Korzystanie z szyfrowania WEP (ang. Wired Equivalent Privacy), w standardzie IEEE 802.11 może zapobiec nieuprawnionemu przechwyceniu danych, przekazywanych bezprzewodowo. Szyfrowanie WEP zapewnia bezpieczeństwo na dwóch poziomach: za pomocą klucza 64-bitowego (czasami określanego jako klucz 40-bitowy) lub klucza 128-bitowego (określanego również jako 104-bitowy). Wyższy poziom bezpieczeństwa zapewnia klucz 128-bitowy. Jeśli używane jest szyfrowanie, wszystkie urządzenia bezprzewodowe w sieci bezprzewodowej muszą korzystać z tych samych kluczy szyfrowania.
Szyfrowanie WEP (Wired Equivalent Privacy) i współużytkowane potwierdzanie autentyczności służy do zabezpieczania danych w sieci. W szyfrowaniu WEP, przed wysłaniem, dane są szyfrowane za pomocą klucza szyfrowania. Uzyskiwanie dostępu do sieci oraz odszyfrowywanie zaszyfrowanych danych jest możliwe tylko w przypadku komputerów z tym samym kluczem szyfrowania. Potwierdzanie autentyczności jest dodatkowym procesem sprawdzania połączenia między kartą i punktem dostępu.
Algorytm szyfrowania WEP jest podatny na pasywne i aktywne ataki sieciowe. Algorytmy TKIP i CKIP zawierają ulepszenia protokołu WEP, które zmniejszają niebezpieczeństwo ataków i eliminują niektóre niedociągnięcia.
Standard 802.11 obsługuje dwie metody potwierdzania autentyczności sieci: system otwarty i klucz współużytkowany.
W przypadku potwierdzania otwartego, żądanie potwierdzania autentyczności może zostać wysłane przez dowolną stację sieci bezprzewodowej. Stacja, której autentyczność ma zostać potwierdzona, wysyła schemat zarządzania potwierdzaniem autentyczności, zawierający jej tożsamość. Stacja odbierająca lub punkt dostępu akceptuje każde żądanie potwierdzania autentyczności. W przypadku otwartego potwierdzania autentyczności, dowolne urządzenie może uzyskać dostęp do sieci. Jeśli sieć nie jest szyfrowana, dostęp do sieci może uzyskać dowolne urządzenie dysponujące identyfikatorem SSID punktu dostępu.
W przypadku potwierdzania autentyczności, przy użyciu klucza współużytkowanego zakłada się, że każda stacja sieci bezprzewodowej uzyskała tajny klucz współużytkowany (bezpiecznym kanałem, niezależnym od kanału komunikacyjnego sieci bezprzewodowej 802.11). W przypadku potwierdzania autentyczności, przy użyciu klucza współużytkowanego dla klienta należy skonfigurować statyczny klucz WEP. Klient może uzyskać dostęp do sieci pod warunkiem, że jego autentyczność zostanie potwierdzona.
Jak działa potwierdzanie autentyczności w standardzie 802.1x
Funkcje 802.1x
Przegląd
Potwierdzanie autentyczności w standardzie 802.1x jest niezależne od procesu potwierdzania autentyczności, w standardzie 802.11. Standard 802.1x zapewnia strukturę dla różnych protokołów potwierdzania autentyczności i zarządzania kluczami. Istnieją różne typy potwierdzania autentyczności w standardzie 802.1x, a każdy z nich zapewnia inny sposób potwierdzania autentyczności, przy zastosowaniu tego samego protokołu 802.1x i struktury komunikacji między klientem i punktem dostępu. W przypadku większości protokołów, bezpośrednio po zakończeniu procesu potwierdzania autentyczności, w standardzie 802.1x komputer, którego autentyczność jest potwierdzana, otrzymuje klucz szyfrowania danych. Więcej informacji na ten temat, można znaleźć w sekcji 'Jak działa potwierdzanie autentyczności w standardzie 802.1x'. W przypadku potwierdzania autentyczności, w standardzie 802.1x stosuje się metodę potwierdzania autentyczności między klientem i serwerem RADIUS (Remote Authentication Dial-In User Service), podłączonym do punktu dostępu. W procesie potwierdzania autentyczności używane są poświadczenia (np. hasło użytkownika), które nie są przesyłane w sieci bezprzewodowej. Większość typów sieci, w standardzie 802.1x obsługuje dynamiczne klucze, przydzielane określonym użytkownikom, dla określonych sesji, dzięki czemu klucze statyczne zapewniają wyższy poziom zabezpieczeń. W protokole 802.1x stosowany jest istniejący protokół potwierdzania autentyczności EAP (Extensible Authentication Protocol).
