Du kan forhindre ikke godkjent mottak av trådløsdata ved hjelp av krypteringen IEEE 802.11 Wired Equivalent Privacy (WEP). WEP-kryptering inneholder to sikkerhetsnivåer som bruker en 64-biters nøkkel (også omtalt som 40-biters) eller en 128-biters nøkkel (også kjent som 104-biters). Den beste sikkerheten får du ved bruk av en 128-biters nøkkel. Hvis du bruker kryptering, må alle trådløse enheter på trådløsnettverket bruke de samme krypteringsnøklene.
WEP-kryptering (Wired Equivalent Privacy) og delt godkjenning beskytter dataene på nettverket. WEP bruker en krypteringsnøkkel til å kryptere dataene før sending. Bare datamaskiner som bruker samme krypteringsnøkkel, får tilgang til nettverket eller kan dekryptere de krypterte dataene som overføres av andre datamaskiner. Godkjenning utgjør en ekstra valideringsprosess fra kortet til tilgangspunktet.
WEP-krypteringsalgoritmen er sårbar overfor passive og aktive nettverksangrep. TKIP- og CKIP-algoritmer inkluderer forbedringer til WEP-protokollen som demper eksisterende nettverksangrep og tar for seg manglene ved dem
802.11 støtter to typer nettverksautentifikasjonsmetoder; Åpent system og Delt nøkkel.
Ved å bruke Åpen godkjenning kan enhver trådløs stasjon anmode om godkjenning. Stasjonen som behøver å bli godkjent med en annen trådløs stasjon, sender en godkjenningsadminstrasjonsramme som inneholder identiteten til stasjonen som sender. Mottaksstasjonen eller AP vil innvilge enhver forespørsel om godkjenning. Åpen godkjenning gir enhver enhet nettverkstilgang. Dersom det ikke er aktivert noen kryptering på nettverket, kan enhver innretning som kjenner til tilgangspunktets SSID, få tilgang til nettverket.
Ved hjelp av Delt nøkkel-godkjenning antas enhver trådløs stasjon å ha mottatt en hemmelig delt nøkkel via en sikker kanal som er uavhengig av 802.11-nettverkskommunikasjonskanalen. Delt nøkkelgodkjenning krever at klienten konfigurerer en statisk WEP-nøkkel. Klienttilgangen vil bli innvilget bare dersom den passerte en utfordringsbasert godkjenning.
Hvordan 802.1xautentifikasjon virker
802.1x-funksjoner
Oversikt
802.1x-godkjenningen er uavhengig av 802.11-godkjenningsprosessen. 802.1x-standarden gir et rammeverk for flere godkjennings- og nøkkeladministrasjonsprotokoller. Det finnes forskjellige 802.1x-godkjenningstyper, og hver gir forskjellige innfallsvinkler til godkjenningen, men alle tar i bruk den samme 802.1x-protokollen og det samme rammeverk for kommunikasjonen mellom en klient og et tilgangspunkt. I de fleste protokollene, når 802.1x-godkjenningsprosessen er ferdig, mottar søkeren en nøkkel som den benytter til datakryptering. Se Hvordan 802.1x-autentifikasjon virker for å få mer informasjon. Med 802.1x-godkjenning brukes en godkjenningsmetode mellom klienten og en RADIUS-server (Remote Authentication Dial-In User Service) som er koblet til tilgangspunktet. Godkjenningsprosessen benytter legitimasjonsbeskrivelsene, slik som en brukers passord, som ikke sendes over det trådløse nettverket. De fleste 802.1x-typene støtter dynamisk per-bruker, per økt-nøkler for å styrke den statiske nøkkelsikkerheten. 802.1x tjener på bruken av eksisterende godkjenningsprotokoll kjent som EAP (Extensible Authentication Protocol).
