W tej sekcji opisano różne metody zabezpieczeń dla sieci WiFi.
Uwierzytelnianie 802.1X (zabezpieczenia korporacyjne)
Jeśli sieć bezprzewodowa pozostanie niezabezpieczona, będzie narażona na uzyskiwanie dostępu z innych komputerów. Za pomocą metod zabezpieczeń opisanych w tej sekcji można łatwo chronić sieć w domu i w małej firmie prawie przed wszystkimi formami prób dostępu przez osoby nieupoważnione.
Uwierzytelnianie to proces identyfikacji i zatwierdzania żądania dostępu do sieci w punkcie dostępu przez klienta (zwykle laptopa). Po ukończeniu uwierzytelniania klient uzyskuje dostęp do sieci.
Można wybrać algorytmy szyfrowania danych przesyłanych w sieci bezprzewodowej. Przesyłane dane mogą być szyfrowane i rozszyfrowywane tylko przez komputery z kluczami wstępnymi. Dostępne są klucze szyfrowania z dwoma poziomami zabezpieczeń: 64-bitowym i 128-bitowym. Klucze 128-bitowe zapewniają większe bezpieczeństwo.
Prostym sposobem na zwiększenie poziomu bezpieczeństwa jest skonfigurowanie punktu dostępu tak, aby nie emitował identyfikatora SSID. Identyfikator SSID jest potrzebny do uzyskania dostępu. Dostęp do sieci mogą uzyskać tylko komputery "znające" identyfikator SSID. (Identyfikatora SSID nie ustawia się dla karty przy użyciu Narzędzia do połączeń Intel® PROSet/Wireless WiFi, ale dla punktu dostępu).
Istnieją dwie metody uwierzytelniania w sieci IEEE 802.11: system otwarty i klucz udostępniany.
Szyfrowanie WEP zapobiega odbieraniu danych drogą bezprzewodową przez osoby nieupoważnione. W szyfrowaniu WEP dane są przed wysyłaniem szyfrowane za pomocą klucza szyfrowania. Uzyskiwanie dostępu do sieci oraz odszyfrowywanie danych jest możliwe tylko w przypadku komputerów z tym samym kluczem szyfrowania. Szyfrowanie WEP zapewnia bezpieczeństwo na dwóch poziomach: za pomocą klucza 64-bitowego (czasami określanego jako klucz 40-bitowy) lub klucza 128-bitowego (określanego również jako 104-bitowy). Wyższy poziom bezpieczeństwa zapewnia klucz 128-bitowy. Jeśli używane jest szyfrowanie, wszystkie urządzenia bezprzewodowe w sieci bezprzewodowej muszą korzystać z tych samych kluczy szyfrowania.
W przypadku szyfrowania danych WEP dla stacji podłączonej do sieci bezprzewodowej można skonfigurować maksymalnie cztery klucze (wartości indeksów kluczy: 1, 2, 3 i 4). Kiedy z punktu dostępu lub stacji w sieci bezprzewodowej wysyłana jest wiadomość zaszyfrowana za pomocą klucza przechowywanego w określonym indeksie, w wiadomości tej zawarte są informacje o indeksie klucza użytego do szyfrowania treści wiadomości. Klucz przechowywany w indeksie może zostać pobrany przez odbiorczy punkt dostępu lub stację w sieci bezprzewodowej, a następnie użyty do odszyfrowania treści wiadomości.
Ze względu na to, że algorytm szyfrowania WEP jest narażony na ataki sieciowe, należy rozważyć używanie zabezpieczeń WPA-Indywidualne lub WPA2-Indywidualne.