Potwierdzanie autentyczności w standardzie 802.1x, dla bezprzewodowych sieci LAN, odbywa się z udziałem trzech elementów: potwierdzającego (punkt dostępu), potwierdzanego (oprogramowanie klienta) i serwera potwierdzania autentyczności (serwer RADIUS). Żądanie potwierdzenia autentyczności jest inicjowane przez funkcję potwierdzania autentyczności 802.1x, w punkcie dostępu, w którym następnie autentyczność klienta sieci bezprzewodowej jest potwierdzana na serwerze RADIUS (zgodnym z protokołem EAP). Na serwerze RADIUS może być potwierdzana autentyczność użytkownika (za pomocą haseł lub certyfikatów) lub komputera (za pomocą adresu MAC). Teoretycznie klient sieci bezprzewodowej nie może uzyskać połączenia z siecią przed zakończeniem transakcji. W standardzie 802.1x używanych jest kilka algorytmów potwierdzania autentyczności. Niektóre z nich to: MD5-Challenge, EAP-TLS, EAP-TTLS, Protected EAP (PEAP) i EAP Cisco Wireless Light Extensible Authentication Protocol (LEAP). Wszystkie te metody służą do identyfikacji klienta sieci bezprzewodowej na serwerze RADIUS. W przypadku potwierdzania autentyczności na serwerze RADIUS tożsamość użytkowników jest sprawdzana w oparciu o bazy danych. RADIUS stanowi zestaw standardów dotyczących potwierdzania autentyczności, autoryzacji i obsługi kont (AAA). W skład usługi RADIUS wchodzi proces pośredni stosowany do sprawdzania klientów w środowisku wielu serwerów. Standard IEEE 802.1x jest używany do kontroli dostępu i potwierdzania autentyczności, podczas uzyskiwania dostępu do sieci bezprzewodowych korzystających z portów 802.11 oraz sieci przewodowych Ethernet. Kontrola dostępu do sieci w oparciu o porty jest podobna do infrastruktury sieci lokalnej (LAN), w której potwierdzana jest autentyczność urządzeń przyłączanych do portów LAN, a jeśli potwierdzanie nie powiedzie się, dostęp do portów jest blokowany.
Usługa RADIUS to protokół klient-serwer używany do autoryzacji, potwierdzania autentyczności i zarządzania kontami (AAA) podczas logowania i wylogowywania klientów dial-up z serwera dostępu do sieci. Zwykle serwer RADIUS stosowany jest przez dostawców usług internetowych do zadań, związanych z autoryzacją, potwierdzaniem autentyczności i zarządzaniem kontami. Fazy potwierdzania autentyczności, autoryzacji i zarządzania kontem wyglądają następująco:
Faza potwierdzania autentyczności: weryfikacja nazwy użytkownika i hasła w oparciu o lokalną bazę danych. Po sprawdzeniu poświadczeń rozpoczyna się proces autoryzacji.
Faza autoryzacji: sprawdzenie, czy na podstawie żądania uzyskany zostanie dostęp do zasobu. Klientowi dial-up przypisany zostaje adres IP.
Faza zarządzania kontem: zbieranie informacji dotyczących użytkowania zasobu w celach analizy trendów, audytu, rozliczania czasu sesji lub alokacji kosztów.
