Bu bölümde, WiFi ağları korumaya yardımcı olmak üzere kullanılan çeşitli güvenlik yöntemleri açıklanmaktadır.
802.1X Kimlik Doğrulaması (Kuruluş Güvenliği)
Kimlik Doğrulama İletişim Kuralları
Kablosuz ağınız, korumasız bırakılırsa, diğer bilgisayarlardan erişimlere açık hale gelir. Bu bölümde açıklanan güvenlik yöntemleri sayesinde, evinizdeki ve küçük işletmenizdeki ağı hemen hemen her türlü yetkisiz erişime karşı kolaylıkla koruyabilirsiniz.
Kimlik doğrulama, bir istemcinin (genellikle bir dizüstü bilgisayar) bir ağa erişme talebini ağ erişim noktasında belirleme ve onaylama sürecidir. Kimlik doğrulama işlemi tamamlanıp erişim izni verildikten sonra, istemci ağa erişebilir.
Kablosuz ağınız üzerinden gönderilen bilgi ve verileri şifrelemek için şifreleme algoritmaları seçebilirsiniz. Ancak ön paylaşımlı anahtarlarla donatılmış bilgisayarlar, iletilmekte olan verileri şifreleyip şifrelerini çözebilirler. Şifreleme anahtarları iki farklı güvenlik düzeyinde (64-bit ve 128-bit) kullanılabilir. Daha fazla güvenlik için 128-bit anahtarları kullanın.
Ağ güvenliğini artırmanın basit bir yolu, ağ erişim noktanızı Servis Takımı Tanımlayıcısını (SSID) yayınlamayacak şekilde ayarlamaktır. Erişim elde etmek için SSID gereklidir. Ancak SSID bilgisine sahip bilgisayarlar ağa erişebilirler. (Bu, Intel® PROSet/Kablosuz WiFi Bağlantı Yardımcı Programı yardımıyla, bağdaştırıcıda ayarlanmaz; erişim noktasında ayarlanır.)
802.11 iki tipte ağ kimlik doğrulama yöntemini destekler: Açık sistem ve paylaşılan anahtar kimlik doğrulaması.
Kabloluya Eşdeğer Gizlilik (WEP), kablosuz verilerin yetkisiz biçimde alınmasını önlemeye yardımcı olmak için şifreleme kullanır. WEP, verileri göndermeden önce şifrelemek için bir şifreleme anahtarı kullanır. Yalnızca aynı şifreleme anahtarını kullanan bilgisayarlar ağa erişebilir ve başka bilgisayarlar tarafından gönderilen verilerin şifresini çözebilir. WEP şifrelemesi 64-bit anahtar (bazen 40-bit olarak anılır) ya da 128-bit anahtar (104-bit olarak da bilinir) kullanan iki güvenlik düzeyi sağlar. Daha iyi güvenlik için 128-bit anahtar kullanmalısınız. Şifreleme kullanıyorsanız, kablosuz ağınızdaki tüm kablosuz aygıtlar aynı şifreleme anahtarını kullanmak zorundadır.
WEP veri şifreleme ile, bir kablosuz istasyon, en çok dört anahtar içerecek biçimde yapılandırılabilir (anahtar dizini 1, 2, 3 ve 4'tür). Bir erişim noktası ya da kablosuz istasyon belirli bir anahtar dizininde saklanan bir anahtarı kullanan şifrelenmiş bir ileti gönderdiğinde, iletilen mesajda mesaj gövdesini şifrelemek için hangi anahtar dizininin kullanıldığı belirtilir. Alıcı erişim noktası ya da kablosuz istasyon, belirtilen anahtar dizinindeki anahtarı alarak şifrelenmiş ileti gövdesinin şifresini çözebilir.
WEP şifreleme algoritması, ağ saldırılarına açık olduğundan, WPA-Bireysel ya da WPA2-Bireysel güvenlik yöntemini kullanmayı dikkate almalısınız.
