Du kan forhindre ikke-autoriseret modtagelse af dine trådløse data med IEEE 802.11 Wired Equivalent Privacy (WEP). WEP-kryptering indeholder to sikkerhedsniveauer, der bruger en 64 bit-nøgle (omtales somme tider som 40 bit) eller en 128 bit-nøgle (omtales også som 104-bit). For at opnå bedre sikkerhed skal du bruge en 128 bit-nøgle. Hvis du bruger kryptering, skal alle trådløse enheder på dit trådløse netværk bruge de samme krypteringsnøgler.
Wired Equivalent Privacy (WEP)-kryptering og delt godkendelse beskytter dine data på netværket. WEP bruger en krypteringsnøgle til at kryptere data, før de overføres. Kun computere, der bruger den samme krypteringsnøgle, kan få adgang til netværket eller afkryptere de krypterede data, der er overført af andre computere. Godkendelse giver en yderligere valideringsproces fra adapteren til adgangspunktet.
WEP-krypteringsalgoritmen er sårbar over for passive og aktive netværksangreb. TKIP- og CKIP-algoritmer indeholder forbedringer til WEP-protokollen, der afbøder eksisterende netværksangreb og udbedrer dets mangler.
802.11 understøtter to typer netværksgodkendelsesmetoder. Åben system og Delt nøgle.
Ved hjælp af Åben godkendelse kan enhver trådløs station anmode om godkendelse. Den station, der skal godkende med en anden trådløs station, sender en godkendelsesadministrationsramme, der indeholder identiteten af den afsendende station. Den modtagende station eller adgangspunktet vil tillade enhver anmodning om godkendelse. Åben godkendelse tillader enhver enhed netværksadgang. Hvis der ikke er aktiveret nogen kryptering på netværket, kan enhver enhed, der kender SSID'en for adgangspunktet, få adgang til netværket.
Ved hjælp af Delt nøgle-godkendelse antages det, at hver trådløs station har modtaget en hemmelig delt nøgle over en sikret kanal, der er uafhængig af det trådløse 802.11-netværkskommunikationskanal. Delt nøglegodkendelse kræver, at klienten konfigurerer en statisk WEP-nøgle. Klientadgangen gives kun, hvis den gik gennem en challenge-baseret godkendelse.
Sådan fungerer 802.1x-godkendelse
802.1x-funktioner
Oversigt
802.1x-godkendelse er uafhængig af 802.11-godkendelsesprocessen. 802.1x-standarden indeholder en ramme for forskellige godkendelses- og nøgleadministrationsprotokoller. Der findes forskellige 802.1x-godkendelsestyper, der hver indeholder en forskellig fremgangsmåde til godkendelse, men de bruger alle den samme 802.1x-protokol og ramme til kommunikation mellem en klient og et adgangspunkt. I de fleste protokoller vil den søgende ved fuldførelse af 802.1x-godkendelsesprocessen modtage en nøgle, som den bruger til datakryptering. Der henvises til Sådan fungerer 802.1x-godkendelse, hvor der er flere oplysninger. Med 802.1x-godkendelse bruges en godkendelsesmetode mellem klienten og en fjern brugerservice for godkendelsesopkald (RADIUS)-server, der er tilsluttet til adgangspunktet. Godkendelsesprocessen bruger referencer, f.eks. en bruger adgangskode, som ikke transmitteres over det trådløse netværk. De fleste 802.1x-typer understøtter dynamisk pr. bruger-, pr. session-nøgler til at styrke den statiske nøglesikkerhed. 802.1x udnytter brugen af en eksisterende godkendelsesprotokol, der kaldes Extensible Authentication Protocol (EAP).
