U kunt voorkomen dat onbevoegden in het bezit komen van uw draadloos verzonden gegevens door gebruik te maken van IEEE 802.11 WEP (Wired Equivalent Privacy). Deze standaard heeft twee beveiligingsniveaus en maakt gebruik van een 64-bits (soms 40-bits genoemd) of 128-bits sleutel (ook wel 104-bits genoemd). Voor een betere beveiliging gebruikt u een 128-bits sleutel. Als u gebruikmaakt van codering, moeten alle draadloze apparaten in het netwerk dezelfde coderingssleutels gebruiken.
WEP-codering (Wired Equivalent Privacy) en gedeelde verificatie bieden bescherming voor netwerkgegevens. WEP gebruikt een coderingssleutel om gegevens te coderen voor transmissie. Alleen computers met dezelfde coderingssleutel kunnen toegang tot het netwerk krijgen of gecodeerde gegevens van andere computers decoderen. Verificatie biedt een aanvullend validatieproces tussen de adapter en het toegangspunt.
Het WEP-coderingsalgoritme kan vanaf het netwerk actief of passief worden aangevallen. TKIP- en CKIP-algoritmen bevatten uitbreidingen op het WEP-protocol die aanvallen vanaf het netwerk onschadelijk maken en beperkingen oplossen.
802.11 ondersteunt twee typen netwerkverificatiemethoden: Open systemen en Gedeelde sleutels.
Met Open verificatie kan elk draadloos station verificatie aanvragen. Het station dat met een ander draadloos station dient te worden geverifieerd, verzendt een verificatiebeheerpakket dat de identiteit van het verzendstation bevat. Het ontvangende station of toegangspunt keurt elke verificatieaanvraag goed. Met Open verificatie wordt het netwerk voor alle apparaten opengesteld. Als geen codering is ingesteld op het netwerk, kan bijgevolg elk apparaat dat de SSID van het toegangspunt kent, toegang krijgen tot het netwerk.
Met de verificatiemethode Gedeelde sleutel wordt aan elk draadloos station een geheime gedeelde sleutel verzonden over een beveiligd kanaal dat onafhankelijk is van het draadloze 802.11-netwerkcommunicatiekanaal. Voor deze methode is het vereist dat op de client een statische WEP-sleutel wordt geconfigureerd. Toegang wordt alleen verleend als de client voldoet aan een challengeverificatie.
Hoe werkt 802.1x-verificatie?
802.1x-voorzieningen
Overzicht
802.1x-verificatie is onafhankelijk van het 802.11-verificatieproces. De 802.1x-standaard biedt een structuur voor meerdere verificatie- en sleutelbeheerprotocollen. De verschillende 802.1x-verificatietypen bieden elk een andere benadering van verificatie maar ze maken wel allemaal gebruik van hetzelfde protocol en dezelfde communicatiestructuur tussen een client en een toegangspunt. Bij de meeste protocollen ontvangen aanvragers, wanneer het 802.1x-verificatieproces is voltooid, een sleutel die ze voor gegevenscodering gebruiken. Zie Hoe werkt 802.1x-verificatie? voor meer informatie. Bij 802.1x-verificatie wordt een verificatiemethode gebruikt tussen de client en een RADIUS-server (Remote Authentication Dial-In User Service) die is verbonden met het toegangspunt. Voor het verificatieproces wordt gebruik gemaakt van referenties, zoals gebruikersnamen en wachtwoorden, die niet over het draadloze netwerk worden verzonden. Het merendeel van de 802.1x-typen ondersteunt dynamische sleutels per gebruiker en per sessie zodat de statische sleutelbeveiliging nog veiliger wordt. 802.1x maakt bovendien gebruik van een bestaand verificatieprotocol dat Extensible Authentication Protocol (EAP) wordt genoemd.