WPA-Bireysel Modu, ev ve küçük işletme ortamları için tasarlanmıştır. WPA Bireysel için erişim noktalarında ve istemcilerde bir ön paylaşımlı anahtarın (PSK) el ile yapılandırılması gerekir. Kimlik doğrulama sunucusu gerekmez. Bu bilgisayarda ve kablosuz ağa erişen tüm bilgisayarlarda erişim noktasına girilen parola kullanılmalıdır. Güvenlik, parolanın gücüne ve gizliliğine bağlıdır. Uzun parolalar kısa bir parolaya oranla daha fazla ağ güvenliği sağlar. Kablosuz erişim noktanız ya da yönlendiriciniz WPA-Bireysel ve WPA2-Bireysel özelliğini destekliyorsa, erişim noktasında bu özelliği etkinleştirip uzun, sağlam bir parola girmelisiniz. WPA-Bireysel, TKIP ve AES-CCMP veri şifreleme algoritmalarını kullanılabilir kılar.
WPA2-Bireysel için erişim noktalarında ve istemcilerde bir ön paylaşımlı anahtarın (PSK) el ile yapılandırılması gerekir. Kimlik doğrulama sunucusu gerekmez. Bu bilgisayarda ve kablosuz ağa erişen tüm bilgisayarlarda erişim noktasına girilen parola kullanılmalıdır. Güvenlik, parolanın gücüne ve gizliliğine bağlıdır. Uzun parolalar kısa bir parolaya oranla daha fazla ağ güvenliği sağlar. WPA2, WPA'nın geliştirilmiş bir şeklidir ve IEEE 802.11i standardına tam olarak uygundur. WPA2, WPA ile geriye dönük uyumludur. WPA2-Bireysel, TKIP ve AES-CCMP veri şifreleme algoritmalarını kullanılabilir kılar.
NOT: WPA-Bireysel ve WPA2-Bireysel birlikte çalışabilir.
Bu bölümde, daha büyük şirketler tarafından yaygın olarak kullanılan güvenlik yöntemleri açıklanmıştır.
Genel Bakış
RADIUS nedir?
802.1X Kimlik Doğrulamasının Çalışma Yöntemi
802.1X Özellikleri
802.1X kimlik doğrulaması, 802.11 kimlik doğrulama sürecinden bağımsızdır. 802.11 standardı, çeşitli kimlik doğrulama ve anahtar yönetimi iletişim kurallarına bir çerçeve sağlar. Her biri kimlik doğrulamaya farklı bir yaklaşım getiren ama hepsi istemci ile erişim noktası arasındaki iletişim için aynı 802.11 iletişim kuralı ile çerçevesini kullanan değişik 802.1X kimlik doğrulama tipleri vardır. Çoğu iletişim kuralında, 802.1X kimlik doğrulama işlemi tamamlandıktan sonra, istemci, veri şifrelemesi için kullanacağı bir anahtar alır. Ek bilgi için 802.1X kimlik doğrulamasının çalışma yöntemi başlıklı konuya bakın. 802.1X kimlik doğrulaması, istemci ile erişim noktasına bağlı bir sunucu (örneğin, Remote Authentication Dial-In User Service (RADIUS - Arayan Kullanıcının Kimliğini Uzaktan Doğrulama Hizmeti) sunucusu) arasında kullanılan kimlik doğrulamasıdır. Kimlik doğrulama işleminde, kullanıcının parolası gibi kablosuz ağ üzerinden aktarılmayan kimlik bilgileri kullanılır. Çoğu 802.1X tipleri, anahtar güvenliğini güçlendirmek için, devingen kullanıcı-başına ve oturum-başına anahtarları destekler. 802.1X kimlik doğrulaması, EAP (Extensible Authentication Protocol - Genişletilebilir Kimlik Doğrulama İletişim Kuralı) olarak bilinen bir kimlik doğrulama iletişim kuralı kullanımından yararlanır.
