Powrót do Spisu treści

Przegląd zabezpieczeń: Instrukcja obsługi karty Intel(R) PRO/Wireless 2915ABG Network Connection



Szyfrowanie WEP

Korzystanie z szyfrowania WEP (ang. Wired Equivalent Privacy), w standardzie IEEE 802.11 może zapobiec nieuprawnionemu przechwyceniu danych, przekazywanych bezprzewodowo. Szyfrowanie WEP zapewnia bezpieczeństwo na dwóch poziomach: za pomocą klucza 64-bitowego (czasami określanego jako klucz 40-bitowy) lub klucza 128-bitowego (określanego również jako 104-bitowy). Wyższy poziom bezpieczeństwa zapewnia klucz 128-bitowy. Jeśli używane jest szyfrowanie, wszystkie urządzenia bezprzewodowe w sieci bezprzewodowej muszą korzystać z tych samych kluczy szyfrowania.

Szyfrowanie WEP (Wired Equivalent Privacy) i współużytkowane potwierdzanie autentyczności służy do zabezpieczania danych w sieci. W szyfrowaniu WEP, przed wysłaniem, dane są szyfrowane za pomocą klucza szyfrowania. Uzyskiwanie dostępu do sieci oraz odszyfrowywanie zaszyfrowanych danych jest możliwe tylko w przypadku komputerów z tym samym kluczem szyfrowania. Potwierdzanie autentyczności jest dodatkowym procesem sprawdzania połączenia między kartą i punktem dostępu.

Algorytm szyfrowania WEP jest podatny na pasywne i aktywne ataki sieciowe. Algorytmy TKIP i CKIP zawierają ulepszenia protokołu WEP, które zmniejszają niebezpieczeństwo ataków i eliminują niektóre niedociągnięcia.

Potwierdzanie autentyczności kluczy otwartych i współużytkowanych

Standard 802.11 obsługuje dwie metody potwierdzania autentyczności sieci: system otwarty i klucz współużytkowany.


Potwierdzanie autentyczności 802.1x

Jak działa potwierdzanie autentyczności w standardzie 802.1x
Funkcje 802.1x

Przegląd

Potwierdzanie autentyczności w standardzie 802.1x jest niezależne od procesu potwierdzania autentyczności, w standardzie 802.11. Standard 802.1x zapewnia strukturę dla różnych protokołów potwierdzania autentyczności i zarządzania kluczami. Istnieją różne typy potwierdzania autentyczności w standardzie 802.1x, a każdy z nich zapewnia inny sposób potwierdzania autentyczności, przy zastosowaniu tego samego protokołu 802.1x i struktury komunikacji między klientem i punktem dostępu. W przypadku większości protokołów, bezpośrednio po zakończeniu procesu potwierdzania autentyczności, w standardzie 802.1x komputer, którego autentyczność jest potwierdzana, otrzymuje klucz szyfrowania danych. Więcej informacji na ten temat, można znaleźć w sekcji 'Jak działa potwierdzanie autentyczności w standardzie 802.1x'. W przypadku potwierdzania autentyczności, w standardzie 802.1x stosuje się metodę potwierdzania autentyczności między klientem i serwerem RADIUS (Remote Authentication Dial-In User Service), podłączonym do punktu dostępu. W procesie potwierdzania autentyczności używane są poświadczenia (np. hasło użytkownika), które nie są przesyłane w sieci bezprzewodowej. Większość typów sieci, w standardzie 802.1x obsługuje dynamiczne klucze, przydzielane określonym użytkownikom, dla określonych sesji, dzięki czemu klucze statyczne zapewniają wyższy poziom zabezpieczeń. W protokole 802.1x stosowany jest istniejący protokół potwierdzania autentyczności EAP (Extensible Authentication Protocol).

