กลับไปที่สารบัญ

ภาพรวมเกี่ยวกับการรักษาความปลอดภัย


ส่วนนี้จะอธิบายถึงวิธีการรักษาความปลอดภัยต่างๆ ซึ่งช่วยในการปกป้องเครือข่าย WiFi

การปกป้องเครือข่าย WiFi ของคุณ

วิธีการรักษาความปลอดภัยส่วนบุคคล

การตรวจสอบความถูกต้อง 802.1X (ความปลอดภัยองค์กร)

ประเภทการตรวจสอบความถูกต้องเครือข่าย:

ชนิดของการเข้ารหัสข้อมูล

ชนิดของการตรวจสอบความถูกต้อง

โปรโตคอลการตรวจสอบความถูกต้อง

คุณลักษณะของ Cisco


การปกป้องเครือข่าย WiFi ของคุณ

เครือข่ายไร้สายของคุณ หากไม่มีการป้องกัน อาจสามารถเข้าถึงได้จากคอมพิวเตอร์เครื่องอื่นๆ คุณสามารถปกป้องเครือข่ายในบ้านและเครือข่ายธุรกิจขนาดเล็กได้อย่างง่ายดายจากการเข้าถึงโดยไม่ได้รับอนุญาตทุกรูปแบบโดยใช้วิธีการรักษาความปลอดภัยที่อธิบายไว้ในส่วนนี้

การตรวจสอบความถูกต้อง

การตรวจสอบความถูกต้องเป็นกระบวนการระบุและอนุมัติคำร้องขอจากเครื่องลูกข่าย (โดยปกติแล้วเป็นเครื่องแลปท็อป) เพื่อเข้าถึงเครือข่ายที่จุดเชื่อมต่อของเครือข่าย หลังจากที่ตรวจสอบความถูกต้องเสร็จแล้ว และมีการให้สิทธิ์การเข้าถึง เครื่องลูกข่ายก็จะสามารถเข้าถึงเครือข่ายได้

การเข้ารหัส

คุณสามารถเลือกอัลกอริธึมการเข้ารหัสเพื่อเข้ารหัสข้อมูลที่ถูกส่งผ่านเครือข่ายไร้สายของคุณ เฉพาะคอมพิวเตอร์ที่มี pre-shared keys เท่านั้นที่จะสามารถเข้ารหัสและถอดรหัสข้อมูลที่ถูกรับส่ง คีย์การเข้ารหัสจะพร้อมใช้งานด้วยระดับความปลอดภัย 2 ระดับ คือ 64 บิต และ 128 บิต ใช้คีย์ 128 บิตเพื่อเพิ่มความปลอดภัย

การแพร่สัญญาณ SSID

การปรับปรุงความปลอดภัยเครือข่ายสามารถทำได้อย่าง่ายดาย โดยตั้งค่าจุดเชื่อมต่อเครือข่ายของคุณไว้ที่ ไม่แพร่สัญญาณ Service Set Identifier (SSID) โดยจะต้องใช้ SSID ในการเข้าถึงเครือข่าย เฉพาะคอมพิวเตอร์ที่รู้ SSID เท่านั้นที่จะสามารถเข้าถึงเครือข่ายได้ (ซึ่งไม่ได้ตั้งค่าที่อแด็ปเตอร์โดยใช้ยูทิลิตีการเชื่อมต่อ Intel® PROSet/Wireless WiFi แต่ตั้งค่าที่จุดเชื่อมต่อ)


วิธีการรักษาความปลอดภัยส่วนบุคคล

การตรวจสอบความถูกต้องเครือข่ายแบบเปิดและที่ใช้ร่วมกัน

IEEE 802.11 สนับสนุนวิธีการตรวจสอบความถูกต้องบนเครือข่ายสองวิธี ได้แก่ ระบบเปิด (Open System) และคีย์ที่ใช้ร่วมกัน (Shared Key)

WEP

Wired Equivalent Privacy (WEP) ใช้การเข้ารหัสเพื่อช่วยป้องกันการรับข้อมูลไร้สายโดยไม่ได้รับอนุญาต WEP ใช้คีย์เข้ารหัสเพื่อเข้ารหัสข้อมูลก่อนที่จะส่ง เฉพาะคอมพิวเตอร์ที่ใช้คีย์เข้ารหัสเดียวกันเท่านั้นที่จะสามารถเข้าใช้เครือข่าย และถอดรหัสข้อมูลที่ส่งมาจากคอมพิวเตอร์เครื่องอื่น การเข้ารหัส WEP มีระดับความปลอดภัยสองระดับ โดยใช้คีย์ 64 บิต (บางครั้งเรียกว่า 40 บิต) หรือคีย์ 128 บิต (หรือ 104 บิต) เพื่อเพิ่มประสิทธิภาพการรักษาความปลอดภัย ควรใช้คีย์ 128 บิต หากคุณใช้การเข้ารหัส อุปกรณ์ไร้สายทั้งหมดบนเครือข่ายไร้สายของคุณจะต้องใช้คีย์เข้ารหัสที่ตรงกัน