Kablosuz ağlar için 802.1X kimlik doğrulamasının üç ana bileşeni vardır:
802.1X kimlik doğrulama güvenliği, kablosuz istemciden erişim noktasına bir kimlik doğrulama talebi gönderir ve erişim noktası, istemciyi bir EAP (Extensible Authentication Protocol - Genişletilebilir Kimlik Doğrulama İletişim Kuralı) uyumlu RADIUS sunucusunda doğrular. RADIUS sunucusu kullanıcıyı (parolalar ya da sertifikalar aracılığıyla) ya da sistemi (MAC adresi aracılığıyla) doğrular. Kuramsal olarak, kablosuz istemci işlemler tamamlanana kadar ağa katılamaz. (Kimlik doğrulama yöntemlerinin tümünde RADIUS sunucu kullanılmaz. WPA-Bireysel ve WPA2-Bireysel, erişim noktasında ve ağa erişim talebinde bulunan tüm aygıtlarda girilmesi gereken ortak bir parola kullanır.)
802.1X ile kullanılan birkaç kimlik doğrulama algoritması vardır. Örneğin: EAP-TLS, EAP-TTLS, Protected EAP (PEAP) ve EAP Cisco Kablosuz Genişletilebilir Hafif Kimlik Doğrulama İletişim Kuralı (LEAP). Bunların tümü, kablosuz istemcinin kendi kimliğini RADIUS sunucusunda doğrulama yöntemleridir. RADIUS kimlik doğrulamasında, kullanıcı kimlikleri veri tabanlarıyla karşılaştırılır. RADIUS, AAA (Authentication, Authorization, Accounting - Kimlik Doğrulama, Yetkilendirme, Hesap Yönetimi) olarak anılan bir standartlar takımından oluşur. RADIUS, istemcileri bir çoklu sunucu ortamında doğrulamak için bir vekil uygulamasını da içerir. IEEE 802.1X standardı, bağlantı noktası tabanlı 802.11 kablosuz ve kablolu Ethernet ağlarına erişimi denetleme ve doğrulama mekanizması sağlar. Bağlantı noktası tabanlı ağ erişim denetimi, bir LAN bağlantı noktasına bağlı olan aygıtların kimliğini doğrulayan ve kimlik doğrulama başarısız olduğunda bu noktaya erişimi engelleyen anahtarlamalı yerel ağ (LAN) alt yapısına benzer.
RADIUS (Remote Authentication Dial-In User Service - İçeri Arayan Kullanıcının Kimliğini Doğrulama Hizmeti) bir AAA (Authorization, Authentication, Accounting - Yetkilendirme, Kimlik Doğrulama, Hesap Yönetimi) istemci-sunucu iletişim kuralıdır ve bir AAA çevirmeli istemcisi bir ağ erişim sunucusunda oturum açtığında ya da oturum kapattığında kullanılır. Genelde bir RADIUS sunucusu, Internet Servis Sağlayıcıları (ISP) tarafından AAA görevleri gerçekleştirmek için kullanılır. AAA evreleri aşağıdaki gibidir:
802.1X kimlik doğrulama işleminin çalışma biçimi aşağıda basitleştirilerek açıklanmıştır.
Windows* XP üzerinde desteklenen kimlik doğrulama yöntemleri şunlardır:
Bkz. Açık Kimlik Doğrulama.
Bkz. Paylaşılan Kimlik Doğrulama.
Bkz. WPA-Bireysel.
Bkz. WPA2-Bireysel.
Kuruluş Modu kimlik doğrulaması, kurumsal ortamlar ve kamu kuruluşları için tasarlanmıştır. WPA Kuruluş, RADIUS ya da başka bir kimlik doğrulama sunucusu aralığıyla ağ kullanıcılarını doğrular. WPA, kablosuz ağınızın gizliliğini ve kuruluşunuzun güvenliğini sağlamak için 128-bit şifreleme anahtarları ve dinamik oturum anahtarları kullanır. 802.1X sunucusunun kimlik doğrulama iletişim kuralıyla eşleşecek bir kimlik doğrulama tipi seçilir.
