Ez a rész leírja a WiFi hálózatok védelmére szolgáló különféle biztonsági módszereket.
802.1X szerinti hitelesítés (vállalati biztonság)
A védtelenül hagyott vezeték nélküli hálózatra más számítógépek be tudnak hatolni. Az alábbiakban leírt biztonsági módszerekkel könnyen megvédheti otthoni vagy kis vállalati hálózatát a jogosulatlan behatolás szinte minden formájától.
Amikor egy ügyfélgép (általában noteszgép) csatlakozást kér egy hálózat hozzáférési pontján, kérését a hitelesítési folyamat ismeri fel és bírálja el. A hitelesítés elvégzése és a hozzáférés megadása után az ügyfélgép hozzáférést kap a hálózathoz.
A vezeték nélküli hálózaton átküldött adatokat titkosítani lehet a többféle titkosítási algoritmus valamelyikével. Csak az előre közölt kulccsal rendelkező számítógépek tudnak adatokat titkosítani és visszafejteni. A titkosító kulcs kétféle biztonsági szintű lehet: 64 bites vagy 128 bites. A 128 bites kulcs biztonságosabb.
Hálózatát egyszerűen biztonságosabbá teheti, ha úgy állítja be a hozzáférési pontot, hogy az ne tegye közzé a hálózatnevet (SSID). A hálózat elérésének előfeltétele az SSID ismerete. A hálózatot csak azok a gépek tudják elérni, amelyek ismerik az SSID-t. (Az SSID közzétételét nem az Intel(R) PROSet/Wireless WiFi-csatlakozás segédprogram állítja be, hanem a hozzáférési ponton lehet beállítani.)
Az IEEE 802.11 hitelesítésnél a hálózati hitelesítés két fajtája támogatott: a Nyílt és a Megosztott kulcsos módszer.
A WEP (Wired Equivalent Privacy) algoritmus titkosítja a vezeték nélküli adatokat, hogy csak a jogosultak tudják visszafejteni. A WEP az adatokat elküldésük előtt titkosító kulccsal titkosítja. Csak azok a számítógépek férhetnek hozzá a hálózathoz és fejthetik vissza a többi számítógép által küldött titkosított adatokat, amelyek ugyanazt a titkosító kulcsot használják. A WEP titkosítás kétféle biztonsági szintet támogat: a 64 bites (40 bitesnek is nevezett) és a 128 bites (104 bitesnek is nevezett) kulcsot. A 128 bites kulcs biztonságosabb. Titkosítás alkalmazásakor a vezeték nélküli hálózaton lévő valamennyi vezeték nélküli eszköznek ugyanazokat a titkosítási kulcsokat kell használnia.
WEP adattitkosítás esetén a vezeték nélküli állomáson legfeljebb négy kulcs állítható be (ezek indexértékei 1, 2, 3 és 4). Amikor egy hozzáférési pont vagy vezeték nélküli állomás a négy hely valamelyikén tárolt kulccsal titkosított üzenetet küld, az üzenetben megadja az üzenettest titkosításához használt kulcs indexét. Az üzenetet kapó hozzáférési pont vagy vezeték nélküli állomás ezután kiolvassa az adott indexű kulcsot, és visszafejti vele a titkosított üzenetet
Mivel a WEP titkosítás nagyon gyenge védelmet nyújt a hálózati támadások ellen, helyette célszerű a WPA-Personal vagy a WPA2-Personal titkosítást használni.
A WPA-Personal üzemmód otthoni és kisvállalati felhasználók esetén célszerű. WPA-Personal esetén a hozzáférési ponton és az ügyfélgépeken kézileg be kell állítani egy PSK (előre közölt) kulcsot. Hitelesítő kiszolgálót nem igényel. A hozzáférési ponton beírt jelszót kell használni ezen a számítógépen és a vezeték nélküli hálózatra kapcsolódó összes többi eszközön is. A biztonság az alkalmazott jelszó erősségétől és titokban tartásától függ. Minél hosszabb ez a jelszó, annál biztonságosabb a vezeték nélküli hálózat. Ha a vezeték nélküli hozzáférési pont vagy útválasztó támogatja a WPA-Personal és WPA2-Personal titkosítást, akkor célszerű bekapcsolni a hozzáférési ponton, és hosszú, erős jelszót kell választani. A WPA-Personal két támogatott adattitkosítási algoritmusa a TKIP és az AES-CCMP.
