Langattomasti siirrettyjen tietojen luvaton käyttäminen voidaan ehkäistä IEEE 802.11 WEP (Wired Equivalent Privacy) -salauksen avulla. WEP-salaus käsittää kaksi suojaustasoa, joista toisessa käytetään 64-bittistä avainta (tähän viitataan joskus 40-bittisenä avaimena) ja toisessa 128-bittistä avainta (tunnetaan myös 104-bittisenä avaimena). Suojaus on tehokkaampi käytettäessä 128-bittistä avainta. Salausta käytettäessä langattoman lähiverkon kaikkien langattomien laitteiden on käytettävä samoja salausavaimia.
Verkon tiedot voidaan suojata käyttämällä WEP-salausta ja jaettua laillisuustarkistusta. WEP-menetelmässä tiedot salataan salausavaimella ennen niiden lähettämistä. Ainoastaan samaa salausavainta käyttävät tietokoneet voivat käyttää verkkoa tai purkaa muiden tietokoneiden lähettämien salattujen tietojen salauksen. Laillisuustarkistus muodostaa lisävarmennustoimenpiteen sovittimen ja tukiaseman välillä.
WEP-salausalgoritmi on altis passiivisille ja aktiivisille verkkohyökkäyksille. TKIP- ja CKIP-algoritmit sisältävät WEP-yhteyskäytännön parannuksia, jotka ehkäisevät verkkohyökkäyksiä ja täydentävät WEP:n puutteita.
802.11 tukee kahta verkon laillisuustarkistusmenetelmää: avointa järjestelmää ja jaettua avainta.
Kun käytössä on Avoin laillisuustarkistus, mikä tahansa langaton asema voi pyytää laillisuustarkistusta. Asema, jonka tarvitsee laillisuustarkistusta toisen laillisuustarkistusaseman kanssa, lähettää laillisuustarkistuksen hallintakehyksen, joka sisältää lähettävän aseman tunnisteen. Vastaanottava asema tai tukiasema hyväksyy minkä tahansa laillisuustarkistuspyynnön. Avoin laillisuustarkistus sallii minkä tahansa laitteen verkkokäytön. Jos verkossa ei käytetä salausta, mikä tahansa tukiaseman SSID:n tunteva laite voi päästä käyttämään verkkoa.
Käytettäessä Jaettu avain -laillisuustarkistusta, kunkin langattoman aseman oletetaan vastaanottaneen salatun jaetun avaimen suojatun kanavan kautta, joka on riippumaton langattomasta 802.11-verkon tietoliikennekanavasta. Jaettu avain -laillisuustarkistus edellyttää, että asiakas määrittää kiinteän WEP-avaimen. Asiakaskäyttö sallitaan vain, jos tarkistukseen perustuva laillisuustarkistus läpäistään.
802.1x-laillisuustarkistuksen toiminta
802.1x-ominaisuudet
Yleiskatsaus
802.1x-laillisuustarkistus on riippumaton 802.11-laillisuustarkistusprosessista. 802.1x-standardi muodostaa puitteet erilaisille laillisuustarkistus- ja avaintenhallintayhteyskäytännöille. On olemassa erilaisia 802.1x-laillisuustarkistustyyppejä, joista kukin muodostaa erilaisen lähestymistavan laillisuustarkistukseen käyttämällä samaa 802.1x-yhteyskäytäntöä ja tietoliikennekehystä asiakkaan ja tukiaseman välillä. Useimmissa yhteyskäytännöissä 802.1x-laillisuustarkistuksen suorittamisen jälkeen anoja vastaanottaa avaimen, jota se käyttää tiedon salaamiseen. Lisätietoja on kohdassa 802.1x-laillisuustarkistuksen toiminta. 802.1x-laillisuustarkistuksessa käytetään laillisuustarkistusmenetelmää asiakkaan ja tukiasemaan kytketyn RADIUS (Remote Authentication Dial-In User Service) -palvelimen välillä. Laillisuustarkistusprosessissa käytetään käyttäjätietoja, kuten käyttäjän salasanaa, jota ei lähetetä langattoman verkon kautta. Useimmat 802.1x-tyypit tukevat käyttäjä- ja istuntokohtaisia dynaamisia avaimia kiinteän salasanasuojauksen vahvistamiseksi. 802.1x hyödyntää olemassa olevaa laillisuustarkistusyhteyskäytäntöä, EAP (Extensible Authentication Protocol) -yhteyskäytäntöä.
