Terug naar inhoudsopgave

Beveiliging - overzicht: Gebruikershandleiding Intel(R) PRO/Wireless 2915ABG-netwerkverbinding



WEP-codering

U kunt voorkomen dat onbevoegden in het bezit komen van uw draadloos verzonden gegevens door gebruik te maken van IEEE 802.11 WEP (Wired Equivalent Privacy). Deze standaard heeft twee beveiligingsniveaus en maakt gebruik van een 64-bits (soms 40-bits genoemd) of 128-bits sleutel (ook wel 104-bits genoemd). Voor een betere beveiliging gebruikt u een 128-bits sleutel. Als u gebruikmaakt van codering, moeten alle draadloze apparaten in het netwerk dezelfde coderingssleutels gebruiken.

WEP-codering (Wired Equivalent Privacy) en gedeelde verificatie bieden bescherming voor netwerkgegevens. WEP gebruikt een coderingssleutel om gegevens te coderen voor transmissie. Alleen computers met dezelfde coderingssleutel kunnen toegang tot het netwerk krijgen of gecodeerde gegevens van andere computers decoderen. Verificatie biedt een aanvullend validatieproces tussen de adapter en het toegangspunt.

Het WEP-coderingsalgoritme kan vanaf het netwerk actief of passief worden aangevallen. TKIP- en CKIP-algoritmen bevatten uitbreidingen op het WEP-protocol die aanvallen vanaf het netwerk onschadelijk maken en beperkingen oplossen.

Open en gedeelde sleutelverificatie

802.11 ondersteunt twee typen netwerkverificatiemethoden: Open systemen en Gedeelde sleutels.


802.1x-verificatie

Hoe werkt 802.1x-verificatie?
802.1x-voorzieningen

Overzicht

802.1x-verificatie is onafhankelijk van het 802.11-verificatieproces. De 802.1x-standaard biedt een structuur voor meerdere verificatie- en sleutelbeheerprotocollen. De verschillende 802.1x-verificatietypen bieden elk een andere benadering van verificatie maar ze maken wel allemaal gebruik van hetzelfde protocol en dezelfde communicatiestructuur tussen een client en een toegangspunt. Bij de meeste protocollen ontvangen aanvragers, wanneer het 802.1x-verificatieproces is voltooid, een sleutel die ze voor gegevenscodering gebruiken. Zie Hoe werkt 802.1x-verificatie? voor meer informatie. Bij 802.1x-verificatie wordt een verificatiemethode gebruikt tussen de client en een RADIUS-server (Remote Authentication Dial-In User Service) die is verbonden met het toegangspunt. Voor het verificatieproces wordt gebruik gemaakt van referenties, zoals gebruikersnamen en wachtwoorden, die niet over het draadloze netwerk worden verzonden. Het merendeel van de 802.1x-typen ondersteunt dynamische sleutels per gebruiker en per sessie zodat de statische sleutelbeveiliging nog veiliger wordt. 802.1x maakt bovendien gebruik van een bestaand verificatieprotocol dat Extensible Authentication Protocol (EAP) wordt genoemd.

802.1x-verificatie voor draadloze LAN's bestaat uit drie basiscomponenten: De verificator (het toegangspunt), de aanvrager (de clientsoftware) en de verificatieserver (een RADIUS-server). Met 802.1x-verificatie wordt een autorisatieverzoek van de draadloze client naar het toegangspunt gestuurd. Het toegangspunt verifieert de client vervolgens via een EAP-compatibele RADIUS-server. Deze RADIUS-server kan de gebruiker (via wachtwoorden of certificaten) of het systeem (via het MAC-adres) verifiëren. In theorie mag de draadloze client pas op het netwerk wanneer de transactie is voltooid. Er worden verschillende verificatiealgoritmen gebruikt voor 802.1x. Voorbeelden zijn: MD5-Challenge, EAP-TLS, EAP-TTLS, PEAP (Protected EAP) en LEAP (Cisco Wireless Light Extensible Authentication Protocol). Met al deze methoden kan de draadloze client zich identificeren bij de RADIUS-server. Bij RADIUS-verificatie wordt de identiteit van de gebruiker geverifieerd op basis van gegevens in databases. RADIUS bestaat uit een aantal standaarden die tegemoet komen aan verificatie, autorisatie en accounting (AAA - Authentication, Authorization, Accounting). Radius omvat onder meer een proxy-proces voor het valideren van clients in een omgeving met meerdere servers. Met de IEEE 802.1x-standaard wordt toegang beheerd en geverifieerd voor draadloze en bekabelde 802.11 Ethernet-netwerken op basis van poorten. Toegangsbeheer voor op poorten gebaseerde netwerken lijkt op een LAN-infrastructuur met switches die apparaten verifieert die op een LAN-poort worden aangesloten en toegang tot de desbetreffende poort voorkomt als het verificatieproces mislukt.