ด้วยการเข้ารหัส WEP สถานีไร้สายจะสามารถกำหนดค่าได้ถึง 4 คีย์ (ค่าดัชนีคีย์ได้แก่ 1, 2, 3 และ 4) เมื่อจุดเชื่อมต่อ (AP) หรือสถานีไร้สายส่งข้อความที่เข้ารหัสซึ่งใช้คีย์ที่บันทึกอยู่ในดัชนีคีย์ ข้อความที่ส่งจะระบุถึงดัชนีคีย์ที่ถูกใช้ในการเข้ารหัสเนื้อหาของข้อความ AP หรือสถานีไร้สายที่กำลังรับจึงสามารถรับคีย์ที่บันทึกอยู่ในดัชนีคีย์นั้นได้และใช้ในการถอดรหัสเนื้อหาข้อความที่เข้ารหัสไว้

เนื่องจากอัลกอริธึมการเข้ารหัส WEP ถือเป็นจุดอ่อนสำหรับการโจมตีเครือข่าย ดังนั้นคุณจึงควรพิจารณาการใช้วิธีรักษาความปลอดภัยแบบ WPA-Personal หรือ WPA2-Personal

WPA-Personal

โหมด WPA-Personal มุ่งหมายให้ใช้สำหรับสภาพแวดล้อมแบบในบ้านหรือธุรกิจขนาดเล็ก WPA Personal จำเป็นต้องใช้การกำหนดค่า pre-shared key (PSK) โดยผู้ใช้ที่จุดเชื่อมต่อและเครื่องลูกข่าย ไม่จำเป็นต้องใช้เซิร์ฟเวอร์การตรวจสอบความถูกต้อง รหัสผ่านชุดที่ป้อนที่จุดเชื่อมต่อจะต้องถูกนำมาใช้บนคอมพิวเตอร์เครื่องนี้และอุปกรณ์ไร้สายอื่นๆ ทั้งหมดที่เชื่อมต่อกับเครือข่ายไร้สาย ความปลอดภัยขึ้นอยู่กับความแข็งแกร่งและความลับของเครือข่าย รหัสผ่านที่ยาวช่วยรักษาความปลอดภัยเครือข่ายได้มากกว่ารหัสผ่านที่สั้น หากจุดเชื่อมต่อไร้สายหรือเราเตอร์ของคุณสนับสนุน WPA-Personal และ WPA2 Personal คุณควรเปิดใช้งานบนจุดเชื่อมต่อ และกำหนดรหัสผ่านแบบยาวที่ซับซ้อน WPA-Personal สามารถใช้ได้กับอัลกอริธึมการเข้ารหัสข้อมูล TKIP และ AES-CCMP

WPA2-Personal

WPA2-Personal จำเป็นต้องใช้การกำหนดค่า pre-shared key (PSK) โดยผู้ใช้ที่จุดเชื่อมต่อและเครื่องลูกข่าย ไม่จำเป็นต้องใช้เซิร์ฟเวอร์การตรวจสอบความถูกต้อง รหัสผ่านชุดที่ป้อนที่จุดเชื่อมต่อจะต้องถูกนำมาใช้บนคอมพิวเตอร์เครื่องนี้และอุปกรณ์ไร้สายอื่นๆ ทั้งหมดที่เชื่อมต่อกับเครือข่ายไร้สาย ความปลอดภัยขึ้นอยู่กับความแข็งแกร่งและความลับของเครือข่าย รหัสผ่านที่ยาวช่วยรักษาความปลอดภัยเครือข่ายได้มากกว่ารหัสผ่านที่สั้น WPA2 เป็นการปรับปรุงต่อยอดจาก WPA และปรับใช้มาตรฐาน IEEE 802.11i อย่างสมบูรณ์ WPA2 สามารถใช้งานร่วมกับ WPA WPA2-Personal สามารถใช้ได้กับอัลกอริธึมการเข้ารหัสข้อมูล TKIP และ AES-CCMP

หมายเหตุ: WPA-Personal และ WPA2-Personal สามารถใช้งานร่วมกันได้


การตรวจสอบความถูกต้อง 802.1X (ความปลอดภัยองค์กร)

