В этом разделе описываются методы защиты, используемые для обеспечения безопасности сетей WiFi.
Аутентификация 802.1X (корпоративная защита)
Если беспроводная сеть останется незащищенной, она будет уязвима для доступа из других компьютеров. Можно очень просто защитить домашнюю сеть и сеть малого бизнеса от почти любых форм несанкционированного доступа, используя для этого методы защиты, описываемые далее в этом разделе.
Аутентификация - это процесс установления подлинности и подтверждения запроса клиента (обычно это ноутбук) для доступа к сети или сетевой точке доступа. После выполнения аутентификации и предоставления доступа клиент получает доступ к сети.
Можно выбрать алгоритмы шифрования для кодирования информации и данных, передаваемых по беспроводной сети. Только компьютеры, оснащенные предварительно опубликованными ключами, смогут зашифровать и расшифровать передаваемые данные. Ключи шифрования имеют два уровня защиты - 64- и 128-битный. 128-битные ключи шифрования обеспечивают более высокую степень защиты.
Простым способом повышения безопасности сети является настройка сетевой точки доступа на режим запрета широковещания или передачи идентификатора сети the SSID (Service Set Identifier). Идентификатор SSID необходим для получения доступа. Только компьютеры, знающие этот сетевой идентификатор, смогут подключиться к сети. (Это не настройка сетевого адаптера с помощью утилиты подключений Intel(R) PROSet/Wireless WiFi, - это настройка для точки доступа).
Спецификация 802.11 поддерживает два метода сетевой аутентификации: открытую систему и с использованием общего ключа.
WEP-шифрование (Wired Equivalent Privacy) использует специальное преобразование данных для предотвращения несанкционированного доступа к данным беспроводной сети. WEP-шифрование использует ключ шифрования для кодирования данных перед их отправкой. Только компьютеры, использующие этот же ключ, могут получить доступ к сети и расшифровать переданные другими компьютерами данные. WEP-шифрование обеспечивает два уровня защиты, используя 64-битный ключ (иногда представляется как 40-битный) или 128-битный ключ (также известен как 104-битный). Используйте 128-битный ключ для лучшей защиты. Если вы используете шифрование, все устройства в беспроводной сети должны использовать одинаковые ключи шифрования.
С WEP-шифрованием данных станция беспроводной сети может иметь в конфигурации до четырех ключей (значения индекса ключа: 1, 2, 3 и 4). Когда точка доступа (ТД) или станция беспроводной сети передает шифрованное сообщение, использующее ключ, хранящийся в указанном индексе ключа, переданное сообщение будет указывать на индекс ключа, использованного для шифрования сообщения. Принимающая ТД или станция беспроводной сети может найти ключ, хранящийся в индексе и использовать его для дешифрования сообщения.
Поскольку алгоритм WEP-шифрования уязвим к атакам из сети, необходимо рассмотреть возможность использования защиты WPA-персональная или WPA2-персональная.
Режим персональной защиты WPA используется в домашних условиях или сетях малого бизнеса. Для персональной защиты WPA необходимо вручную сконфигурировать предварительно опубликованный общий ключ (PSK) в точке доступа или клиентах. Аутентификация в сервере не используется. Этот пароль, введенный в точке доступа, должен использоваться в этом компьютере и на всех беспроводных устройствах сети для подключения к этой точке доступа. Защита зависит от надежности и секретности пароля. Чем больше длина используемого пароля, тем надежнее защита беспроводной сети. Если ваша беспроводная точка доступа или маршрутизатор поддерживают WPA- и WPA2-персональную аутентификацию, тогда вы должны использовать ее в точке доступа, а также назначить длинный и надежный пароль. Для защиты WPA-персональная доступны алгоритмы шифрования данных TKIP и AES-CCMP.
Для персональной защиты WPA2 необходимо вручную сконфигурировать предварительно опубликованный общий ключ (PSK) в точке доступа или клиентах. Аутентификация в сервере не используется. Этот пароль, введенный в точке доступа, должен использоваться в этом компьютере и на всех беспроводных устройствах сети для подключения к этой точке доступа. Защита зависит от надежности и секретности пароля. Чем больше длина используемого пароля, тем надежнее защита беспроводной сети. WPA2 - это усовершенствование защиты WPA, а также полное внедрение стандарта IEEE 802.11i. Защита WPA2 имеет обратную совместимость с защитой WPA. Для защиты WPA2-персональная доступны алгоритмы шифрования данных TKIP и AES-CCMP.