Langattoman verkon 802.1x-laillisuustarkistus käsittää kolme pääkomponenttia: varmistaja (tukiasema), anoja (asiakasohjelmisto) ja laillisuustarkistuspalvelin (RADIUS-palvelin). 802.1x-laillisuustarkistus käynnistää laillisuustarkistuspyynnön langattomasta asiakkaasta tukiasemaan, joka tarkistaa asiakkaan laillisuuden EAP (Extensible Authentication Protocol) -yhteensopivaan RADIUS-palvelimeen. RADIUS-palvelin voi tarkistaa joko käyttäjän (salasanojen tai sertifikaattien kautta) tai järjestelmän (MAC-osoitteen kautta) laillisuuden. Teoriassa langattoman asiakkaan ei sallita liittyvän verkkoon, ennen kuin tämä tapahtuma on valmis. 802.1x:ssä voidaan käyttää useita laillisuustarkistusyhteyskäytäntöjä. Esimerkkejä näistä ovat MD5-Challenge, EAP-TLS, EAP-TTLS, PEAP (Protected EAP) ja LEAP (EAP Cisco Wireless Light Extensible Authentication Protocol). Nämä kaikki ovat menetelmiä, joilla RADIUS-palvelin voi tunnistaa langattoman asiakkaan. RADIUS-laillisuustarkistuksessa käyttäjien henkilöllisyydet tarkistetaan tietokannoista. RADIUS käsittää joukon AAA (Authentication, Authorization ja Accounting) -standardeja. RADIUS sisältää välityspalvelinprosessin asiakkaiden todentamiseksi monipalvelinympäristössä. IEEE 802.1x -standardi koskee porttiperustaisten langattomien 802.11-verkkojen ja 802.11-Ethernet-kaapeliverkkojen hallinta- ja laillisuustarkistuskäyttöä. Porttiperustainen verkkokäytön hallinta on samanlainen kuin kytkentäisen lähiverkon perusrakenne, joka tarkistaa lähiverkkoporttiin kytkettyjen laitteiden laillisuuden ja estää tämän portin käyttämisen, jos laillisuustarkistus epäonnistuu.
RADIUS (Remote Access Dial-In User Service) on AAA (Authorization, Authentication, and Accounting) asiakaspalvelinyhteyskäytäntö, jota käytetään AAA-puhelinverkkoasiakkaan kirjautuessa verkkokäyttöpalvelimeen tai siitä ulos. Tyypillisesti Internet-palveluntarjoajat (ISP:t) käyttävät RADIUS-palvelinta AAA-tehtävien suorittamiseen. AAA-vaiheet ovat seuraavat:
Laillisuustarkistusvaihe: Käyttäjänimen ja salasanan tarkistaminen käyttämällä paikallista tietokantaa. Tietojen tarkistamisen jälkeen käynnistyy käyttöoikeuksien tarkistaminen.
Käyttöoikeuksien tarkistusvaihe: Määritetään, sallitaanko pyynnön käyttää resurssia. Puhelinverkkoasiakkaalle on määritetty IP-osoite.
Kirjanpitovaihe: Tietojen kerääminen resurssin käyttämisestä trendianalyysia, valvontaa, istuntoaikalaskutusta tai kulujen kohdentamista varten.
Yksinkertaistetusti 802.1x-laillisuustarkistus toimii seuraavasti:
Asiakas lähettää "käyttöpyyntö"-sanoman tukiasemaan. Tukiasema vaatii asiakasta ilmaisemaan tunnuksensa.
