Genom att använda WEP-krypteringen IEEE 802.11 (Wired Equivalent Privacy) kan du förhindra ej auktoriserat mottagande av trådlösa data. WEP-krypteringen tillhandahåller två säkerhetsnivåer genom att använda en 64-bitarsnyckel (hänvisas ibland till som 40-bitars) eller 128-bitarsnyckel (kallas även för 104-bitars). För bättre säkerhet använder du en 128-bitarsnyckel. Om du använder kryptering måste alla trådlösa enheter i det trådlösa nätverket använda samma krypteringsnycklar.
WEP-kryptering (Wired Equivalent Privacy) och delad verifiering tillhandahåller skydd för data i nätverket. WEP använder en krypteringsnyckel i syfte att kryptera data innan de överförs. Det är bara datorer som använder samma krypteringsnyckel som kan komma åt nätverket eller avkryptera de krypterade data som överförts av andra datorer. Verifiering tillhandahåller ytterligare en valideringsprocess från kortet till åtkomstpunkten.
WEP-krypteringens algoritm är sårbar för passiva och aktiva nätverksattacker. TKIP- och CKIP-algoritmer inkluderar förbättringar i WEP-protokollet som lindrar befintliga nätverksattacker och tar itu med dess nackdelar
802.11 stödjer två typer av nätverksverifieringsmetoder: Öppet system och delad nyckel.
När du använder Öppen verifiering kan valfri trådlös station begära verifiering. Stationen som behöver verifiera med en annan trådlös station skickar en verifieringshanteringsram som innehåller identiteten för sändningsstationen. Den mottagande stationen eller åtkomstpunkten beviljar alla begäran för verifiering. Öppen verifiering ger valfri enhet nätverksåtkomst. Om ingen kryptering är aktiverad i nätverket kan valfri enhet som känner till SSID för åtkomstpunkten få åtkomst till nätverket.
När du använder verifieringen delad nyckel antas det att varje trådlös station har mottagit en hemlig delad nyckel över en säker kanal som är oberoende från 802.11-kommunikationskanalen för det trådlösa nätverket. Verifieringen Delad nyckel kräver att klienten konfigurerar en statisk WEP-nyckel. Klientåtkomst beviljas endast om den godkändes i en frågebaserad verifiering.
Hur 802.1x-verifiering fungerar
802.1x-funktioner
Översikt
802.1x-verifieringen är oberoende av 802.11-verifieringsprocessen. Standarden 802.1x tillhandahåller en struktur för olika verifierings- och nyckelhanteringsprotokoll. Det finns olika 802.1x-verifieringstyper som var och en tillhandahåller olika sätt att verifiera men alla använder sig av samma 802.1x-protokoll och struktur för kommunikation mellan klient och åtkomstpunkt. I flertalet protokoll gäller att vid slutförandet av 802.1x-verifieringsprocessen kommer den som anropar att få en nyckel som den använder för datakryptering. Se Hur 802.1x-verifiering fungerar för mer information. Med 802.1x-verifiering används en verifieringsmetod mellan klienten och en RADIUS-server (Remote Authentication Dial-In User Service) som är ansluten till åtkomstpunkten. Verifieringsprocessen använder identifieringsinformation, såsom en användares lösenord, som inte överförs över det trådlösa nätverket. Flertalet 802.1x-typer stöder dynamiska per-användare-, per-sessionnycklar för att förstärka den statiska nyckelsäkerheten. 802.1x-fördelar från användningen av ett befintligt verifieringsprotokoll som kallas EAP (Extensible Authentication Protocol).