WPA Kuruluş kimlik doğrulaması, kurumsal ortamlar ve kamu kuruluşları için tasarlanmıştır. WPA2 Kuruluş, RADIUS ya da başka bir kimlik doğrulama sunucusu aralığıyla ağ kullanıcılarını doğrular. WPA2, kablosuz ağınızın gizliliğini ve kuruluşunuzun güvenliğini sağlamak için 128-bit şifreleme anahtarları ve dinamik oturum anahtarları kullanır. 802.1X sunucusunun kimlik doğrulama iletişim kuralıyla eşleşecek bir kimlik doğrulama tipi seçilir. Kuruluş Modu, kurumsal ortamlar ve kamu kuruluşları için tasarlanmıştır. WPA2, WPA'nın geliştirilmiş bir şeklidir ve IEEE 802.11i standardına tam olarak uygundur.
Gelişmiş Şifreleme Standardı - Sayaç CBC-MAC İletişim Kuralı. Kablosuz iletimlerin gizliliğini korumak için IEEE 802.11i standardında belirtilen yeni bir yöntemdir. AES-CCMP, TKIP iletişim kuralına göre daha güçlü bir şifreleme yöntemi sağlar. Güçlü veri koruması önemli olduğunda veri şifreleme yöntemi olarak AES-CCMP iletişim kuralını kullanın. AES-CCMP, WPA/WPA2 Bireysel/Kuruluş ağ kimlik doğrulaması ile kullanılır.
NOT: Bazı güvenlik çözümleri bilgisayarınızın işletim sistemi tarafından desteklenmez ve ek yazılım ve/ya da donanımın yanı sıra kablosuz LAN alt yapı desteği gerektirir. Ayrıntı bilgi için, bilgisayar üreticinize danışın.
Geçici Anahtar Bütünlüğü İletişim Kuralı (TKIP), paket düzeyinde anahtar karıştırma, ileti bütünlük denetimi ve yeniden anahtarlama mekanizması sağlar. TKIP, WPA/WPA2 Bireysel/Kuruluş ağ kimlik doğrulaması ile kullanılır.
Bkz. CKIP.
Kabloluya Eşdeğer Gizlilik (WEP), kablosuz verilerin yetkisiz biçimde alınmasını önlemeye yardımcı olmak için şifreleme kullanır. WEP, verileri göndermeden önce şifrelemek için bir şifreleme anahtarı kullanır. Yalnızca aynı şifreleme anahtarını kullanan bilgisayarlar ağa erişebilir ve başka bilgisayarlar tarafından gönderilen verilerin şifresini çözebilir. Kuruluş WEP, bireysel WEP ile tam olarak aynı değildir; Açık ağ kimlik doğrulamasını seçip, ardından 802.1X etkinleştir seçeneğini tıklatabilir ve tüm istemci kimlik doğrulama tiplerinden birini seçebilirsiniz. Kimlik doğrulama tipleri arasında seçim yapabilme özelliği, bireysel WEP ile mümkün değildir.,
EAP iletişim kuralını ve TLS adı verilen bir güvenlik iletişim kuralını kullanan bir kimlik doğrulama yöntemidir. EAP-TLS, parolalar kullanan sertifikalar kullanır. EAP-TLS kimlik doğrulaması, dinamik WEP anahtarı yönetimini destekler. TLS iletişim kuralı verileri şifreleyerek, kamuya açık bir ağda yürütülen iletişimdeki kimlik doğrulamasını ve güvenliği sağlamak üzere tasarlanmıştır. TLS tokalaşma iletişim kuralı sunucuya ve istemciye, karşılıklı kimlik doğrulama gerçekleştirme olanağı ve veri gönderilmeden önce, bir şifreleme algoritması ve şifreleme anahtarları üzerinde anlaşmaya varma olanağı tanır.