WPA2-Personal esetén a hozzáférési ponton és az ügyfélgépeken kézileg be kell állítani egy PSK (előre közölt) kulcsot. Hitelesítő kiszolgálót nem igényel. A hozzáférési ponton beírt jelszót kell használni ezen a számítógépen és a vezeték nélküli hálózatra kapcsolódó összes többi eszközön is. A biztonság az alkalmazott jelszó erősségétől és titokban tartásától függ. Minél hosszabb ez a jelszó, annál biztonságosabb a vezeték nélküli hálózat. A WPA2 biztonságosabb, mint a WPA, és megvalósítja a teljes IEEE 802.11i szabványt. A WPA2 visszafelé kompatibilis a WPA-val. A WPA2-Personal két támogatott adattitkosítási algoritmusa a TKIP és az AES-CCMP.
MEGJEGYZÉS: A WPA-Personal és a WPA2-Personal együtt is használható ugyanazon a hálózaton.
Ez a rész a nagyobb vállalatoknál használt biztonsági módszereket írja le.
Áttekintés
A RADIUS ismertetése
A 802.1X alapú hitelesítés működése
A 802.1X funkciói
A 802.1X alapú hitelesítés független a 802.11 szerinti hitelesítési folyamattól. A 802.11 szabvány hitelesítési keretrendszert biztosít különböző hitelesítési és kulcskezelési protokollokhoz. Több különböző 802.1X alapú hitelesítési típus van, és mindegyik más-más megközelítéssel oldja meg a hitelesítést, de az ügyfélgép és a hozzáférési pont közötti kommunikációhoz ugyanazt a 802.11 protokollt és keretrendszert használják. A legtöbb protokollban a 802.1X alapú hitelesítés végeztével az ügyfélgép egy kulcsot kap az adatok titkosításához. További információk A 802.1X hitelesítés működése című részben találhatók. A 802.1X alapú hitelesítés hitelesítést végez az ügyfélgép és egy a hozzáférési pontra csatlakozott kiszolgáló (például egy RADIUS kiszolgáló) között. A hitelesítés felhasználói azonosító adatokat – például felhasználói jelszót – használ, amelyek átvitele nem a vezeték nélküli hálózaton történik. A legtöbb 802.1X alapú hitelesítés támogatja a dinamikus, felhasználónként és munkamenetenként változó kulcsokat, ezzel erősítve a kulcs biztonságát. A 802.1X hitelesítés kihasználja az EAP (Extensible Authentication Protocol) hitelesítő protokoll lehetőségeit is.
A vezeték nélküli hálózatok 802.1X alapú hitelesítésének három fő összetevője van:
A 802.1X szerinti hitelesítésnél a vezeték nélküli ügyfélgép egy hitelesítési kérelmet kezdeményez a hozzáférési ponton, amely egy EAP-kompatibilis RADIUS kiszolgálón hitelesíti az ügyfélgépet. A RADIUS kiszolgáló hitelesítheti a felhasználót (annak jelszavával vagy tanúsítványával) vagy a gépet (annak MAC-címével). A vezeték nélküli ügyfél elvileg addig nem csatlakozhat a hálózatra, amíg ez a tranzakció végbe nem ment. (Nem minden hitelesítési módszer használ RADIUS kiszolgálót. A WPA-Personal és a WPA2-Personal egy közös jelszót használ, amelyet be kell írni a hozzáférési pontba és a hálózatot használni kívánó összes eszközbe.)