ส่วนนี้อธิบายเกี่ยวกับวิธีการรักษาความปลอดภัยทั่วไปที่ใช้ในบริษัทขนาดใหญ่

ภาพรวม
RADIUS คืออะไร?
วิธีการตรวจสอบความถูกต้อง 802.1X
คุณลักษณะ 802.1X

ภาพรวม

การตรวจสอบความถูกต้อง 802.1X เป็นอิสระจากกระบวนการตรวจสอบความถูกต้อง 802.11 มาตรฐาน 802.11 จะให้กรอบงานสำหรับโปรโตคอลการตรวจสอบความถูกต้องและการจัดการคีย์ที่หลากหลาย การตรวจสอบความถูกต้อง 802.1X มีหลายประเภท และแต่ละประเภทใช้แนวทางที่แตกต่างกันในการตรวจสอบความถูกต้อง แต่ทุกประเภทจะใช้โปรโตคอล 802.11 และกรอบงานเดียวกันสำหรับการสื่อสารระหว่างเครื่องลูกข่ายและจุดเชื่อมต่อ ในโปรโตคอลส่วนใหญ่ หลังจากที่กระบวนการตรวจสอบความถูกต้อง 802.1X เสร็จสิ้น เครื่องลูกข่ายจะได้รับคีย์สำหรับใช้ในการเข้ารหัสข้อมูล ดูข้อมูลเพิ่มเติมใน วิธีการตรวจสอบความถูกต้อง 802.1X ในการตรวจสอบความถูกต้อง 802.1X จะใช้วิธีการตรวจสอบความถูกต้องระหว่างเครื่องลูกข่ายและเซิร์ฟเวอร์ (เช่น เซิร์ฟเวอร์ Remote Authentication Dial-In User Service (RADIUS)) ที่เชื่อมต่อกับจุดเชื่อมต่อ กระบวนการตรวจสอบความถูกต้องจะใช้ข้อมูลรับรอง เช่น รหัสผ่านของผู้ใช้ที่ไม่ได้จัดส่ง บนเครือข่ายไร้สาย การตรวจสอบความถูกต้อง 802.1X ส่วนใหญ่สนับสนุนคีย์แบบไดนามิกสำหรับผู้ใช้และเซสชันหนึ่งๆ เพื่อเพิ่มความแข็งแกร่งให้กับระบบรักษาความปลอดภัยที่ใช้คีย์ การตรวจสอบความถูกต้อง 802.1X ได้รับประโยชน์จากการใช้โปรโตคอลการตรวจสอบความถูกต้องที่มีอยู่ ซึ่งมีชื่อว่า Extensible Authentication Protocol (EAP)

การตรวจสอบความถูกต้อง 802.1X สำหรับเครือข่ายไร้สาย มีองค์ประกอบหลักสามส่วน ได้แก่

ระบบรักษาความปลอดภัยที่ใช้การตรวจสอบความถูกต้อง 802.1X จะร้องขอการตรวจสอบความถูกต้องจากเครื่องลูกข่ายไร้สายไปยังจุดเชื่อมต่อ ซึ่งจะทำการตรวจสอบความถูกต้องของเครื่องลูกข่ายโดยเชื่อมต่อกับเซิร์ฟเวอร์ RADIUS ที่ใช้ Extensible Authentication Protocol (EAP) เซิร์ฟเวอร์ RADIUS นี้อาจตรวจสอบความถูกต้องของผู้ใช้ (โดยอาศัยรหัสผ่านหรือใบรับรอง) หรือระบบ (โดยอาศัยที่อยู่ MAC) ในทางทฤษฎีแล้ว เครื่องลูกข่ายไร้สายไม่ได้รับอนุญาตให้เข้าร่วมเครือข่ายจนกว่าทรานแซคชันดังกล่าวจะเสร็จสมบูรณ์ (วิธีการตรวจสอบความถูกต้องบางวิธีไม่ได้ใช้เซิร์ฟเวอร์ RADIUS WPA-Personal และ WPA2-Personal ใช้รหัสผ่านทั่วไปซึ่งจะต้องป้อนที่จุดเชื่อมต่อและอุปกรณ์ทั้งหมดที่ร้องขอการเข้าถึงเครือข่าย)

มีอัลกอริธึมการตรวจสอบความถูกต้องหลายๆ แบบที่ใช้กับ 802.1X ตัวอย่างเช่น: EAP-TLS, EAP-TTLS, Protected EAP (PEAP) และ EAP Cisco Wireless Light Extensible Authentication Protocol (LEAP) วิธีการทั้งหมดนี้จะช่วยให้เครื่องลูกข่ายไร้สายสามารถแสดงข้อมูลต่อเซิร์ฟเวอร์ RADIUS ได้ ในการตรวจสอบความถูกต้องบน RADIUS รหัสประจำตัวของผู้ใช้จะถูกตรวจสอบโดยเปรียบเทียบกับฐานข้อมูล RADIUS ประกอบด้วยชุดมาตรฐานสำหรับการตรวจสอบความถูกต้อง การอนุญาต และการจัดการบัญชี (Authentication, Authorization และ Accounting หรือ AAA) RADIUS ใช้กระบวนการพร็อกซีเพื่อตรวจสอบเครื่องลูกข่ายในสภาพแวดล้อมที่มีเซิร์ฟเวอร์หลายเครื่อง มาตรฐาน IEEE 802.1X จัดหากลไกสำหรับการควบคุมและตรวจสอบการเข้าใช้เครือข่ายอีเทอร์เน็ตแบบใช้สายและแบบไร้สาย 802.11 ที่ใช้พอร์ต การควบคุมการเข้าใช้เครือข่ายที่ใช้พอร์ตมีลักษณะคล้ายคลึงกับโครงสร้างพื้นฐานเครือข่ายเฉพาะที่ (LAN) ที่ใช้สวิตช์ ซึ่งตรวจสอบความถูกต้องของอุปกรณ์ที่เชื่อมต่อกับพอร์ต LAN และป้องกันการเข้าใช้พอร์ตดังกล่าวในกรณีที่กระบวนการตรวจสอบความถูกต้องล้มเหลว

RADIUS คืออะไร?