Tryb WPA-Indywidualne jest przeznaczony dla środowisk domowych i małych firm. Dla trybu WPA Indywidualne wymagane jest ręczne skonfigurowanie klucza wstępnego (PSK) w punktach dostępu i na stacjach klientów. Serwer uwierzytelniania nie jest potrzebny. Hasło wprowadzone dla punktu dostępu musi być używane również na danym komputerze i wszystkich urządzeniach bezprzewodowych, uzyskujących dostęp do danej sieci. Bezpieczeństwo zależy od poziomu siły i tajności hasła. Hasło długie stanowi lepsze zabezpieczenie sieci niż hasło krótkie. Jeśli tryb WPA-Indywidualne i WPA2-Indywidualne jest obsługiwany przez punkt dostępu lub router sieci bezprzewodowej, należy go włączyć i ustawić długie, silne hasło. W trybie WPA-Indywidualne dostępne są tryby szyfrowania danych TKIP i AES-CCMP.
Dla trybu WPA2-Indywidualne wymagane jest ręczne skonfigurowanie klucza wstępnego (PSK) w punktach dostępu i na stacjach klientów. Serwer uwierzytelniania nie jest potrzebny. Hasło wprowadzone dla punktu dostępu musi być używane również na danym komputerze i wszystkich urządzeniach bezprzewodowych, uzyskujących dostęp do danej sieci. Bezpieczeństwo zależy od poziomu siły i tajności hasła. Hasło długie stanowi lepsze zabezpieczenie sieci niż hasło krótkie. Tryb WPA2 stanowi względem trybu WPA ulepszenie, w którym w pełni wdrożono standard IEEE 802.11i. Tryb WPA2 jest zgodny z trybem WPA. W trybie WPA2-Indywidualne dostępne są tryby szyfrowania danych TKIP i AES-CCMP.
UWAGA: Tryby WPA-Indywidualne i WPA2-Indywidualne mogą być stosowane łącznie.
W tej sekcji opisano zabezpieczenia stosowane powszechnie w większych przedsiębiorstwach.
Przegląd
Co to jest RADIUS?
Jak działa uwierzytelnianie 802.1X
Funkcje w standardzie 802.1X
Uwierzytelnianie w standardzie 802.1X jest niezależne od procesu uwierzytelniania, w standardzie 802.11. Standard 802.11 zapewnia strukturę dla różnych protokołów uwierzytelniania i zarządzania kluczami. Istnieją różne typy uwierzytelniania w standardzie 802.1X, a każdy z nich zapewnia inny sposób uwierzytelniania przy zastosowaniu tego samego protokołu 802.11 i struktury komunikacji między klientem i punktem dostępu. W przypadku większości protokołów, bezpośrednio po zakończeniu procesu uwierzytelniania w standardzie 802.1X klient otrzymuje klucz szyfrowania danych. Więcej informacji na ten temat można znaleźć w sekcji Jak działa uwierzytelnianie 802.1X. W przypadku uwierzytelniania, w standardzie 802.1X stosuje się metodę uwierzytelniania, między klientem i serwerem (np. serwerem RADIUS (Remote Authentication Dial-In User Service)), podłączonym do punktu dostępu. W procesie uwierzytelniania używane są poświadczenia (np. hasło użytkownika), które nie są przesyłane w sieci bezprzewodowej. Większość typów sieci, w standardzie 802.1X obsługuje dynamiczne klucze, przydzielane określonym użytkownikom, dla określonych sesji, dzięki czemu klucze zapewniają wyższy poziom zabezpieczeń. W uwierzytelnianiu 802.1X stosowany jest istniejący protokół uwierzytelniania EAP (Extensible Authentication Protocol).
Uwierzytelnianie w standardzie 802.1X, dla sieci bezprzewodowych, odbywa się z udziałem trzech elementów:
Żądanie uwierzytelnienia jest inicjowane przez funkcję uwierzytelniania 802.1X, w punkcie dostępu, w którym następnie klient sieci bezprzewodowej jest uwierzytelniany na serwerze RADIUS (zgodnym z protokołem EAP). Na serwerze RADIUS może być uwierzytelniany użytkownik (za pomocą haseł lub certyfikatów) lub komputer (za pomocą adresu MAC). Teoretycznie klient sieci bezprzewodowej nie może uzyskać połączenia z siecią przed zakończeniem transakcji. (Serwer RADIUS nie jest używany we wszystkich metodach uwierzytelniania. W trybach WPA-Indywidualne i WPA2-indywidualne używane jest wspólne hasło, wprowadzane w punkcie dostępu i we wszystkich urządzeniach żądających dostępu do sieci).
