Tilbake til Innhold

Oversikt over sikkerhet: Brukerhåndbok for Intel(R) PRO/Wireless 2915ABG Networks Connections



WEP-kryptering

Du kan forhindre ikke godkjent mottak av trådløsdata ved hjelp av krypteringen IEEE 802.11 Wired Equivalent Privacy (WEP). WEP-kryptering inneholder to sikkerhetsnivåer som bruker en 64-biters nøkkel (også omtalt som 40-biters) eller en 128-biters nøkkel (også kjent som 104-biters). Den beste sikkerheten får du ved bruk av en 128-biters nøkkel. Hvis du bruker kryptering, må alle trådløse enheter på trådløsnettverket bruke de samme krypteringsnøklene.

WEP-kryptering (Wired Equivalent Privacy) og delt godkjenning beskytter dataene på nettverket. WEP bruker en krypteringsnøkkel til å kryptere dataene før sending. Bare datamaskiner som bruker samme krypteringsnøkkel, får tilgang til nettverket eller kan dekryptere de krypterte dataene som overføres av andre datamaskiner. Godkjenning utgjør en ekstra valideringsprosess fra kortet til tilgangspunktet.

WEP-krypteringsalgoritmen er sårbar overfor passive og aktive nettverksangrep. TKIP- og CKIP-algoritmer inkluderer forbedringer til WEP-protokollen som demper eksisterende nettverksangrep og tar for seg manglene ved dem

Åpen og delt nøkkelgodkjenning

802.11 støtter to typer nettverksautentifikasjonsmetoder; Åpent system og Delt nøkkel.


802.1x-autentifikasjon

Hvordan 802.1xautentifikasjon virker
802.1x-funksjoner

 

Oversikt

802.1x-godkjenningen er uavhengig av 802.11-godkjenningsprosessen. 802.1x-standarden gir et rammeverk for flere godkjennings- og nøkkeladministrasjonsprotokoller. Det finnes forskjellige 802.1x-godkjenningstyper, og hver gir forskjellige innfallsvinkler til godkjenningen, men alle tar i bruk den samme 802.1x-protokollen og det samme rammeverk for kommunikasjonen mellom en klient og et tilgangspunkt. I de fleste protokollene, når 802.1x-godkjenningsprosessen er ferdig, mottar søkeren en nøkkel som den benytter til datakryptering. Se Hvordan 802.1x-autentifikasjon virker for å få mer informasjon. Med 802.1x-godkjenning brukes en godkjenningsmetode mellom klienten og en RADIUS-server (Remote Authentication Dial-In User Service) som er koblet til tilgangspunktet. Godkjenningsprosessen benytter legitimasjonsbeskrivelsene, slik som en brukers passord, som ikke sendes over det trådløse nettverket. De fleste 802.1x-typene støtter dynamisk per-bruker, per økt-nøkler for å styrke den statiske nøkkelsikkerheten. 802.1x tjener på bruken av eksisterende godkjenningsprotokoll kjent som EAP (Extensible Authentication Protocol).

802.1x-godkjenning for trådløse LAN har tre hovedkomponenter: Den som godkjenner (tilgangspunktet), søkeren (klientprogramvaren) og autentifikasjonsserveren (en RADIUS-server (Remote Authentication Dial-In User Service)). 802.1x-autentifikasjonssikkerhet starter en godkjenningsforespørsel fra trådløsklienten til tilgangspunktet som godkjenner klienten til en EAP-kompatibel (Extensible Authentication Protocol) RADIUS-server. RADIUS-serveren kan godkjenne brukeren (via passord eller sertifikater) eller systemet (ved MAC-adressen). Teoretisk sett får ikke den trådløse klienten lov til å bli med i nettverkene før transaksjonen er fullført. Det brukes mange autentifikasjonsalgoritmer for 802.1x. Noen eksempler er: MD5-Challenge, EAP-TLS, EAP-TTLS, Protected EAP (PEAP) og EAP Cisco Wireless LEAP (Light Extensible Authentication Protocol). Dette er alle metoder for trådløsklienten for å identifisere seg selv overfor RADIUS-serveren. Med RADIUS-autentifikasjon kontrolleres brukeridentitetene mot databaser. RADIUS utgjør et sett med standarder som omhandler AAA (Authentication, Authorization, Accounting). Radius inkluderer en proxy-prosess for validering av klienter i et flerservermiljø. Standarden IEEE 802.1x er for å kontrollere og godkjenne tilgang til portbasert 802.11 trådløst og ledningsammenbundet Ethernet nettverk. Portbasert nettverkstilgangskontroll er lik en svitsjet LAN-infrastruktur som godkjenner innretninger som er festet til en LAN-port og hindrer tilgang til den porten dersom godkjenningsprosessen mislykkes.

Hva er en RADIUS?

RADIUS står for Remote Access Dial-In User Service, og er en AAA-klientserverprotokoll (Authorization, Authentication, Accounting) for en ekstern AAA-klientserver som logger inn på eller ut av en nettverkstilgangsserver. Vanligvis brukes en RADIUS-server av Internett-leverandører (ISP - Internet Service Providers) til å utføre AAA-oppgaver. AAA-fasene beskrives som følger:


Hvordan 802.1x-godkjenning virker

En forenklet beskrivelse av 802.1x-godkjenningen er:

  1. En klient sender en melding med "forespørsel om tilgang" til et tilgangspunkt. Tilgangspunktet ber om klientens identitet.

  2. Klienten svarer med identitetspakken som er sendt til godkjenningsserveren.

  3. Godkjenningsserveren sender en "godta"-pakke til tilgangspunktet.

  4. Tilgangspunktet plasserer klientporten i autorisert tilstand, og datatrafikken får tillatelse til å bli behandlet.


802.1x-funksjoner

Se Sikkerhetsinnstillinger hvis du vil ha mer informasjon.


