ส่วนนี้จะอธิบายถึงวิธีการรักษาความปลอดภัยต่างๆ ซึ่งช่วยในการปกป้องเครือข่าย WiFi
การตรวจสอบความถูกต้อง 802.1X (ความปลอดภัยองค์กร)
ประเภทการตรวจสอบความถูกต้องเครือข่าย:
เครือข่ายไร้สายของคุณ หากไม่มีการป้องกัน อาจสามารถเข้าถึงได้จากคอมพิวเตอร์เครื่องอื่นๆ คุณสามารถปกป้องเครือข่ายในบ้านและเครือข่ายธุรกิจขนาดเล็กได้อย่างง่ายดายจากการเข้าถึงโดยไม่ได้รับอนุญาตทุกรูปแบบโดยใช้วิธีการรักษาความปลอดภัยที่อธิบายไว้ในส่วนนี้
การตรวจสอบความถูกต้องเป็นกระบวนการระบุและอนุมัติคำร้องขอจากเครื่องลูกข่าย (โดยปกติแล้วเป็นเครื่องแลปท็อป) เพื่อเข้าถึงเครือข่ายที่จุดเชื่อมต่อของเครือข่าย หลังจากที่ตรวจสอบความถูกต้องเสร็จแล้ว และมีการให้สิทธิ์การเข้าถึง เครื่องลูกข่ายก็จะสามารถเข้าถึงเครือข่ายได้
คุณสามารถเลือกอัลกอริธึมการเข้ารหัสเพื่อเข้ารหัสข้อมูลที่ถูกส่งผ่านเครือข่ายไร้สายของคุณ เฉพาะคอมพิวเตอร์ที่มี pre-shared keys เท่านั้นที่จะสามารถเข้ารหัสและถอดรหัสข้อมูลที่ถูกรับส่ง คีย์การเข้ารหัสจะพร้อมใช้งานด้วยระดับความปลอดภัย 2 ระดับ คือ 64 บิต และ 128 บิต ใช้คีย์ 128 บิตเพื่อเพิ่มความปลอดภัย
การปรับปรุงความปลอดภัยเครือข่ายสามารถทำได้อย่าง่ายดาย โดยตั้งค่าจุดเชื่อมต่อเครือข่ายของคุณไว้ที่ ไม่แพร่สัญญาณ Service Set Identifier (SSID) โดยจะต้องใช้ SSID ในการเข้าถึงเครือข่าย เฉพาะคอมพิวเตอร์ที่รู้ SSID เท่านั้นที่จะสามารถเข้าถึงเครือข่ายได้ (ซึ่งไม่ได้ตั้งค่าที่อแด็ปเตอร์โดยใช้ยูทิลิตีการเชื่อมต่อ Intel® PROSet/Wireless WiFi แต่ตั้งค่าที่จุดเชื่อมต่อ)
IEEE 802.11 สนับสนุนวิธีการตรวจสอบความถูกต้องบนเครือข่ายสองวิธี ได้แก่ ระบบเปิด (Open System) และคีย์ที่ใช้ร่วมกัน (Shared Key)
Wired Equivalent Privacy (WEP) ใช้การเข้ารหัสเพื่อช่วยป้องกันการรับข้อมูลไร้สายโดยไม่ได้รับอนุญาต WEP ใช้คีย์เข้ารหัสเพื่อเข้ารหัสข้อมูลก่อนที่จะส่ง เฉพาะคอมพิวเตอร์ที่ใช้คีย์เข้ารหัสเดียวกันเท่านั้นที่จะสามารถเข้าใช้เครือข่าย และถอดรหัสข้อมูลที่ส่งมาจากคอมพิวเตอร์เครื่องอื่น การเข้ารหัส WEP มีระดับความปลอดภัยสองระดับ โดยใช้คีย์ 64 บิต (บางครั้งเรียกว่า 40 บิต) หรือคีย์ 128 บิต (หรือ 104 บิต) เพื่อเพิ่มประสิทธิภาพการรักษาความปลอดภัย ควรใช้คีย์ 128 บิต หากคุณใช้การเข้ารหัส อุปกรณ์ไร้สายทั้งหมดบนเครือข่ายไร้สายของคุณจะต้องใช้คีย์เข้ารหัสที่ตรงกัน