Istnieje kilka algorytmów uwierzytelniania używanych w standardzie 802.1X. Kilka przykładów: EAP-TLS, EAP-TTLS, Protected EAP (PEAP) i EAP Cisco Wireless Light Extensible Authentication Protocol (LEAP). Wszystkie te metody służą do identyfikacji klienta sieci bezprzewodowej na serwerze RADIUS. W przypadku uwierzytelniania na serwerze RADIUS tożsamość użytkowników jest sprawdzana w oparciu o bazy danych. RADIUS stanowi zestaw standardów dotyczących uwierzytelniania, autoryzacji i obsługi kont (AAA). W skład usługi RADIUS wchodzi proces pośredni stosowany do sprawdzania klientów w środowisku wielu serwerów. Standard IEEE 802.1X zapewnia mechanizm używany do kontroli dostępu i uwierzytelniania, podczas uzyskiwania dostępu do sieci bezprzewodowych korzystających z portów 802.11 oraz sieci przewodowych Ethernet. Kontrola dostępu do sieci na podstawie portów jest podobna do infrastruktury sieci lokalnej (LAN), gdzie uwierzytelniane są urządzenia przyłączane do portów LAN, a jeśli potwierdzanie nie powiedzie się, dostęp do portów jest blokowany.
Usługa RADIUS to protokół klient-serwer używany do autoryzacji, uwierzytelniania i zarządzania kontami (AAA) podczas logowania i wylogowywania klientów dial-up z serwera dostępu do sieci. Zwykle serwer RADIUS stosowany jest przez dostawców usług internetowych do zadań związanych z autoryzacją, uwierzytelnianiem i zarządzaniem kontami. Fazy uwierzytelniania, autoryzacji i zarządzania kontem wyglądają następująco:
Poniżej przedstawiono uproszczony opis działania uwierzytelniania 802.1X.
W systemie Windows* XP obsługiwane są następujące metody uwierzytelniania:
Patrz: Uwierzytelnianie otwarte.
Patrz: Uwierzytelnianie udostępniane.
Patrz: WPA-Indywidualne.
Patrz: WPA2-Indywidualne.
Tryb korporacyjny uwierzytelniania jest przeznaczony dla środowisk korporacyjnych i rządowych. W trybie korporacyjnym użytkownicy sieci są weryfikowani przez serwer RADIUS lub inny serwer uwierzytelniania. W szyfrowaniu WPA używane są 128-bitowe klucze szyfrowania i dynamiczne klucze sesji, zapewniające bezpieczeństwo w sieci bezprzewodowej firmy. Wybierany typ uwierzytelniania musi być zgodny z protokołem uwierzytelniania serwera 802.1X.
Tryb WPA-Korporacyjne uwierzytelniania jest przeznaczony dla środowisk korporacyjnych i rządowych. W trybie WPA2-Korporacyjne użytkownicy sieci są weryfikowani przez serwer RADIUS lub inny serwer uwierzytelniania. W trybie WPA2 używane są 128-bitowe klucze szyfrowania i dynamiczne klucze sesji, zapewniające bezpieczeństwo w sieci bezprzewodowej firmy. Wybierany typ uwierzytelniania musi być zgodny z protokołem uwierzytelniania serwera 802.1X. Tryb korporacyjny jest przeznaczony dla środowisk korporacyjnych i rządowych. Tryb WPA2 stanowi względem trybu WPA ulepszenie, w którym w pełni wdrożono standard IEEE 802.11i.
Advanced Encryption Standard - Counter CBC-MAC Protocol. Nowa metoda zabezpieczania prywatności i transmisji danych drogą bezprzewodową, określona w normie IEEE 802.11i. AES-CCMP zapewnia skuteczniejszą metodę szyfrowania niż TKIP. AES-CCMP należy wybrać jako metodę szyfrowania danych, gdy istotny jest wysoki poziom ochrony danych. Metoda AES-CCMP jest dostępna z uwierzytelnianiem sieci WPA/WPA2-Indywidualne/Korporacyjne.