802.1x-verifiering för trådlösa LAN har tre huvudkomponenter: Verifieraren (åtkomstpunkten), den som anropar (klientprogramvaran) och verifieringsservern (en RADIUS-server (Remote Authentication Dial-In User Service). 802.1x-verifieringssäkerhet initierar en auktoriseringsbegäran från den trådlösa klienten till åtkomstpunkten som verifierar klienten till en EAP-kompatibel (Extensible Authentication Protocol) RADIUS-server. Denna RADIUS-server kan antingen verifiera användaren (via lösenord eller certifikat) eller systemet (med MAC-adress). I teorin har den trådlösa klienten inte tillstånd att gå med i nätverken förrän transaktionen är klar. Det finns flera verifieringsalgoritmer för 802.1x. MD5-Challenge, EAP-TLS, EAP-TTLS, skyddad EAP (PEAP) och EAP Cisco Wireless LEAP (Light Extensible Authentication Protocol). Dessa är alla metoder för den trådlösa klienten att identifiera sig för RADIUS-servern. Med RADIUS-verifiering kontrolleras användaridentiteter mot databaser. RADIUS utgör en uppsättning med standarder som avser verifiering, auktorisering och bokföring eller AAA (Authentication, Authorization and Accounting). RADIUS inkluderar en proxyprocess som validerar klienter i en flerservermiljö. IEEE 802.1x-standarden används för att styra och verifiera åtkomst till portbaserade 802.11 trådlösa och kabelanslutna Ethernet-nätverk. Portbaserad nätverksåtkomstkontroll liknar en växlad LAN-infrastruktur som verifierar enheter som är anslutna till en LAN-port och förhindrar åtkomst till den porten om verifieringsprocessen misslyckas.
RADIUS (Remote Access Dial-In User Service) är en tjänst för fjärråtkomstanvändare, ett AAA-klientserverprotokoll (Authorization, Authentication och Accounting) som används när en AAA-fjärranslutningsklient loggar in till eller ut från en nätverksåtkomstserver. Vanligtvis används en RADIUS-server av Internet-leverantörer (ISP) för att utföra AAA-uppgifter. AAA-faser beskrivs enligt följande:
Verifieringsfas: Verifierar ett användarnamn och lösenord mot en lokal databas. När identifieringsinformationen bekräftats påbörjas auktoriseringsprocessen.
Auktoriseringsfas: Avgör om en begäran tillåts åtkomst till en resurs. En IP-adress tilldelas för fjärranslutningsklienten.
Bokföringsfas: Samlar ihop information om resursanvändning med avsikt att använda den för trendanalys, granskning, fakturering för sessionstid eller kostnadsallokering.
En förenklad beskrivning av 802.1x-verifiering följer:
En klient skickar en "begäran att komma åt" ett meddelande till en åtkomstpunkt. Åtkomstpunkten begär klientens identitet.
Klienten svarar med sitt identitetspaket som skickas till verifieringsservern.
Verifieringsservern skickar ett "acceptera"-paket till åtkomstpunkten.
Åtkomstpunkten placerar klientporten i auktoriserat läge och datatrafiken kan fortsätta.
802.1x-anropningsprotokollstöd
Stöd för EAP (Extensible Authentication Protocol) - RFC 2284
Verifieringsmetoder som stöds:
MD5 - RFC 2284
EAP TLS-verifieringsprotokoll - RFC 2716 och RFC 2246
EAP tunnel TLS (TTLS)
Cisco LEAP
EAP-FAST
EPA-SIM
PEAP
Stöder Windows XP, 2000
Se Säkerhetsinställningar för mer information.
WPA/WPA2 (Wi-Fi Protected Access) innebär avsevärt förbättrad säkerhet med ökat dataskydd och åtkomstkontroll för trådlösa nätverk. WPA-läget påtvingar 802.1x-verifiering och nyckelutbyte och fungerar enbart med dynamiska krypteringsnycklar. I syfte att förbättra datakryptering använder WPA sin TKIP (Temporal Key Integrity Protocol). TKIP tillhandahåller viktiga förbättringar avseende datakryptering. Dessa förbättringar inkluderar en blandningsfunktion med per-paket-nyckel, en MIC (Message Integrity Check) som kallas Michael och som är en förlängd initieringsvektor (IV) med sekvensregler och även en mekanism för nya nycklar. Genom att använda dessa förbättringar skyddas TKIP mot WEP:s kända svagheter.
Den andra generationens WPA uppfyller IEEE TGi-specifikationen (även kallad WPA2).
WPA/WPA2 – Företag ger den här skyddsnivån i företagsnätverk med en 802.1x RADIUS-server. En verifieringstyp väljs som matchar verifieringsprotokollet på 802.1x-servern.