Wat is RADIUS?

RADIUS staat voor Remote Access Dial-In User Service, een client-server-protocol voor autorisatie, verificatie en accounting (AAA - Authorization, Authentication, Accounting) dat wordt gebruikt wanneer een AAA-inbelclient zich aan- of afmeldt bij een server voor netwerktoegang. RADIUS-servers worden vaak gebruikt door Internet Service Providers (ISP) voor het uitvoeren van AAA-taken. De verschillende AAA-fasen zijn als volgt:


Hoe werkt 802.1x-verificatie?

Hieronder vindt u een vereenvoudigde beschrijving van de 802.1x-verificatie:

  1. Een client verzendt een "verzoek om toegang" naar een toegangspunt. Het toegangspunt vraagt de client zich te identificeren.

  2. Hierop verzendt de client een identiteitspakket dat wordt doorgegeven aan de verificatieserver.

  3. De verificatieserver verzendt een acceptatiepakket naar het toegangspunt.

  4. Het toegangspunt stelt de client in als geautoriseerd en het gegevensverkeer is nu toegestaan.


802.1x-voorzieningen

Zie Beveiligingsinstellingen voor meer informatie.


WPA/WPA2

WPA/WPA2 (Wi-Fi Protected Access) is een beveiligingsuitbreiding waarmee het niveau van gegevensbeveiliging en toegangsbeheer van een draadloos netwerk aanzienlijk wordt verhoogd. De WPA-modus dwingt 802.1x-verificatie en sleuteluitwisseling af en werkt alleen met dynamische coderingssleutels. WPA maakt voor versterking van de gegevenscodering gebruik van TKIP (Temporal Key Integrity Protocol). TKIP biedt belangrijke uitbreidingen voor gegevenscodering, waaronder een sleutelmixfunctie per pakket, een berichtintegriteitscontrole (MIC - message integrity check), een uitgebreide initialisatievector (IV) met opvolgingsregels en een re-keyingmechanisme. Met deze uitbreidingen biedt TKIP beveiliging tegen bekende zwakke punten van WEP.

De tweede generatie van WPA die voldoet aan de IEEE TGi-specificaties staat bekend als WPA2.

WPA/WPA2 – Enterprise voorziet in beveiliging op dit niveau voor bedrijfsnetwerken met een 802.1x RADIUS-server. Het daarbij geselecteerde verificatietype dient te worden afgestemd op het verificatieprotocol van de 802.1x-server.

WPA/WPA2-Persoonlijk voorziet in beveiliging op dit niveau voor kleine netwerken en thuisnetwerken. Hierbij wordt een wachtwoord gebruikt, dat ook wel een vooraf gedeelde sleutel (PSK, pre-shared Key) wordt genoemd. Hoe langer het wachtwoord, hoe sterker de beveiliging van het draadloze netwerk. Als uw draadloze toegangspunt of router ondersteuning biedt voor WPA/WPA2 Personal (WPA-PSK), verdient het aanbeveling om het protocol in te schakelen op het toegangspunt en een lang, sterk wachtwoord op te geven. Het wachtwoord dat wordt opgegeven voor het toegangspunt, moet ook worden gebruikt op deze computer en op alle draadloze apparaten die verbonden worden met het draadloze netwerk.