UWAGA: Niektóre rozwiązania zabezpieczeń mogą nie być obsługiwane przez zainstalowany system operacyjny i mogą wymagać instalacji dodatkowego oprogramowania i/lub pewnych urządzeń, a także wsparcia infrastruktury sieci bezprzewodowej LAN. Szczegóły można uzyskać u producenta komputera.
Protokół TKIP udostępnia mieszanie kluczy przed wysłaniem pakietu, kontrolę integralności wiadomości i mechanizm ponownego wprowadzania klucza. Metoda TKIP jest dostępna z uwierzytelnianiem sieci WPA/WPA2-Indywidualne/Korporacyjne.
Patrz: CKIP.
Szyfrowanie WEP zapobiega odbieraniu danych drogą bezprzewodową przez osoby nieupoważnione. W szyfrowaniu WEP dane są przed wysyłaniem szyfrowane za pomocą klucza szyfrowania. Uzyskiwanie dostępu do sieci oraz odszyfrowywanie danych jest możliwe tylko w przypadku komputerów z tym samym kluczem szyfrowania. Tryb korporacyjny WEP nie odpowiada dokładnie trybowi indywidualnemu WEP — pod względem możliwości wyboru uwierzytelniania sieci Otwarte, kliknięcia opcji Włącz 802.1X i wyboru wszystkich typów uwierzytelniania klienta. W trybie indywidualnym WEP wybór typów uwierzytelniania jest niedostępny.
Typ metody uwierzytelniania, w którym używany jest protokół EAP i protokół zabezpieczeń TLS (Transport Layer Security). W metodzie EAP-TLS używane są certyfikaty z hasłami. W Uwierzytelnianiu EAP-TLS obsługiwane jest zarządzanie kluczami dynamicznymi WEP. Protokół TLS jest przeznaczony do zabezpieczania i uwierzytelniania komunikacji w sieciach publicznych przez szyfrowanie danych. Protokół uzgadniania TLS pozwala serwerowi i klientowi na wzajemne uwierzytelnianie i negocjowanie algorytmu szyfrowania oraz kluczy kryptograficznych przed rozpoczęciem transmisji danych.
Te ustawienia określają protokół i poświadczenia używane do uwierzytelniania użytkownika. W przypadku usługi TTLS klient korzysta z usługi EAP-TLS w celu sprawdzenia serwera i utworzenia między klientem a serwerem kanału zaszyfrowanego metodą TLS. Klient może korzystać z innego protokołu uwierzytelniania. Zazwyczaj protokoły z hasłem wysyłają wyzwanie przez ukryty kanał zaszyfrowany metodą TLS. Aktualne implementacje TTLS obsługują wszystkie metody określone w protokole EAP oraz kilka starszych metod (PAP, CHAP, MS-CHAP i MS-CHAP-V2). TTLS można łatwo rozszerzyć do współpracy z nowymi protokołami poprzez zdefiniowanie nowych atrybutów obsługujących nowe protokoły.
PEAP to nowy typ uwierzytelniania przy użyciu protokołu EAP IEEE 802.1X, zaprojektowany w celu wykorzystania usługi EAP-TLS po stronie serwera i obsługi różnych metod uwierzytelniania (np. przy użyciu haseł użytkownika, haseł jednorazowych lub kart GTC).
Wersja protokołu Extensible Authentication Protocol (EAP). LEAP to protokół uwierzytelniania EAP, opracowany przez firmę Cisco, który zapewnia mechanizm uwierzytelniania typu wyzwanie-odpowiedź oraz przydzielanie kluczy dynamicznych.