RADIUS ย่อมาจาก Remote Authentication Dial-In User Service ซึ่งเป็นโปรโตคอลสำหรับการตรวจสอบความถูกต้อง การอนุญาต และการจัดการบัญชี (AAA) ระหว่างเซิร์ฟเวอร์และเครื่องลูกข่าย โปรโตคอลดังกล่าวจะถูกใช้เมื่อเครื่องลูกข่าย AAA dial-up ล็อกอินหรือล็อกเอาต์จากเซิร์ฟเวอร์การเข้าใช้เครือข่าย โดยทั่วไปแล้ว ผู้ให้บริการอินเทอร์เน็ต (ISP) จะใช้เซิร์ฟเวอร์ RADIUS เพื่อดำเนินงาน AAA ขั้นตอน AAA มีรายละเอียดดังนี้:


วิธีการตรวจสอบความถูกต้อง 802.1X

ต่อไปนี้เป็นรายละเอียดเบื้องต้นเกี่ยวกับวิธีการตรวจสอบความถูกต้อง 802.1X

  1. เครื่องลูกข่ายส่งข้อความ "ร้องขอการเข้าใช้" ไปยังจุดเชื่อมต่อ จุดเชื่อมต่อร้องขอรหัสประจำตัวของเครื่องลูกข่าย
  2. เครื่องลูกข่ายตอบกลับ โดยส่งกลุ่มข้อมูลรหัสประจำตัว ซึ่งจะถูกส่งต่อไปยังเซิร์ฟเวอร์การตรวจสอบความถูกต้อง
  3. เซิร์ฟเวอร์การตรวจสอบความถูกต้องส่งกลุ่มข้อมูล "ยอมรับ" ไปยังจุดเชื่อมต่อ
  4. จุดเชื่อมต่อกำหนดพอร์ตลูกข่ายให้มีสถานะได้รับอนุญาต และสามารถดำเนินการรับส่งข้อมูล

คุณลักษณะ 802.1X

วิธีการตรวจสอบความถูกต้องต่อไปนี้สามารถใช้กับ Windows* XP:


การตรวจสอบความถูกต้องเครือข่าย

เปิด

ดู การตรวจสอบความถูกต้องแบบเปิด

ใช้ร่วมกัน

ดู การตรวจสอบความถูกต้องที่ใช้ร่วมกัน

WPA-Personal

ดู WPA-Personal

WPA2-Personal

ดู WPA2-Personal

WPA Enterprise

การตรวจสอบความถูกต้องในโหมด Enterprise มุ่งหมายให้ใช้สำหรับสภาพแวดล้อมแบบองค์กรและหน่วยงานราชการ WPA Enterprise จะตรวจสอบผู้ใช้เครือข่ายผ่านทาง RADIUS หรือเซิร์ฟเวอร์การตรวจสอบความถูกต้อง WPA จะใช้คีย์เข้ารหัส 128 บิต และคีย์เซสชันแบบไดนามิกเพื่อให้แน่ใจว่าเครือข่ายไร้สายของคุณมีความเป็นส่วนตัวและความปลอดภัยระดับองค์กร ประเภทการตรวจสอบความถูกต้องถูกเลือกให้ตรงกับโปรโตคอลการตรวจสอบความถูกต้องของเซิร์ฟเวอร์ 802.1X

WPA2 Enterprise

การตรวจสอบความถูกต้อง WPA Enterprise มุ่งหมายให้ใช้สำหรับสภาพแวดล้อมแบบองค์กรและหน่วยงานราชการ WPA2 Enterprise จะตรวจสอบผู้ใช้เครือข่ายผ่านทาง RADIUS หรือเซิร์ฟเวอร์การตรวจสอบความถูกต้อง WPA2 จะใช้คีย์เข้ารหัส 128 บิต และคีย์เซสชันแบบไดนามิกเพื่อให้แน่ใจว่าเครือข่ายไร้สายของคุณมีความเป็นส่วนตัวและความปลอดภัยระดับองค์กร ประเภทการตรวจสอบความถูกต้องถูกเลือกให้ตรงกับโปรโตคอลการตรวจสอบความถูกต้องของเซิร์ฟเวอร์ 802.1X โหมดองค์กรมุ่งหมายให้ใช้สำหรับสภาพแวดล้อมแบบองค์กรและหน่วยงานราชการ WPA2 เป็นการปรับปรุงต่อยอดจาก WPA และปรับใช้มาตรฐาน IEEE 802.11i อย่างสมบูรณ์