802.1x-verificatie voor draadloze LAN's bestaat uit drie basiscomponenten: De verificator (het toegangspunt), de aanvrager (de clientsoftware) en de verificatieserver (een RADIUS-server). Met 802.1x-verificatie wordt een autorisatieverzoek van de draadloze client naar het toegangspunt gestuurd. Het toegangspunt verifieert de client vervolgens via een EAP-compatibele RADIUS-server. Deze RADIUS-server kan de gebruiker (via wachtwoorden of certificaten) of het systeem (via het MAC-adres) verifiëren. In theorie mag de draadloze client pas op het netwerk wanneer de transactie is voltooid. Er worden verschillende verificatiealgoritmen gebruikt voor 802.1x. Voorbeelden zijn: MD5-Challenge, EAP-TLS, EAP-TTLS, PEAP (Protected EAP) en LEAP (Cisco Wireless Light Extensible Authentication Protocol). Met al deze methoden kan de draadloze client zich identificeren bij de RADIUS-server. Bij RADIUS-verificatie wordt de identiteit van de gebruiker geverifieerd op basis van gegevens in databases. RADIUS bestaat uit een aantal standaarden die tegemoet komen aan verificatie, autorisatie en accounting (AAA - Authentication, Authorization, Accounting). Radius omvat onder meer een proxy-proces voor het valideren van clients in een omgeving met meerdere servers. Met de IEEE 802.1x-standaard wordt toegang beheerd en geverifieerd voor draadloze en bekabelde 802.11 Ethernet-netwerken op basis van poorten. Toegangsbeheer voor op poorten gebaseerde netwerken lijkt op een LAN-infrastructuur met switches die apparaten verifieert die op een LAN-poort worden aangesloten en toegang tot de desbetreffende poort voorkomt als het verificatieproces mislukt.
RADIUS staat voor Remote Access Dial-In User Service, een client-server-protocol voor autorisatie, verificatie en accounting (AAA - Authorization, Authentication, Accounting) dat wordt gebruikt wanneer een AAA-inbelclient zich aan- of afmeldt bij een server voor netwerktoegang. RADIUS-servers worden vaak gebruikt door Internet Service Providers (ISP) voor het uitvoeren van AAA-taken. De verschillende AAA-fasen zijn als volgt:
Verificatiefase: Controleert of een gebruikersnaam en wachtwoord overeenkomen met gegevens in een lokale database. Zodra de persoonsgegevens zijn gecontroleerd, begint het autorisatieproces.
Autorisatiefase: Bepaalt of een verzoek om toegang tot een resource al dan niet wordt ingewilligd. Er wordt een IP-adres toegewezen aan de inbelclient.
Accountingfase: Verzamelt informatie over het gebruik van resources voor trendanalyse, controles, sessiefacturering of kostentoewijzing.
Hieronder vindt u een vereenvoudigde beschrijving van de 802.1x-verificatie:
Een client verzendt een "verzoek om toegang" naar een toegangspunt. Het toegangspunt vraagt de client zich te identificeren.
Hierop verzendt de client een identiteitspakket dat wordt doorgegeven aan de verificatieserver.
De verificatieserver verzendt een acceptatiepakket naar het toegangspunt.
Het toegangspunt stelt de client in als geautoriseerd en het gegevensverkeer is nu toegestaan.
802.1x-protocolondersteuning voor aanvrager
Ondersteuning voor het Extensible Authentication Protocol (EAP) - RFC 2284
Ondersteunde verificatiemethoden:
MD5 - RFC 2284
EAP TLS Authentication Protocol - RFC 2716 en RFC 2246
EAP Tunneled TLS (TTLS)
Cisco LEAP
EAP-FAST
EAP-SIM
PEAP
Ondersteunt Windows XP, 2000
Zie Beveiligingsinstellingen voor meer informatie.
WPA/WPA2 (Wi-Fi Protected Access) is een beveiligingsuitbreiding waarmee het niveau van gegevensbeveiliging en toegangsbeheer van een draadloos netwerk aanzienlijk wordt verhoogd. De WPA-modus dwingt 802.1x-verificatie en sleuteluitwisseling af en werkt alleen met dynamische coderingssleutels. WPA maakt voor versterking van de gegevenscodering gebruik van TKIP (Temporal Key Integrity Protocol). TKIP biedt belangrijke uitbreidingen voor gegevenscodering, waaronder een sleutelmixfunctie per pakket, een berichtintegriteitscontrole (MIC - message integrity check), een uitgebreide initialisatievector (IV) met opvolgingsregels en een re-keyingmechanisme. Met deze uitbreidingen biedt TKIP beveiliging tegen bekende zwakke punten van WEP.
De tweede generatie van WPA die voldoet aan de IEEE TGi-specificaties staat bekend als WPA2.
WPA/WPA2 – Enterprise voorziet in beveiliging op dit niveau voor bedrijfsnetwerken met een 802.1x RADIUS-server. Het daarbij geselecteerde verificatietype dient te worden afgestemd op het verificatieprotocol van de 802.1x-server.
WPA/WPA2-Persoonlijk voorziet in beveiliging op dit niveau voor kleine netwerken en thuisnetwerken. Hierbij wordt een wachtwoord gebruikt, dat ook wel een vooraf gedeelde sleutel (PSK, pre-shared Key) wordt genoemd. Hoe langer het wachtwoord, hoe sterker de beveiliging van het draadloze netwerk. Als uw draadloze toegangspunt of router ondersteuning biedt voor WPA/WPA2 Personal (WPA-PSK), verdient het aanbeveling om het protocol in te schakelen op het toegangspunt en een lang, sterk wachtwoord op te geven. Het wachtwoord dat wordt opgegeven voor het toegangspunt, moet ook worden gebruikt op deze computer en op alle draadloze apparaten die verbonden worden met het draadloze netwerk.