EAP-SIM stanowi mechanizm uwierzytelniania i dystrybucji klucza sesji. Jest w nim używany moduł SIM systemu komunikacji GSM. W uwierzytelnianiu EAP-SIM dane są szyfrowane za pomocą dynamicznego klucza WEP sesji, pobieranego z karty klienta i serwera RADIUS. W przypadku uwierzytelniania EAP-SIM wymagane jest wprowadzenie kodu weryfikacyjnego użytkownika (kodu PIN), umożliwiającego komunikację z kartą SIM. Karta SIM to specjalna karta inteligentna używana w cyfrowych sieciach komórkowych GSM. Mechanizm EAP-SIM jest opisany w dokumencie RFC 4186.
EAP-AKA (ang. Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) to mechanizm EAP służący do uwierzytelniania i dystrybucji klucza sesji za pomocą karty SIM w systemie UMTS (USIM). Karta USIM jest specjalną kartą inteligentną używaną w sieciach komórkowych do weryfikowania użytkownika w sieci.
Dwukierunkowy protokół uzgadniania PAP został opracowany do użytku z protokołem PPP. W protokole PAP używane jest hasło tekstowe używane w starszych systemach SLIP. Protokół ten nie jest bezpieczny. Dostępny tylko dla typu uwierzytelniania TTLS.
Trójkierunkowy protokół uzgadniania CHAP jest uznawany za bezpieczniejszy od protokołu uwierzytelniania PAP. Dostępny tylko dla typu uwierzytelniania TTLS.
Wersja protokołu RSA Message Digest 4 opracowana przez firmę Microsoft. Ten tryb działa tylko w systemach firmy Microsoft i umożliwia szyfrowanie danych. Po wybraniu tej metody uwierzytelniania wszystkie dane są szyfrowane. Dostępny tylko dla typu uwierzytelniania TTLS.
Wprowadza dodatkową funkcję, niedostępną w przypadku uwierzytelniania MS-CHAP-V1 ani standardowego uwierzytelniania CHAP — funkcję zmiany hasła. Funkcja ta umożliwia klientowi zmianę hasła, jeśli z serwera RADIUS odebrane zostanie zgłoszenie wygaśnięcia hasła. Dostępny tylko dla typu uwierzytelniania TTLS i PEAP.
Używa do uwierzytelniania kart tokenu specyficznych dla użytkownika. Główną funkcją w przypadku uwierzytelniania GTC jest uwierzytelnianie na podstawie certyfikatu cyfrowego lub karty tokenu. Dodatkowo uwierzytelnianie GTC zapewnia możliwość ukrywania tożsamości nazwy użytkownika do momentu ustanowienia zaszyfrowanego tunelu TLS, dzięki czemu zyskuje się dodatkową pewność, że nazwy użytkownika nie są emitowane w fazie uwierzytelniania. Dostępny tylko dla typu uwierzytelniania PEAP.
Protokół TLS jest przeznaczony do zabezpieczania i uwierzytelniania komunikacji w sieciach publicznych przez szyfrowanie danych. Protokół uzgadniania TLS pozwala serwerowi i klientowi na wzajemne uwierzytelnianie i negocjowanie algorytmu szyfrowania oraz kluczy kryptograficznych przed rozpoczęciem transmisji danych. Dostępny tylko dla typu uwierzytelniania PEAP.
Protokół Cisco LEAP (Cisco Light EAP) umożliwia uwierzytelnianie serwera i klienta w standardzie 802.1X za pomocą podawanego przez użytkownika hasła logowania. Kiedy punkt dostępu do sieci bezprzewodowej łączy się z serwerem RADIUS z włączoną obsługą protokołu LEAP (Cisco), protokół ten zapewnia kontrolę dostępu przez wzajemne uwierzytelnianie między kartami WiFi klienta i siecią bezprzewodową, a także indywidualne dynamiczne klucze szyfrowania, umożliwiające zachowanie prywatności przesyłanych danych.