ПРИМЕЧАНИЕ. WPA- и WPA2-персональная совместимы друг с другом.
В этом разделе описывается общая защита, используемая в большинстве компьютеров.
Обзор
Что такое Radius?
Как работает аутентификация 802.1X
Функции 802.1X
Аутентификация по стандарту 802.1x - это процесс, независимый от аутентификации по стандарту 802.11. Стандарт 802.11 обеспечивает основы для различных видов аутентификации и протоколов манипулирования ключами. В стандарте 802.1X присутствуют различные типы аутентификации, каждый из которых обеспечивает свой подход к установлению подлинности, но все они используют один протокол 802.11 и структуру для взаимодействия между клиентом и точкой доступа. В большинстве протоколов после выполнения процесса аутентификации стандарта 802.1X приемная сторона (клиент) получает ключ, который она использует для шифрования данных. Для получения дополнительной информации см. раздел Как работает аутентификация 802.1X. При аутентификации по стандарту 802.1X используется метод установления подлинности между клиентом и сервером (например, удаленная аутентификация RADIUS - Remote Authentication Dial-In User Service), к которому подключена точка доступа. Процесс аутентификации использует идентификационную информацию, например, пароль пользователя, который не передается через беспроводную сеть. Большинство видов аутентификации 802.1X поддерживают динамические ключи для пользователя, сеанса и для усиления защиты ключа. Аутентификация 802.1X имеет преимущества перед использованием существующего протокола аутентификации EAP (Extensible Authentication Protocol).
Аутентификация стандарта 802.1x для беспроводных сетей имеет три главных компонента:
Защита аутентификации стандарта 802.1X инициирует запрос на аутентификацию от клиента беспроводной сети в точку доступа, которая устанавливает его подлинность через протокол EAP в соответствующем сервере RADIUS. Этот сервер RADIUS может выполнить аутентификацию пользователя (с помощью пароля или сертификата) или компьютера (с помощью адреса MAC). Теоретически, клиент беспроводной сети не может войти в сеть до завершения транзакции. (Не все методы аутентификации используют сервер RADIUS. WPA-персональная и WPA2-персональная используют общий пароль, который вводится в точке доступа и в устройствах, запрашивающих доступ к сети).
Существует несколько аутентификационных алгоритмов, используемых со спецификацией 802.1X. См. ниже примеры: EAP-TLS, EAP-TTLS, Protected EAP (PEAP) и протокол аутентификации EAP Cisco Wireless Light Extensible Authentication Protocol (LEAP). Эти методы используются при идентификации клиента беспроводной локальной сети в сервере RADIUS. Во время аутентификации в сервере RADIUS пользователи проходят проверку в специализированных базах данных. Аутентификация RADIUS основана на наборе стандартов, предназначенных для аутентификации, авторизации и ведения учетных записей (Authentication, Authorization и Accounting - AAA). Сервер RADIUS содержит прокси-процесс для проверки клиентов в многосерверной среде. Стандарт IEEE 802.1X предоставляет механизм для управления и аутентифицированного доступа к беспроводным сетям на основе портов 802.11 и проводных сетей Ethernet. Управление сетевым доступом, основанным на использовании портов, подобно инфраструктуре локальной сети, управляемой с помощью коммутаторов, которая идентифицирует устройство, подключенное к порту ЛС, и запрещает доступ к этому порту, если процесс аутентификации был неудачен.
RADIUS (Remote Authentication Dial-In User Service) - это сервис протокола клиент-сервер для авторизации, аутентификации и ведения учетных записей (Authorization, Authentication и Accounting - AAA), который используется для регистрации клиентов в сервере сетевого доступа по коммутируемой линии. Обычно сервер RADIUS используется поставщиками услуг доступа в Интернет (Internet Service Providers - ISP) для выполнения задач AAA. Далее описаны фазы AAA:
Далее представлено упрощенное определение работы аутентификации стандарта 802.1X:
Поддерживаемые методы аутентификации Windows XP:
См. Общая аутентификация.
См. WPA-персональная.
См. WPA2-персональная.