A 802.1X többféle hitelesítő algoritmust használhat. Néhány példa: EAP-TLS, EAP-TTLS, Protected EAP (PEAP) és EAP Cisco Wireless Light Extensible Authentication Protocol (LEAP). A vezeték nélküli ügyfél ezek bármelyikével azonosíthatja magát a RADIUS kiszolgáló felé. A RADIUS alapú hitelesítés a felhasználók identitását adatbázisok alapján ellenőrzi. A RADIUS egy sor szabványt valósít meg, amelyek a hitelesítés, az engedélyezés és a használatkövetés (Authentication, Authorization és Accounting, azaz AAA) területét fedik le. A RADIUS több kiszolgálós környezetben proxy útján hitelesíti az ügyfeleket. Az IEEE 802.1X szabvány mechanizmust biztosít a 802.11 szerinti port alapú, vezeték nélküli és vezetékes Ethernet hálózatok elérésére és hitelesítésére. A port alapú hálózati hozzáférés-szabályozás hasonlít a kapcsolt helyi hálózatos (LAN) infrastruktúrára, amely a LAN-portokra csatlakozó eszközöket hitelesíti, és sikertelen hitelesítés esetén letiltja az illető port elérését.
A RADIUS a felhasználók távoli behívásos bejelentkezését kezelő engedélyezési, hitelesítési és használatkövető (AAA) ügyfél-kiszolgáló protokoll, amely akkor lép működésbe, amikor egy AAA-ügyfél bejelentkezik a hálózati hozzáférést kezelő kiszolgálóra vagy kijelentkezik onnan. A RADIUS kiszolgálókat az internet-szolgáltatók általában az AAA-feladatok ellátására használják. Az AAA a következő fázisokra bontható:
A 802.1X szerinti hitelesítés egyszerűsített sémája a következő:
Windows XP alatt a következő hitelesítési módszerek támogatottak:
Lásd Nyílt hitelesítés.
Lásd Megosztott kulcsos hitelesítés.
Lásd WPA-Personal.
Lásd WPA2-Personal.
A vállalati üzemmód a nagyvállalatok és az állami szervezetek igényeit elégíti ki. A WPA Enterprise esetén egy RADIUS vagy más hitelesítő kiszolgáló hitelesíti a hálózat felhasználóit. A WPA 128 bites titkosító kulcsokkal és dinamikus munkamenet-kulcsokkal gondoskodik a vezeték nélküli hálózat titkosságáról és a vállalat informatikai biztonságáról. A hitelesítési fajtáját a 802.1X kiszolgáló hitelesítési protokolljának megfelelően kell megválasztani.
A WPA2 Enterprise a nagyvállalatok és az állami szervezetek igényeit elégíti ki. A WPA2 Enterprise esetén egy RADIUS vagy más hitelesítő kiszolgáló hitelesíti a hálózat felhasználóit. A WPA2 128 bites titkosító kulcsokkal és dinamikus munkamenet-kulcsokkal gondoskodik a vezeték nélküli hálózat titkosságáról és a vállalat informatikai biztonságáról. A hitelesítési fajtáját a 802.1X kiszolgáló hitelesítési protokolljának megfelelően kell megválasztani. A vállalati üzemmód a nagyvállalatok és az állami szervezetek igényeit elégíti ki. A WPA2 biztonságosabb, mint a WPA, és megvalósítja a teljes IEEE 802.11i szabványt.
A betűnév az Advanced Encryption Standard - Counter CBC-MAC Protocol rövidítése. A vezeték nélküli összeköttetések titkosítására szolgáló új módszer, amelyet az IEEE 802.11i szabvány specifikál. Az AES-CCMP erősebb titkosítást biztosít, mint a TKIP. Akkor válassza az AES-CCMP adattitkosítást, ha erős adatvédelemre van szüksége. Az AES-CCMP protokoll WPA/WPA2 Personal/Enterprise hálózati hitelesítésnél használható.
MEGJEGYZÉS: Előfordulhat, hogy operációs rendszere nem támogat egyes biztonsági megoldásokat, ezért ezekhez további szoftverekre és/vagy hardverekre, valamint a vezeték nélküli LAN infrastruktúra támogatására lehet szükség. A részleteket kérdezze meg a számítógép gyártójától.
A TKIP (Temporal Key Integrity Protocol) csomagonkénti kulcskeverést, üzenetépség-ellenőrzést és kulcsváltó mechanizmust alkalmaz. A TKIP protokoll WPA/WPA2 Personal/Enterprise hálózati hitelesítésnél használható.