Funkcja Cisco Rogue AP zapewnia zabezpieczenie przeciwko wprowadzeniu nielegalnego punktu dostępu, imitującego działanie punktu uprawnionego w celu złamania zabezpieczeń przez przejęcie informacji dotyczących poświadczeń użytkownika i protokołów uwierzytelniania. Funkcja ta działa tylko wtedy, gdy używany jest protokół LEAP (Cisco). Standardowa technologia 802.11 nie zabezpiecza sieci przed wprowadzeniem nielegalnego punktu dostępu. Informacje na ten temat można znaleźć w sekcji Uwierzytelnianie LEAP.
W niektórych punktach dostępu (np. Cisco 350 lub Cisco 1200) obsługiwane są środowiska, w których nie wszystkie stacje klientów obsługują szyfrowanie WEP. Jest to tzw. tryb mieszanej sieci komórkowej. Gdy sieć bezprzewodowa działa w trybie szyfrowania opcjonalnego, stacje klientów dołączane do sieci w trybie WEP wysyłają wszystkie komunikaty w postaci zaszyfrowanej, a stacje w trybie standardowym wysyłają wszystkie komunikaty w postaci niezaszyfrowanej. Punkty dostępu emitują sygnały o braku szyfrowania, ale klienci mogą być dołączani w trybie szyfrowania WEP. Jeśli w profilu włączono opcję mieszanej sieci komórkowej, można podłączać komputery do punktów dostępu skonfigurowanych do szyfrowania opcjonalnego.
Protokół Cisco Key Integrity Protocol (CKIP) to własny protokół zabezpieczeń firmy Cisco, stosowany do szyfrowania w standardzie 802.11. W protokole CKIP używane są następujące funkcje zwiększające bezpieczeństwo sieci 802.11 w trybie Infrastruktura:
UWAGA: Metoda CKIP nie jest używana z uwierzytelnianiem sieci WPA/WPA2-Indywidualne/Korporacyjne.
UWAGA: Metoda CKIP jest obsługiwana tylko w przypadku używania narzędzia do połączeń WiFi w systemie Windows* XP.
Po skonfigurowaniu sieci bezprzewodowej LAN na potrzeby szybkiego ponownego łączenia urządzenie klienta z obsługą protokołu LEAP może być przemieszczane między punktami dostępu bez konieczności angażowania serwera głównego. Punkt dostępu skonfigurowany do udostępniania usług WDS i korzystający ze scentralizowanego zarządzania kluczami Cisco (CCKM), zastępuje serwer RADIUS i umożliwia uwierzytelnianie klienta, bez widocznego opóźnienia, w przypadku aplikacji głosowych i innych, w których ważny jest czas.
Po włączeniu tej funkcji za pomocą karty WiFi można uzyskiwać informacje o zarządzaniu łącznością radiową infrastruktury Cisco. Jeśli dla infrastruktury używane jest narzędzie do zarządzania łącznością radiową Cisco, służy ono do konfigurowania parametrów łączności radiowej, a także do wykrywania zakłóceń i nielegalnych punktów dostępu.
W przypadku trybu EAP-FAST (tak jak w przypadku trybów EAP-TTLS i PEAP) ruch w sieci jest zabezpieczany przy użyciu tunelowania. Główna różnica polega na tym, że w przypadku trybu EAP-FAST do uwierzytelniania nie używa się certyfikatów. Podawanie poświadczeń EAP-FAST jest negocjowane wyłącznie przez klienta podczas pierwszej wymiany danych, gdy tryb EAP-FAST jest żądany na serwerze. Jeśli klient nie dysponuje tajnymi wstępnymi poświadczeniami dostępu zabezpieczonego (PAC), może zainicjować wymianę EAP-FAST i uzyskać je z serwera w trybie dynamicznym.
Istnieją dwie metody podawania poświadczeń dostępu zabezpieczonego w trybie EAP-FAST: podawanie ręczne (przez pozapasmowy mechanizm zabezpieczeń) i podawanie automatyczne.
Metoda EAP-FAST składa się z dwóch etapów: podanie poświadczeń i uwierzytelnienie. Etap pierwszy polega na dostarczeniu poświadczeń dostępu zabezpieczonego do klienta. Przeprowadzenie tej czynności jest wymagane tylko raz dla klienta i użytkownika.