Корпоративный режим аутентификации предназначен для использования в масштабах предприятий или сетях государственных учреждений. WPA-предприятие проверяет пользователей сети, используя сервер RADIUS или другой сервер аутентификации. Чтобы обеспечить конфиденциальность и защиту в сети, WPA использует 128-битные ключи шифрования и динамические ключи, создаваемые для каждого. Тип аутентификации выбирается в соответствии с аутентификационным протоколом, используемым сервером 802.1X.
Аутентификация WPA2-предприятие предназначена для использования в масштабах предприятий или сетях государственных учреждений. WPA2-предприятие проверяет пользователей сети, используя сервер RADIUS или другой сервер аутентификации. Чтобы обеспечить конфиденциальность и защиту в сети, WPA2 использует 128-битные ключи шифрования и динамические ключи, создаваемые для каждого. Тип аутентификации выбирается в соответствии с аутентификационным протоколом, используемым сервером 802.1X. Корпоративный режим предназначен для использования в масштабах предприятий или сетях государственных учреждений. WPA2 - это усовершенствование защиты WPA, а также полное внедрение стандарта IEEE 802.11i.
Advanced Encryption Standard - Counter CBC-MAC Protocol (улучшенный стандарт шифрования - протокол Counter CBC-MAC). Это новый метод защиты при беспроводной передаче данных, определенный в стандарте IEEE 802.11i. Протокол AES-CCMP обеспечивает более надежный метод шифрования в сравнении с TKIP. Выберите AES-CCMP в качестве метода шифрования, когда необходима повышенная безопасность данных. Протокол AES-CCMP доступен для сетевой аутентификации WPA/WPA2-персональная/предприятие.
ПРИМЕЧАНИЕ. Некоторые решения по обеспечению безопасности могут не поддерживаться операционной системой компьютера, и поэтому, может потребоваться установка дополнительного программного обеспечения или определенного оборудования, а также поддержка инфраструктуры беспроводной локальной сети. За информацией обратитесь к производителю своего компьютера.
Протокол TKIP (Temporal Key Integrity Protocol) использует функцию смешения содержимого ключа для каждого пакета, проверку целостности сообщений и механизм манипуляций с ключом. Протокол TKIP доступен для сетевой аутентификации WPA/WPA2-персональная/предприятие.
См. раздел CKIP.
WEP-шифрование (Wired Equivalent Privacy) использует специальное преобразование данных для предотвращения несанкционированного доступа к данным беспроводной сети. WEP-шифрование использует ключ шифрования для кодирования данных перед их отправкой. Только компьютеры, использующие этот же ключ, могут получить доступ к сети и расшифровать переданные другими компьютерами данные. Корпоративная WEP-защита отличается от персональной WEP-защиты тем, что для нее может быть выбрана открытая сетевая аутентификация, а затем можно выбрать Вкл. 802.1X и указать нужный тип аутентификации клиентов. Выбор типов аутентификации недоступен для персональной защиты WEP.
Тип метода аутентификации, использующий протокол EAP и протокол безопасности, именуемый протоколом защиты транспортного уровня (Transport Layer Security - TLS). EAP-TLS использует сертификаты на основе паролей. Аутентификация EAP-TLS поддерживает динамическое управление WEP-ключом. Протокол TLS необходим для защиты и аутентификации коммуникаций в сетях общего пользования путем шифрования данных. Протокол квитирования TLS позволяет клиенту и серверу до посылки данных провести взаимную аутентификацию и выработать алгоритм и ключи шифрования.
Эти настройки определяют протокол и идентификационную информацию, используемую для аутентификации пользователя. В аутентификации TTLS (Tunneled Transport Layer Security) клиент использует EAP-TLS для проверки подлинности сервера и создания канала между сервером и клиентом, шифрованного с помощью TLS. Клиент может использовать другой аутентификационный протокол. Обычно протоколы на основе паролей используются через необъявляемый, защищенный TLS-шифрованный канал. В настоящее время TTLS поддерживает все методы, применяемые в ЕАР, а также некоторые более старые методы (PAP, CHAP, MS-CHAP и MS-CHAP-V2). TTLS легко расширяется для работы с новыми протоколами посредством установки новых атрибутов для описания новых протоколов.
