Takaisin Sisältö-sivulle

Yleistietoja suojauksesta: Intel® PRO/Wireless 2915ABG Network Connection - käyttöopas



WEP-salaus

Langattomasti siirrettyjen tietojen luvaton käyttäminen voidaan ehkäistä IEEE 802.11 WEP (Wired Equivalent Privacy) -salauksen avulla. WEP-salaus käsittää kaksi suojaustasoa, joista toisessa käytetään 64-bittistä avainta (tähän viitataan joskus 40-bittisenä avaimena) ja toisessa 128-bittistä avainta (tunnetaan myös 104-bittisenä avaimena). Suojaus on tehokkaampi käytettäessä 128-bittistä avainta. Salausta käytettäessä langattoman lähiverkon kaikkien langattomien laitteiden on käytettävä samoja salausavaimia.

Verkon tiedot voidaan suojata käyttämällä WEP-salausta ja jaettua laillisuustarkistusta. WEP-menetelmässä tiedot salataan salausavaimella ennen niiden lähettämistä. Ainoastaan samaa salausavainta käyttävät tietokoneet voivat käyttää verkkoa tai purkaa muiden tietokoneiden lähettämien salattujen tietojen salauksen. Laillisuustarkistus muodostaa lisävarmennustoimenpiteen sovittimen ja tukiaseman välillä.

WEP-salausalgoritmi on altis passiivisille ja aktiivisille verkkohyökkäyksille. TKIP- ja CKIP-algoritmit sisältävät WEP-yhteyskäytännön parannuksia, jotka ehkäisevät verkkohyökkäyksiä ja täydentävät WEP:n puutteita.

Laillisuustarkistus käyttämällä avointa ja jaettua avainta

802.11 tukee kahta verkon laillisuustarkistusmenetelmää: avointa järjestelmää ja jaettua avainta.


802.1x-laillisuustarkistus

802.1x-laillisuustarkistuksen toiminta
802.1x-ominaisuudet

 

Yleiskatsaus

802.1x-laillisuustarkistus on riippumaton 802.11-laillisuustarkistusprosessista. 802.1x-standardi muodostaa puitteet erilaisille laillisuustarkistus- ja avaintenhallintayhteyskäytännöille. On olemassa erilaisia 802.1x-laillisuustarkistustyyppejä, joista kukin muodostaa erilaisen lähestymistavan laillisuustarkistukseen käyttämällä samaa 802.1x-yhteyskäytäntöä ja tietoliikennekehystä asiakkaan ja tukiaseman välillä. Useimmissa yhteyskäytännöissä 802.1x-laillisuustarkistuksen suorittamisen jälkeen anoja vastaanottaa avaimen, jota se käyttää tiedon salaamiseen. Lisätietoja on kohdassa 802.1x-laillisuustarkistuksen toiminta. 802.1x-laillisuustarkistuksessa käytetään laillisuustarkistusmenetelmää asiakkaan ja tukiasemaan kytketyn RADIUS (Remote Authentication Dial-In User Service) -palvelimen välillä. Laillisuustarkistusprosessissa käytetään käyttäjätietoja, kuten käyttäjän salasanaa, jota ei lähetetä langattoman verkon kautta. Useimmat 802.1x-tyypit tukevat käyttäjä- ja istuntokohtaisia dynaamisia avaimia kiinteän salasanasuojauksen vahvistamiseksi. 802.1x hyödyntää olemassa olevaa laillisuustarkistusyhteyskäytäntöä, EAP (Extensible Authentication Protocol) -yhteyskäytäntöä.