WPA/WPA2 - Personligt ger den här skyddsnivån i mindre nätverk och i hemmamiljö. Det använder ett lösenord, en PSK-nyckel (Pre-Shared Key) Ju längre lösenord desto starkare säkerhet i det trådlösa nätverket. Om en trådlösa åtkomstpunkten eller routern stöder WPA/WPA2 Personlig (WPA-PSK) ska du aktivera den vid åtkomstpunkten och ange ett långt och start lösenord. Samma lösenord som anges för åtkomstpunkten måste användas på den här datorn och alla andra trådlösa enheter som ska användas i det trådlösa nätverket.
Cisco LEAP (Cisco Light EAP) är en server- och klient 802.1x-verifiering via användarangivet inloggningslösenord. När en trådlös åtkomstpunkt kommunicerar med en Cisco LEAP-aktiverad RADIUS-server (Cisco Secure Access Control Server (ACS)), tillhandahåller Cisco LEAP åtkomstkontroll genom gemensam verifiering mellan klientens trådlösa kort och det trådlösa nätverket och tillhandahåller dynamiska, individuella användarkrypteringsnycklar för att hjälpa till att skydda sekretessen för överförda data.
När ett trådlöst nätverk konfigureras för snabb återanslutning kan en LEAP-aktiverad klientenhet utföra roaming från en åtkomstpunkt till en annan utan att involvera huvudservern. Med Cisco Centralized Key Management (CCKM) kommer en åtkomstpunkt konfigurerad för Wireless Domain Services (WDS) att ersätta RADIUS-servern och verifiera klienten utan märkbar fördröjning i rösttillämpningar eller andra tidskänsliga tillämpningar.
CKIP (Cisco Key Integrity Protocol) är Ciscos egna säkerhetsprotokoll för kryptering i 802.11-media. CKIP använder följande funktioner för att förbättra 802.11-säkerhet i infrastrukturläge:
KP (Key Permutation)
MIC (Message Integrity Check)
Meddelandesekvensnummer
EAP-FAST, som EAP-TTLS och PEAP, använder tunnlar för att skydda trafiken. Den största skillnaden är att EAP-FAST inte använder certifikat för verifiering.
Tillhandahållande i EAP-FAST förhandlas endast av klienten vid det första kommunikationsutbytet när EAP-FAST begärs från servern. Om klienten inte har en hemlig PAC som delats i förväg, kan den begära att ett tillhandahållande av EAP-FAST-utbyte initieras för att dynamiskt erhålla en från servern.
För EAP-FAST finns två metoder för leverans av PAC: manuell leverans genom en säker okonventionell metod och automatiskt tillhandahållande.
Manuell leverans kan vara varje metod som nätverksadministratören anser tillräckligt säker för det aktuella nätverket.
Vid automatiskt tillhandahållande etableras en krypterad tunnel för att skydda verifieringen av klienten och leveransen av PAC till klienten. Denna metod, trots att den inte är lika säker som en manuell metod kan vara, är säkrare än verifieringsmetoden som används i LEAP.
EAP-FAST-metoden kan delas in i två delar: tillhandahållande och verifiering.
Tillhandahållandefasen innebär den första leveransen av PAC till klienten. Denna fas behöver bara utföras en gång per klient och användare.
Vissa åtkomstpunkter t.ex. Cisco 350 eller Cisco 1200 stödjer miljöer i vilka inte alla klientstationer stödjer WEP-kryptering: detta kallas Blandat cell-läge. När dessa trådlösa nätverk används i läget för “valfri kryptering" kommer klientstationer som går med i WEP-läge att skicka alla meddelanden krypterade. Stationer som går med genom att använda standardläge skickar alla meddelanden avkrypterade. Dessa åtkomstpunkter sänder ut att nätverket inte använder kryptering men tillåter klienter att gå med genom att använda WEP-läge. När “Blandad-cell” är aktiverat i en profil kan du ansluta till åtkomstpunkter som är konfigurerade för “valfri kryptering". Se Alternativ för Cisco Compatible Extensions för mer information.
När den här funktionen är markerad tillhandahåller det trådlösa kortet radiohantering för Ciscos infrastruktur. Om verktyget Cisco Radio Management används på infrastrukturen kommer radioparametrar, störningsidentifiering och otillåtna åtkomstpunkter att konfigureras.