Lásd CKIP.
A WEP (Wired Equivalent Privacy) algoritmus titkosítja a vezeték nélküli adatokat, hogy csak a jogosultak tudják visszafejteni. A WEP az adatokat elküldésük előtt titkosító kulccsal titkosítja. Csak azok a számítógépek férhetnek hozzá a hálózathoz és fejthetik vissza a többi számítógép által küldött titkosított adatokat, amelyek ugyanazt a titkosító kulcsot használják. A vállalati szintű WEP nem ugyanaz, mint a személyes WEP: az előbbinél a Nyílt hálózat-hitelesítés választása után a 802.1X engedélyezése lehetőséget bejelölve bármelyik ügyfélgép-hitelesítő módszer választható. A személyes WEP esetén nem lehet hitelesítési típust választani.
Olyan hitelesítési módszer, amely az EAP hitelesítési protokollt, valamint a Transport Layer Security (TLS) biztonsági protokollt alkalmazza. Az EAP-TLS jelszavakkal kombinált tanúsítványokat használ. Az EAP-TLS hitelesítés támogatja a dinamikus WEP-kulcsok kezelését. A TLS protokoll a nyilvános hálózatokon zajló kommunikáció védelmére és hitelesítésére szolgál, és ehhez adattitkosítást használ. A TLS handshake protokoll lehetővé teszi, hogy a kiszolgáló és az ügyfél kölcsönösen hitelesítse egymást, és az adatcsere előtt megegyezzenek a titkosító algoritmusban és a titkosító kulcsokban.
Ezek a beállítások határozzák meg a felhasználó hitelesítésénél alkalmazott protokollt és azonosító adatokat. A TTLS (Tunneled Transport Layer Security) alkalmazásakor az ügyfél az EAP-TLS használatával hitelesíti a kiszolgálót és egy TLS titkosítású csatornát hoz létre az ügyfél és a kiszolgáló között. Az ügyfélgép más hitelesítési protokollt is használhat. A jelszót használó protokollok általában védett, TLS titkosítású csatornán keresztül viszik át a kérdést és a választ (challenge/response). A TTLS megvalósítások ma az EAP által definiált összes módszert támogatják, továbbá számos régi módszert is (PAP, CHAP, MS-CHAP és MS-CHAP-V2). A TTLS könnyen kiterjeszthető úgy, hogy együttműködjön az új protokollokkal. Ehhez új attribútumokat kell definiálni.
A PEAP egy új EAP alapú IEEE 802.1X szerinti hitelesítéstípus, amely kihasználja a kiszolgáló oldali EAP-Transport Layer Security (EAP-TLS) lehetőségeit, és több különböző hitelesítési módszert támogat, köztük a felhasználói jelszavakat, az egyszer használatos jelszavakat és a Generic Token Card azonosítókártyákat.
Az EAP (Extensible Authentication Protocol) egyik fajtája. A LEAP (Light Extensible Authentication Protocol) a Cisco által kifejlesztett bővíthető hitelesítési protokoll, amely kérdés-válasz típusú hitelesítési mechanizmust biztosít és dinamikus kulcsokkal működik.
Az EAP-SIM egy olyan mechanizmus, amely a hitelesítést és a munkamenet-kulcsok szétosztását támogatja. A GSM-SIM – Global System for Mobile Communications (GSM) Subscriber Identity Module (SIM) – módszert használja. Az EAP-SIM egy az ügyféladapter és a RADIUS kiszolgáló adataiból származtatott dinamikus, munkamenet alapú WEP kulccsal titkosítja az adatokat. Az EAP-SIM felhasználó-hitelesítő kódot (PIN-kódot) igényel a SIM (Subscriber Identity Module) kártyával való kommunikációhoz. A SIM a GSM (Global System for Mobile Communications) mobilhálózatokban használatos speciális chipkártya. Az EAP-SIM mechanizmust az RFC 4186 írja le.
