使用「IEEE 802.11 有線對等式」(WEP) 加密可以預防他人未經授權接收無線資料。WEP 加密提供兩種保全性等級,使用 64 位元加密鍵 (有時候指的是 40 位元) 或 128 位元加密鍵 (亦稱為 104 位元)。要得到較好的保全性,請使用 128 位元加密鍵。如果您使用加密,無線網路上的所有無線裝置都必須使用相同的加密鍵。
有線對等式保密 (WEP) 加密和共用驗證為網路上的資料提供保護。WEP 使用加密鍵在資料傳輸之前對其進行加密。使用相同加密鍵的電腦才能存取該網路或解密其它電腦傳輸出來的加密資料。驗證在介面卡和存取點之間提供額外的確認程序。
WEP 加密演算法容易受到被動和主動網路的攻擊。TKIP 和 CKIP 演算法包括轉移現有網路攻擊和指出其缺點之 WEP 通訊協定的增強功能。
802.11 支援兩種類型的網路驗證方法:開放系統和共用金鑰。
使用「開放」驗證,任何無線站台都可要求驗證。需要向另外一個無線站台驗證的站台會傳送包含傳送站台身份的驗證管理框架。接收站台或 AP 會授予任何驗證要求。開放驗證允許任何裝置網路存取。如果網路上沒有啟用任何加密的話,任何知道存取點的 SSID 的裝置都可以存取網路。
使用「共用金鑰」 驗證時,會假定每個無線站台都已經從與 802.11 無線網路通訊通道獨立分開的安全通道接收到機密的共用金鑰。共用金鑰驗證要求用戶端設定靜態 WEP 金鑰。通過挑戰性的驗證後,用戶端存取才會被授予。
概述
802.1x 驗證和 802.11 驗證程序是獨立分開的。802.1x 標準為各種驗證和金鑰管理通訊協定提供架構。802.1x 驗證類型有許多種,每個都提供不同驗證方法,但是都使用相同的 802.1x 通訊協定和架構在用戶端和存取點之間通訊。在大部分的通訊協定中,當 802.1x 驗證程序完成時,請求者會接收到用來進行資料加密的金鑰。請參考 "802.1x 驗證如何作業" 以獲取更多資訊。使用 802.1x 驗證時,會在用戶端以及連接到存取點的「遠端驗證撥入使用者服務」(RADIUS) 伺服器之間使用驗證方法。驗證程序會使用身份證明,例如,不透過無線網路傳輸的使用者密碼。大部分的 802.1x 類型都支援動態一個使用者、一個會期金鑰來強化靜態金鑰保全性。802.1x 受到現存的驗證通訊協定,稱為「可延伸驗證通訊協定」(EAP),的協助。
無線 LAN 的 802.1x 驗證有三個主要元件: 驗證者 (存取點)、請求者 (用戶端軟體)、以及驗證伺服器 (「遠端驗證撥入使用者服務」伺服器 (RADIUS)。802.1x 驗證保全性從無線用戶端對存取點提出授權要求,存取點授權符合「可延伸驗證通訊協定」(EAP) 的 RADIUS 伺服器給用戶端。這個 RADIUS 伺服器可能會驗證使用者(透過密碼或證書)或系統 (透過 MAC 位址)。理論上來說,無線用戶端要等到傳輸完成後才能加入網路。802.1x 使用的驗證演算法有好幾種。其中的一些範例包括:MD5 挑戰、EAP-TLS、EAP-TTLS、保護的 EAP (PEAP)、以及 EAP Cisco 無線可輕微延伸的驗證通訊協定 (LEAP)。這些都是無線用戶端向 RADIUS 伺服器識別自己的身份的方法。使用 RADIUS 驗證,使用者的身份會根據資料庫被檢查。RADIUS 組成一組強調「驗證」、「授權」、和「會計」(AAA) 的標準。Radius 包括在多重伺服器環境中驗證用戶端的 proxy 程序。IEEE 802.1x 標準是用來控制和驗證連接埠式 802.11 無線和有線 Ethernet 網路的存取。連接埠式的網路存取控制和切換本機區域網路 (LAN) 基礎架構類似,如果驗證程序失敗,此架構會驗證連接到 LAN 連接埠的裝置,並預防該連接埠的存取。
RADIUS 是 AAA 撥號用戶端在「網路存取伺服器」登入和登出時使用的「遠端存取撥入使用者服務」、「授權」、「驗證」、以及「會計」(AAA) 用戶端-伺服器通訊協定。一般來說,「網路服務提供商」(ISP) 會使用 RADIUS 來執行 AAA 作業。AAA 階段的說明如下:
驗證階段: 根據本機資料庫驗證使用者名稱和密碼。驗證身份後,授權程序就會開始。
授權階段: 決定是否允許某個要求存取資源。IP 位址會被指派給「撥號」用戶端。
會計階段: 為了趨勢分析、審核、階段時間記帳、或成本配置收集的資源使用資訊。
802.1x 驗證的簡要說明是:
用戶端傳送「要求存取」訊息到存取點。存取點要求用戶端的身份。
用戶端以它的身份封包回應,然後傳送到驗證伺服器。
驗證伺服器傳送「接受」封包給存取點。
存取點會將用戶端連接埠放在授權的狀態,資料流量可允許通過。
802.1x 請求者通訊協定支援
可延伸驗證通訊協定 (EAP) 的支援 - RFC 2284