ด้วยการเข้ารหัส WEP สถานีไร้สายจะสามารถกำหนดค่าได้ถึง 4 คีย์ (ค่าดัชนีคีย์ได้แก่ 1, 2, 3 และ 4) เมื่อจุดเชื่อมต่อ (AP) หรือสถานีไร้สายส่งข้อความที่เข้ารหัสซึ่งใช้คีย์ที่บันทึกอยู่ในดัชนีคีย์ ข้อความที่ส่งจะระบุถึงดัชนีคีย์ที่ถูกใช้ในการเข้ารหัสเนื้อหาของข้อความ AP หรือสถานีไร้สายที่กำลังรับจึงสามารถรับคีย์ที่บันทึกอยู่ในดัชนีคีย์นั้นได้และใช้ในการถอดรหัสเนื้อหาข้อความที่เข้ารหัสไว้
เนื่องจากอัลกอริธึมการเข้ารหัส WEP ถือเป็นจุดอ่อนสำหรับการโจมตีเครือข่าย ดังนั้นคุณจึงควรพิจารณาการใช้วิธีรักษาความปลอดภัยแบบ WPA-Personal หรือ WPA2-Personal
โหมด WPA-Personal มุ่งหมายให้ใช้สำหรับสภาพแวดล้อมแบบในบ้านหรือธุรกิจขนาดเล็ก WPA Personal จำเป็นต้องใช้การกำหนดค่า pre-shared key (PSK) โดยผู้ใช้ที่จุดเชื่อมต่อและเครื่องลูกข่าย ไม่จำเป็นต้องใช้เซิร์ฟเวอร์การตรวจสอบความถูกต้อง รหัสผ่านชุดที่ป้อนที่จุดเชื่อมต่อจะต้องถูกนำมาใช้บนคอมพิวเตอร์เครื่องนี้และอุปกรณ์ไร้สายอื่นๆ ทั้งหมดที่เชื่อมต่อกับเครือข่ายไร้สาย ความปลอดภัยขึ้นอยู่กับความแข็งแกร่งและความลับของเครือข่าย รหัสผ่านที่ยาวช่วยรักษาความปลอดภัยเครือข่ายได้มากกว่ารหัสผ่านที่สั้น หากจุดเชื่อมต่อไร้สายหรือเราเตอร์ของคุณสนับสนุน WPA-Personal และ WPA2 Personal คุณควรเปิดใช้งานบนจุดเชื่อมต่อ และกำหนดรหัสผ่านแบบยาวที่ซับซ้อน WPA-Personal สามารถใช้ได้กับอัลกอริธึมการเข้ารหัสข้อมูล TKIP และ AES-CCMP
WPA2-Personal จำเป็นต้องใช้การกำหนดค่า pre-shared key (PSK) โดยผู้ใช้ที่จุดเชื่อมต่อและเครื่องลูกข่าย ไม่จำเป็นต้องใช้เซิร์ฟเวอร์การตรวจสอบความถูกต้อง รหัสผ่านชุดที่ป้อนที่จุดเชื่อมต่อจะต้องถูกนำมาใช้บนคอมพิวเตอร์เครื่องนี้และอุปกรณ์ไร้สายอื่นๆ ทั้งหมดที่เชื่อมต่อกับเครือข่ายไร้สาย ความปลอดภัยขึ้นอยู่กับความแข็งแกร่งและความลับของเครือข่าย รหัสผ่านที่ยาวช่วยรักษาความปลอดภัยเครือข่ายได้มากกว่ารหัสผ่านที่สั้น WPA2 เป็นการปรับปรุงต่อยอดจาก WPA และปรับใช้มาตรฐาน IEEE 802.11i อย่างสมบูรณ์ WPA2 สามารถใช้งานร่วมกับ WPA WPA2-Personal สามารถใช้ได้กับอัลกอริธึมการเข้ารหัสข้อมูล TKIP และ AES-CCMP
หมายเหตุ: WPA-Personal และ WPA2-Personal สามารถใช้งานร่วมกันได้
ส่วนนี้อธิบายเกี่ยวกับวิธีการรักษาความปลอดภัยทั่วไปที่ใช้ในบริษัทขนาดใหญ่
ภาพรวม
RADIUS คืออะไร?
