На страницу содержания

Обзор возможностей защиты. Руководство пользователя сетевого адаптера Intel(R) PRO/Wireless 2915ABG



WEP-шифрование

Использование шифрования IEEE 802.11 Wired Equivalent Privacy (WEP) может предотвратить несанкционированное получение данных беспроводной сети. WEP-шифрование обеспечивает два уровня защиты, используя 64-битный ключ (иногда представляется как 40-битный) или 128-битный ключ (также известен как 104-битный). Используйте 128-битный ключ для лучшей защиты. Если Вы используете шифрование, все устройства в беспроводной сети должны использовать одинаковые ключи шифрования.

WEP-шифрование (Wired Equivalent Privacy) и общая аутентификация обеспечивают защиту Ваших данных в сети. WEP-шифрование использует ключ шифрования для кодирования данных перед их отправкой. Только компьютеры, использующие этот же ключ, могут получить доступ к сети и расшифровать переданные другими компьютерами данные. Аутентификация обеспечивает дополнительную проверку адаптером и точкой доступа.

Алгоритм WEP-шифрования уязвим к несанкционированным атакам в сети. Алгоритмы TKIP и CKIP содержат дополнения для WEP-протокола, который сдерживает атаки и снижает недостатки сетей.

Открытый и общий ключи аутентификации

Спецификация 802.11 поддерживает два типа методов сетевой аутентификации: "открытая система" и "общий ключ".


Аутентификация стандарта 802.1x

Как работает аутентификация 802.1x
Функции 802.1x

 

Обзор

Аутентификация по стандарту 802.1x - это процесс, независимый от аутентификации по стандарту 802.11. Стандарт 802.1x обеспечивает основы для различных видов аутентификации и протоколов манипулирования ключами. В стандарте 802.1x присутствуют различные типы аутентификации, каждый из которых обеспечивает свой подход к установлению подлинности, но все они используют один протокол 802.1x и структуру для взаимодействия между клиентом и точкой доступа. В большинстве протоколов, после выполнения процесса аутентификации по стандарту 802.1x, приемная сторона получает ключ, который она использует для шифрования данных. Для получения дополнительной информации см. раздел "Как работает аутентификация 802.1x". При аутентификации по стандарту 802.1x используется метод установления подлинности между клиентом и сервером удаленной аутентификации RADIUS (Remote Authentication Dial-In User Service), к которому подключена точка доступа. Процесс аутентификации использует идентификационную информацию, например, пароль пользователя, который не передается через беспроводную сеть. Большинство видов аутентификации 802.1x поддерживают динамические ключи для пользователя и сеанса для усиления защиты статического ключа. Стандарт 802.1x имеет преимущества перед использованием существующего протокола аутентификации EAP (Extensible Authentication Protocol).

Аутентификация по стандарту 802.1x для беспроводных локальных сетей имеет три главных компонента: аутентификатор (точка доступа), запросчик (программное обеспечение клиента) и сервер аутентификации (Remote Authentication Dial-In User Service server - RADIUS). Защита аутентификации стандарта 802.1x инициирует запрос на аутентификацию от клиента беспроводной сети в точку доступа, которая устанавливает его подлинность через протокол EAP в соответствующем сервере RADIUS. Этот сервер RADIUS может выполнить аутентификацию пользователя (с помощью пароля или сертификата) или компьютера (с помощью адреса MAC). Теоретически, клиент беспроводной сети не может войти в сеть до завершения транзакции. Существует несколько аутентификационных алгоритмов, используемых для спецификации 802.1x. Некоторые примеры: MD5-Challenge, EAP-TLS, EAP-TTLS, защищенный протокол EAP (PEAP) и EAP Cisco Wireless Light Extensible Authentication Protocol (LEAP). Эти методы используются при идентификации клиента беспроводной локальной сети в сервере RADIUS. Во время аутентификации в сервере RADIUS пользователи проходят проверку в специализированных базах данных. Аутентификация RADIUS основана на наборе стандартов, предназначенных для аутентификации, авторизации и ведения учетных записей (Authentication, Authorization and Accounting - AAA). Сервер Radius содержит прокси-процесс для проверки клиентов в многосерверной среде. Стандарт IEEE 802.1x предназначен для управления и аутентифицированного доступа к беспроводным сетям на основе портов 802.11 и проводных сетей Ethernet. Управление сетевым доступом, основанным на использовании портов, подобно инфраструктуре локальной сети, управляемой с помощью коммутаторов, которая идентифицирует устройство, подключенное к порту ЛС, и запрещает доступ к этому порту, если процесс аутентификации был неудачен.

Что такое RADIUS?

RADIUS (Remote Access Dial-In User Service) - это сервис протокола клиент-сервер для авторизации, аутентификации и ведения учетных записей (Authorization, Authentication, and Accounting - AAA), который используется для регистрации клиентов в сервере сетевого доступа по коммутируемой линии. Обычно сервер RADIUS используется поставщиками услуг доступа в Интернет (Internet Service Providers - ISP) для выполнения задач AAA. Далее описаны фазы AAA:


Как работает аутентификация 802.1x

Упрощенное определение аутентификации стандарта 802.1x:

  1. Клиент направляет сообщение с "запросом на доступ" в точку доступа. Точка доступа запрашивает идентификационную информацию клиента.

  2. Клиент отвечает пакетом со своей идентификационной информацией, которая переправляется в сервер аутентификации.

  3. Сервер аутентификации отправляет пакет подтверждения в точку доступа.