Az EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) egy hitelesítésre és munkamenet-kulcsok szétosztására szolgáló EAP mechanizmus, amely az UMTS (Universal Mobile Telecommunications System) USIM (Subscriber Identity Module) modulját használja. Az USIM kártya olyan speciális chipkártya, amely mobilhálózatokon hitelesíti a felhasználót a hálózat felé.
A Password Authentication Protocol (PAP) egy két lépéses kézfogásos protokoll a PPP-hez. A Password Authentication Protocol egy egyszerű szöveges jelszóval működő protokoll, amelyet régebbi SLIP rendszerek használnak. Nem biztonságos. Csak a TTLS hitelesítéstípus esetén választható.
A három lépéses handshake protokollt megvalósító Challenge Handshake Authentication Protocol (CHAP) biztonságosabb, mint a Password Authentication Protocol (PAP) hitelesítési protokoll. Csak a TTLS hitelesítéstípus esetén választható.
Az "RSA Message Digest 4" kérdés-válasz protokoll Microsoft-verzióját használja. Csak Microsoft rendszereken működik, és lehetővé teszi az adatok titkosítását. Ez a hitelesítési módszer az összes adatot titkosítja. Csak a TTLS hitelesítéstípus esetén választható.
Az új Jelszó módosítása funkciót vezeti be, amely nem található meg az MSCHAP-V1 vagy a szokásos CHAP hitelesítésben. Ezzel a funkcióval az ügyfél megváltoztathatja a hitelesítő jelszót, ha a RADIUS kiszolgáló értesítést küld a jelszó lejártáról. TTLS és PEAP hitelesítéstípus esetén választható.
Felhasználó-specifikus tokenkártyákat használ az azonosításhoz. A GTC fő funkciója a digitális tanúsítványon / tokenkártyán alapú hitelesítés. Ezenfelül a GTC-vel elrejthetők a felhasználónevek, amíg a TLS titkosított csatorna létre nem jön. Így elkerülhető a felhasználónevek kijutása a hálózatra a hitelesítési fázis alatt. Csak a PEAP hitelesítéstípus esetén választható.
A TLS protokoll a nyilvános hálózatokon zajló kommunikáció védelmére és hitelesítésére szolgál, és ehhez adattitkosítást használ. A TLS handshake protokoll lehetővé teszi, hogy a kiszolgáló és az ügyfél kölcsönösen hitelesítse egymást, és az adatcsere előtt megegyezzenek a titkosító algoritmusban és a titkosító kulcsokban. Csak a PEAP hitelesítéstípus esetén választható.
A Cisco LEAP (Cisco Light EAP) funkció a felhasználó által megadott bejelentkezési jelszó alapján a 802.1X szerint hitelesíti a kiszolgálókat és az ügyfeleket. Amikor egy vezeték nélküli hozzáférési pont egy a Cisco LEAP-et támogató RADIUS kiszolgálóval (Cisco Secure Access Control Server, ACS) kommunikál, a Cisco LEAP gondoskodik a hozzáférés szabályozásáról. Ehhez kölcsönös hitelesítést végez az ügyfél WiFi adaptere és a vezeték nélküli hálózat között, és dinamikus, egyedi felhasználói titkosító kulcsokkal védi az átvitt adatokat.
A Cisco szabálysértő hozzáférési pontok elleni biztonsági funkciója véd a rendszert veszélyeztető olyan szabálysértő hozzáférési pontok ellen, amelyek jogosult hozzáférési pontot imitálva próbálják kicsalogatni a felhasználók hitelesítő adatait és a hitelesítő protokollok adatait. Ez a funkció csak a Cisco saját LEAP hitelesítési módjával működik. A szokásos 802.11 technológia nem védi meg a hálózatot a szabálysértő hozzáférési pontok ellen. További információk a LEAP hitelesítés című részben találhatók.