Potwierdzanie autentyczności w standardzie 802.1x, dla bezprzewodowych sieci LAN, odbywa się z udziałem trzech elementów: potwierdzającego (punkt dostępu), potwierdzanego (oprogramowanie klienta) i serwera potwierdzania autentyczności (serwer RADIUS). Żądanie potwierdzenia autentyczności jest inicjowane przez funkcję potwierdzania autentyczności 802.1x, w punkcie dostępu, w którym następnie autentyczność klienta sieci bezprzewodowej jest potwierdzana na serwerze RADIUS (zgodnym z protokołem EAP). Na serwerze RADIUS może być potwierdzana autentyczność użytkownika (za pomocą haseł lub certyfikatów) lub komputera (za pomocą adresu MAC). Teoretycznie klient sieci bezprzewodowej nie może uzyskać połączenia z siecią przed zakończeniem transakcji. W standardzie 802.1x używanych jest kilka algorytmów potwierdzania autentyczności. Niektóre z nich to: MD5-Challenge, EAP-TLS, EAP-TTLS, Protected EAP (PEAP) i EAP Cisco Wireless Light Extensible Authentication Protocol (LEAP). Wszystkie te metody służą do identyfikacji klienta sieci bezprzewodowej na serwerze RADIUS. W przypadku potwierdzania autentyczności na serwerze RADIUS tożsamość użytkowników jest sprawdzana w oparciu o bazy danych. RADIUS stanowi zestaw standardów dotyczących potwierdzania autentyczności, autoryzacji i obsługi kont (AAA). W skład usługi RADIUS wchodzi proces pośredni stosowany do sprawdzania klientów w środowisku wielu serwerów. Standard IEEE 802.1x jest używany do kontroli dostępu i potwierdzania autentyczności, podczas uzyskiwania dostępu do sieci bezprzewodowych korzystających z portów 802.11 oraz sieci przewodowych Ethernet. Kontrola dostępu do sieci w oparciu o porty jest podobna do infrastruktury sieci lokalnej (LAN), w której potwierdzana jest autentyczność urządzeń przyłączanych do portów LAN, a jeśli potwierdzanie nie powiedzie się, dostęp do portów jest blokowany.

Co to jest RADIUS?

Usługa RADIUS to protokół klient-serwer używany do autoryzacji, potwierdzania autentyczności i zarządzania kontami (AAA) podczas logowania i wylogowywania klientów dial-up z serwera dostępu do sieci. Zwykle serwer RADIUS stosowany jest przez dostawców usług internetowych do zadań, związanych z autoryzacją, potwierdzaniem autentyczności i zarządzaniem kontami. Fazy potwierdzania autentyczności, autoryzacji i zarządzania kontem wyglądają następująco:


Jak działa potwierdzanie autentyczności, w standardzie 802.1x

Uproszczony opis potwierdzania autentyczności, w standardzie 802.1x:

  1. Klient wysyła żądanie dostępu do punktu dostępu. Punkt dostępu żąda od klienta podania tożsamości.

  2. Klient odpowiada, podając pakiet określający tożsamość, który zostaje następnie przekazany do serwera potwierdzania autentyczności.

  3. Serwer potwierdzania autentyczności wysyła pakiet akceptacji, do punktu dostępu.

  4. Autentyczność portu klienta zostaje potwierdzona w punkcie dostępu i przepływ danych zostaje udostępniony.


Funkcje 802.1x

Więcej informacji na ten temat, można znaleźć w sekcji Ustawienia zabezpieczeń.


WPA/WPS2

Dostęp zabezpieczony Wi-Fi (WPA/WPA2) to udoskonalenie zabezpieczeń, znacznie zwiększające poziom ochrony danych i kontrolę dostępu do sieci bezprzewodowej. Tryb WPA wymusza potwierdzanie autentyczności i wymianę kluczy, w standardzie 802.1x oraz działa tylko z użyciem dynamicznych kluczy szyfrowania. Aby podnieść poziom szyfrowania danych, w trybie WPA używany jest protokół TKIP. W protokole TKIP zastosowano ważne ulepszenia dotyczące szyfrowania danych, na przykład funkcję mieszania kluczy dla poszczególnych pakietów, kontrolę integralności wiadomości o nazwie Michael, rozszerzony wektor inicjujący (IV) z regułami sekwencji oraz mechanizm ponownego wprowadzania klucza. Dzięki tym ulepszeniom, protokół TKIP zabezpiecza znane słabe punkty szyfrowania WEP.

Standard WPA drugiej generacji, zgodny ze specyfikacją IEEE TGi, jest znany jako WPA2.

WPA/WPA2 (korporacyjne) zapewnia ten poziom bezpieczeństwa w sieciach korporacyjnych z serwerem RADIUS 802.1x. Wybierany typ potwierdzania autentyczności musi być zgodny z protokołem potwierdzania autentyczności serwera 802.1x.

WPA/WPA2 (indywidualne) zapewnia ten poziom zabezpieczeń, w małych sieciach lub środowisku domowym. W tym trybie używane jest hasło zwane również kluczem wstępnym (PSK). Im dłuższe jest to hasło, tym lepiej zabezpieczona zostaje sieć bezprzewodowa. Jeśli tryb WPA/WPA2 (indywidualne) (WPA-PSK) jest obsługiwany przez punkt dostępu lub router sieci bezprzewodowej, należy go włączyć i ustawić długie, silne hasło. Hasło wprowadzone dla punktu dostępu musi być używane również na danym komputerze i wszystkich urządzeniach bezprzewodowych, uzyskujących dostęp do danej sieci.