Cisco LEAP (Cisco Light EAP) is een 802.1x-verificatie voor client en server op basis van een door de gebruiker opgegeven aanmeldingswachtwoord. Wanneer een draadloos toegangspunt communiceert met een RADIUS-server waarop Cisco LEAP is ingeschakeld (ACS - Cisco Secure Access Control Server), beheert Cisco LEAP de toegang door de wederzijdse verificatie van de draadloze clientadapters en het draadloze netwerk en biedt LEAP dynamische, individuele gebruikerssleutels waarmee de privacy van verzonden gegevens wordt beveiligd.
Wanneer een draadloos LAN is geconfigureerd voor het snel opnieuw tot stand brengen van verbindingen, kan een client waarop LEAP ingeschakeld is, zwerven van het ene toegangspunt naar het andere zonder dat hierbij de hoofdserver betrokken wordt. Met behulp van Cisco Centralized Key Management (CCKM) neemt een toegangspunt dat is geconfigureerd voor het leveren van Wireless Domain Services (WDS), de plaats in van de RADIUS-server en wordt de client zonder merkbare vertraging geverifieerd. Deze voorziening is met name bedoeld voor spraaktoepassingen en andere tijdgevoelige toepassingen.
CKIP (Cisco Key Integrity Protocol) is een beveiligingsprotocol van Cisco voor codering in 802.11-media. CKIP maakt gebruik van de volgende voorzieningen om de 802.11-beveiliging in de infrastructuurmodus te verbeteren:
Key Permutation (KP)
Message Integrity Check (MIC)
Volgnummer voor berichten
EAP-FAST maakt, net als EAP-TTLS en PEAP, gebruik van tunnels om het gegevensverkeer te beschermen. Het grootste verschil is dat EAP-FAST voor de verificatie geen gebruik maakt van certificaten.
Over de levering wordt in EAP-FAST alleen bij de eerste communicatie onderhandeld door de client, op het moment dat EAP-FAST wordt aangevraagd bij de server. Als de client geen vooraf gedeelde geheime PAC (Protected Access Credential) heeft, kan de client een EAP-FAST-uitwisseling aanvragen waarmee dynamisch een PAC van de server wordt opgehaald.
In EAP-FAST kan de PAC op twee manieren worden aangeleverd: handmatig via een beveiligd out-of-band mechanisme en automatisch.
Voor de handmatige levermechanismen kan elk mechanisme worden gebruikt waarvan de netwerkbeheerder het idee heeft dat de beveiliging goed genoeg is voor zijn netwerk.
Voor de automatische levering wordt een gecodeerde tunnel gemaakt om de verificatie van de client en de levering van de PAC aan de client te beveiligen. Dit mechanisme is minder veilig dan de handmatige levermethode kan zijn, maar het is veiliger dan de verificatiemethode die wordt gebruikt in LEAP.
De EAP-FAST-methode kan worden onderverdeeld in twee delen: levering en verificatie.
In de leverfase wordt de PAC aan de client geleverd. Deze fase hoeft per client en gebruiker maar één keer te worden doorlopen.
Sommige toegangspunten, zoals Cisco 350 en Cisco 1200, ondersteunen omgevingen waarin niet alle clients WEP-codering ondersteunen. Dit wordt de modus Gemengde cel genoemd. Wanneer deze draadloze netwerken functioneren in de modus waarin codering optioneel is, worden pakketten vanaf stations waarop WEP is ingeschakeld, gecodeerd verzonden en worden pakketten vanaf stations zonder WEP, ongecodeerd verzonden. Deze toegangspunten zenden uit dat er geen codering wordt gebruikt in het netwerk, maar clients kunnen zich wel aanmelden met gebruik van WEP. Wanneer de modus “Gemengde cel” is ingeschakeld in een profiel, kunt u een verbinding tot stand brengen met toegangspunten die zijn geconfigureerd met optionele codering. Zie Opties voor Cisco Compatible Extensions voor meer informatie.
Selecteer deze optie om de draadloze adapter radiobeheer te laten voorzien aan de Cisco-infrastructuur. Als de functie Radiobeheer wordt gebruikt binnen de infrastructuur, worden radioparameters geconfigureerd en worden interferentie en bedrieglijke toegangspunten gedetecteerd.