Durch den Einsatz der IEEE 802.11 WEP-Verschlüsselung kann verhindert werden, dass Unbefugte drahtlose gesendete Daten empfangen. Die WEP-Verschlüsselung bietet zwei Sicherheitsebenen und verwendet einen 64-Bit-Code (mitunter auch als 40-Bit bezeichnet) oder einen 128-Bit-Code (mitunter auch als 104-Bit bezeichnet). Verwenden Sie einen 128-Bit-Code für erhöhte Sicherheit. Wenn Sie Verschlüsselung verwenden, müssen alle drahtlosen Geräte auf Ihrem drahtlosen Netzwerk dieselben Verschlüsselungscodes benutzen.
WEP- (Wired Equivalent Privacy - kabelvergleichbare Sicherheit) Verschlüsselung und freigegebene Authentifizierung bieten den Daten auf dem Netzwerk Schutz. WEP verwendet einen Verschlüsselungscode, um Daten vor ihrer Übertragung zu verschlüsseln. Nur Computer, die denselben Verschlüsselungscode verwenden, können auf das Netzwerk zugreifen oder von anderen Computern übertragene, verschlüsselte Daten entschlüsseln. Die Authentifizierung stellt einen zusätzlichen Validierungsvorgang vom Adapter zum Zugriffspunkt dar.
Der WEP-Verschlüsselungsalgorithmus wird durch passive und aktive Angriffe über das Netzwerk gefährdet. Die TKIP- und CKIP-Algorithmen weisen Verbesserungen des WEP-Protokolls auf, die vorhandene Angriffe über das Netzwerk mildern und seine Schwächen konkret angehen
802.11 unterstützt zwei Arten von Netzwerkauthentifizierungsmethoden: das offene System und den freigegebenen Schlüssel.
Bei der offenen Authentifizierung kann jede drahtlose Station um Authentifizierung bitten. Die Station, die sich bei einer anderen drahtlosen Station authentifizieren will, sendet einen Authentifizierungsverwaltungsframe, der die Identität der sendenden Station enthält. Die empfangende Station oder der Zugriffspunkt vergibt die Authentifizierung auf Anfrage. Eine offene Authentifizierung gibt jedem Gerät Zugriff auf das Netzwerk. Wenn keine Verschlüsselung im Netzwerk aktiviert ist, kann sich jedes Gerät, das die SSID des Zugriffspunkts kennt, Zugriff auf das Netzwerk verschaffen.
Bei der freigegebenen Schlüssel -Authentifizierung wird davon ausgegangen, dass jede drahtlose Station einen freigegebenen Geheimschlüssel über einen sicheren, vom Kommunikationskanal des 802.11 drahtlosen Netzwerks unabhängigen Kanal empfangen hat. Für die freigegebene Schlüsselauthentifizierung muss der Client einen statischen WEP-Schlüssel konfigurieren. Client-Zugriff wird nur erteilt, wenn die auf Herausforderung basierende Authentifizierung erfolgreich beantwortet wurde.
Die 802.1x-Authentifizierung
802.1x-Funktionen
Überblick
Die 802.1x-Authentifizierung erfolgt unabhängig vom 802.11-Authentifizierungsvorgang. Der 802.1x-Standard stellt eine Grundstruktur für verschiedene Authentifizierungs- und Schlüsselverwaltungsprotokolle dar. Es gibt verschiedene 802.1x-Authentifizierungstypen, die unterschiedliche Authentifizierungsansätze verwenden, sich jedoch alle desselben 802.1x-Protokolls und Kommunikationsrahmens zwischen Client und Zugriffspunkt bedienen. Bei den meisten Protokollen erhält der anfragende Teilnehmer nach Beendigung der 802.1x-Authentifizierung einen Schlüssel zum Einsatz in der Datenverschlüsselung. Weitere Informationen dazu finden Sie unter "Die 802.1x-Authentifizierung". Bei der 802.1x-Authentifizierung wird zwischen dem Client und einem RADIUS-Server (Remote Authentication Dial-In User Service) in Verbindung mit einem Zugriffspunkt eine Authentifizierungsmethode verwendet. Der Authentifizierungsprozess verwendet Berechtigungsnachweise wie z. B. das Benutzerkennwort, die nicht über das drahtlose Netzwerk übertragen werden. Die meisten 802.1x-Typen unterstützen dynamische, benutzer- und sitzungsspezifische Schlüssel, die die statische Schlüsselsicherheit erhöhen. 802.1x bedient sich dabei der Vorteile eines vorhandenen Authentifizierungsprotokolls, das als EAP (Extensible Authentication Protocol oder erweiterbares Authentifizierungsprotokoll) bezeichnet wird.