Funkcje Cisco

Protokół LEAP (Cisco)

Protokół Cisco LEAP umożliwia potwierdzanie autentyczności serwera i klienta, w standardzie 802.1x, za pomocą podawanego przez użytkownika hasła logowania. Kiedy punkt dostępu do sieci bezprzewodowej łączy się z serwerem RADIUS z włączoną obsługą protokołu LEAP (Cisco), protokół ten zapewnia kontrolę dostępu przez wzajemne potwierdzanie autentyczności, między kartami sieci bezprzewodowej klienta i siecią bezprzewodową, a także indywidualne dynamiczne klucze szyfrowania, umożliwiające zachowanie prywatności przesyłanych danych. 

Szybka mobilność (CCKM)

Po skonfigurowaniu sieci bezprzewodowej LAN na potrzeby szybkiego ponownego łączenia, urządzenie klienta z obsługą protokołu LEAP może być przemieszczane między punktami dostępu, bez konieczności angażowania serwera głównego. Punkt dostępu skonfigurowany do udostępniania usług WDS i korzystający ze scentralizowanego zarządzania kluczami Cisco (CCKM), zastępuje serwer RADIUS — i umożliwia potwierdzanie autentyczności klienta, bez widocznego opóźnienia, w przypadku aplikacji głosowych i innych, w których ważny jest czas.

CKIP

Protokół Cisco Key Integrity Protocol (CKIP) to własny protokół zabezpieczeń firmy Cisco, stosowany do szyfrowania w standardzie 802.11. W protokole CKIP używane są następujące funkcje zwiększające bezpieczeństwo sieci 802.11 w trybie Infrastruktura:

 

EAP-FAST

 

W przypadku trybu EAP-FAST (tak jak w przypadku trybów EAP-TTLS i PEAP), ruch w sieci jest zabezpieczany przy użyciu tunelowania. Główna różnica polega na tym, że w przypadku trybu EAP-FAST do potwierdzania autentyczności nie używa się certyfikatów.

 

Podawanie poświadczeń EAP-FAST jest negocjowane wyłącznie przez klienta, podczas pierwszej wymiany danych, gdy tryb EAP-FAST jest żądany na serwerze.  Jeśli klient nie dysponuje tajnymi wstępnymi poświadczeniami dostępu zabezpieczonego, może zażądać wymiany EAP-FAST i uzyskać je z serwera w trybie dynamicznym.

 

Istnieją dwie metody podawania poświadczeń dostępu zabezpieczonego w trybie EAP-FAST: podawanie ręczne (przez pozapasmowy mechanizm zabezpieczeń) i podawanie automatyczne.

Metodę EAP-FAST można podzielić na dwa etapy: podanie poświadczeń i potwierdzenie autentyczności.

Etap pierwszy, polega na dostarczeniu poświadczeń dostępu zabezpieczonego do klienta. Przeprowadzenie tej czynności jest wymagane tylko raz dla klienta i użytkownika.

 

 

Tryb mieszanej sieci komórkowej

 

W niektórych punktach dostępu (np. Cisco 350 lub Cisco 1200) obsługiwane są środowiska, w których nie wszystkie stacje klientów obsługują szyfrowanie WEP. Jest to tryb mieszanej sieci komórkowej. Gdy sieć bezprzewodowa działa w trybie szyfrowania opcjonalnego, stacje klientów dołączane do sieci w trybie WEP, wysyłają wszystkie komunikaty w postaci zaszyfrowanej, a stacje dołączane w trybie standardowym wysyłają wszystkie komunikaty w postaci niezaszyfrowanej. Punkty dostępu nadają sygnały o braku szyfrowania, ale klienci mogą być dołączani w trybie szyfrowania WEP. Jeśli w profilu włączono opcję mieszanej sieci komórkowej, można podłączać komputery do punktów dostępu skonfigurowanych do szyfrowania opcjonalnego.  Więcej informacji na ten temat, można znaleźć w sekcji Opcje rozszerzeń Cisco.

 

Zarządzanie łącznością radiową

 

Po włączeniu tej funkcji, za pomocą karty sieci bezprzewodowej można uzyskiwać informacje o zarządzaniu łącznością radiową infrastruktury Cisco. Jeśli dla infrastruktury używane jest narzędzie do zarządzania łącznością radiową Cisco, służy ono do konfigurowania parametrów łączności radiowej, a także do wykrywania zakłóceń i nielegalnych punktów dostępu.

 

 


 

Powrót do spisu treści