Det här avsnittet förklarar de olika säkerhetsmetoder som används för att skydda WiFi-nätverk.
802.1X-autentisering (företagssäkerhet)
Ditt trådlösa nätverk, om det lämnas oskyddat, kan vara öppet för åtkomst från andra datorer. Med hjälp av de säkerhetsmetoder som beskrivs i detta avsnitt kan du enkelt skydda ditt hem och kontorsnätverk från nästan alla typer av obehörig åtkomst.
Autentisering är den process som identifierar och godkänner en begäran från en klient (vanligtvis en bärbar dator) om åtkomst till ett nätverk vid en nätverksåtkomstpunkt. När autentiseringen är klar och åtkomsten beviljad ges klienten åtkomst till nätverket.
Du kan välja krypteringsalgoritmer om du vill kryptera den information och de data som skickas över ditt trådlösa nätverk. Endast datorer utrustade med PSK-nycklar (nycklar som delats i förväg) kan kryptera och dekryptera de data som överförs. Krypteringsnycklar är tillgängliga i två säkerhetsnivåer, 64 bitar och 128 bitar. Använd 128-bitars nycklar för större säkerhet.
Ett enkelt sätt att förbättra nätverkssäkerheten är att ange din nätverksåtkomstpunkt till inte sända SSID. SSID behövs för att få åtkomst. Endast de datorer som känner till SSID kan få åtkomst till nätverket. (Detta ställs inte in för kortet med hjälp av verktyget Intel® PROSet för trådlösa WiFi-anslutningar, inställningarna görs vid åtkomstpunkten.)
IEEE 802.11 ger stöd åt två typer av nätverksautentiseringsmetoder: Öppet system och Delad nyckel.
WEP (Wired Equivalent Privacy) använder kryptering för att förhindra obehörig mottagning av trådlösa data. WEP använder en krypteringsnyckel för att kryptera data innan de överförs. Det är bara datorer som använder samma krypteringsnyckel som kan komma åt nätverket och dekryptera de data som överförts av andra datorer. WEP-krypteringen tillhandahåller två säkerhetsnivåer genom att använda en 64-bitarsnyckel (hänvisas ibland till som 40-bitars) eller 128-bitarsnyckel (kallas även för 104-bitars). För bättre säkerhet använder du en 128-bitarsnyckel. Om du använder kryptering måste alla trådlösa enheter i det trådlösa nätverket använda samma krypteringsnycklar.
Med WEP-datakryptering kan en trådlös station konfigureras med upp till fyra nycklar (nyckelindexvärdena är 1, 2, 3 och 4). När en åtkomstpunkt (AP) eller en trådlös station överför ett krypterat meddelande som använder en nyckel som förvaras i ett specifikt nyckelindex, anger det överförda meddelandet det nyckelindex som användes för att kryptera meddelandetexten. Den mottagande åtkomstpunkten eller trådlösa stationen kan sedan hämta nyckeln som förvaras i nyckelindex och använda den för att avkoda den krypterade meddelandetexten
Eftersom WEP-krypteringsalgoritmen är utsatt för nätverksattacker bör du överväga att använda säkerheten WPA-Personligt eller WPA2-Personligt.
WPA-Personligt läge är avsett för hemmiljöer och mindre kontor. WPA-Personligt kräver manuell konfiguration av en PSK (Pre-Shared Key) på åtkomstpunkterna och klienterna. Ingen autentiseringsserver behövs. Samma lösenord som anges i åtkomstpunkten måste användas på den här datorn och alla andra trådlösa enheter som ska användas i det trådlösa nätverket. Säkerheten beror på styrkan och sekretessen för lösenordet. Ett långt lösenord ger starkare nätverkssäkerhet än ett kort lösenord. Om en trådlös åtkomstpunkt eller router stödjer WPA-Personligt och WPA2-Personligt ska du aktivera den vid åtkomstpunkten och ange ett långt och starkt lösenord. Med WPA-Personligt kan du använda datakrypteringsalgoritmerna TKIP och AES-CCMP.