受支援的驗證方法:
MD5 - RFC 2284
EAP TLS 驗證通訊協定 - RFC 2716 和 RFC 2246
EAP 通道式 TLS (TTLS)
Cisco LEAP
EAP-FAST
EAP-SIM
PEAP
支援 Windows XP、2000
請參考保全性設定以獲取更多資訊。
Wi-Fi 保護的存取 (WPA/WPA2) 是保全性增強功能,可大幅提高資料保護和無線網路存取控制的等級。WPA 執行 802.1x 驗證和金鑰互換,並且僅可與動態加密金鑰作業。要強化資料加密,WPA 使用會其「暫時密碼整合通訊協定」(TKIP)。TKIP 提供重要的資料加密增強功能,包括每個封包的金鑰混合功能、訊息整合性檢查 (MIC) 叫做 Michael、以及含順序規格的延長初始化向量 (IV) 、和再次金鑰設定機制。使用這些改善的增強功能,TKIP 可防護一些 WEP 的已知弱點。
符合 IEEE TGi 規格的第二代 WPA 稱為 WPA2。
WPA/WPA2 – 企業會在含有 802.1x RADIUS 伺服器的企業網路上提供這種等級的保全性。選取某種「驗證類型」以符合 802.1x 伺服器的驗證通訊協定。
WPA/WPA2 - 個人會在小型網路或家庭環境中提供這種等級的保全性。其使用一種稱為預先共用金鑰 (PSK) 的密碼。這個密碼越長,無線網路的保全性就越牢固。如果您的 "無線存取點" 或 "路由器" 支援 "WPA/WPA2 個人" (WPA-PSK) 的話,您就應該在該存取點將其啟用,並提供一個長又牢靠的密碼。輸入存取點的相同密碼也要使用於這部點腦以及其它存取無線網路的無線裝置。
Cisco LEAP (Cisco Light EAP) 是透過使用者供應的登入密碼的伺服器和用戶端 802.1x 驗證。當無線存取點與 Cisco LEAP 啟用的 RADIUS (Cisco Secure Access Control Server (ACS) 伺服器)通訊時,Cisco LEAP 會透過用戶端無線介面卡和無線網路介面卡之間的相互驗證提供存取控制和提供動態、個別的使用者加密鍵來幫助保護傳輸資料的私密性。
設定無線 LAN 以進行快速連線時,啟用 LEAP 的用戶端裝置可從一個存取點漫遊到另外一個存取點,而不需要主伺服器的介入。使用「Cisco 中央化的金鑰管理」(CCKM) - 設定以提供「無線網域服務」(WDS) 的存取點會取代 RADIUS 伺服器的位置並驗證用戶端,但不會有明顯的語音或其它時間性應用程式延遲的情況發生。
Cisco Key Integrity Protocol (CKIP) 是 Cisco 在 802.11 媒體中加密的專屬安全性通訊協定。CKIP 使用以下的功能來改善基礎架構模式中的 802.11 保全性:
金鑰排列 (KP)
訊息整合性檢查 (MIC)
訊息順序號碼
EAP-FAST,像 EAP-TTLS 和 PEAP,使用通道處理來保護流量。主要的差異處是 EAP-FAST 不使用憑證來進行驗證。
當伺服器要求 EAP-FAST 時,EAP-FAST 中的規範完全由用戶端當成第一次通訊互換來進行交涉。如果用戶端沒有預先共用的祕密 "受保護的存取身分證明" (PAC) ",它可以要求初始化規範 EAP-FAST 互換來從伺服器動態地獲取一個。
EAP-FAST 記錄兩種提供 PAC 的方法: 透過脫離頻帶保全機制以手動方式提供、以及自動規範。
手動提供機制可以是網路管理員認為足以保護其網路的任何提供機制。
自動規範則是建立一個加密的通道來保護用戶端的驗證以及提供 PAC 給用戶端的安全性。這種機制,雖然 沒有手動方法安全,但是,比 LEAP 中使用的驗證方法還要安全。
EAP-FAST 方法可以分成兩個部份: 規範、和驗證。
規範階段包括初步提供 PAC 給用戶端。每個用戶端和使用者僅需要執行一次這個階段。
有些存取點,例如 Cisco 350 或 Cisco 1200,可支援不是所有用戶端站台都支援的 WEP 加密環境,這就叫做「混合廣播網路模式」。當這些無線網路以「選擇性加密」模式操作時,加入 WEP 模式的用戶端站台傳送的訊息全部都會加密,而用標準模式加入的用戶端站台,傳送的訊息全部都不加密。這些 AP 廣播網路沒有使用加密,但是可允許用戶端使用 WEP 模式加入。在設定檔中啟用「混合廣播網路」時,就可讓您連接到為「選擇性加密」設定的存取點。 請參考與 Cisco 相容的延伸功能選項以獲取更多資訊。
當這個功能啟用時,您的無線介面卡會為 Cisco 基礎架構提供無線電管理。如果在此基礎架構上使用 "Cisco 無線電管理" 公用程式的話,它就會設定無線電參數、偵測干擾、以及 Rouge 存取點。