802.1x-godkendelse af trådløse netværk består af tre hovedkomponenter: Godkenderen (adgangspunktet), ansøgeren (klient-softwaren), og godkendelsesserveren (en fjern brugerservice for godkendelsesopkald (RADIUS)). 802.1x-godkendelsessikkerhed starter en autorisationsanmodning fra den trådløse klient til adgangspunktet, der godkender klienten på en Extensible Authentication Protocol (EAP)-kompatibel RADIUS-server. Denne RADIUS-server kan enten godkende brugeren (med adgangskoder eller certifikater) eller systemet (med MAC-adresse). Teoretisk har den trådløse klient ikke lov til at tilslutte sig netværkene, før transaktionen er fuldført. Der anvendes flere godkendelsesalgoritmer til 802.1x. Nogle eksempler er MD5-Challenge, EAP-TLS, EAP-TTLS, Protected EAP (PEAP) og EAP Cisco Wireless Light Extensible Authentication Protocol (LEAP). De er alle sammen metoder, som den trådløse klient bruger til at identificere sig selv på RADIUS-serveren. Med RADIUS-godkendelse kontrolleres brugeridentiteter i forhold til databaser. RADIUS består af et sæt standarder inden for Godkendelse, Autorisation og Redegørelse (AAA). Radius indeholder en proxy-proces til validering af klienter i et multiservermiljø. IEEE 802.1x-standarden er til kontrol og godkendelse af adgang til portbaserede 802.11 trådløse og kabelførte Ethernet-netværk. Portbaseret netværksadgangskontrol minder om en omskiftet LAN-infrastruktur, der godkender enheder, der er forbundet til en LAN-port og forhindrer adgang til den port, hvis godkendelsesprocessen fejler.
RADIUS er Remote Access Dial-In User Service, en autorisations-, godkendelses- og redegørelses (AAA)-klient-server-protokol, der bruges når en AAA-opkaldsklient logger på eller af en netværksadgangsserver. Typisk bruges en RADIUS-server af internetudbydere (Internet Service Providers (ISP)) til at udføre AAA-opgaver. AAA-faser beskrives som følger:
Godkendelsesfase: Kontrollerer et brugernavn og en adgangskode i forhold til en lokal database. Når brugeroplysningerne er kontrollerede, begynder godkendelsesprocessen.
Autorisationsfase: Fastlægger, om en anmodning tillades adgang til en ressource. En IP-adresse tildeles til opkaldsklienten.
Redegørelsesfase: Indsamler oplysninger om ressourcebrug med det formål at udføre tendensanalyse, revision, sessionstidsfakturering og omkostningsallokering.
En simpel beskrivelse af 802.1x-godkendelsen er:
En klient sender en "anmodning om adgang"-meddelelse til et adgangspunkt. Adgangspunktet anmoder om identiteten af klienten.
Klienten svarer med dens identitetspakke, der overføres til godkendelsesserveren.
Godkendelsesserveren sender en "accept"-pakke til adgangspunktet.
Adgangspunktet placerer klientporten i den godkendte tilstand, og datatrafikken får lov til at fortsætte.
802.1x-ansøgerprotokolsupport
Understøttelse af Extensible Authentication Protocol (EAP) - RFC 2284
Understøttede godkendelsesmetoder:
MD5 - RFC 2284
EAP TLS-godkendelsesprotokol - RFC 2716 og RFC 2246
EAP tunnelført TLS (TTLS)
Cisco LEAP
EAP-FAST
EAP-SIM
PEAP
Understøtter Windows XP, 2000
Der henvises til Sikkerhedsindstillinger, hvor der fås flere oplysninger.
Wi-Fi-beskyttet adgang (WPA) er en sikkerhedsforbedring, der forøger databeskyttelsesniveauet og adgangskontrollen til et trådløst netværk betydeligt. WPA fastholder 802.1x-godkendelse og nøgleudveksling og fungerer kun med dynamiske krypteringsnøgler. For at styrke datakryptering bruger WPA dens Temporal Key Integrity Protocol (TKIP). TKIP indeholder vigtige datakrypteringsforbedringer, der inkluderer en pr. pakke-nøgleblandingsfunktion, en meddelelsesintegritetskontrol (MIC) kaldet Michael, en udvidet initialiseringsvektor (IV) med sekvenseringsregler og også en mekanisme til omskrivning af nøglen. Ved brug af diise forbedringer beskytter TKIP i mod WEPs kendte svagheder.
Den anden generation af WPA, som overholder IEEE TGi-specifikationen, kaldes WPA2.
WPA/WPA2 – Enterprise giver dette sikkerhedsniveau på koncernnetværk med en 802.1x RADIUS-server. Der vælges en godkendelsestype til at matche godkendelsesprotokollen på 802.1x-serveren.