PEAP - это новый аутентификационный протокол EAP (Extensible Authentication Protocol - EAP) стандарта IEEE 802.1X, разработанный для улучшения системы защиты EAP-Transport Layer Security (EAP-TLS) и поддержки различных методов аутентификации, включающих пароли пользователей, одноразовые пароли и карты доступа (Generic Token Cards).
Версия протокола аутентификации Extensible Authentication Protocol (EAP). LEAP (Light Extensible Authentication Protocol) представляет собой специальный расширяемый протокол аутентификации, разработанный Cisco, который отвечает за обеспечение процедуры аутентификации "запрос/ответ" и назначение динамического ключа.
Протокол EAP-SIM (Extensible Authentication Protocol Method for GSM Subscriber Identity) - это механизм аутентификации и распространения ключей сеанса. Он использует модуль идентификации подписчика SIM (Subscriber Identity Module) системы глобального позиционирования для мобильных коммуникаций GSM (Global System for Mobile Communications). Аутентификация EAP-SIM использует динамический WEP-ключ, созданный специально для сеанса, полученный для шифрования данных от адаптера клиента или сервера RADIUS. Для EAP-SIM необходим специальный код проверки пользователя или PIN для обеспечения взаимодействия с SIM-картой (Subscriber Identity Module). SIM-карта - это специальная смарт-карта, которая используется в беспроводных цифровых сетях стандарта GSM (Global System for Mobile Communications). Описание протокола EAP-SIM представлено в документации RFC 4186.
Метод аутентификации EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) - это механизм EAP, используемый для аутентификации и сеанса распространения ключей, используемый подписчиком модуля идентификации USIM (Subscriber Identity Module) универсальной мобильной телекоммуникационной системы UMTS (Universal Mobile Telecommunications System). Карта USIM - это специальная смарт-карта, предназначенная для проверки подлинности пользователей в сотовых сетях.
Протокол PAP (Password Authentication Protocol) - двусторонний протокол обмена подтверждениями, предназначенный для использования с протоколом PPP. PAP является обычным текстовым паролем, используемым в более ранних системах SLIP. Он не защищен. Этот протокол доступен только для типа аутентификации TTLS.
CHAP (Challenge Handshake Authentication Protocol) - это трехсторонний протокол обмена подтверждениями, предполагающий лучшую защиту, чем протокол аутентификации PAP (Password Authentication Protocol). Этот протокол доступен только для типа аутентификации TTLS.
Использует версию Microsoft протокола RSA Message Digest 4. Работает только в системах Microsoft и позволяет осуществлять шифрование данных. Выбор этого метода аутентификации вызовет шифрование всех передаваемых данных. Этот протокол доступен только для типа аутентификации TTLS.
Предоставляет дополнительную возможность для изменения пароля, недоступную с MS-CHAP-V1 или стандартной аутентификацией CHAP. Данная функция позволяет клиенту менять пароль учетной записи, если сервер RADIUS извещает о том, что срок действия пароля истек. Этот протокол доступен только для типов аутентификации TTLS и PEAP.
Предлагает использование специальных карт для аутентификации. Главная функция основана на аутентификации с помощью цифрового сертификата/специальной платы в GTC. Кроме того, в GTC имеется возможность скрытия идентификационной информации пользователя во время использования шифрованного туннеля TLS, обеспечивающего дополнительную конфиденциальность, основанную на запрещении широкой рассылки имен пользователей на стадии аутентификации. Этот протокол доступен только для типа аутентификации PEAP.
Протокол TLS необходим для защиты и аутентификации коммуникаций в сетях общего пользования путем шифрования данных. Протокол квитирования TLS позволяет клиенту и серверу до посылки данных провести взаимную аутентификацию и выработать алгоритм и ключи шифрования. Этот протокол доступен только для типа аутентификации PEAP.
Cisco LEAP (Cisco Light EAP) - это аутентификация сервера и клиента 802.1X с помощью пароля, предоставляемого пользователем. Когда точка доступа беспроводной сети взаимодействует с LEAP-совместимым сервером Cisco RADIUS (сервер Cisco Secure Access Control Server [ACS]), Cisco LEAP осуществляет управление доступом через взаимную аутентификацию между адаптерами WiFi клиентов и сетью, и предоставляет динамические, индивидуальные ключи шифрования пользователей для защиты конфиденциальности передаваемых данных.