WPA2-Personligt kräver manuell konfiguration av en PSK (Pre-Shared Key) på åtkomstpunkten och klienterna. Ingen autentiseringsserver behövs. Samma lösenord som anges i åtkomstpunkten måste användas på den här datorn och alla andra trådlösa enheter som ska användas i det trådlösa nätverket. Säkerheten beror på styrkan och sekretessen för lösenordet. Ett långt lösenord ger starkare nätverkssäkerhet än ett kort lösenord. WPA2 är en förbättring jämfört med WPA och implementerar hela standarden IEEE 802.11i. WPA2 är bakåtkompatibel med WPA. Med WPA2-Personligt kan du använda datakrypteringsalgoritmerna TKIP och AES-CCMP.
OBS! WPA-Personligt och WPA2-Personligt fungerar ihop.
Detta avsnitt beskriver den säkerhet som oftast används av större företag.
Översikt
Vad är RADIUS?
Hur 802.1X-autentisering fungerar
802.1X-funktioner
802.1X-autentisering är oberoende av 802.11-autentiseringsprocessen. Standarden 802.11 tillhandahåller en struktur för olika autentiserings- och nyckelhanteringsprotokoll. Det finns olika 802.1X-autentiseringstyper som var och en tillhandahåller olika sätt att autentisera men alla använder sig av samma 802.11-protokoll och -struktur för kommunikation mellan klient och åtkomstpunkt. I flertalet protokoll gäller att vid slutförande av 802.1X-autentiseringsprocessen kommer klienten att få en nyckel som den använder för datakryptering. Se Hur 802.1X-autentisering fungerar för mer information. Med 802.1X-autentisering används en autentiseringsmetod mellan klienten och en server (t.ex. en RADIUS-server, Remote Authentication Dial-In User Service) som är ansluten till åtkomstpunkten. Autentiseringsprocessen använder referenser, som t.ex. en användares lösenord, som inte överförs över det trådlösa nätverket. Flertalet 802.1X-typer stöder dynamiska per-användare-, per-sessionsnycklar för att förstärka nyckelsäkerheten. 802.1X-fördelar från användningen av ett befintligt autentiseringsprotokoll som kallas EAP (Extensible Authentication Protocol).
802.1X-autentisering för trådlösa nätverk har tre huvudkomponenter:
802.1X-autentiseringssäkerhet initierar en auktoriseringsbegäran från den trådlösa klienten till åtkomstpunkten som verifierar klienten till en EAP-kompatibel (Extensible Authentication Protocol) RADIUS-server. Denna RADIUS-server kan antingen autentisera användaren (via lösenord eller certifikat) eller systemet (med MAC-adress). I teorin har den trådlösa klienten inte tillstånd att gå med i nätverken förrän transaktionen är klar. (Inte alla autentiseringsmetoder använder en RADIUS-server. WPA-Personligt och WPA2-Personligt använder ett vanligt lösenord som måste anges vid åtkomstpunkten och på alla enheter som begär åtkomst till nätverket.)
Det finns flera autentiseringsalgoritmer som används med 802.1X. Några exempel är: EAP-TLS, EAP-TTLS, Protected EAP (PEAP) och EAP Cisco Wireless LEAP (Light Extensible Authentication Protocol). Dessa är alla metoder för den trådlösa klienten att identifiera sig för RADIUS-servern. Med RADIUS-autentisering kontrolleras användaridentiteter mot databaser. RADIUS utgör en uppsättning med standarder som avser autentisering, auktorisering och beräkning (Authentication, Authorization and Accounting, AAA). RADIUS inkluderar en proxyprocess som validerar klienter i en flerservermiljö. IEEE 802.1X-standarden används för att styra och autentisera åtkomst till portbaserade 802.11 trådlösa och kabelanslutna Ethernet-nätverk. Portbaserad nätverksåtkomstkontroll liknar en växlad LAN-infrastruktur som autentiserar enheter som är anslutna till en LAN-port och förhindrar åtkomst till den porten om autentiseringsprocessen misslyckas.