Uproszczony opis potwierdzania autentyczności, w standardzie 802.1x:
Klient wysyła żądanie dostępu do punktu dostępu. Punkt dostępu żąda od klienta podania tożsamości.
Klient odpowiada, podając pakiet określający tożsamość, który zostaje następnie przekazany do serwera potwierdzania autentyczności.
Serwer potwierdzania autentyczności wysyła pakiet akceptacji, do punktu dostępu.
Autentyczność portu klienta zostaje potwierdzona w punkcie dostępu i przepływ danych zostaje udostępniony.
Komputer, którego autentyczność jest potwierdzana — obsługa protokołu w standardzie 802.1x
Obsługa protokołu EAP — RFC 2284
Obsługiwane metody potwierdzania autentyczności:
MD5 — RFC 2284
Protokół potwierdzania autentyczności EAP TLS — RFC 2716 i RFC 2246
Protokół EAP Tunneled TLS (TTLS)
Protokół LEAP (Cisco)
EAP-FAST
EAP-SIM
PEAP
Obsługa systemów operacyjnych Windows XP i Windows 2000
Więcej informacji na ten temat, można znaleźć w sekcji Ustawienia zabezpieczeń.
Dostęp zabezpieczony Wi-Fi (WPA/WPA2) to udoskonalenie zabezpieczeń, znacznie zwiększające poziom ochrony danych i kontrolę dostępu do sieci bezprzewodowej. Tryb WPA wymusza potwierdzanie autentyczności i wymianę kluczy, w standardzie 802.1x oraz działa tylko z użyciem dynamicznych kluczy szyfrowania. Aby podnieść poziom szyfrowania danych, w trybie WPA używany jest protokół TKIP. W protokole TKIP zastosowano ważne ulepszenia dotyczące szyfrowania danych, na przykład funkcję mieszania kluczy dla poszczególnych pakietów, kontrolę integralności wiadomości o nazwie Michael, rozszerzony wektor inicjujący (IV) z regułami sekwencji oraz mechanizm ponownego wprowadzania klucza. Dzięki tym ulepszeniom, protokół TKIP zabezpiecza znane słabe punkty szyfrowania WEP.
Standard WPA drugiej generacji, zgodny ze specyfikacją IEEE TGi, jest znany jako WPA2.
WPA/WPA2 (korporacyjne) zapewnia ten poziom bezpieczeństwa w sieciach korporacyjnych z serwerem RADIUS 802.1x. Wybierany typ potwierdzania autentyczności musi być zgodny z protokołem potwierdzania autentyczności serwera 802.1x.
WPA/WPA2 (indywidualne) zapewnia ten poziom zabezpieczeń, w małych sieciach lub środowisku domowym. W tym trybie używane jest hasło zwane również kluczem wstępnym (PSK). Im dłuższe jest to hasło, tym lepiej zabezpieczona zostaje sieć bezprzewodowa. Jeśli tryb WPA/WPA2 (indywidualne) (WPA-PSK) jest obsługiwany przez punkt dostępu lub router sieci bezprzewodowej, należy go włączyć i ustawić długie, silne hasło. Hasło wprowadzone dla punktu dostępu musi być używane również na danym komputerze i wszystkich urządzeniach bezprzewodowych, uzyskujących dostęp do danej sieci.
Protokół Cisco LEAP umożliwia potwierdzanie autentyczności serwera i klienta, w standardzie 802.1x, za pomocą podawanego przez użytkownika hasła logowania. Kiedy punkt dostępu do sieci bezprzewodowej łączy się z serwerem RADIUS z włączoną obsługą protokołu LEAP (Cisco), protokół ten zapewnia kontrolę dostępu przez wzajemne potwierdzanie autentyczności, między kartami sieci bezprzewodowej klienta i siecią bezprzewodową, a także indywidualne dynamiczne klucze szyfrowania, umożliwiające zachowanie prywatności przesyłanych danych.