Bu ayarlar, bir kullanıcının kimlik doğrulamasını yapmak için, kullanılacak kimlik bilgilerini ve iletişim kuralını tanımlar. TTLS'de (Tunneled Transport Layer Security - Tünelli Taşıma Katmanı Güvenliği), istemci, sunucuyu doğrulamak için EAP-TLS kullanır ve istemci ile sunucu arasında TLS şifreli bir kanal oluşturur. İstemci, başka bir kimlik doğrulama iletişim kuralını kullanabilir. Genellikle, parola korumalı iletişim kuralları, herkese açık olmayan TLS şifreli bir kanal üzerinden gönderilir. Günümüzdeki TTLS uygulamaları, EAP tarafından tanımlanan tüm yöntemleri ve ek olarak daha eski bazı yöntemleri (PAP, CHAP, MS-CHAP ve MS-CHAP-V2) destekler. TTLS, yeni iletişim kurallarını desteklemek için yeni öznitelikler tanımlanarak, yeni iletişim kurallarıyla çalışması için kolayca genişletilebilir.
PEAP, sunucu tarafı EAP-TLS (Extensible Authentication Protocol Transport Layer Security - Genişletilebilir Kimlik Doğrulama İletişim Kuralı Taşıma Katmanı Güvenliği) olanağından yararlanmak ve kullanıcının parolası, bir kerelik parolalar ve soysal belirteç kartları gibi çeşitli kimlik doğrulama yöntemleri desteklemek için tasarlanmış yeni bir EAP IEEE 802.1X kimlik doğrulama tipidir.
EAP'nin (Extensible Authentication Protocol) bir sürümüdür. Genişletilebilir Hafif Kimlik Doğrulama İletişim Kuralı (LEAP), Cisco tarafından geliştirilen ve sorgu-yanıt temelinde kimlik doğrulama mekanizması ile dinamik anahtar atama olanağı sunan özel bir genişletilebilir kimlik doğrulama iletişim kuralıdır.
Extensible Authentication Protocol for GSM Subscriber Identity Module (EAP-SIM; GSM Abone Kimlik Modülü için Genişletilebilir Kimlik Doğrulama İletişim Kuralı), kimlik doğrulaması ve oturum anahtarı dağıtımı için kullanılan bir mekanizmadır. Mobil İletişim İçin Küresel Sistem (Global System for Mobile Communications - GSM) Abone Kimlik Modülü'nü (Subscriber Identity Module - SIM) kullanır. EAP-SIM, verileri şifrelemek için istemci bağdaştırıcısı ile RADIUS sunucusundan türetilen, oturum tabanlı dinamik bir WEP anahtarı kullanır. EAP-SIM kimlik doğrulamasında SIM (Subscriber Identity Module - Abone Kimlik Modülü) kartıyla iletişim kurmak için bir kullanıcı doğrulama kodu ya da PIN kodu girmeniz gerekir. SIM kartı, GSM (Global System for Mobile Communications - Küresel Mobil İletişim Sistemi) tabanlı dijital cep telefonu şebekeleri tarafından kullanılan özel bir akıllı karttır. RFC 4186, EAP-SIM'i tanımlar.
EAP-AKA (UMTS Kimlik Doğrulama ve Anahtar Anlaşması için Genişletilebilir Kimlik Doğrulama İletişim Kuralı Yöntemi), Evrensel Mobil Telekomünikasyon Sistemi (UMTS) Abone Kimlik Modülü (USIM) yardımıyla kimlik doğrulama ve oturum anahtarı dağıtma işlemleri için kullanılan bir EAP mekanizmasıdır. USIM kartı, belirli bir kullanıcıyı bir telefon şebekesiyle doğrulamak için cep telefonu şebekeleriyle kullanılan özel bir akıllı karttır.