Функция "Cisco Rogue AP" обеспечивает защиту от попытки доступа фальшивой или недопустимой точки доступа, которая может имитировать реальную точку доступа в сети для получения идентификационной информации пользователей и протоколов аутентификации, нарушая тем самым целостность защиты сети. Эта функция работает только в среде аутентификации Cisco LEAP. Технология стандарта 802.11 не защищает сеть от несанкционированного доступа фальшивых точек доступа. Более подробную информацию см. в разделе Аутентификация LEAP.
Режим работы, когда некоторые точки доступа, например, Cisco 350 или Cisco 1200 поддерживают среды, в которых не все клиентские станции поддерживают WEP-шифрование, называется смешанным режимом (Mixed-Cell). Когда некоторые беспроводные сети работают в режиме "выборочного шифрования", клиентские станции, подключившиеся к сети в режиме WEP-шифрования, отправляют все сообщения в шифрованном виде, а станции, подключившиеся к сети в стандартном режиме, передают все сообщения нешифрованными. Эти точки доступа передают широковещательные сообщения нешифрованными, но позволяют клиентам использовать режим WEP-шифрования. Когда "смешанный режим" разрешен в профиле, вы можете подключиться к точке доступа, которая сконфигурирована для "дополнительного шифрования".
Cisco Key Integrity Protocol (CKIP) - это собственный протокол защиты Cisco для шифрования в среде 802.11. Протокол CKIP использует следующие особенности для усовершенствования защиты 802.11 в режиме "infrastructure":
ПРИМЕЧАНИЕ. Протокол CKIP не используется для сетевой аутентификации WPA/WPA2-персональная/предприятие.
ПРИМЕЧАНИЕ. Алгоритм CKIP поддерживается только через утилиту подключений WiFi в Windows XP.
Когда беспроводная ЛС сконфигурирована для выполнения быстрого повторного подключения, клиент с активной поддержкой протокола LEAP может перемещаться от одной точки доступа к другой без вмешательства главного сервера. Используя централизованное управление Cisco (Cisco Centralized Key Management - CCKM), точка доступа, сконфигурированная для обеспечения работы беспроводной службы доменов (Wireless Domain Services - WDS), заменяет сервер RADIUS и аутентифицирует клиента без существенных задержек, которые возможны для голосовых или других, зависимых от времени приложений.
Режим работы, когда некоторые точки доступа, например, Cisco 350 или Cisco 1200 поддерживают среды, в которых не все клиентские станции поддерживают WEP-шифрование, называется смешанным режимом (Mixed-Cell). Когда некоторые беспроводные сети работают в режиме "выборочного шифрования", клиентские станции, подключившиеся к сети в режиме WEP-шифрования, отправляют все сообщения в шифрованном виде, а станции, подключившиеся к сети в стандартном режиме, передают все сообщения нешифрованными. Такие точки доступа передают широковещательные сообщения нешифрованными, но позволяют клиентам для подключения использовать режим WEP-шифрования. Когда "смешанный режим" разрешен в профиле, вы можете подключиться к точке доступа, которая сконфигурирована для "дополнительного шифрования".
Если эта функция включена, адаптер WiFi обеспечивает информацию управления радиообменом для режима Cisco infrastructure. Если программа Cisco Radio Management используется в сети "infrastructure", она конфигурирует параметры радиообмена, определяет уровень помех и фиктивные точки доступа.
EAP-FAST, подобно EAP-TTLS и PEAP, использует туннелирование для защиты сетевого трафика. Главным отличием является то, что EAP-FAST не использует сертификаты для аутентификации. Аутентификация в среде EAP-FAST представляет собой единственный коммуникационный обмен, инициируемый клиентом, когда идентификация EAP-FAST запрошена сервером. Если клиент не имеет предварительно опубликованного ключа PAC (Protected Access Credential), он может запросить аутентификационный обмен EAP-FAST для динамического получения ключа от сервера.
EAP-FAST имеет два метода доставки ключа PAC: доставка вручную с помощью внеполосного механизма и автоматического входа.
Метод EAP-FAST можно разделить на две части: вход и аутентификация. Фаза входа представляет собой начальную доставку клиенту ключа PAC. Эта часть нужна клиенту и пользователю только один раз.