การเข้ารหัสข้อมูล

AES-CCMP

Advanced Encryption Standard - Counter CBC-MAC Protocol วิธีการใหม่สำหรับการปกป้องความเป็นส่วนตัวของการส่งผ่านแบบไร้สาย ซึ่งระบุไว้ในมาตรฐาน IEEE 802.11i โดย AES-CCMP เป็นวิธีการเข้ารหัสที่เข้มงวดกว่า TKIP ควรเลือกการเข้ารหัสข้อมูลแบบ AES-CCMP เมื่อการป้องกันข้อมูลอย่างเข้มงวดเป็นสิ่งสำคัญ AES-CCMP สามารถใช้ได้กับการตรวจสอบความถูกต้อง WPA/WPA2 Personal/Enterprise

หมายเหตุ: ระบบปฏิบัติการในคอมพิวเตอร์ของคุณอาจไม่สนับสนุนโซลูชั่นความปลอดภัยบางประเภท และอาจจำเป็นต้องใช้ซอฟต์แวร์หรือฮาร์ดแวร์เพิ่มเติม รวมถึงการสนับสนุนโครงสร้าง LAN ไร้สาย โปรดตรวจสอบรายละเอียดจากผู้ผลิตคอมพิวเตอร์ของคุณ

TKIP

Temporal Key Integrity Protocol จะมีการผสมคีย์สำหรับแต่ละกลุ่มข้อมูล, การตรวจสอบความสมบูรณ์ของข้อความ และกลไกการป้อนซ้ำ TKIP สามารถใช้ได้กับการตรวจสอบความถูกต้องเครือข่าย WPA/WPA2 Personal/Enterprise

CKIP

ดู CKIP

WEP

Wired Equivalent Privacy (WEP) ใช้การเข้ารหัสเพื่อช่วยป้องกันการรับข้อมูลไร้สายโดยไม่ได้รับอนุญาต WEP ใช้คีย์เข้ารหัสเพื่อเข้ารหัสข้อมูลก่อนที่จะส่ง เฉพาะคอมพิวเตอร์ที่ใช้คีย์เข้ารหัสเดียวกันเท่านั้นที่จะสามารถเข้าใช้เครือข่าย และถอดรหัสข้อมูลที่ส่งมาจากคอมพิวเตอร์เครื่องอื่น WEP สำหรับองค์กรไม่เหมือนกับ WEP ส่วนบุคคล โดยคุณจะสามารถเลือกการตรวจสอบเครือข่ายแบบ เปิด และจากนั้นจึงคลิก ใช้งาน 802.1X และสามารถเลือกการตรวจสอบความถูกต้องของเครื่องลูกข่ายได้ทุกประเภท การเลือกชนิดของการตรวจสอบความถูกต้องไม่สามารถทำได้ภายใต้ WEP ส่วนบุคคล


ชนิดของการตรวจสอบความถูกต้อง

TLS

วิธีการตรวจสอบความถูกต้องชนิดหนึ่ง ซึ่งใช้ Extensible Authentication Protocol (EAP) และโปรโตคอลการรักษาความปลอดภัยที่เรียกว่า Transport Layer Security (TLS) EAP-TLS ใช้ใบรับรองที่ใช้รหัสผ่าน การตรวจสอบความถูกต้อง EAP-TLS สนับสนุนการจัดการคีย์ WEP แบบไดนามิก โปรโตคอล TLS ใช้สำหรับคุ้มครองและตรวจสอบความถูกต้องของการสื่อสารบนเครือข่ายสาธารณะโดยใช้การเข้ารหัสข้อมูล โปรโตคอล TLS Handshake ช่วยให้เซิร์ฟเวอร์และเครื่องลูกข่ายสามารถตรวจสอบความถูกต้องระหว่างกัน และแลกเปลี่ยนอัลกอริธึมการเข้ารหัสและคีย์เข้ารหัส ก่อนที่จะส่งข้อมูล

TTLS

การตั้งค่าเหล่านี้จะกำหนดโปรโตคอลและข้อมูลรับรองที่ใช้ในการตรวจสอบความถูกต้องของผู้ใช้ ใน TTLS (Tunneled Transport Layer Security) เครื่องลูกข่ายจะใช้ EAP-TLS เพื่อตรวจสอบเซิร์ฟเวอร์ และสร้างแชนเนลที่เข้ารหัสด้วย TLS ระหว่างเครื่องลูกข่ายและเซิร์ฟเวอร์ เครื่องลูกข่ายสามารถใช้โปรโตคอลอื่นสำหรับการตรวจสอบความถูกต้อง โดยปกติแล้ว โปรโตคอลที่ใช้รหัสผ่านจะใช้คำถาม-คำตอบบนแชนเนลที่เข้ารหัส TLS ซึ่งไม่ถูกเปิดเผย การใช้ TTLS ในปัจจุบัน จะสนับสนุนทุกวิธีที่กำหนดโดย EAP รวมถึงวิธีแบบเก่าหลายๆ วิธี (PAP, CHAP, MS-CHAP และ MS-CHAP-V2) TTLS สามารถขยายได้อย่างง่ายดาย เพื่อใช้งานร่วมกับโปรโตคอลใหม่ๆ โดยจะกำหนดลักษณะเฉพาะใหม่ๆ เพื่อรองรับโปรโตคอลตัวใหม่