Die 802.1x-Authentifizierung für drahtlose LAN-Netzwerke besteht aus drei Hauptkomponenten: Dem authentifizierenden Teilnehmer (Zugriffspunkt), dem anfragenden Teilnehmer (Client-Software) und dem Authentifizierungsserver (RADIUS-Server oder Remote-Authentication Dial-In User Service). 802.1x-Authentifizierungssicherheit initiiert eine Authentifizierungsanfrage vom drahtlosen Client an den Zugriffspunkt, wodurch der Client für einen EAP-fähigen (Extensible Authentication Protocol - erweiterbares Authentifizierungsprotokoll) RADIUS-Server authentifiziert wird. Der RADIUS-Server kann entweder den Anwender (über Kennworte oder Zertifikate) oder das System (über die MAC-Adresse) authentifizieren. Theoretisch ist es dem drahtlosen Client nicht gestattet, eine Verbindung zu den Netzwerken herzustellen, solange die Transaktion nicht abgeschlossen ist. Für 802.1x werden mehrere Authentifizierungsalgorithem verwendet. Einige Beispielse sind: MD5-Herausforderung, EAP-TLS, EAP-TTLS, PEAP (Protected EAP oder geschütztes EAP) und EAP Cisco Wireless Light Extensible Authentication Protocol (LEAP). Der drahtlose Client identifiziert sich über eine dieser Methoden auf dem RADIUS-Server. Wenn die RADIUS-Authentifizierung vorliegt, wird die Identität des Benutzers mit Datenbankinformationen verglichen. RADIUS beinhaltet einen Satz mit Standards, die sich auf AAA (Authorization, Authentication, and Accounting = Berechtigung, Authentifizierung und Rechnungswesen) beziehen. RADIUS umfasst zudem einen Proxy-Prozess, der Clients in einer Umgebung mit mehreren Servern validiert. Der IEEE 802.1x Standard dient der Zugriffskontrolle und -authentifizierung auf anschlussbasierende 802.11 drahtlose und verdrahtete Ethernet-Netzwerke. Anschlussbasierende Zugriffskontrolle auf Netzwerke ist mit einer LAN-Infrastruktur mit Switching vergleichbar, in der an den LAN-Anschluss angeschlossene Geräte authentifiziert werden, aber der Zugriff auf diesen Anschluss bei fehlgeschlagener Authentifizierung verhindert wird.
RADIUS (Remote Access Dial-In User Service) ist ein remoter Anwender-Service zum Einwählen, ein AAA- (Authorization, Authentication and Accounting = Berechtigungs-, Authentifizierungs- und Rechnungs-) Client-Serverprotokoll, das für die An- oder Abmeldung eines AAA-Einwahl-Clients beim Netzwerk-Access-Server verwendet wird. Ein RADIUS-Server wird üblicherweise von Internet-Serviceanbietern (ISPs) verwendet, um AAA-Aufgaben durchzuführen. AAA-Phasen werden wie folgt beschrieben:
Authentifizierungsphase: Vergleicht Benutzernamen und Kennwort mit einer lokalen Datenbank. Nachdem die Berechtigungsnachweise überprüft wurden, beginnt der Berechtigungsvorgang.
Berechtigungsphase: Bestimmt, ob einer Anfrage Zugriff auf eine Ressource gewährt wird. Dem Einwähl-Client wird eine IP-Adresse zugewiesen.
Rechnungsphase: Sammelt Informationen über den Einsatz der Ressource für Trendanalysen, Auditierungen, Sitzungszeitabrechnungen oder Kostenzuweisungen.