วิธีการตรวจสอบความถูกต้อง 802.1X
คุณลักษณะ 802.1X
การตรวจสอบความถูกต้อง 802.1X เป็นอิสระจากกระบวนการตรวจสอบความถูกต้อง 802.11 มาตรฐาน 802.11 จะให้กรอบงานสำหรับโปรโตคอลการตรวจสอบความถูกต้องและการจัดการคีย์ที่หลากหลาย การตรวจสอบความถูกต้อง 802.1X มีหลายประเภท และแต่ละประเภทใช้แนวทางที่แตกต่างกันในการตรวจสอบความถูกต้อง แต่ทุกประเภทจะใช้โปรโตคอล 802.11 และกรอบงานเดียวกันสำหรับการสื่อสารระหว่างเครื่องลูกข่ายและจุดเชื่อมต่อ ในโปรโตคอลส่วนใหญ่ หลังจากที่กระบวนการตรวจสอบความถูกต้อง 802.1X เสร็จสิ้น เครื่องลูกข่ายจะได้รับคีย์สำหรับใช้ในการเข้ารหัสข้อมูล ดูข้อมูลเพิ่มเติมใน วิธีการตรวจสอบความถูกต้อง 802.1X ในการตรวจสอบความถูกต้อง 802.1X จะใช้วิธีการตรวจสอบความถูกต้องระหว่างเครื่องลูกข่ายและเซิร์ฟเวอร์ (เช่น เซิร์ฟเวอร์ Remote Authentication Dial-In User Service (RADIUS)) ที่เชื่อมต่อกับจุดเชื่อมต่อ กระบวนการตรวจสอบความถูกต้องจะใช้ข้อมูลรับรอง เช่น รหัสผ่านของผู้ใช้ที่ไม่ได้จัดส่ง บนเครือข่ายไร้สาย การตรวจสอบความถูกต้อง 802.1X ส่วนใหญ่สนับสนุนคีย์แบบไดนามิกสำหรับผู้ใช้และเซสชันหนึ่งๆ เพื่อเพิ่มความแข็งแกร่งให้กับระบบรักษาความปลอดภัยที่ใช้คีย์ การตรวจสอบความถูกต้อง 802.1X ได้รับประโยชน์จากการใช้โปรโตคอลการตรวจสอบความถูกต้องที่มีอยู่ ซึ่งมีชื่อว่า Extensible Authentication Protocol (EAP)
การตรวจสอบความถูกต้อง 802.1X สำหรับเครือข่ายไร้สาย มีองค์ประกอบหลักสามส่วน ได้แก่
ระบบรักษาความปลอดภัยที่ใช้การตรวจสอบความถูกต้อง 802.1X จะร้องขอการตรวจสอบความถูกต้องจากเครื่องลูกข่ายไร้สายไปยังจุดเชื่อมต่อ ซึ่งจะทำการตรวจสอบความถูกต้องของเครื่องลูกข่ายโดยเชื่อมต่อกับเซิร์ฟเวอร์ RADIUS ที่ใช้ Extensible Authentication Protocol (EAP) เซิร์ฟเวอร์ RADIUS นี้อาจตรวจสอบความถูกต้องของผู้ใช้ (โดยอาศัยรหัสผ่านหรือใบรับรอง) หรือระบบ (โดยอาศัยที่อยู่ MAC) ในทางทฤษฎีแล้ว เครื่องลูกข่ายไร้สายไม่ได้รับอนุญาตให้เข้าร่วมเครือข่ายจนกว่าทรานแซคชันดังกล่าวจะเสร็จสมบูรณ์ (วิธีการตรวจสอบความถูกต้องบางวิธีไม่ได้ใช้เซิร์ฟเวอร์ RADIUS WPA-Personal และ WPA2-Personal ใช้รหัสผ่านทั่วไปซึ่งจะต้องป้อนที่จุดเชื่อมต่อและอุปกรณ์ทั้งหมดที่ร้องขอการเข้าถึงเครือข่าย)