Langattoman verkon 802.1x-laillisuustarkistus käsittää kolme pääkomponenttia: varmistaja (tukiasema), anoja (asiakasohjelmisto) ja laillisuustarkistuspalvelin (RADIUS-palvelin). 802.1x-laillisuustarkistus käynnistää laillisuustarkistuspyynnön langattomasta asiakkaasta tukiasemaan, joka tarkistaa asiakkaan laillisuuden EAP (Extensible Authentication Protocol) -yhteensopivaan RADIUS-palvelimeen. RADIUS-palvelin voi tarkistaa joko käyttäjän (salasanojen tai sertifikaattien kautta) tai järjestelmän (MAC-osoitteen kautta) laillisuuden.  Teoriassa langattoman asiakkaan ei sallita liittyvän verkkoon, ennen kuin tämä tapahtuma on valmis. 802.1x:ssä voidaan käyttää useita laillisuustarkistusyhteyskäytäntöjä. Esimerkkejä näistä ovat MD5-Challenge, EAP-TLS, EAP-TTLS, PEAP (Protected EAP) ja LEAP (EAP Cisco Wireless Light Extensible Authentication Protocol). Nämä kaikki ovat menetelmiä, joilla RADIUS-palvelin voi tunnistaa langattoman asiakkaan. RADIUS-laillisuustarkistuksessa käyttäjien henkilöllisyydet tarkistetaan tietokannoista. RADIUS käsittää joukon AAA (Authentication, Authorization ja Accounting) -standardeja. RADIUS sisältää välityspalvelinprosessin asiakkaiden todentamiseksi monipalvelinympäristössä. IEEE 802.1x -standardi koskee porttiperustaisten langattomien 802.11-verkkojen ja 802.11-Ethernet-kaapeliverkkojen hallinta- ja laillisuustarkistuskäyttöä. Porttiperustainen verkkokäytön hallinta on samanlainen kuin kytkentäisen lähiverkon perusrakenne, joka tarkistaa lähiverkkoporttiin kytkettyjen laitteiden laillisuuden ja estää tämän portin käyttämisen, jos laillisuustarkistus epäonnistuu.

RADIUS

RADIUS (Remote Access Dial-In User Service) on AAA (Authorization, Authentication, and Accounting) asiakaspalvelinyhteyskäytäntö, jota käytetään AAA-puhelinverkkoasiakkaan kirjautuessa verkkokäyttöpalvelimeen tai siitä ulos. Tyypillisesti Internet-palveluntarjoajat (ISP:t) käyttävät RADIUS-palvelinta AAA-tehtävien suorittamiseen. AAA-vaiheet ovat seuraavat:


802.1x-laillisuustarkistuksen toiminta

Yksinkertaistetusti 802.1x-laillisuustarkistus toimii seuraavasti:

  1. Asiakas lähettää "käyttöpyyntö"-sanoman tukiasemaan. Tukiasema vaatii asiakasta ilmaisemaan tunnuksensa.

  2. Asiakas vastaa toimittamalla tunnistepakettinsa, joka välitetään laillisuusvarmistuspalvelimen kautta.

  3. Laillisuustarkistuspalvelin lähettää "hyväksyntä"-paketin tukiasemaan.

  4. Tukiasema asettaa asiakasportin valtuutettuun tilaan ja tietoliikenteen jatkaminen sallitaan.


802.1x-ominaisuudet

Lisätietoja on kohdassa Suojausasetukset.


WPA/WPA2

Wi-Fi Protected Access (WPA/WPA2) on suojauslaajennus, joka vahvistaa huomattavasti langattoman verkon tietojen suojausta ja käytönhallintaa. WPA käyttää 802.1x-laillisuustarkistusta ja avainvaihtoa. Se toimii ainoastaan dynaamisten salausavainten kanssa. Salauksen tehostamiseksi WPA-menetelmässä hyödynnetään sen TKIP-yhteyskäytäntöä. TKIP antaa käyttöön tärkeitä tiedon salauksen parannuksia, kuten pakettikohtaisen avaimensekoitustoiminnon, sanoman eheyden tarkistamisen (MIC:n), sekvenssisäännöillä varustetun laajennetun alustusvektorin (IV) ja uudelleenavainnusmekanismin. Näiden parannusten avulla TKIP suojaa WEP:n tunnetut heikot kohdat.

WPA:n toinen määrittely, joka vastaa IEEE TGi -määritystä, tunnetaan nimellä WPA2.

WPA/WPA2 – Enterprise -tila antaa käyttöön tämäntasoisen suojauksen yritysverkoissa, joissa käytetään 802.1x RADIUS -palvelinta. Laillisuustarkistuksen tyyppi valitaan vastaamaan 802.1x-palvelimen laillisuustarkistusyhteyskäytäntöä.

WPA/WPA2 - Personal antaa käyttöön tämäntasoisen suojauksen yritysverkoissa pienissä verkoissa ja kotiympäristössä. Siinä käytetään ennalta jaetuksi avaimeksi (PSK) kutsuttua salasanaa. Mitä pidempi salasana on, sitä tehokkaampi on langattoman verkon suojaus. Jos langaton tukiasema tai reititin tukee WPA/WPA2 Personal (WPA-PSK) -suojausta, ota se käyttään tukiasemassa ja määritä pitkä salasana. Tukiasemaan määritettyä salasanaa pitää käyttää tässä tietokoneessa ja langattoman verkon kaikissa muissa langattomissa laitteissa.