Es folgt eine vereinfachte Beschreibung der 802.1x-Authentifizierung:
Ein Client sendet eine "Anfrage auf Zugriff"-Meldung an den Zugriffspunkt. Der Zugriffspunkt fragt nach der Identität des Client.
Der Client antwortet mit dem Identitätspaket, das an den Authentifizierungsserver weitergeleitet wird.
Der Authentifizierungsserver sendet ein "Akzeptiert"-Paket an den Zugriffspunkt.
Der Zugriffspunkt setzt den Client-Anschluss in den berechtigten Zustand und die Datenübertragung kann beginnen.
802.1x-Unterstützung von Anfrageprotokollen
Support des EAP (Extensible Authentication Protocol) - RFC 2284
Unterstützte Authentifizierungsmethoden:
MD5 - RFC 2284
EAP TLS Authentifizierungsprotokoll - RFC 2716 und RFC 2246
EAP Tunnel TLS (TTLS)
Cisco LEAP
EAP-FAST
EAP-SIM
PEAP
Unterstützt Windows XP, 2000
Weitere Informationen dazu finden Sie unter Sicherheitseinstellungen.
Wi-Fi Protected Access (WPA/WPA2) oder Wi-Fi geschützter Zugriff ist eine Sicherheitsverbesserung, die eine erhebliche Steigerung für den Datenschutz und die Zugriffskontrolle auf ein drahtloses Netzwerk bedeutet. WPA erzwingt die 802.1x-Authentifizierung und den Schlüsselaustausch und arbeitet nur mit dynamischen Verschlüsselungscodes. WPA (Wi-Fi Protected Access) verwendet zur verstärkten Datenverschlüsselung das TKIP (Temporal Key Integrity Protocol oder temporäres Schlüsselintegritätsprotokoll). TKIP bietet wichtige Datenverschlüsselungsverbesserungen, zu denen die Schlüsselmischfunktion innerhalb des Pakets, ein MIC (Meldungsintegritätsprüfverfahren), das als Michael bezeichnet wird, ein erweiterter Initialisierungsvektor (IV) mit Sequenzregeln und ein Neuverschlüsselungsmechanismus gehören. Mithilfe dieser Verbesserungen schützt TKIP vor den bekannten Schwachpunkten von WEP.
Diese zweite Generation von WPA, die den IEEE TGi-Spezifikationen entspricht, wird als WPA2 bezeichnet.
WPA/WPA2 – Enterprise bietet diesen Sicherheitsgrad für Firmennetzwerke mit einem 802.1x-RADIUS-Server. Es wird ein Authentifizierungstyp ausgesucht, der dem Authentifizierungsprotkoll des 802.1x-Servers entspricht.
WPA/WPA2 - Personal bietet diesen Sicherheitsgrad für kleine Netzwerke oder Heimumgebungen. Es verwendet ein Kennwort, das auch als PSK oder vorab freigegebener Schlüssel bezeichent wird. Je länger dieses Kennwort ist, umso höher ist die Sicherheit des drahtlosen Netzwerks. Wenn Ihr Wireless-Zugriffspunkt oder Router WPA/WPA2 Personal (WPA-PSK) unterstützt, sollten Sie dies auf dem Zugriffspunkt aktivieren und ein langes, starkes Kennwort ausgeben. Dasselbe Kennwort, das beim Zugriffspunkt eingegeben wird, muss auf diesem Computer und allen anderen drahtlosen Geräten, die auf das drahtlose Netzwerk zugreifen, verwendet werden.
Cisco LEAP (Cisco Light EAP) ist eine 802.1x-Server- und Client-Authentifizierung, die ein vom Benutzer bereitgestelltes Anmeldekennwort verwendet. Wenn ein drahtloser Zugriffspunkt mit einem Cisco LEAP-aktivierten RADIUS (Cisco Secure Access Control Server (ACS)- Server) kommuniziert, bietet Cisco LEAP Zugriffskontrolle über gegenseitige Authentifizierung zwischen den drahtlosen Adaptern auf Client-Ebene und dem drahtlosen Netzwerk, und stellt dynamische Verschlüsselungscodes für die einzelnen Anwender bereit, um die Datensicherheit bei der Übertragung zu gewährleisten.