มีอัลกอริธึมการตรวจสอบความถูกต้องหลายๆ แบบที่ใช้กับ 802.1X ตัวอย่างเช่น: EAP-TLS, EAP-TTLS, Protected EAP (PEAP) และ EAP Cisco Wireless Light Extensible Authentication Protocol (LEAP) วิธีการทั้งหมดนี้จะช่วยให้เครื่องลูกข่ายไร้สายสามารถแสดงข้อมูลต่อเซิร์ฟเวอร์ RADIUS ได้ ในการตรวจสอบความถูกต้องบน RADIUS รหัสประจำตัวของผู้ใช้จะถูกตรวจสอบโดยเปรียบเทียบกับฐานข้อมูล RADIUS ประกอบด้วยชุดมาตรฐานสำหรับการตรวจสอบความถูกต้อง การอนุญาต และการจัดการบัญชี (Authentication, Authorization และ Accounting หรือ AAA) RADIUS ใช้กระบวนการพร็อกซีเพื่อตรวจสอบเครื่องลูกข่ายในสภาพแวดล้อมที่มีเซิร์ฟเวอร์หลายเครื่อง มาตรฐาน IEEE 802.1X จัดหากลไกสำหรับการควบคุมและตรวจสอบการเข้าใช้เครือข่ายอีเทอร์เน็ตแบบใช้สายและแบบไร้สาย 802.11 ที่ใช้พอร์ต การควบคุมการเข้าใช้เครือข่ายที่ใช้พอร์ตมีลักษณะคล้ายคลึงกับโครงสร้างพื้นฐานเครือข่ายเฉพาะที่ (LAN) ที่ใช้สวิตช์ ซึ่งตรวจสอบความถูกต้องของอุปกรณ์ที่เชื่อมต่อกับพอร์ต LAN และป้องกันการเข้าใช้พอร์ตดังกล่าวในกรณีที่กระบวนการตรวจสอบความถูกต้องล้มเหลว
RADIUS ย่อมาจาก Remote Authentication Dial-In User Service ซึ่งเป็นโปรโตคอลสำหรับการตรวจสอบความถูกต้อง การอนุญาต และการจัดการบัญชี (AAA) ระหว่างเซิร์ฟเวอร์และเครื่องลูกข่าย โปรโตคอลดังกล่าวจะถูกใช้เมื่อเครื่องลูกข่าย AAA dial-up ล็อกอินหรือล็อกเอาต์จากเซิร์ฟเวอร์การเข้าใช้เครือข่าย โดยทั่วไปแล้ว ผู้ให้บริการอินเทอร์เน็ต (ISP) จะใช้เซิร์ฟเวอร์ RADIUS เพื่อดำเนินงาน AAA ขั้นตอน AAA มีรายละเอียดดังนี้:
ต่อไปนี้เป็นรายละเอียดเบื้องต้นเกี่ยวกับวิธีการตรวจสอบความถูกต้อง 802.1X
วิธีการตรวจสอบความถูกต้องต่อไปนี้สามารถใช้กับ Windows* XP:
ดู การตรวจสอบความถูกต้องแบบเปิด
ดู การตรวจสอบความถูกต้องที่ใช้ร่วมกัน
ดู WPA-Personal
การตรวจสอบความถูกต้องในโหมด Enterprise มุ่งหมายให้ใช้สำหรับสภาพแวดล้อมแบบองค์กรและหน่วยงานราชการ WPA Enterprise จะตรวจสอบผู้ใช้เครือข่ายผ่านทาง RADIUS หรือเซิร์ฟเวอร์การตรวจสอบความถูกต้อง WPA จะใช้คีย์เข้ารหัส 128 บิต และคีย์เซสชันแบบไดนามิกเพื่อให้แน่ใจว่าเครือข่ายไร้สายของคุณมีความเป็นส่วนตัวและความปลอดภัยระดับองค์กร ประเภทการตรวจสอบความถูกต้องถูกเลือกให้ตรงกับโปรโตคอลการตรวจสอบความถูกต้องของเซิร์ฟเวอร์ 802.1X
การตรวจสอบความถูกต้อง WPA Enterprise มุ่งหมายให้ใช้สำหรับสภาพแวดล้อมแบบองค์กรและหน่วยงานราชการ WPA2 Enterprise จะตรวจสอบผู้ใช้เครือข่ายผ่านทาง RADIUS หรือเซิร์ฟเวอร์การตรวจสอบความถูกต้อง WPA2 จะใช้คีย์เข้ารหัส 128 บิต และคีย์เซสชันแบบไดนามิกเพื่อให้แน่ใจว่าเครือข่ายไร้สายของคุณมีความเป็นส่วนตัวและความปลอดภัยระดับองค์กร ประเภทการตรวจสอบความถูกต้องถูกเลือกให้ตรงกับโปรโตคอลการตรวจสอบความถูกต้องของเซิร์ฟเวอร์ 802.1X โหมดองค์กรมุ่งหมายให้ใช้สำหรับสภาพแวดล้อมแบบองค์กรและหน่วยงานราชการ WPA2 เป็นการปรับปรุงต่อยอดจาก WPA และปรับใช้มาตรฐาน IEEE 802.11i อย่างสมบูรณ์