Cisco-voorzieningen

Cisco LEAP

Cisco LEAP (Cisco Light EAP) is een 802.1x-verificatie voor client en server op basis van een door de gebruiker opgegeven aanmeldingswachtwoord. Wanneer een draadloos toegangspunt communiceert met een RADIUS-server waarop Cisco LEAP is ingeschakeld (ACS - Cisco Secure Access Control Server), beheert Cisco LEAP de toegang door de wederzijdse verificatie van de draadloze clientadapters en het draadloze netwerk en biedt LEAP dynamische, individuele gebruikerssleutels waarmee de privacy van verzonden gegevens wordt beveiligd.

Snel zwerven (CCKM)

Wanneer een draadloos LAN is geconfigureerd voor het snel opnieuw tot stand brengen van verbindingen, kan een client waarop LEAP ingeschakeld is, zwerven van het ene toegangspunt naar het andere zonder dat hierbij de hoofdserver betrokken wordt. Met behulp van Cisco Centralized Key Management (CCKM) neemt een toegangspunt dat is geconfigureerd voor het leveren van Wireless Domain Services (WDS), de plaats in van de RADIUS-server en wordt de client zonder merkbare vertraging geverifieerd. Deze voorziening is met name bedoeld voor spraaktoepassingen en andere tijdgevoelige toepassingen.

CKIP

CKIP (Cisco Key Integrity Protocol) is een beveiligingsprotocol van Cisco voor codering in 802.11-media. CKIP maakt gebruik van de volgende voorzieningen om de 802.11-beveiliging in de infrastructuurmodus te verbeteren:

 

EAP-FAST

 

EAP-FAST maakt, net als EAP-TTLS en PEAP, gebruik van tunnels om het gegevensverkeer te beschermen. Het grootste verschil is dat EAP-FAST voor de verificatie geen gebruik maakt van certificaten.

 

Over de levering wordt in EAP-FAST alleen bij de eerste communicatie onderhandeld door de client, op het moment dat EAP-FAST wordt aangevraagd bij de server.  Als de client geen vooraf gedeelde geheime PAC (Protected Access Credential) heeft, kan de client een EAP-FAST-uitwisseling aanvragen waarmee dynamisch een PAC van de server wordt opgehaald.

 

In EAP-FAST kan de PAC op twee manieren worden aangeleverd: handmatig via een beveiligd out-of-band mechanisme en automatisch.

De EAP-FAST-methode kan worden onderverdeeld in twee delen: levering en verificatie.

In de leverfase wordt de PAC aan de client geleverd. Deze fase hoeft per client en gebruiker maar één keer te worden doorlopen.

 

 

Modus voor gemengde cellen

 

Sommige toegangspunten, zoals Cisco 350 en Cisco 1200, ondersteunen omgevingen waarin niet alle clients WEP-codering ondersteunen. Dit wordt de modus Gemengde cel genoemd. Wanneer deze draadloze netwerken functioneren in de modus waarin codering optioneel is, worden pakketten vanaf stations waarop WEP is ingeschakeld, gecodeerd verzonden en worden pakketten vanaf stations zonder WEP, ongecodeerd verzonden. Deze toegangspunten zenden uit dat er geen codering wordt gebruikt in het netwerk, maar clients kunnen zich wel aanmelden met gebruik van WEP. Wanneer de modus “Gemengde cel” is ingeschakeld in een profiel, kunt u een verbinding tot stand brengen met toegangspunten die zijn geconfigureerd met optionele codering.  Zie Opties voor Cisco Compatible Extensions voor meer informatie.

 

Radiobeheer

 

Selecteer deze optie om de draadloze adapter radiobeheer te laten voorzien aan de Cisco-infrastructuur. Als de functie Radiobeheer wordt gebruikt binnen de infrastructuur, worden radioparameters geconfigureerd en worden interferentie en bedrieglijke toegangspunten gedetecteerd.

 

 


 

Terug naar inhoudsopgave