RADIUS (Remote Authentication Dial-In User Service) är en tjänst för fjärråtkomstanvändare, ett AAA-klientserverprotokoll (Authorization, Authentication och Accounting) som används när en AAA-fjärranslutningsklient loggar in till eller ut från en nätverksåtkomstserver. Vanligtvis används en RADIUS-server av Internet-leverantörer (ISP) för att utföra AAA-uppgifter. AAA-faser beskrivs enligt följande:
En förenklad beskrivning av hur 802.1X-autentisering fungerar följer.
Följande autentiseringsmetoder stöds i Windows* XP:
Se WPA-Personligt.
Se WPA2-Personligt.
Företagsläge är avsett för företagsmiljöer eller den offentliga sektorn. WPA Företag verifierar nätverksanvändare via RADIUS eller annan autentiseringsserver. WPA använder 128-bitars krypteringsnycklar och dynamiska sessionsnycklar för att säkra ditt trådlösa nätverks sekretess och företagssäkerhet. En autentiseringstyp väljs för att matcha autentiseringsprotokollet på 802.1X-servern.
WPA Företag-autentisering är avsedd för företagsmiljöer och offentliga sektorn. WPA2 Företag verifierar nätverksanvändare via RADIUS eller annan autentiseringsserver. WPA2 använder 128-bitars krypteringsnycklar och dynamiska sessionsnycklar för att säkra ditt trådlösa nätverks sekretess och företagssäkerhet. En autentiseringstyp väljs för att matcha autentiseringsprotokollet på 802.1X-servern. Företagsläge är avsett för företagsmiljöer och offentliga sektorn. WPA2 är en förbättring jämfört med WPA och implementerar hela standarden IEEE 802.11i.
Advanced Encryption Standard - Counter CBC-MAC Protocol. Den nya metoden för sekretesskydd för trådlösa överföringar som anges i IEEE 802.11i-standarden. AES-CCMP är en starkare krypteringsmetod än TKIP. Välj AES-CCMP som datakrypteringsmetod när det är viktigt med starkt dataskydd. AES-CCMP är tillgängligt vid nätverksautentisering med WPA/WPA2 Personligt/Företag.
OBS! Vissa säkerhetslösningar kanske inte stöds av din dators operativsystem och kan kräva ytterligare programvara eller maskinvara såväl som infrastrukturstöd för trådlöst LAN. Tala med datortillverkaren för information.
TKIP tillhandahåller blandning med per-paket-nyckel, en meddelandeintegritetskontroll och en mekanism för nya nycklar. TKIP är tillgängligt vid nätverksautentisering med WPA/WPA2 Personligt/Företag.
Se CKIP.
WEP (Wired Equivalent Privacy) använder kryptering för att förhindra obehörig mottagning av trådlösa data. WEP använder en krypteringsnyckel för att kryptera data innan de överförs. Det är bara datorer som använder samma krypteringsnyckel som kan komma åt nätverket och dekryptera de data som överförts av andra datorer. WEP-Företag är inte exakt samma som WEP-Personligt i och med att du kan välja Öppen nätverksautentisering och sedan klicka på Aktivera 802.1X och kunna välja mellan alla klientautentiseringstyper. Det finns ingen möjlighet att välja autentiseringstyper med personlig WEP.
En typ av autentiseringsmetod som använder EAP (Extensible Authentication Protocol) och ett säkerhetsprotokoll som heter TLS (Transport Layer Security). EAP-TLS använder certifikat som använder lösenord. EAP-TLS-autentisering stöder dynamisk WEP-nyckelhantering. TLS-protokollet är avsett att skydda och autentisera kommunikationer över ett offentligt nätverk genom datakryptering. TLS-handskakningsprotokollet gör det möjligt för servern och klienten att tillhandahålla gemensam autentisering och att förhandla om en krypteringsalgoritm och kryptografiska nycklar innan data överförs.