Advanced Encryption Standard - Counter CBC-MAC Protocol วิธีการใหม่สำหรับการปกป้องความเป็นส่วนตัวของการส่งผ่านแบบไร้สาย ซึ่งระบุไว้ในมาตรฐาน IEEE 802.11i โดย AES-CCMP เป็นวิธีการเข้ารหัสที่เข้มงวดกว่า TKIP ควรเลือกการเข้ารหัสข้อมูลแบบ AES-CCMP เมื่อการป้องกันข้อมูลอย่างเข้มงวดเป็นสิ่งสำคัญ AES-CCMP สามารถใช้ได้กับการตรวจสอบความถูกต้อง WPA/WPA2 Personal/Enterprise
หมายเหตุ: ระบบปฏิบัติการในคอมพิวเตอร์ของคุณอาจไม่สนับสนุนโซลูชั่นความปลอดภัยบางประเภท และอาจจำเป็นต้องใช้ซอฟต์แวร์หรือฮาร์ดแวร์เพิ่มเติม รวมถึงการสนับสนุนโครงสร้าง LAN ไร้สาย โปรดตรวจสอบรายละเอียดจากผู้ผลิตคอมพิวเตอร์ของคุณ
Temporal Key Integrity Protocol จะมีการผสมคีย์สำหรับแต่ละกลุ่มข้อมูล, การตรวจสอบความสมบูรณ์ของข้อความ และกลไกการป้อนซ้ำ TKIP สามารถใช้ได้กับการตรวจสอบความถูกต้องเครือข่าย WPA/WPA2 Personal/Enterprise
ดู CKIP
Wired Equivalent Privacy (WEP) ใช้การเข้ารหัสเพื่อช่วยป้องกันการรับข้อมูลไร้สายโดยไม่ได้รับอนุญาต WEP ใช้คีย์เข้ารหัสเพื่อเข้ารหัสข้อมูลก่อนที่จะส่ง เฉพาะคอมพิวเตอร์ที่ใช้คีย์เข้ารหัสเดียวกันเท่านั้นที่จะสามารถเข้าใช้เครือข่าย และถอดรหัสข้อมูลที่ส่งมาจากคอมพิวเตอร์เครื่องอื่น WEP สำหรับองค์กรไม่เหมือนกับ WEP ส่วนบุคคล โดยคุณจะสามารถเลือกการตรวจสอบเครือข่ายแบบ เปิด และจากนั้นจึงคลิก ใช้งาน 802.1X และสามารถเลือกการตรวจสอบความถูกต้องของเครื่องลูกข่ายได้ทุกประเภท การเลือกชนิดของการตรวจสอบความถูกต้องไม่สามารถทำได้ภายใต้ WEP ส่วนบุคคล
วิธีการตรวจสอบความถูกต้องชนิดหนึ่ง ซึ่งใช้ Extensible Authentication Protocol (EAP) และโปรโตคอลการรักษาความปลอดภัยที่เรียกว่า Transport Layer Security (TLS) EAP-TLS ใช้ใบรับรองที่ใช้รหัสผ่าน การตรวจสอบความถูกต้อง EAP-TLS สนับสนุนการจัดการคีย์ WEP แบบไดนามิก โปรโตคอล TLS ใช้สำหรับคุ้มครองและตรวจสอบความถูกต้องของการสื่อสารบนเครือข่ายสาธารณะโดยใช้การเข้ารหัสข้อมูล โปรโตคอล TLS Handshake ช่วยให้เซิร์ฟเวอร์และเครื่องลูกข่ายสามารถตรวจสอบความถูกต้องระหว่างกัน และแลกเปลี่ยนอัลกอริธึมการเข้ารหัสและคีย์เข้ารหัส ก่อนที่จะส่งข้อมูล
การตั้งค่าเหล่านี้จะกำหนดโปรโตคอลและข้อมูลรับรองที่ใช้ในการตรวจสอบความถูกต้องของผู้ใช้ ใน TTLS (Tunneled Transport Layer Security) เครื่องลูกข่ายจะใช้ EAP-TLS เพื่อตรวจสอบเซิร์ฟเวอร์ และสร้างแชนเนลที่เข้ารหัสด้วย TLS ระหว่างเครื่องลูกข่ายและเซิร์ฟเวอร์ เครื่องลูกข่ายสามารถใช้โปรโตคอลอื่นสำหรับการตรวจสอบความถูกต้อง โดยปกติแล้ว โปรโตคอลที่ใช้รหัสผ่านจะใช้คำถาม-คำตอบบนแชนเนลที่เข้ารหัส TLS ซึ่งไม่ถูกเปิดเผย การใช้ TTLS ในปัจจุบัน จะสนับสนุนทุกวิธีที่กำหนดโดย EAP รวมถึงวิธีแบบเก่าหลายๆ วิธี (PAP, CHAP, MS-CHAP และ MS-CHAP-V2) TTLS สามารถขยายได้อย่างง่ายดาย เพื่อใช้งานร่วมกับโปรโตคอลใหม่ๆ โดยจะกำหนดลักษณะเฉพาะใหม่ๆ เพื่อรองรับโปรโตคอลตัวใหม่
