger. Hvis værktøjet Cisco Radio Management bruges i infrastrukturen, konfigurerer det radioparametre, registrerer interferens og Rogue-adgangspunkter.

 

 


 

Tilbage til indholdsfortegnelsen