Dessa inställningar anger protokoll och den identifierande information som används för att verifiera en användare. I TTLS (Tunneled Transport Layer Security) använder klienten EAP-TLS för att validera servern och för att skapa en TLS-krypterad kanal mellan klient och server. Klienten kan använda ett annat autentiseringsprotokoll. Normalt anropar lösenordsbaserade protokoll över en TLS-krypterad kanal utan exponering. Dagens TTLS-implementeringar stödjer alla metoder som definierats av EAP, såväl som flera äldre metoder (PAP, CHAP, MS-CHAP och MS-CHAP-V2). TTLS kan lätt utökas så att det fungerar med nya protokoll genom att du definierar nya attribut som stöder nya protokoll.
PEAP är en ny EAP (Extensible Authentication Protocol) IEEE 802.1X-autentiseringstyp avsedd att dra fördel av serversidans EAP-TLS (EAP-Transport Layer Security) och för att ge stöd åt olika autentiseringsmetoder, inklusive användares lösenord, engångslösenord och generiska token-kort.
En version av EAP (Extensible Authentication Protocol). LEAP är ett utökningsbart autentiseringsprotokoll som utvecklats och ägs av Cisco. Det har en autentiseringsmekanism baserat på fråga och svar och dynamisk nyckeltilldelning.
EAP-SIM (Extensible Authentication Protocol Method for GSM Subscriber Identity Module) är en mekanism för autentisering och sessionsnyckeldistribution. Den använder GSM SIM (Global System for Mobile Communications Subscriber Identity Module). EAP-SIM använder en dynamisk sessionsbaserad WEP-nyckel, som kommer från klientkortet och RADIUS-servern, för att kryptera data. EAP-SIM kräver att du anger en användarautentiseringskod, eller PIN-kod, för kommunikation med SIM-kortet (Subscriber Identity Module). Ett SIM-kort är ett speciellt smartkort som används av GSM-baserade (Global System for Mobile Communications) digitala mobiltelefoninätverk. RFC 4186 beskriver EAP-SIM.
EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) är en EAP-mekanism för autentisering och sessionsnyckeldistribution som använder USIM (Subscriber Identity Module) för UMTS (Universal Mobile Telecommunications System). USIM-kortet är ett speciellt smartkort som används med mobila nätverk för att verifiera en viss användare för nätverket.
Password Authentication Protocol är ett protokoll för tvåvägs handskakning avsett för användning med PPP. PAP är ett lösenord med oformaterad text som används på äldre SLIP-system. Det är inte säkert. Endast tillgängligt för autentiseringstypen TTLS.
Challenge Handshake Authentication Protocol är ett protokoll med trevägshandskakning som anses vara säkrare än protokollet för autentisering av lösenord. Endast tillgängligt för autentiseringstypen TTLS.
Använder en Microsoft-version av RSA Message Digest 4-protokollet för utmana-och-svara. Detta fungerar bara i Microsoft-system och aktiverar datakryptering. Om vill välja den här autentiseringsmetoden orsakar det att alla data krypteras. Endast tillgängligt för autentiseringstypen TTLS.
Introducerar en ytterligare funktion som inte finns tillgänglig med MS-CHAP-V1- eller standard-CHAP-autentisering, funktionen att ändra lösenord. Denna funktionen ger klienten möjlighet att ändra kontolösenordet om RADIUS-servern rapporterar att lösenordet har upphört. Tillgängligt för autentiseringstyperna TTLS och PEAP.
Bär användarspecifika symbol-kort för autentisering. Huvudfunktionen i GTC är digitalt certifikat-/Symbol-kortbaserad autentisering. Dessutom innefattar GTC möjligheten att dölja användarnamnsidentiteter tills den TLS-krypterade tunneln etablerats, vilket ger ytterligare sekretess eftersom användarnamn inte skickas ut under autentiseringsfasen. Endast tillgängligt för autentiseringstypen PEAP.
TLS-protokollet är avsett att skydda och autentisera kommunikationer över ett offentligt nätverk genom datakryptering. TLS-handskakningsprotokollet gör det möjligt för servern och klienten att tillhandahålla gemensam autentisering och att förhandla om en krypteringsalgoritm och kryptografiska nycklar innan data överförs. Endast tillgängligt för autentiseringstypen PEAP.