PEAP เป็นการตรวจสอบความถูกต้อง Extensible Authentication Protocol (EAP) IEEE 802.1X ชนิดใหม่ที่ออกแบบมาเพื่อใช้ประโยชน์จาก EAP-Transport Layer Security (EAP-TLS) ด้านของเซิร์ฟเวอร์ และสนับสนุนวิธีการตรวจสอบความถูกต้องหลายๆ วิธี รวมทั้งรหัสผ่านของผู้ใช้และรหัสผ่านป้อนครั้งเดียว และ Generic Token Cards
รุ่นของ Extensible Authentication Protocol (EAP) Light Extensible Authentication Protocol (LEAP) เป็นโปรโตคอลตรวจสอบความถูกต้องเพิ่มเติมที่พัฒนาขึ้นเป็นเทคโนโลยีเฉพาะโดย Cisco ซึ่งมีกลไกตรวจสอบความถูกต้องด้วยคำถาม-คำตอบและการกำหนดคีย์แบบไดนามิก
Extensible Authentication Protocol Method สำหรับ GSM Subscriber Identity (EAP-SIM) เป็นกลไกสำหรับการเผยแพร่คีย์ในการตรวจสอบความถูกต้องและเซสชั่น โดยจะต้องใช้ Global System for Mobile Communications (GSM) Subscriber Identity Module (SIM) EAP-SIM ใช้คีย์ WEP ที่ขึ้นกับเซสชันแบบไดนามิก ซึ่งจะได้รับจากอแด็ปเตอร์ลูกข่ายและเซิร์ฟเวอร์ RADIUS เพื่อเข้ารหัสข้อมูล EAP-SIM จำเป็นต้องให้คุณป้อนรหัสการตรวจสอบผู้ใช้ หรือ PIN สำหรับการสื่อสารกับการ์ด Subscriber Identity Module (SIM) ซิมการ์ดเป็นสมาร์ทการ์ดชนิดพิเศษที่ใช้บนเครือข่ายโทรศัพท์เคลื่อนที่ดิจิตอลในระบบ Global System for Mobile Communications (GSM) RFC 4186 ระบุรายละเอียดสำหรับ EAP-SIM
EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) เป็นกลไก EAP สำหรับการตรวจสอบความถูกต้องและการเผยแพร่คีย์เซสชัน โดยใช้การ์ด Universal Mobile Telecommunications System (UMTS) Subscriber Identity Module (USIM) การ์ด USIM เป็นสมาร์ทการ์ดชนิดพิเศษที่ใช้กับเครือข่ายเซลลูลาร์ เพื่อตรวจสอบผู้ใช้รายนั้นๆ กับเครือข่าย
Password Authentication Protocol เป็นโปรโตคอล handshake แบบ 2 ทาง ที่ออกแบบมาสำหรับใช้กับ PPP Password Authentication Protocol เป็นรหัสผ่านตัวอักษรล้วนที่ใช้บนระบบ SLIP ที่เป็นระบบเก่า ซึ่งยังไม่ปลอดภัยเพียงพอ สามารถใช้ได้สำหรับชนิดของการตรวจสอบความถูกต้อง TTLS เท่านั้น
Challenge Handshake Authentication Protocol เป็นโปรโตคอล handshake 3 ทางที่ยอมรับกันว่ามีความปลอดภัยสูงกว่า Password Authentication Protocol สามารถใช้ได้สำหรับชนิดของการตรวจสอบความถูกต้อง TTLS เท่านั้น