802.1x-godkjenning for trådløse LAN har tre hovedkomponenter: Den som godkjenner (tilgangspunktet), søkeren (klientprogramvaren) og autentifikasjonsserveren (en RADIUS-server (Remote Authentication Dial-In User Service)). 802.1x-autentifikasjonssikkerhet starter en godkjenningsforespørsel fra trådløsklienten til tilgangspunktet som godkjenner klienten til en EAP-kompatibel (Extensible Authentication Protocol) RADIUS-server. RADIUS-serveren kan godkjenne brukeren (via passord eller sertifikater) eller systemet (ved MAC-adressen). Teoretisk sett får ikke den trådløse klienten lov til å bli med i nettverkene før transaksjonen er fullført. Det brukes mange autentifikasjonsalgoritmer for 802.1x. Noen eksempler er: MD5-Challenge, EAP-TLS, EAP-TTLS, Protected EAP (PEAP) og EAP Cisco Wireless LEAP (Light Extensible Authentication Protocol). Dette er alle metoder for trådløsklienten for å identifisere seg selv overfor RADIUS-serveren. Med RADIUS-autentifikasjon kontrolleres brukeridentitetene mot databaser. RADIUS utgjør et sett med standarder som omhandler AAA (Authentication, Authorization, Accounting). Radius inkluderer en proxy-prosess for validering av klienter i et flerservermiljø. Standarden IEEE 802.1x er for å kontrollere og godkjenne tilgang til portbasert 802.11 trådløst og ledningsammenbundet Ethernet nettverk. Portbasert nettverkstilgangskontroll er lik en svitsjet LAN-infrastruktur som godkjenner innretninger som er festet til en LAN-port og hindrer tilgang til den porten dersom godkjenningsprosessen mislykkes.
RADIUS står for Remote Access Dial-In User Service, og er en AAA-klientserverprotokoll (Authorization, Authentication, Accounting) for en ekstern AAA-klientserver som logger inn på eller ut av en nettverkstilgangsserver. Vanligvis brukes en RADIUS-server av Internett-leverandører (ISP - Internet Service Providers) til å utføre AAA-oppgaver. AAA-fasene beskrives som følger:
Godkjenningsfasen: Kontrollerer et brukernavn og passord mot en lokal database. Når legitimasjonsbeskrivelsene er kontrollert, begynner autoriseringsprosessen.
Autoriseringsfasen: Fastsetter om en forespørsel får innvilget tilgang til en ressurs. En IP-adresse tilordnes for den eksterne klienten.
Regnskapsfasen: Samler informasjon om ressursforbruk med det formål å analysere trender, overvåke, fakturere økttid eller fordele kostnader
En forenklet beskrivelse av 802.1x-godkjenningen er:
En klient sender en melding med "forespørsel om tilgang" til et tilgangspunkt. Tilgangspunktet ber om klientens identitet.
Klienten svarer med identitetspakken som er sendt til godkjenningsserveren.
Godkjenningsserveren sender en "godta"-pakke til tilgangspunktet.
Tilgangspunktet plasserer klientporten i autorisert tilstand, og datatrafikken får tillatelse til å bli behandlet.
802.1x-søkerprotokollstøtte
Støtte for Extensible Authentication Protocol (EAP) - RFC 2284
Støttede godkjenningsmetoder:
MD5 - RFC 2284
EAP TLS-godkjenningsprotokoll - RFC 2716 og RFC 2246
EAP Tunneled TLS (TTLS)
Cisco LEAP
EAP-FAST
EAP-SIM
PEAP
Støtter Windows XP, 2000
Se Sikkerhetsinnstillinger hvis du vil ha mer informasjon.
Wi-Fi-beskyttet tilgang (WPA/WPA2) er en sikkerhetsutvidelse som kraftig øker databeskyttelsesnivået og tilgangskontrollen til et trådløsnettverk. WPA tvinger frem 802.1x-autentifikasjon og nøkkelutveksling og virker bare med dynamiske krypteringsnøkler. For å styrke datakrypteringen bruker WPA sin Midlertidige Nøkkelintegritetsprotokoll (TKIP). TKIP sørger for viktig datakrypteringsutvidelser som omfatter encryption enhancements that include a en nøkkelblandingsfunksjon per pakke, en beskjedintegritetssjekk(MIC) som heter Michael, en utvidet initialiseringsvektor (IV) med sekvensregler og også en gjen-nøkkelmekanisme. Ved hjelp av disse forbedringene beskytter TKIP mot WEPs kjente svakheter.
Den andre generasjonen WPA som oppfyller IEEE TGi-spesifikasjonen, er kjent som WPA2.
WPA/WPA2 – foretak sørger for dette sikkerhetsnivået på foretaksnettverk med en 802.1x RADIUS-server. En Autentifikasjonstype velges for å passe til autentifikasjonsprotokollen for 802.1x-serveren.