Cisco-ominaisuudet

Cisco LEAP

Cisco LEAP (Cisco Light EAP) on palvelimen ja asiakkaan 802.1x-laillisuustarkistus käyttäjän toimittaman kirjautumissalasanan avulla. Kun langaton tukiasema viestii Cisco LEAP -yhteensopivan RADIUS-palvelimen (Cisco Secure Access Control Server (ACS) -palvelimen) kanssa, Cisco LEAP mahdollistaa käytönhallinnan langattomien asiakassovittimien ja langattoman verkon keskinäisen laillisuustarkistuksen kautta ja antaa käyttöön dynaamiset, käyttäjäkohtaiset salausavaimet, jotka helpottavat lähetettävien tietojen salaamista.

Nopea solukonpäivitys (CCKM)

Kun langaton lähiverkko on määritetty nopeaa uudelleenliittämistä varten, LEAP:ta käyttävä asiakaslaite voi siirtyä tukiasemasta toiseen ilman, että pääpalvelimen tarvitsee puuttua tähän. Käyttämällä Cisco Centralized Key Management (CCKM) -ominaisuutta Wireless Domain Services (WDS) -palveluita muodostamaan määritetty tukiasema ottaa RADIUS-palvelimen paikan ja suorittaa asiakkaan laillisuustarkistuksen ilman havaittavaa viivettä puhesovelluksissa tai muissa aikaherkissä sovelluksissa.

CKIP

Cisco Key Integrity Protocol (CKIP) on Ciscon oma suojausyhteyskäytäntö tietojen salaamiseksi 802.11-tietovälineissä. CKIP parantaa 802.11-suojausta perusrakennetilassa hyödyntämällä seuraavia ominaisuuksia:

 

EAP-FAST

 

EAP-FAST:ssä liikenne suojataan EAP-TTLS:n ja PEAP:n tavoin tunnelointia käyttämällä. Tärkein ero on se, että EAP-FAST:ssä laillisuustarkistuksessa ei käytetä sertifikaatteja.

 

EAP-FAST:ssä käyttöönotto neuvotellaan yksi asiakkaan toimesta ensimmäisen tiedonvaihdon aikana, kun palvelimesta saadaan EAP-FAST-pyyntö.  Jos asiakkaalla ei ole ennalta jaettua salaista PAC (Protected Access Credential) -tietoa, se voi pyytää aloittamaan käyttöönoton EAP-FAST-tiedonvaihdon tällaisen saamiseksi palvelimesta.

 

EAP-FAST:ssä käytetään kahta menetelmää PAC:n toimittamiseksi: manuaalinen toimitus kaistan ulkopuolisen suojaun mekanismin kautta ja automaattinen käyttöönotto.

EAP-FAST-menetelmä voidaan jakaa kahteen osaan: käyttöönotto ja laillisuustarkistus.

Käyttöönottovaihe käsittää PAC:n toimittamisen ensimmäisen kerran asiakkaaseen. Tämä vaihe tarvitsee suorittaa vain kerran asiakasta ja käyttäjää kohti.

 

 

Sekasolutila

 

Toiset tukiasemat, kuten Cisco 350 ja Cisco 1200, tukevat ympäristöjä, joissa kaikki asiakasasemat eivät tue WEP-salausta. Tätä kutsutaan sekasolutilaksi. Kun tällainen langaton verkko toimii valinnaisessa salaustilassa, WEP-tilassa siihen liittyvät asiakasasemat lähettävät kaikki sanomat salattuina ja vakiotilassa siihen liittyvät asemat lähettävät kaikki sanomat salaamattomina. Nämä tukiasemat ilmoittavat, että verkossa ei käytetä salausta, mutta sallivat asiakkaiden liittymisen WEP-tilaa käyttämällä. Kun sekasolutila on otettu käyttöön profiilissa, on mahdollista muodostaa yhteys tukiasemiin, joissa salaus on määritetty valinnaiseksi.  Lisätietoja on kohdassa Cisco Compatible Extensions -asetukset.

 

Radio Management

 

Kun tämä toiminto on käytössä, langaton sovitin huolehtii Cisco-perusrakenteen radiohallinnasta. Jos perusrakenteessa käytetään Cisco Radio Management -apuohjelmaa, se määrittää radioparametrit, tunnistaa häiriöt ja Rogue-tukiasemat.

 

 


 

Takaisin Sisältö-sivulle