Asiakas vastaa toimittamalla tunnistepakettinsa, joka välitetään laillisuusvarmistuspalvelimen kautta.
Laillisuustarkistuspalvelin lähettää "hyväksyntä"-paketin tukiasemaan.
Tukiasema asettaa asiakasportin valtuutettuun tilaan ja tietoliikenteen jatkaminen sallitaan.
802.1x-anojayhteyskäytäntötuki
EAP (Extensible Authentication Protocol) - RFC 2284 -tuki
Tuetut laillisuustarkistusmenetelmät:
MD5 - RFC 2284
EAP TLS -laillisuustarkistusyhteyskäytäntö - RFC 2716 ja RFC 2246
EAP TTLS (Tunneled TLS )
Cisco LEAP
EAP-FAST
EAP-SIM
PEAP
Windows XP ja 2000-tuki
Lisätietoja on kohdassa Suojausasetukset.
Wi-Fi Protected Access (WPA/WPA2) on suojauslaajennus, joka vahvistaa huomattavasti langattoman verkon tietojen suojausta ja käytönhallintaa. WPA käyttää 802.1x-laillisuustarkistusta ja avainvaihtoa. Se toimii ainoastaan dynaamisten salausavainten kanssa. Salauksen tehostamiseksi WPA-menetelmässä hyödynnetään sen TKIP-yhteyskäytäntöä. TKIP antaa käyttöön tärkeitä tiedon salauksen parannuksia, kuten pakettikohtaisen avaimensekoitustoiminnon, sanoman eheyden tarkistamisen (MIC:n), sekvenssisäännöillä varustetun laajennetun alustusvektorin (IV) ja uudelleenavainnusmekanismin. Näiden parannusten avulla TKIP suojaa WEP:n tunnetut heikot kohdat.
WPA:n toinen määrittely, joka vastaa IEEE TGi -määritystä, tunnetaan nimellä WPA2.
WPA/WPA2 – Enterprise -tila antaa käyttöön tämäntasoisen suojauksen yritysverkoissa, joissa käytetään 802.1x RADIUS -palvelinta. Laillisuustarkistuksen tyyppi valitaan vastaamaan 802.1x-palvelimen laillisuustarkistusyhteyskäytäntöä.
WPA/WPA2 - Personal antaa käyttöön tämäntasoisen suojauksen yritysverkoissa pienissä verkoissa ja kotiympäristössä. Siinä käytetään ennalta jaetuksi avaimeksi (PSK) kutsuttua salasanaa. Mitä pidempi salasana on, sitä tehokkaampi on langattoman verkon suojaus. Jos langaton tukiasema tai reititin tukee WPA/WPA2 Personal (WPA-PSK) -suojausta, ota se käyttään tukiasemassa ja määritä pitkä salasana. Tukiasemaan määritettyä salasanaa pitää käyttää tässä tietokoneessa ja langattoman verkon kaikissa muissa langattomissa laitteissa.
Cisco LEAP (Cisco Light EAP) on palvelimen ja asiakkaan 802.1x-laillisuustarkistus käyttäjän toimittaman kirjautumissalasanan avulla. Kun langaton tukiasema viestii Cisco LEAP -yhteensopivan RADIUS-palvelimen (Cisco Secure Access Control Server (ACS) -palvelimen) kanssa, Cisco LEAP mahdollistaa käytönhallinnan langattomien asiakassovittimien ja langattoman verkon keskinäisen laillisuustarkistuksen kautta ja antaa käyttöön dynaamiset, käyttäjäkohtaiset salausavaimet, jotka helpottavat lähetettävien tietojen salaamista.