WPA/WPA2 - personlig sørger for dette sikkerhetsnivået i mindre nettverk eller i hjemmemiljøer. Det bruker et passord som også kalles forhåndsdelt nøkkel (PSK). Jo lengre dette passordet er, jo kraftigere er sikkerheten i trådløsnettverket. Hvis trådløstilgangspunktet eller ruteren støtter WPA/WPA2-personlig (WPA-PSK), da må du aktivere det på tilgangspunktet og besørge et langt, kraftig passord. Det samme passordet som er satt inn i tilgangspunktet, må brukes på denne datamaskinen og alle andre trådløsenheter som får tilgang til trådløsnettverket.
Cisco LEAP (Cisco Light EAP) er en 802.1x-godkjenning for server og klient via brukerdefinert påloggingspassord. Når et trådløst tilgangspunkt kommuniserer med en Cisco LEAP-aktivert RADIUS (Cisco-sikker tilgangskontrollserver (ACS)-server), gir Cisco LEAP tilgangskontroll via gjensidig godkjenning mellom klientens trådløskort og det trådløse nettverket og gir dynamiske, individuelle brukerkrypteringsnøkler for å hjelpe til med å beskytte personvernet i de overførte dataene.
Når et trådløst LAN er konfigurert for hurtiggjenkjenning, kan en LEAP-aktivert klientenhet streife fra et tilgangspunkt til et annet uten å involvere hovedserveren. Ved bruk av Cisco Centralized Key Management (CCKM) tar et tilgangspunkt som er konfigurert for å gi Wireless Domain Services (WDS), plassen til RADIUS-serveren og autentifiserer klienten uten merkbar forsinkelse i stemmen eller andre tidssensitive applikasjoner.
Cisco Key Integrity Protocol (CKIP) er en Cisco-egen sikkerhetsprotokoll for kryptering i 802.11-medier. CKIP bruker følgende egenskaper for å forbedre 802.11-sikkerheten i infrastrukturmodus:
Nøkkelpermutasjon (KP)
Meldingsintegritetssjekk (MIC)
Meldingssekvensnummer
EAP-FAST, på samme vis som EAP-TTLS og PEAP, bruker tunnelering for å beskytte trafikken. Hovedforskjellen er at EAP-FAST ikke bruker sertifikater for å autentifisere.
Besørgelse i EAP-FAST forhandles kun av klienten som første kommunikasjonsutveksling når serveren ber om EAP-FAST. Hvis klienten ikke har en forhåndsdelt hemmelig Beskyttet tilgangslegitimasjonsbeskrivelse (PAC), kan den anmode om å starte en besørgelse av EAP-FAST-utveksling for dynamisk å erverve en fra serveren.
EAP-FAST-dokumenterer to metoder for å levere PAC: manuell levering gjennom en sikker mekanisme utenfor båndet, og automatisk besørgelse.
Manuelle leveringsmekanismer kan være enhver leveringsmekanisme som administratoren av nettverket synes er tilstrekkelig sikker for sitt nettverk.
Automatisk besørgelse etablerer en kryptert tunnel for å beskytte autentifikasjonen av klienten og leveringen av PAC til klienten. Denne mekanismen, selv om den ikke er så sikker som en manuell metode kan være, er sikrere enn den autentifikasjonsmetoden som brukes i LEAP.
EAP-FAST-metoden kan deles inn i to deler: besørgelse og autentifikasjon.
Denne besørgelsesfasen involverer den første leveringen av PAC til klienten. Denne fasen trenger behøver kun å bli utført en gang per klient og bruker.
Enkelte tilgangspunkter, for eksempel Cisco 350 eller Cisco 1200, støtter omgiveler der ikke alle klientstasjoner støtter WEP-kryptering, dette kalle en mikset-celle-modus. Når disse trådløse nettverkene virker i "alternativ krypterings”-modus, sender klientstasjonene som slutter seg til WEP-modus, alle meldingene kryptert, og stasjoner som slutter seg til ved hjelp av standardmosus, sender alle meldingene ukryptert. Disse AP-er kringkaster at nettverket ikke bruker kryptering, men tillater at klientene slutter seg til ved hjelp av WEP-modus. Når "Mikset celle" er aktivert i en profil, lar den deg koble til tilgangspunktene som er konfigurert for "alternativ kryptering". Se på Alternativer Cisco Compatible Extensions for å få mer informasjon.
Når denne funksjonen er aktivert, gir trådløskortet radiostyringsinformasjon til Cisco-infrastrukturen. Hvis Cisco-radiostyringsverktøyet brukes på infrastrukturen, vil det konfigurere radioparametre, oppdage interferens og Rogue-tilgangspunkter.