Cisco LEAP (Cisco Light EAP) är en 802.1X-autentisering för server och klient via användarangivet inloggningslösenord. När en trådlös åtkomstpunkt kommunicerar med en Cisco LEAP-aktiverad RADIUS-server (Cisco Secure Access Control Server (ACS)), tillhandahåller Cisco LEAP åtkomstkontroll genom gemensam autentisering mellan klientens WiFi-kort och de trådlösa nätverken och tillhandahåller individuella användarkrypteringsnycklar dynamiskt för att hjälpa till att sekretesskydda överförda data.
Funktionen Cisco Rogue AP tillhandahåller säkerhetsskydd från ett besök av en otillåten åtkomstpunkt som skulle kunna imitera en legitim åtkomstpunkt i ett nätverk för att kunna extrahera information om användarens identifieringsinformation och autentiseringsprotokoll vilket skulle kunna kompromissa säkerheten. Denna funktion kan bara användas med Ciscos LEAP-autentisering. Standardteknologin i 802.11 skyddar inte ett nätverk från att en otillåten åtkomstpunkt introduceras. Se LEAP-autentisering för mer information.
Vissa åtkomstpunkter t.ex. Cisco 350 eller Cisco 1200 stödjer miljöer i vilka inte alla klientstationer stödjer WEP-kryptering. Detta kallas även blandat cell-läge. När dessa trådlösa nätverk används i läget för "valfri kryptering" skickar klientstationer som ansluter i WEP-läge alla meddelanden krypterade. Stationer som använder standardläge skickar alla meddelanden okrypterade. Dessa åtkomstpunkter sänder ut att nätverket inte använder kryptering men tillåter klienter som använder WEP-läge. När Blandad-cell är aktiverat i en profil kan du ansluta till åtkomstpunkter som är konfigurerade för "valfri kryptering".
CKIP (Cisco Key Integrity Protocol) är Ciscos egna säkerhetsprotokoll för kryptering i 802.11-media. CKIP använder följande funktioner för att förbättra 802.11-säkerhet i infrastrukturläge:
OBS! CKIP används inte vid nätverksautentisering med WPA/WPA2 Personligt/Företag.
OBS! CKIP stöds endast genom användningen av WiFi-anslutningsverktyget med Windows* XP.
När ett trådlöst nätverk konfigureras för snabb återanslutning kan en LEAP-aktiverad klientenhet utföra roaming från en åtkomstpunkt till en annan utan att involvera huvudservern. Med Cisco Centralized Key Management (CCKM) kommer en åtkomstpunkt konfigurerad för Wireless Domain Services (WDS) att ersätta RADIUS-servern och autentisera klienten utan märkbar fördröjning i rösttillämpningar eller andra tidskänsliga tillämpningar.
När den här funktionen är aktiverad tillhandahåller WiFi-kortet radiohanteringsinformation för Ciscos infrastruktur. Om verktyget Cisco Radio Management används på infrastrukturen konfigurerar det radioparametrar, identifierar störningar och otillåtna åtkomstpunkter.
EAP-FAST, så som EAP-TTLS och PEAP, använder tunnel för att skydda trafik. Den största skillnaden är att EAP-FAST inte använder certifikat för autentisering. Tillhandahållande i EAP-FAST förhandlas endast av klienten vid det första kommunikationsutbytet när EAP-FAST begärs från servern. Om klienten inte har en hemlig PAC som delats i förväg, kan den begära att ett tillhandahållande av EAP-FAST-utbyte initieras för att dynamiskt erhålla en från servern.
EAP-FAST-dokument har två sätt att leverera PAC: manuell leverans genom en säker mekanism utanför bandet och automatiskt tillhandahållande.
EAP-FAST-metoden är uppdelad i två delar: tillhandahållande och autentisering. Tillhandahållandefasen innebär den första leveransen av PAC till klienten. Denna fas behöver bara utföras en gång per klient och användare.