Parola Kimlik Doğrulama İletişim Kuralı (Password Authentication Protocol), PPP ile kullanılmak üzere tasarlanmış iki yönlü bir el sıkışması iletişim kuralıdır. Parola Kimlik Doğrulama İletişim Kuralı, eski SLIP sistemlerinde kullanılan düz metin biçiminde bir paroladır. Güvenli değildir. Yalnızca TTLS Kimlik Doğrulama Tipi için kullanılabilir.
Karşılıklı El Sıkışma Kimlik Doğrulama İletişim Kuralı (Challenge Handshake Authentication Protocol), Parola Kimlik Doğrulama İletişim Kuralı'dan daha güvenli kabul edilen üç yönlü bir el sıkışma iletişim kuralıdır. Yalnızca TTLS Kimlik Doğrulama Tipi için kullanılabilir.
RSA Message Digest 4 sorgulama ve yanıtlama iletişim kuralının Microsoft sürümünü kullanır. Bu yöntem yalnızca Microsoft sistemlerinde kullanılabilir ve veri şifrelemesi sağlar. Bu kimlik doğrulama yöntemini seçerseniz tüm veriler şifrelenir. Yalnızca TTLS kimlik doğrulama tipi için kullanılabilir.
MS-CHAP-V1 ya da standart CHAP kimlik doğrulamasında bulunmayan parola değiştirme özelliğini içerir. Bu özellik, RADIUS sunucusu parolanın süresinin dolduğunu bildirdiğinde istemcinin hesap parolasını değiştirmesine olanak verir. Yalnızca TTLS ve PEAP kimlik doğrulama tipleri için kullanılabilir.
Kimlik doğrulama için kullanıcıya özgü şifreleme belirteci kartlarını içerir. GTC'nin temel özelliği Dijital Sertifika/Şifreleme Belirteci Kartı tabanlı kimlik doğrulamadır. GTC, ayrıca, TLS şifreli tünel oluşturulana kadar kullanıcı kimliklerini gizleyerek kimlik doğrulama aşamasında kullanıcı adlarının yayımlanmasını engeller. Yalnızca PEAP kimlik doğrulama tipi için kullanılabilir.
TLS iletişim kuralı verileri şifreleyerek, kamuya açık bir ağda yürütülen iletişimdeki kimlik doğrulamasını ve güvenliği sağlamak üzere tasarlanmıştır. TLS tokalaşma iletişim kuralı sunucuya ve istemciye, karşılıklı kimlik doğrulama gerçekleştirme olanağı ve veri gönderilmeden önce, bir şifreleme algoritması ve şifreleme anahtarları üzerinde anlaşmaya varma olanağı tanır. Yalnızca PEAP kimlik doğrulama tipi için kullanılabilir.
Cisco LEAP (Cisco Light EAP - Cisco Hafif EAP), kullanıcının sağladığı bir oturum açma parolası üzerinden gerçekleştirilen sunucu ve istemci 802.1X kimlik doğrulamasıdır. Kablosuz erişim noktası Cisco LEAP özelliğini kullanan bir RADIUS (Cisco Secure Access Control Server [ACS] - Cisco Güvenli Erişim Denetimi Sunucusu) sunucusu ile iletişim kurduğunda, Cisco LEAP, istemcilerin WiFi bağdaştırıcıları ile kablosuz ağlar arasında karşılıklı kimlik doğrulaması üzerinden erişim denetimi sağlar ve dinamik, bireysel kullanıcı şifreleme anahtarları sağlayarak iletilen verilerin gizliliğini korumaya yardım eder.
Cisco Yetkisiz erişim noktası özelliği, ağdaki onaylanmış bir erişim noktasını taklit ederek kullanıcı kimlik bilgilerini almaya çalışan yetkisiz erişim noktalarına ve güvenliği tehlikeye atabilecek kimlik doğrulama iletişim kurallarına karşı koruma sağlar. Bu özellik yalnızca Cisco LEAP kimlik doğrulamasıyla kullanılabilir. Standart 802.11 teknolojisi, ağı yetkisiz erişim noktalarına karşı korumaz. Ek bilgi için LEAP Kimlik Doğrulama başlıklı konuya bakın.