WPA/WPA2

Wi-Fi-beskyttet tilgang (WPA/WPA2) er en sikkerhetsutvidelse som kraftig øker databeskyttelsesnivået og tilgangskontrollen til et trådløsnettverk. WPA tvinger frem 802.1x-autentifikasjon og nøkkelutveksling og virker bare med dynamiske krypteringsnøkler. For å styrke datakrypteringen bruker WPA sin Midlertidige Nøkkelintegritetsprotokoll (TKIP). TKIP sørger for viktig datakrypteringsutvidelser som omfatter encryption enhancements that include a en nøkkelblandingsfunksjon per pakke, en beskjedintegritetssjekk(MIC) som heter Michael, en utvidet initialiseringsvektor (IV) med sekvensregler og også en gjen-nøkkelmekanisme. Ved hjelp av disse forbedringene beskytter TKIP mot WEPs kjente svakheter.

Den andre generasjonen WPA som oppfyller IEEE TGi-spesifikasjonen, er kjent som WPA2.

WPA/WPA2 – foretak sørger for dette sikkerhetsnivået på foretaksnettverk med en 802.1x RADIUS-server. En Autentifikasjonstype velges for å passe til autentifikasjonsprotokollen for 802.1x-serveren.

WPA/WPA2 - personlig sørger for dette sikkerhetsnivået i mindre nettverk eller i hjemmemiljøer. Det bruker et passord som også kalles forhåndsdelt nøkkel (PSK). Jo lengre dette passordet er, jo kraftigere er sikkerheten i trådløsnettverket. Hvis trådløstilgangspunktet eller ruteren støtter WPA/WPA2-personlig (WPA-PSK), da må du aktivere det på tilgangspunktet og besørge et langt, kraftig passord. Det samme passordet som er satt inn i tilgangspunktet, må brukes på denne datamaskinen og alle andre trådløsenheter som får tilgang til trådløsnettverket.


Cisco-funksjoner

Cisco LEAP

Cisco LEAP (Cisco Light EAP) er en 802.1x-godkjenning for server og klient via brukerdefinert påloggingspassord. Når et trådløst tilgangspunkt kommuniserer med en Cisco LEAP-aktivert RADIUS (Cisco-sikker tilgangskontrollserver (ACS)-server), gir Cisco LEAP tilgangskontroll via gjensidig godkjenning mellom klientens trådløskort og det trådløse nettverket og gir dynamiske, individuelle brukerkrypteringsnøkler for å hjelpe til med å beskytte personvernet i de overførte dataene.

Hurtigstreifing (CCKM)

Når et trådløst LAN er konfigurert for hurtiggjenkjenning, kan en LEAP-aktivert klientenhet streife fra et tilgangspunkt til et annet uten å involvere hovedserveren. Ved bruk av Cisco Centralized Key Management (CCKM) tar et tilgangspunkt som er konfigurert for å gi Wireless Domain Services (WDS), plassen til RADIUS-serveren og autentifiserer klienten uten merkbar forsinkelse i stemmen eller andre tidssensitive applikasjoner.

CKIP

Cisco Key Integrity Protocol (CKIP) er en Cisco-egen sikkerhetsprotokoll for kryptering i 802.11-medier. CKIP bruker følgende egenskaper for å forbedre 802.11-sikkerheten i infrastrukturmodus:

 

EAP-FAST

 

EAP-FAST, på samme vis som EAP-TTLS og PEAP, bruker tunnelering for å beskytte trafikken. Hovedforskjellen er at EAP-FAST ikke bruker sertifikater for å autentifisere.

 

Besørgelse i EAP-FAST forhandles kun av klienten som første kommunikasjonsutveksling når serveren ber om EAP-FAST.  Hvis klienten ikke har en forhåndsdelt hemmelig Beskyttet tilgangslegitimasjonsbeskrivelse (PAC), kan den anmode om å starte en besørgelse av EAP-FAST-utveksling for dynamisk å erverve en fra serveren.

 

EAP-FAST-dokumenterer to metoder for å levere PAC: manuell levering gjennom en sikker mekanisme utenfor båndet, og automatisk besørgelse.

EAP-FAST-metoden kan deles inn i to deler: besørgelse og autentifikasjon.

Denne besørgelsesfasen involverer den første leveringen av PAC til klienten. Denne fasen trenger behøver kun å bli utført en gang per klient og bruker.

 

 

Mikset cellemodus

 

Enkelte tilgangspunkter, for eksempel Cisco 350 eller Cisco 1200, støtter omgiveler der ikke alle klientstasjoner støtter WEP-kryptering, dette kalle en mikset-celle-modus. Når disse trådløse nettverkene virker i "alternativ krypterings”-modus, sender klientstasjonene som slutter seg til WEP-modus, alle meldingene kryptert, og stasjoner som slutter seg til ved hjelp av standardmosus, sender alle meldingene ukryptert. Disse AP-er kringkaster at nettverket ikke bruker kryptering, men tillater at klientene slutter seg til ved hjelp av WEP-modus. Når "Mikset celle" er aktivert i en profil, lar den deg koble til tilgangspunktene som er konfigurert for "alternativ kryptering".  Se på Alternativer Cisco Compatible Extensions for å få mer informasjon.

 

Radiostyring

 

Når denne funksjonen er aktivert, gir trådløskortet radiostyringsinformasjon til Cisco-infrastrukturen. Hvis Cisco-radiostyringsverktøyet brukes på infrastrukturen, vil det konfigurere radioparametre, oppdage interferens og Rogue-tilgangspunkter.

 

 


 

Tilbake til Innhold