Egyes hozzáférési pontok – például a Cisco 350 és a Cisco 1200 – alkalmazhatóak olyan környezetekben, ahol nem minden ügyfélállomás támogatja a WEP titkosítást; ezt hívják vegyes cellás üzemmódnak. Amikor az ilyen vezeték nélküli hálózatok "opcionális titkosítás" üzemmódban működnek, a WEP üzemmódban csatlakozó ügyfélállomások minden üzenetet titkosítva küldenek, míg a szokásos üzemmódban csatlakozók minden üzenetet titkosítatlanul küldenek. Ezek a hozzáférési pontok közzéteszik, hogy a hálózat nem használ titkosítást, de megengedi, hogy az ügyfelek WEP üzemmódban csatlakozzanak. Ha egy profilban engedélyezve van a "Vegyes cellás" beállítás, csatlakozni lehet vele "opcionális titkosítást" használó hozzáférési pontokra.
A Cisco Key Integrity Protocol (CKIP) a Cisco saját fejlesztésű biztonsági protokollja a 802.11 szerinti adatátvitel titkosításához. A CKIP a következő funkciókkal javítja az infrastruktúra üzemmódban működő 802.11 biztonságát:
MEGJEGYZÉS: A CKIP protokoll nem használatos WPA/WPA2 Personal/Enterprise hálózati hitelesítés esetén.
MEGJEGYZÉS: A CKIP protokollt csak a Windows XP nyújtotta WiFi-csatlakozás segédprogram támogatja.
Ha a vezeték nélküli LAN gyors visszacsatlakozásra van konfigurálva, a LEAP-et használó ügyfélgép a fő kiszolgáló közreműködése nélkül tud barangolni a hozzáférési pontok között. A CCKM (Cisco Centralized Key Management) használatakor a WDS szolgáltatások (Wireless Domain Services) nyújtására konfigurált hozzáférési pont átveszi a RADIUS kiszolgáló szerepét, és a beszéd- vagy más időérzékeny alkalmazások észrevehető késleltetése nélkül hitelesíti az ügyfelet.
Egyes hozzáférési pontok – például a Cisco 350 és a Cisco 1200 – alkalmazhatóak olyan környezetekben, ahol nem minden ügyfélállomás támogatja a WEP titkosítást; ezt hívják vegyes cellás üzemmódnak. Amikor az ilyen vezeték nélküli hálózatok "opcionális titkosítás" üzemmódban működnek, a WEP üzemmódban csatlakozó ügyfélállomások minden üzenetet titkosítva küldenek, míg a szokásos módon csatlakozók minden üzenetet titkosítatlanul küldenek. Ezek a hozzáférési pontok közzéteszik, hogy a hálózat nem használ titkosítást, de megengedik, hogy az ügyfelek WEP üzemmódban csatlakozzanak. Ha egy profilban engedélyezve van a "Vegyes cellás" beállítás, csatlakozni lehet vele "opcionális titkosítást" használó hozzáférési pontokra.
Ha ez a funkció engedélyezett, a WiFi adapter rádiókezelési adatokat szolgáltat a Cisco infrastruktúrának. Ha az infrastruktúra a Cisco Radio Management segédprogramot használja, akkor ez a beállítás konfigurálja a rádió paramétereit, valamint észleli az interferenciát és a szabálysértő hozzáférési pontokat.
Az EAP-FAST az EAP-TTLS és a PEAP mechanizmushoz hasonlóan alagutat használ a forgalom védelmére. A fő különbség az, hogy az EAP-FAST nem tanúsítvánnyal hitelesít. EAP-FAST protokoll esetén az eljuttatást kizárólag az ügyfél egyezteti az első üzenetcsere során, amikor a kiszolgálótól EAP-FAST kiszolgálást kér. Ha az ügyfélnek nincs előre közölt PAC (Protected Access Credential) kulcsa, EAP-FAST üzenetcserét kérhet a kulcs eljuttatásához, amelynek során dinamikusan kap egy kulcsot a kiszolgálótól.
Az EAP-FAST protokollnál két módszerrel lehet eljuttatni a PAC-t: kézileg egy sávon kívüli biztonságos mechanizmussal, vagy automatikusan.
Az EAP-FAST módszer két részre osztható: az eljuttatásra és a hitelesítésre. Az eljuttatási fázisban kapja meg az ügyfélgép az első PAC-t. Ezt ügyfelenként és felhasználónként csak egyszer kell elvégezni.