Wenn ein drahtloses LAN für eine schnelle Verbindung konfiguriert ist, kann sich ein Client-Gerät mit aktivierter LEAP-Authentifizierung ohne Einbeziehung des Hauptservers von einem Zugriffspunkt zum anderen bewegen. Mit dem Cisco Centralized Key Management (CCKM) übernimmt ein Zugriffspunkt, der für Wireless Domain Services (WDS) konfiguriert ist, die Rolle des RADIUS-Servers und authentifiziert den Client, ohne dass stimm- oder andere zeitempfindliche Anwendungen eine Verzögerung wahrnehmen können.
Cisco Key Integrity Protocol (CKIP) ist das proprietäre Sicherheitsprotokoll von Cisco zur Verschlüsselung von 802.11-Medien. CKIP verwendet die folgenden Funktionen zur Erhöhung der 802.11-Sicherheit im Infrastrukturmodus:
KP (Key Permutation oder Schlüsselpermutation, systematische Vertauschung)
MIC (Message Integrity Check) oder Meldungsintegritätsprüfung
Message Sequence Number oder Meldungssequenznummer
EAP-FAST, wie EAP-TTLS und PEAP, verwendet Tunneling, um den Verkehr zu schützen. Der Hauptunterschied ist, dass EAP-FAST keine Zertifikate zur Authentifizierung verwendet.
Die Einrichtung von EAP-FAST wird nur vom Client als erster Kommunikationsaustausch, wenn EAP-FAST vom Server erbeten wird, verhandelt. Wenn der Client nicht über eine vorab freigegebene, geheime PAC verfügt, kann er um den Start eines EAP-FAST-Einrichtungsaustauschs bitten, um dynamisch eine vom Server zu erhalten.
EAP-FAST verwendet zwei Methoden, um die PAC auszugeben: manuelle Lieferung über einen sicheren Mechanismus außerhalb des Bands und automatische Bereitstellung.
Der manuelle Liefermechanismus kann jeder Mechanismus sein, den der Administrator des Netzwerks als ausreichend sicher für das Netzwerk betrachtet.
Die automatische Bereitstellung richtet einen verschlüsselten Tunnel ein, um die Authentifizierung des Client und die Lieferung der PAC and den Client zu schützen. Dieser Mechanismus, der unsicherer als die manuelle Methode sein mag, ist sicherer als die von LEAP verwendete Authentifizierungsmethode.
Die EAP-FAST-Methode kann in zwei Teile gegliedert werden: Bereitstellung und Authentifizierung.
Die Bereitstellungsphase beinhaltet die Erstlieferung der PAC an den Client. Diese Phase wird pro Client und Anwender nur einmal durchgeführt.
Einige Zugriffspunkte, zum Beispiel Cisco 350 oder Cisco 1200, unterstützen Umgebungen, in denen nicht alle Client-Stationen WEP-Verschlüsselung unterstützen. Dies wird Mixed-Cell-Modus genannt. Wenn diese drahtlosen Netzwerke im "optionalen Verschlüsselungsmodus" arbeiten, senden Client-Stationen, die sich im WEP-Modus anschließen, alle Meldungen verschlüsselt und Stationen, die sich im Standard-Modus anmelden, alle Meldungen unverschlüsselt. Diese Zugriffspunkte geben bekannt, dass das Netzwerk keine Verschlüsselung verwendet, gestatten Clients jedoch, sich im WEP-Modus anzuschließen. Wenn “Mixed-Cell” in einem Profil aktiviert ist, können Sie Verbindungen zu Zugriffspunkten herstellen, die zur "optionalien Verschlüsselung" konfiguriert sind. Weitere Informationen zum Thema finden Sie unter Optionen 'Cisco Compatible Extensions'.
Wenn diese Funktion aktiviert ist, versorgt Ihr drahtloser Adapter die Cisco-Infrastruktur mit Funkverwaltung. Wenn das Cisco-Programm "Funkverwaltung" auf der Infrastruktur verwendet wird, werden Funkparameter konfiguriert und Störungen und Rogue-Zugriffspunkte erkannt.