ใช้โปรโตคอล RSA Message Digest 4 challenge-and-reply รุ่นของ Microsoft ซึ่งจะทำงานได้เฉพาะกับระบบของ Microsoft เท่านั้น และจะเปิดใช้งานการเข้ารหัสข้อมูล การเลือกวิธีการตรวจสอบความถูกต้องนี้จะทำให้ข้อมูลทั้งหมดถูกเข้ารหัส สามารถใช้ได้สำหรับชนิดของการตรวจสอบความถูกต้อง TTLS เท่านั้น
ไม่สามารถนำคุณลักษณะเพิ่มเติมมาใช้กับ MS-CHAP-V1 หรือ การตรวจสอบความถูกต้อง CHAP แบบมาตรฐานได้ ซึ่งได้แก่ คุณลักษณะการเปลี่ยนรหัสผ่าน คุณลักษณะนี้ช่วยให้ลูกข่ายสามารถเปลี่ยนรหัสผ่านของบัญชีผู้ใช้ได้ ถ้าเซิร์ฟเวอร์ RADIUS รายงานว่ารหัสผ่านหมดอายุ สามารถใช้ได้สำหรับชนิดของการตรวจสอบความถูกต้อง TTLS และ PEAP
เก็บ token cards เฉพาะผู้ใช้ไว้สำหรับการตรวจสอบความถูกต้อง คุณลักษณะที่สำคัญใน GTC คือ การตรวจสอบความถูกต้องโดยใช้ใบรับรองแบบดิจิตอล/Token Card นอกจากนี้ GTC ยังมีความสามารถในการซ่อนรหัสชื่อผู้ใช้ไว้จนกว่าจะมีการสร้างอุโมงค์ที่เข้ารหัส TLS แล้ว ซึ่งจะทำให้มีความปลอดภัยเพิ่มมากขึ้น เนื่องจากชื่อผู้ใช้จะไม่ปรากฏขึ้นในระหว่างขั้นตอนการตรวจสอบความถูกต้อง สามารถใช้ได้สำหรับชนิดของการตรวจสอบความถูกต้อง PEAP เท่านั้น
โปรโตคอล TLS ใช้สำหรับคุ้มครองและตรวจสอบความถูกต้องของการสื่อสารบนเครือข่ายสาธารณะโดยใช้การเข้ารหัสข้อมูล โปรโตคอล TLS Handshake ช่วยให้เซิร์ฟเวอร์และเครื่องลูกข่ายสามารถตรวจสอบความถูกต้องระหว่างกัน และแลกเปลี่ยนอัลกอริธึมการเข้ารหัสและคีย์เข้ารหัส ก่อนที่จะส่งข้อมูล สามารถใช้ได้สำหรับชนิดของการตรวจสอบความถูกต้อง PEAP เท่านั้น
Cisco LEAP (Cisco Light EAP) เป็นการตรวจสอบความถูกต้อง 802.1X สำหรับเซิร์ฟเวอร์และเครื่องลูกข่าย โดยใช้รหัสผ่านสำหรับการล็อกออนที่ผู้ใช้กำหนด เมื่อจุดเชื่อมต่อไร้สายสื่อสารกับ RADIUS ที่รองรับ Cisco LEAP (Cisco Secure Access Control Server [ACS]) Cisco LEAP ก็จะควบคุมการเข้าใช้ โดยอาศัยการตรวจสอบความถูกต้องระหว่างกันของอแด็ปเตอร์ไร้สายในเครื่องลูกข่ายและเครือข่ายไร้สาย และจัดหาคีย์เข้ารหัสแบบไดนามิกสำหรับผู้ใช้ เพื่อช่วยคุ้มครองข้อมูลที่รับส่งบนเครือข่าย
คุณลักษณะจุดเชื่อมต่อปลอม Cisco ช่วยป้องกันการติดต่อกับจุดเชื่อมต่อปลอมที่อาจเลียนแบบจุดเชื่อมต่อจริงบนเครือข่าย เพื่อจะดึงข้อมูลเกี่ยวกับข้อมูลรับรองของผู้ใช้และโปรโตคอลการตรวจสอบความถูกต้องที่อาจมีระดับการรักษาความปลอดภัยน้อย คุณลักษณะนี้ทำงานได้เฉพาะกับการตรวจสอบความถูกต้อง LEAP ของ Cisco เท่านั้น เทคโนโลยีมาตรฐาน 802.11 ไม่ป้องกันเครือข่ายจากการติดต่อกับจุดเชื่อมต่อปลอม ดูรายละเอียดเพิ่มเติมใน การตรวจสอบความถูกต้อง LEAP