PEAP

PEAP เป็นการตรวจสอบความถูกต้อง Extensible Authentication Protocol (EAP) IEEE 802.1X ชนิดใหม่ที่ออกแบบมาเพื่อใช้ประโยชน์จาก EAP-Transport Layer Security (EAP-TLS) ด้านของเซิร์ฟเวอร์ และสนับสนุนวิธีการตรวจสอบความถูกต้องหลายๆ วิธี รวมทั้งรหัสผ่านของผู้ใช้และรหัสผ่านป้อนครั้งเดียว และ Generic Token Cards

LEAP

รุ่นของ Extensible Authentication Protocol (EAP) Light Extensible Authentication Protocol (LEAP) เป็นโปรโตคอลตรวจสอบความถูกต้องเพิ่มเติมที่พัฒนาขึ้นเป็นเทคโนโลยีเฉพาะโดย Cisco ซึ่งมีกลไกตรวจสอบความถูกต้องด้วยคำถาม-คำตอบและการกำหนดคีย์แบบไดนามิก

EAP-SIM

Extensible Authentication Protocol Method สำหรับ GSM Subscriber Identity (EAP-SIM) เป็นกลไกสำหรับการเผยแพร่คีย์ในการตรวจสอบความถูกต้องและเซสชั่น โดยจะต้องใช้ Global System for Mobile Communications (GSM) Subscriber Identity Module (SIM) EAP-SIM ใช้คีย์ WEP ที่ขึ้นกับเซสชันแบบไดนามิก ซึ่งจะได้รับจากอแด็ปเตอร์ลูกข่ายและเซิร์ฟเวอร์ RADIUS เพื่อเข้ารหัสข้อมูล EAP-SIM จำเป็นต้องให้คุณป้อนรหัสการตรวจสอบผู้ใช้ หรือ PIN สำหรับการสื่อสารกับการ์ด Subscriber Identity Module (SIM) ซิมการ์ดเป็นสมาร์ทการ์ดชนิดพิเศษที่ใช้บนเครือข่ายโทรศัพท์เคลื่อนที่ดิจิตอลในระบบ Global System for Mobile Communications (GSM) RFC 4186 ระบุรายละเอียดสำหรับ EAP-SIM

EAP-AKA

EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) เป็นกลไก EAP สำหรับการตรวจสอบความถูกต้องและการเผยแพร่คีย์เซสชัน โดยใช้การ์ด Universal Mobile Telecommunications System (UMTS) Subscriber Identity Module (USIM) การ์ด USIM เป็นสมาร์ทการ์ดชนิดพิเศษที่ใช้กับเครือข่ายเซลลูลาร์ เพื่อตรวจสอบผู้ใช้รายนั้นๆ กับเครือข่าย


โปรโตคอลการตรวจสอบความถูกต้อง

PAP

Password Authentication Protocol เป็นโปรโตคอล handshake แบบ 2 ทาง ที่ออกแบบมาสำหรับใช้กับ PPP Password Authentication Protocol เป็นรหัสผ่านตัวอักษรล้วนที่ใช้บนระบบ SLIP ที่เป็นระบบเก่า ซึ่งยังไม่ปลอดภัยเพียงพอ สามารถใช้ได้สำหรับชนิดของการตรวจสอบความถูกต้อง TTLS เท่านั้น

CHAP

Challenge Handshake Authentication Protocol เป็นโปรโตคอล handshake 3 ทางที่ยอมรับกันว่ามีความปลอดภัยสูงกว่า Password Authentication Protocol สามารถใช้ได้สำหรับชนิดของการตรวจสอบความถูกต้อง TTLS เท่านั้น

MS-CHAP (MD4)

ใช้โปรโตคอล RSA Message Digest 4 challenge-and-reply รุ่นของ Microsoft ซึ่งจะทำงานได้เฉพาะกับระบบของ Microsoft เท่านั้น และจะเปิดใช้งานการเข้ารหัสข้อมูล การเลือกวิธีการตรวจสอบความถูกต้องนี้จะทำให้ข้อมูลทั้งหมดถูกเข้ารหัส สามารถใช้ได้สำหรับชนิดของการตรวจสอบความถูกต้อง TTLS เท่านั้น