Bazı erişim noktaları, örneğin Cisco 350 ya da Cisco 1200, tüm istemci istasyonlarının WEP şifrelemesini desteklemediği ortamları destekler. Buna karma-hücre modu (Mixed-Cell Mode) denir. Bu kablosuz ağlar “isteğe bağlı şifreleme” modunda çalıştığında, WEP modunu kullanan istemci istasyonlar tüm iletileri şifreli olarak gönderir, standart modu kullanan istasyonlar ise tüm iletileri şifresiz olarak gönderir. Bu erişim noktaları ağda şifreleme kullanılmadığını bildirir ama WEP modunu kullanan istemcilere izin verir. Bir profilde "Karma Hücre" modu etkinleştirildiğinde, "isteğe bağlı şifreleme" için yapılandırılmış erişim noktalarına bağlanmanıza olanak tanır.
Cisco Anahtar Bütünlüğü İletişim Kuralı (CKIP - Cisco Key Integrity Protocol), Cisco şirketinin, 802.11 ortamlarında veri şifrelemesi için, tescilli güvenlik iletişim kuralıdır. CKIP, altyapı modunda 802.11 güvenliğini iyileştirmek için, aşağıdaki özellikleri kullanır:
NOT: CKIP, WPA/WPA2 Bireysel/Kuruluş ağ kimlik doğrulaması ile kullanılmaz.
NOT: CKIP sadece Windows* XP üzerinde WiFi bağlantı yardımcı programı kullanılarak desteklenir.
Kablosuz bir LAN, hızlı yeniden bağlanmaya ayarlandığında, LEAP etkinleştirilmiş bir istemci aygıtı bir erişim noktasından diğerine ana sunucuya başvurmadan bağlanabilir. WDS (Wireless Domain Services - Kablosuz Etki Alanı Hizmetleri) sunmak üzere yapılandırılmış bir erişim noktası, CCKM (Cisco Centralized Key Management - Cisco Merkezileştirilmiş Anahtar Yönetimi) kullanarak, RADIUS sunucusunun yerini alır ve istemcinin, -ses ya da başka zamana duyarlı uygulamalarda herhangi bir gecikme olmaksızın- kimlik doğrulamasını yapar.
Bu özellik etkinleştirildiğinde WiFi bağdaştırıcınız, Cisco altyapısına radyo yönetimi hizmetleri sağlar. Alt yapıda Cisco Radyo Yönetimi hizmet programı kullanıldığında, radyo parametrelerini ayarlar ve elektromanyetik girişimi ve yetkisiz erişim noktalarını tespit eder.
EAP-FAST, EAP-TTLS ve PEAP iletişim kuralları gibi, trafiği korumak için tünelleme kullanır. Başlıca fark, EAP-FAST iletişim kuralının kimlik doğrulaması için sertifikalar kullanmamasıdır. EAP-FAST iletişim kuralında sağlama, sunucudan EAP-FAST istendiğinde ilk iletişim değiş tokuşu olarak, yalnızca istemci tarafından yapılır. İstemcide önceden paylaşılmış gizli PAC (Protected Access Credential - Korunmuş Erişim Kimlik Bilgisi) yoksa, sağlayıcı EAP-FAST değiş tokuşu başlatma isteğiyle sunucudan dinamik olarak bir PAC alabilir.
EAP-FAST, PAC bilgisini vermek için iki yöntem sunar: Bant dışı bir güvenli mekanizma aracılığıyla el ile verme ya da otomatik sağlama.
EAP-FAST yöntemi iki bölüme ayrılır: sağlama ve kimlik doğrulama. Sağlama evresi, PAC bilgisinin istemciye ilk teslimini içerir. Bu evre, her istemci ve kullanıcı için yalnızca bir kez uygulanmak zorundadır.