จุดเชื่อมต่อบางรุ่น เช่น Cisco 350 หรือ Cisco 1200 สนับสนุนสภาพแวดล้อมที่สถานีลูกข่ายบางสถานีไม่สนับสนุนการเข้ารหัส WEP ซึ่งเรียกว่าโหมดเซลล์แบบผสม (Mixed-Cell Mode) เมื่อเครือข่ายไร้สายดังกล่าวทำงานในโหมด การเข้ารหัสแบบเลือกได้ สถานีลูกข่ายที่เข้าร่วมในโหมด WEP จะส่งข้อความทั้งหมดที่เข้ารหัส ส่วนสถานีที่ใช้โหมดมาตรฐานจะส่งข้อความทั้งหมดที่ไม่ได้เข้ารหัส จุดเชื่อมต่อเหล่านี้จะแพร่สัญญาณว่าเครือข่ายนี้ไม่ใช้การเข้ารหัสแต่อนุญาตให้กับเครื่องลูกข่ายที่ใช้โหมด WEP เมื่อเปิดใช้ "เซลล์แบบผสม" ในส่วนกำหนดค่า คุณจะสามารถเชื่อมต่อกับจุดเชื่อมต่อที่กำหนดค่าไว้สำหรับ การเข้ารหัสแบบเลือกได้
Cisco Key Integrity Protocol (CKIP) เป็นโปรโตคอลการรักษาความปลอดภัยที่เป็นเทคโนโลยีเฉพาะของ Cisco ใช้สำหรับการเข้ารหัสสื่อ 802.11 CKIP ใช้คุณลักษณะต่อไปนี้เพื่อปรับปรุงการรักษาความปลอดภัย 802.11 ในโหมดโครงสร้างพื้นฐาน:
หมายเหตุ: CKIP ไม่สามารถใช้ได้กับการตรวจสอบความถูกต้องเครือข่าย WPA/WPA2 Personal/Enterprise
หมายเหตุ: CKIP ได้รับการสนับสนุนผ่านการใช้ยูทิลิตีการเชื่อมต่อ WiFi บน Windows* XP เท่านั้น
เมื่อ LAN ไร้สายถูกกำหนดค่าสำหรับการเชื่อมต่อใหม่อย่างรวดเร็ว อุปกรณ์ลูกข่ายที่รองรับ LEAP ก็จะสามารถข้ามจากจุดเชื่อมต่อหนึ่งไปยังอีกจุดหนึ่งโดยไม่ต้องผ่านเซิร์ฟเวอร์หลัก การใช้ Cisco Centralized Key Management (CCKM) จะทำให้จุดเชื่อมต่อที่ถูกกำหนดให้จัดหา Wireless Domain Services (WDS) สามารถทำงานแทนเซิร์ฟเวอร์ RADIUS และตรวจสอบความถูกต้องของเครื่องลูกข่ายโดยแทบจะปราศจากความล่าช้าในการรับส่งสัญญาณเสียงหรือการใช้งานอื่นๆ ที่ต้องอาศัยความรวดเร็ว
เมื่อเปิดใช้คุณลักษณะนี้ อแด็ปเตอร์ WiFi ของคุณจะส่งข้อมูลเกี่ยวกับการจัดการวิทยุไปยังโครงสร้างพื้นฐานของ Cisco หากใช้ Cisco Radio Management utility บนโครงสร้างพื้นฐาน คุณลักษณะนี้จะกำหนดค่าพารามิเตอร์วิทยุ ตรวจจับการรบกวน และตรวจจับจุดเชื่อมต่อปลอม
EAP-FAST ใช้การตรวจสอบแบบอุโมงค์เพื่อคุ้มครองการรับส่งข้อมูล เช่นเดียวกับ EAP-TTLS และ PEAP ข้อแตกต่างที่สำคัญก็คือ EAP-FAST ไม่ได้ใช้ใบรับรองในการตรวจสอบความถูกต้อง เครื่องลูกข่ายจะทำการกำหนด EAP-FAST โดยลำพัง ในรูปแบบของการแลกเปลี่ยนการสื่อสารชุดแรกสุด เมื่อมีการร้องขอ EAP-FAST จากเซิร์ฟเวอร์ หากเครื่องลูกข่ายไม่มี Protected Access Credential (PAC) ที่เป็นข้อมูลลับ ก็จะสามารถเริ่มการแลกเปลี่ยน EAP-FAST ได้เพื่อขอรับ EAP-FAST แบบไดนามิกจากเซิร์ฟเวอร์
EAP-FAST ใช้สองวิธีในการจัดส่ง PAC ได้แก่ การจัดส่งด้วยตนเองผ่านกลไกที่ปลอดภัยนอกย่านความถี่ และการกำหนดโดยอัตโนมัติ
วิธี EAP-FAST อาจแบ่งได้เป็นสองส่วน คือ การกำหนด และการตรวจสอบความถูกต้อง ขั้นตอนการกำหนดเป็นการจัดส่ง PAC ไปยังเครื่องลูกข่าย ขั้นตอนนี้ดำเนินการเพียงครั้งเดียวสำหรับเครื่องลูกข่ายและผู้ใช้แต่ละราย