MS-CHAP-V2

ไม่สามารถนำคุณลักษณะเพิ่มเติมมาใช้กับ MS-CHAP-V1 หรือ การตรวจสอบความถูกต้อง CHAP แบบมาตรฐานได้ ซึ่งได้แก่ คุณลักษณะการเปลี่ยนรหัสผ่าน คุณลักษณะนี้ช่วยให้ลูกข่ายสามารถเปลี่ยนรหัสผ่านของบัญชีผู้ใช้ได้ ถ้าเซิร์ฟเวอร์ RADIUS รายงานว่ารหัสผ่านหมดอายุ สามารถใช้ได้สำหรับชนิดของการตรวจสอบความถูกต้อง TTLS และ PEAP

Generic Token Card (GTC)

เก็บ token cards เฉพาะผู้ใช้ไว้สำหรับการตรวจสอบความถูกต้อง คุณลักษณะที่สำคัญใน GTC คือ การตรวจสอบความถูกต้องโดยใช้ใบรับรองแบบดิจิตอล/Token Card นอกจากนี้ GTC ยังมีความสามารถในการซ่อนรหัสชื่อผู้ใช้ไว้จนกว่าจะมีการสร้างอุโมงค์ที่เข้ารหัส TLS แล้ว ซึ่งจะทำให้มีความปลอดภัยเพิ่มมากขึ้น เนื่องจากชื่อผู้ใช้จะไม่ปรากฏขึ้นในระหว่างขั้นตอนการตรวจสอบความถูกต้อง สามารถใช้ได้สำหรับชนิดของการตรวจสอบความถูกต้อง PEAP เท่านั้น

TLS

โปรโตคอล TLS ใช้สำหรับคุ้มครองและตรวจสอบความถูกต้องของการสื่อสารบนเครือข่ายสาธารณะโดยใช้การเข้ารหัสข้อมูล โปรโตคอล TLS Handshake ช่วยให้เซิร์ฟเวอร์และเครื่องลูกข่ายสามารถตรวจสอบความถูกต้องระหว่างกัน และแลกเปลี่ยนอัลกอริธึมการเข้ารหัสและคีย์เข้ารหัส ก่อนที่จะส่งข้อมูล สามารถใช้ได้สำหรับชนิดของการตรวจสอบความถูกต้อง PEAP เท่านั้น


คุณลักษณะของ Cisco

Cisco LEAP

Cisco LEAP (Cisco Light EAP) เป็นการตรวจสอบความถูกต้อง 802.1X สำหรับเซิร์ฟเวอร์และเครื่องลูกข่าย โดยใช้รหัสผ่านสำหรับการล็อกออนที่ผู้ใช้กำหนด เมื่อจุดเชื่อมต่อไร้สายสื่อสารกับ RADIUS ที่รองรับ Cisco LEAP (Cisco Secure Access Control Server [ACS]) Cisco LEAP ก็จะควบคุมการเข้าใช้ โดยอาศัยการตรวจสอบความถูกต้องระหว่างกันของอแด็ปเตอร์ไร้สายในเครื่องลูกข่ายและเครือข่ายไร้สาย และจัดหาคีย์เข้ารหัสแบบไดนามิกสำหรับผู้ใช้ เพื่อช่วยคุ้มครองข้อมูลที่รับส่งบนเครือข่าย

คุณลักษณะด้านความปลอดภัยของจุดเชื่อมต่อปลอม Cisco

คุณลักษณะจุดเชื่อมต่อปลอม Cisco ช่วยป้องกันการติดต่อกับจุดเชื่อมต่อปลอมที่อาจเลียนแบบจุดเชื่อมต่อจริงบนเครือข่าย เพื่อจะดึงข้อมูลเกี่ยวกับข้อมูลรับรองของผู้ใช้และโปรโตคอลการตรวจสอบความถูกต้องที่อาจมีระดับการรักษาความปลอดภัยน้อย คุณลักษณะนี้ทำงานได้เฉพาะกับการตรวจสอบความถูกต้อง LEAP ของ Cisco เท่านั้น เทคโนโลยีมาตรฐาน 802.11 ไม่ป้องกันเครือข่ายจากการติดต่อกับจุดเชื่อมต่อปลอม ดูรายละเอียดเพิ่มเติมใน การตรวจสอบความถูกต้อง LEAP