Kun langaton lähiverkko on määritetty nopeaa uudelleenliittämistä varten, LEAP:ta käyttävä asiakaslaite voi siirtyä tukiasemasta toiseen ilman, että pääpalvelimen tarvitsee puuttua tähän. Käyttämällä Cisco Centralized Key Management (CCKM) -ominaisuutta Wireless Domain Services (WDS) -palveluita muodostamaan määritetty tukiasema ottaa RADIUS-palvelimen paikan ja suorittaa asiakkaan laillisuustarkistuksen ilman havaittavaa viivettä puhesovelluksissa tai muissa aikaherkissä sovelluksissa.
Cisco Key Integrity Protocol (CKIP) on Ciscon oma suojausyhteyskäytäntö tietojen salaamiseksi 802.11-tietovälineissä. CKIP parantaa 802.11-suojausta perusrakennetilassa hyödyntämällä seuraavia ominaisuuksia:
Avainten vaihtaminen (KP)
Sanoman eheyden tarkistaminen (MIC)
Sanoman järjestysnumero
EAP-FAST:ssä liikenne suojataan EAP-TTLS:n ja PEAP:n tavoin tunnelointia käyttämällä. Tärkein ero on se, että EAP-FAST:ssä laillisuustarkistuksessa ei käytetä sertifikaatteja.
EAP-FAST:ssä käyttöönotto neuvotellaan yksi asiakkaan toimesta ensimmäisen tiedonvaihdon aikana, kun palvelimesta saadaan EAP-FAST-pyyntö. Jos asiakkaalla ei ole ennalta jaettua salaista PAC (Protected Access Credential) -tietoa, se voi pyytää aloittamaan käyttöönoton EAP-FAST-tiedonvaihdon tällaisen saamiseksi palvelimesta.
EAP-FAST:ssä käytetään kahta menetelmää PAC:n toimittamiseksi: manuaalinen toimitus kaistan ulkopuolisen suojaun mekanismin kautta ja automaattinen käyttöönotto.
Manuaaliset toimitusmekanismit voivat olla mitä tahansa toimitusmekanismeja, joiden verkon järjestelmänvalvoja uskoo antavan riittävän suojauksen verkolle.
Automaattinen käyttöönotto muodostaa salatun kanavan asiakkaan laillisuustarkistuksen suojaamiseksi ja PAC:n toimittamiseksi asiakkaaseen. Vaikka tämä menetelmä ei olekaan yhtä tehokas kuin manuaalinen menetelmä voisi olla, se antaa käyttöön tehokkaamman suojauksen kuin LEAP:ssä käytettävä laillisuustarkistusmenetelmä.
EAP-FAST-menetelmä voidaan jakaa kahteen osaan: käyttöönotto ja laillisuustarkistus.
Käyttöönottovaihe käsittää PAC:n toimittamisen ensimmäisen kerran asiakkaaseen. Tämä vaihe tarvitsee suorittaa vain kerran asiakasta ja käyttäjää kohti.
Toiset tukiasemat, kuten Cisco 350 ja Cisco 1200, tukevat ympäristöjä, joissa kaikki asiakasasemat eivät tue WEP-salausta. Tätä kutsutaan sekasolutilaksi. Kun tällainen langaton verkko toimii valinnaisessa salaustilassa, WEP-tilassa siihen liittyvät asiakasasemat lähettävät kaikki sanomat salattuina ja vakiotilassa siihen liittyvät asemat lähettävät kaikki sanomat salaamattomina. Nämä tukiasemat ilmoittavat, että verkossa ei käytetä salausta, mutta sallivat asiakkaiden liittymisen WEP-tilaa käyttämällä. Kun sekasolutila on otettu käyttöön profiilissa, on mahdollista muodostaa yhteys tukiasemiin, joissa salaus on määritetty valinnaiseksi. Lisätietoja on kohdassa Cisco Compatible Extensions -asetukset.
Kun tämä toiminto on käytössä, langaton sovitin huolehtii Cisco-perusrakenteen radiohallinnasta. Jos perusrakenteessa käytetään Cisco Radio Management -apuohjelmaa, se määrittää radioparametrit, tunnistaa häiriöt ja Rogue-tukiasemat.