  4. Точка доступа переводит порт клиента в авторизованное состояние, после чего возможна отправка данных.


Особенности 802.1x

Для получения дополнительной информации см. раздел "Настройки защиты".


WPA/WPS2

Стандарт Wi-Fi Protected Access (WPA/WPA2) - усовершенствованный стандарт безопасности, который значительно поднимает уровень защищенности и управления доступом к данным беспроводных локальных сетей. WPA активизирует аутентификацию по стандарту 802.1x, обмен ключами и может работать только с динамическими ключами шифрования. Для усиления шифрования данных WPA использует протокол целостности временного ключа (Temporal Key Integrity Protocol - TKIP). Протокол TKIP обеспечивает важные усовершенствования шифрования данных, которые включают функцию смешения содержимого ключа для каждого пакета, проверку целостности сообщений (message integrity check - MIC), имеющую название "Michael", расширенный вектор инициализации (initialization vector - IV) с последовательными правилами и механизм манипуляций с ключом. С помощью этих усовершенствований протокол TKIP обеспечивает защиту уязвимых мест WEP-шифрования.

Вторым поколением WPA, которое объединено со спецификацией IEEE TGi, является WPA2.

"WPA/WPA2 – Enterprise" обеспечивает уровень защиты в сетях предприятий, в которых находится сервер 802.1x RADIUS. Тип аутентификации выбирается в соответствии с аутентификационным протоколом, используемым сервером 802.1x.

"WPA/WPA2 - персональная" обеспечивает уровень защиты в небольших сетях или в домашних условиях. Она использует пароль, который называется предварительно опубликованным ключом (pre-shared key - PSK). Чем больше длина используемого пароля, тем надежнее защита беспроводной сети. Если ваша беспроводная точка доступа или маршрутизатор поддерживают WPA/WPA2-персональную аутентификацию (WPA-PSK), тогда Вы должны использовать ее в точке доступа, а также назначить длинный и надежный пароль. Этот пароль должен использоваться на этом компьютере и на всех беспроводных устройствах сети для подключения к этой точке доступа.


Функции Cisco

Cisco LEAP

Cisco LEAP (Cisco Light EAP) - это аутентификация сервера и клиента 802.1x через пароль, предоставляемый пользователем. Когда точка доступа беспроводной сети взаимодействует с LEAP-совместимым сервером Cisco RADIUS (сервер Cisco Secure Access Control Server (ACS)), Cisco LEAP осуществляет управление доступом через взаимную аутентификацию между беспроводными адаптерами клиентов и предоставляет динамические, индивидуальные ключи шифрования пользователей для защиты конфиденциальности передаваемых данных.

Быстрый роуминг (CCKM)

Когда беспроводная ЛС сконфигурирована для выполнения быстрого переподключения, клиент с активной поддержкой протокола LEAP может перемещаться от одной точки доступа к другой без вмешательста главного сервера. Используя централизованное управление Cisco (Cisco Centralized Key Management - CCKM), точка доступа, сконфигурированная для обеспечения работы беспроводной службы доменов (Wireless Domain Services - WDS), заменяет сервер RADIUS и аутентифицирует клиента без существенной задержки, которые даже для голосовых или других, зависимых от времени приложений.

CKIP

Cisco Key Integrity Protocol (CKIP) - это собственный протокол защиты Cisco для шифрования в среде 802.11. Протокол CKIP использует следующие особенности для усовершенствования защиты 802.11 в режиме "infrastructure":

 

EAP-FAST

 

EAP-FAST, подобно EAP-TTLS и PEAP, использует туннелирование для защиты сетевого трафика. Главным отличием является то, что EAP-FAST не использует сертификаты для аутентификации.

 

Аутентификация в среде EAP-FAST представляет собой единственный коммуникационный обмен, инициируемый клиентом, когда EAP-FAST запрошена сервером.  Если клиент не имеет предварительно опубликованного ключа PAC (Protected Access Credential), он может запросить аутентификационный обмен EAP-FAST для динамического получения ключа от сервера.

 

EAP-FAST имеет два метода доставки ключа PAC: доставка вручную с помощью внеполосного механизма и автоматического входа.

Метод EAP-FAST можно разделить на две части: вход и аутентификация.

Фаза входа представляет собой начальную доставку клиенту ключа PAC. Эта часть нужна клиенту и пользователю только один раз.

 

 

Смешанный режим

 

Процесс, когда некоторые точки доступа, например, Cisco 350 или Cisco 1200 поддерживают среды, в которых не все клиентские станции поддерживают WEP-шифрование, называется режимом Mixed-Cell. Когда некоторые беспроводные сети работают в режиме “дополнительного шифрования”, клиентские станции, подключившиеся к сети в режиме WEP-шифрования, отправляют все сообщения в шифрованном виде, а станции, подключившиеся к сети в стандартном режиме, передают все сообщение нешифрованными. Все точки доступа передают широковещательные сообщения нешифрованными, но позволяют клиентам использовать режим WEP-шифрования. Когда режим “Mixed-Cell” разрешен в профиле, Вы можете подключиться к точке доступа, которая сконфигурирована для “дополнительного шифрования”.  Для получения дополнительной информации см. раздел "Параметры Cisco Compatible Extensions".

 

Управление радиообменом

 

Если эта функция включена, беспроводный адаптер обеспечивает информацию управления радиообменом для режима Cisco infrastructure. Если программа Cisco Radio Management используется в сети infrastructure, она конфигурирует параметры радиообмена, определяет уровень помех и фиктивные точки доступа.

 

 


 

На страницу содержания