Po skonfigurowaniu sieci bezprzewodowej LAN na potrzeby szybkiego ponownego łączenia, urządzenie klienta z obsługą protokołu LEAP może być przemieszczane między punktami dostępu, bez konieczności angażowania serwera głównego. Punkt dostępu skonfigurowany do udostępniania usług WDS i korzystający ze scentralizowanego zarządzania kluczami Cisco (CCKM), zastępuje serwer RADIUS — i umożliwia potwierdzanie autentyczności klienta, bez widocznego opóźnienia, w przypadku aplikacji głosowych i innych, w których ważny jest czas.
Protokół Cisco Key Integrity Protocol (CKIP) to własny protokół zabezpieczeń firmy Cisco, stosowany do szyfrowania w standardzie 802.11. W protokole CKIP używane są następujące funkcje zwiększające bezpieczeństwo sieci 802.11 w trybie Infrastruktura:
Permutacja klucza (KP)
Kontrola integralności wiadomości (MIC)
Liczba porządkowa wiadomości
W przypadku trybu EAP-FAST (tak jak w przypadku trybów EAP-TTLS i PEAP), ruch w sieci jest zabezpieczany przy użyciu tunelowania. Główna różnica polega na tym, że w przypadku trybu EAP-FAST do potwierdzania autentyczności nie używa się certyfikatów.
Podawanie poświadczeń EAP-FAST jest negocjowane wyłącznie przez klienta, podczas pierwszej wymiany danych, gdy tryb EAP-FAST jest żądany na serwerze. Jeśli klient nie dysponuje tajnymi wstępnymi poświadczeniami dostępu zabezpieczonego, może zażądać wymiany EAP-FAST i uzyskać je z serwera w trybie dynamicznym.
Istnieją dwie metody podawania poświadczeń dostępu zabezpieczonego w trybie EAP-FAST: podawanie ręczne (przez pozapasmowy mechanizm zabezpieczeń) i podawanie automatyczne.
Mechanizm podawania ręcznego to dowolny mechanizm uznany przez administratora sieci, za wystarczająco bezpieczny.
W przypadku podawania ręcznego ustanawiany jest tunel szyfrowany, w celu zabezpieczenia potwierdzania autentyczności klienta i dostarczenia do niego poświadczeń dostępu zabezpieczonego. Choć nie tak bezpieczny jak metoda ręczna, mechanizm ten jest bezpieczniejszy od metody potwierdzania autentyczności używanej w trybie LEAP.
Metodę EAP-FAST można podzielić na dwa etapy: podanie poświadczeń i potwierdzenie autentyczności.
Etap pierwszy, polega na dostarczeniu poświadczeń dostępu zabezpieczonego do klienta. Przeprowadzenie tej czynności jest wymagane tylko raz dla klienta i użytkownika.
W niektórych punktach dostępu (np. Cisco 350 lub Cisco 1200) obsługiwane są środowiska, w których nie wszystkie stacje klientów obsługują szyfrowanie WEP. Jest to tryb mieszanej sieci komórkowej. Gdy sieć bezprzewodowa działa w trybie szyfrowania opcjonalnego, stacje klientów dołączane do sieci w trybie WEP, wysyłają wszystkie komunikaty w postaci zaszyfrowanej, a stacje dołączane w trybie standardowym wysyłają wszystkie komunikaty w postaci niezaszyfrowanej. Punkty dostępu nadają sygnały o braku szyfrowania, ale klienci mogą być dołączani w trybie szyfrowania WEP. Jeśli w profilu włączono opcję mieszanej sieci komórkowej, można podłączać komputery do punktów dostępu skonfigurowanych do szyfrowania opcjonalnego. Więcej informacji na ten temat, można znaleźć w sekcji Opcje rozszerzeń Cisco.
Po włączeniu tej funkcji, za pomocą karty sieci bezprzewodowej można uzyskiwać informacje o zarządzaniu łącznością radiową infrastruktury Cisco. Jeśli dla infrastruktury używane jest narzędzie do zarządzania łącznością radiową Cisco, służy ono do konfigurowania parametrów łączności radiowej, a także do wykrywania zakłóceń i nielegalnych punktów dostępu.