WPA/WPA2 - Personal giver dette sikkerhedsniveau i mindre netværk eller hjemmenetværk. Det kræver en adgangskode, der også kaldes en foruddelt nøgle (PSK). Jo længere denne adgangskode er, jo mere sikkert er det trådløse netværk. Hvis det trådløse adgangspunkt eller routeren understøtter WPA/WPA2 Personal (WPA-PSK), skal du aktivere den i adgangspunktet og angive en lang stærk adgangskode. Den samme adgangskode, du angav for adgangspunktet, skal bruges på denne computer og til alle andre trådløse enheder, der har adgang til det trådløse netværk.
Cisco LEAP (Cisco Light EAP) er en server- og klient 802.1x-godkendelse via en brugerangivet adgangskode. Når et trådløst adgangspunkt kommunikerer med en Cisco LEAP-aktiveret RADIUS (Cisco Secure Access Control Server (ACS) server), indeholder Cisco LEAP adgangskontrol via fælles godkendelse mellem klientens trådløse adaptere og de trådløse netværk og indeholder dynamiske, individuelle brugerkrypteringsnøgler til hjælp til beskyttelse af det private i transmitterede data.
Når et trådløst LAN er konfigureret til hurtig gentilslutning, kan en LEAP-aktiveret klientenhed "roame" fra at adgangspunkt til et andet uden at involvere hovedserveren. Ved hjælp af Cisco Centralized Key Management (CCKM), erstatter et adgangspunkt, der er konfigureret til at yde Wireless Domain Services (WDS), RADIUS-serveren og godkender klienten uden mærkbar forsinkelse under tale eller andre tidskritiske anvendelser.
Cisco Key Integrity Protocol (CKIP) er Ciscos egen sikkerhedsprotokol til kryptering i 802.11-medier. CKIP bruger følgende funktioner til at forbedre 802.11-sikkerhed i infrastrukturtilstand:
Nøgleombytning (KP)
Meddelelsesintegritetskontrol (MIC)
Meddelelsessekvensnummer
EAP-FAST bruger ligesom EAP-TTLS og PEAP tunnelføring til beskyttelse af trafikken. Den væsentligste forskel er, at EAP-FAST ikke bruger certifikater til godkendelse.
Tildeling i EAP-FAST forhandles udelukkende af klienten som den første udveksling af oplysninger, når serveren anmoder om EAP-FAST. Hvis klienten ikke har en foruddelt hemmelig PAC (Protected Access Credential), kan den anmode om start på tildeling af EAP-FAST for dynamisk at modtage en fra serveren.
EAP-FAST definerer to metoder til tildeling af PAC'en: manuel levering via en sikkerhedsmekanisme uden for båndet, og automatisk tildeling.
Manuelle leveringsmekanismer kan være alle leveringsmekanismer, som administratoren af netværket mener er tilstrækkelige til at sikre netværket.
Automatisk tildeling etablerer en krypteret tunnel til beskyttelse af klientgodkendelsen og levering af PAC'en til klienten. Denne mekanisme er mere sikker end den anvendte godkendelsesmetode i LEAP, selvom den ikke er så sikker som den manuelle metode kan være.
EAP-FAST-metoden kan opdeles i to dele: tildeling og godkendelse.
Tildelingsfasen omfatter den første levering af PAC'en til klienten. Denne behøver kun blive udført én gang pr. klient og bruger.
Nogle adgangspunkter, f.eks. Cisco 350 eller Cisco 1200, understøtter miljøer, hvor ikke alle klientstationer understøtter WEP-kryptering, og dette kaldes blandet celle-tilstand. Når disse trådløse netværk arbejder i en “valgfri krypteringstilstand”, vil klientstationer, som tilmelder sig i WEP-tilstand, sende alle meddelelser krypteret, og stationer, som tilmelder sig i standardtilstand, vil sende alle meddelelser ikke-krypterede. Disse AP'er rundsender, at netværket ikke anvender kryptering, men tillader, at klienterne tilmelder sig i WEP-tilstand. Når “Blandet celle” er aktiveret i en profil, har du mulighed for at tilslutte dig adgangspunkter, som er konfigureret til “valgfri kryptering”. Der henvises til Cisco Compatible Extensions Options, hvor der er flere oplysninger.
Når denne funktion er aktiveret, giver din trådløse adapter Cisco infrastrukturen Radio Management-oplysninger. Hvis værktøjet Cisco Radio Management bruges i infrastrukturen, konfigurerer det radioparametre, registrerer interferens og Rogue-adgangspunkter.