โปรโตคอลป้องกันสำหรับสภาพแวดล้อมแบบผสม 802.11b และ 802.11g

จุดเชื่อมต่อบางรุ่น เช่น Cisco 350 หรือ Cisco 1200 สนับสนุนสภาพแวดล้อมที่สถานีลูกข่ายบางสถานีไม่สนับสนุนการเข้ารหัส WEP ซึ่งเรียกว่าโหมดเซลล์แบบผสม (Mixed-Cell Mode) เมื่อเครือข่ายไร้สายดังกล่าวทำงานในโหมด “การเข้ารหัสแบบเลือกได้” สถานีลูกข่ายที่เข้าร่วมในโหมด WEP จะส่งข้อความทั้งหมดที่เข้ารหัส ส่วนสถานีที่ใช้โหมดมาตรฐานจะส่งข้อความทั้งหมดที่ไม่ได้เข้ารหัส จุดเชื่อมต่อเหล่านี้จะแพร่สัญญาณว่าเครือข่ายนี้ไม่ใช้การเข้ารหัสแต่อนุญาตให้กับเครื่องลูกข่ายที่ใช้โหมด WEP เมื่อเปิดใช้ "เซลล์แบบผสม" ในส่วนกำหนดค่า คุณจะสามารถเชื่อมต่อกับจุดเชื่อมต่อที่กำหนดค่าไว้สำหรับ “การเข้ารหัสแบบเลือกได้”

CKIP

Cisco Key Integrity Protocol (CKIP) เป็นโปรโตคอลการรักษาความปลอดภัยที่เป็นเทคโนโลยีเฉพาะของ Cisco ใช้สำหรับการเข้ารหัสสื่อ 802.11 CKIP ใช้คุณลักษณะต่อไปนี้เพื่อปรับปรุงการรักษาความปลอดภัย 802.11 ในโหมดโครงสร้างพื้นฐาน:

หมายเหตุ: CKIP ไม่สามารถใช้ได้กับการตรวจสอบความถูกต้องเครือข่าย WPA/WPA2 Personal/Enterprise

หมายเหตุ: CKIP ได้รับการสนับสนุนผ่านการใช้ยูทิลิตีการเชื่อมต่อ WiFi บน Windows* XP เท่านั้น

การข้ามเครือข่ายแบบเร็ว (CCKM)

เมื่อ LAN ไร้สายถูกกำหนดค่าสำหรับการเชื่อมต่อใหม่อย่างรวดเร็ว อุปกรณ์ลูกข่ายที่รองรับ LEAP ก็จะสามารถข้ามจากจุดเชื่อมต่อหนึ่งไปยังอีกจุดหนึ่งโดยไม่ต้องผ่านเซิร์ฟเวอร์หลัก การใช้ Cisco Centralized Key Management (CCKM) จะทำให้จุดเชื่อมต่อที่ถูกกำหนดให้จัดหา Wireless Domain Services (WDS) สามารถทำงานแทนเซิร์ฟเวอร์ RADIUS และตรวจสอบความถูกต้องของเครื่องลูกข่ายโดยแทบจะปราศจากความล่าช้าในการรับส่งสัญญาณเสียงหรือการใช้งานอื่นๆ ที่ต้องอาศัยความรวดเร็ว

การจัดการวิทยุ

เมื่อเปิดใช้คุณลักษณะนี้ อแด็ปเตอร์ WiFi ของคุณจะส่งข้อมูลเกี่ยวกับการจัดการวิทยุไปยังโครงสร้างพื้นฐานของ Cisco หากใช้ Cisco Radio Management utility บนโครงสร้างพื้นฐาน คุณลักษณะนี้จะกำหนดค่าพารามิเตอร์วิทยุ ตรวจจับการรบกวน และตรวจจับจุดเชื่อมต่อปลอม

EAP-FAST

EAP-FAST ใช้การตรวจสอบแบบอุโมงค์เพื่อคุ้มครองการรับส่งข้อมูล เช่นเดียวกับ EAP-TTLS และ PEAP ข้อแตกต่างที่สำคัญก็คือ EAP-FAST ไม่ได้ใช้ใบรับรองในการตรวจสอบความถูกต้อง เครื่องลูกข่ายจะทำการกำหนด EAP-FAST โดยลำพัง ในรูปแบบของการแลกเปลี่ยนการสื่อสารชุดแรกสุด เมื่อมีการร้องขอ EAP-FAST จากเซิร์ฟเวอร์ หากเครื่องลูกข่ายไม่มี Protected Access Credential (PAC) ที่เป็นข้อมูลลับ ก็จะสามารถเริ่มการแลกเปลี่ยน EAP-FAST ได้เพื่อขอรับ EAP-FAST แบบไดนามิกจากเซิร์ฟเวอร์

EAP-FAST ใช้สองวิธีในการจัดส่ง PAC ได้แก่ การจัดส่งด้วยตนเองผ่านกลไกที่ปลอดภัยนอกย่านความถี่ และการกำหนดโดยอัตโนมัติ

วิธี EAP-FAST อาจแบ่งได้เป็นสองส่วน คือ การกำหนด และการตรวจสอบความถูกต้อง ขั้นตอนการกำหนดเป็นการจัดส่ง PAC ไปยังเครื่องลูกข่าย ขั้นตอนนี้ดำเนินการเพียงครั้งเดียวสำหรับเครื่องลูกข่ายและผู้ใช้แต่ละราย


กลับไปที่ด้านบน

กลับไปที่สารบัญ

เครื่องหมายการค้าและข้อสงวนสิทธิ์