這個部分說明用於幫助保護 WiFi 網路的各種保全性方法。
您的無線網路若未受到保護,對於其他電腦要存取則難以防守。使用這個部分說明的保全性方法,您就可輕鬆保護家用與小型企業的網路免於近乎所有形式的未授權存取。
驗證是對來自用戶端 (通常為筆記型電腦) 存取在網路存取點的網路之請求來識別並核准的程序。驗證完成並授予存取後,用戶端就能存取此網路。
您可以選取加密演算法來加密透過無線網路傳送的資訊與資料。只有配備預先共用金鑰的電腦,才能加密和解密傳輸的資料。加密金鑰有兩種保全性等級,64 位元與 128 位元。使用更佳保全性的 128 位元金鑰。
提升網路保全性的簡易方式,是將您的網路存取點設為不廣播 服務組識別碼 (SSID)。要取得存取需要 SSID。只有具有 SSID 知識的電腦才能存取網路。(這不是設在使用 Intel(R) PROSet/無線 WiFi 連線公用程式的介面卡,而是設在存取點。)
IEEE 802.11 支援兩種類型的網路驗證方法: 「開放系統」與「共用金鑰」。
有線對等式保密 (WEP) 使用加密來幫助防止無線資料的未授權接收。WEP 使用加密金鑰在資料傳輸之前對其進行加密。只有使用相同加密金鑰的電腦,才能存取該網路並解密其他電腦傳輸出來的資料。WEP 加密提供兩種保全性等級,使用 64 位元金鑰 (有時稱為 40 位元) 或 128 位元金鑰 (亦稱為 104 位元)。要得到加強的保全性,您應該使用 128 位元加密金鑰。如果您使用加密,無線網路上的所有無線裝置都必須使用相同的加密金鑰。
WEP 資料加密,無線站台最多可用四個金鑰設定 (金鑰索引值是 1、2、3、和 4)。當某個存取點 (AP) 或無線站台使用儲存在特定金鑰索引中的金鑰來傳輸加密訊息時,傳輸訊息就會顯示用來加密訊息內容的金鑰索引。然後,接收 AP 或無線站台就可以擷取儲存在該金鑰索引中的金鑰,然後,用該金鑰來解開加密的訊息內容。
因為 WEP 加密演算法易於受到網路攻擊,您應該考慮使用 WPA-個人或 WPA2-個人保全性。
「WPA-個人模式」目標在家用與小型企業環境。WPA 個人需要在存取點與用戶端手動設定預先共用金鑰 (PSK)。不需要驗證伺服器。在存取點輸入的密碼同樣也要使用於這台電腦以及所有其他存取無線網路的無線裝置。保全性依密碼的強度與機密性而定。密碼越長,無線網路的保全性就越牢固。如果您的無線存取點或路由器支援「WPA-個人」和「WPA2-個人」,您就應該在該存取點將其啟用,並提供一個又長又牢靠的密碼。WPA-個人可用於 TKIP 與 AES-CCMP 資料加密演算法。
WPA2-個人需要在存取點與用戶端手動設定預先共用金鑰 (PSK)。不需要驗證伺服器。在存取點輸入的密碼同樣也要使用於這台電腦以及所有其他存取無線網路的無線裝置。保全性依密碼的強度與機密性而定。密碼越長,無線網路的保全性就越牢固。WPA2 優於 WPA 並執行完整的 IEEE 802.11i 標準。WPA2 向後相容於 WPA。WPA2-個人可用於 TKIP 與 AES-CCMP 資料加密演算法。
注意: 「WPA-個人」與「WPA2-個人」可以互相操作。
這個部分說明較大型公司常使用的保全性。
概述
何謂 RADIUS?
802.1X 驗證的作業方式
802.1X 功能
802.1X 驗證和 802.11 驗證程序是獨立分開的。802.11 標準為各種驗證和金鑰管理通訊協定提供架構。802.1X 驗證類型有許多種,每個都提供不同的驗證方法,但是都使用相同的 802.11 通訊協定和架構在用戶端和存取點之間通訊。在大部分的通訊協定中,當 802.1X 驗證程序完成時,用戶端會接收到用來進行資料加密的金鑰。請參閱 802.1X 驗證的作業方式以取得更多資訊。使用 802.1X 驗證時,會在用戶端以及連接到存取點的伺服器 (例如「遠端驗證撥入使用者服務」(RADIUS) 伺服器) 之間使用的驗證方法。驗證程序會使用身份證明,例如,不透過 無線網路傳輸的使用者密碼。大部分的 802.1X 類型對每個使用者、每個作業階段金鑰都支援動態來強化金鑰保全性。802.1X 驗證受到現存的驗證通訊協定的協助,此驗證通訊協定稱為「可延伸驗證通訊協定」(EAP)。
無線網路的 802.1X 驗證有三個主要元件:
802.1X 驗證保全性從無線用戶端對存取點提出授權要求,存取點授權符合「可延伸驗證通訊協定」(EAP) 的 RADIUS 伺服器給用戶端。這個 RADIUS 伺服器可能會驗證使用者 (透過密碼或憑證) 或系統 (透過 MAC 位址)。理論上來說,無線用戶端要等到傳輸完成後才能加入網路。(並非所有驗證方法都使用 RADIUS 伺服器。WPA-個人與 WPA2-個人使用的一般密碼,必須要在存取點以及請求存取至此網路的所有裝置處輸入。)
與 802.1X 共同使用的驗證演算法有好幾種。某些範例為: EAP-TLS、EAP-TTLS、Protected EAP (PEAP) 和 EAP Cisco 無線可輕微延伸的驗證通訊協定 (LEAP)。這些都是無線用戶端向 RADIUS 伺服器識別自己的身份的方法。使用 RADIUS 驗證,使用者的身份會根據資料庫被檢查。RADIUS 組成一組處理「驗證」、「授權」、和「會計」(AAA) 的標準。RADIUS 包括在多重伺服器環境中驗證用戶端的 proxy 程序。IEEE 802.1X 標準提供一種機制,可控制和驗證連接埠式 802.11 無線和有線乙太網路的存取。連接埠式的網路存取控制和切換本機區域網路 (LAN) 基礎架構類似,如果驗證程序失敗,此架構會驗證連接到 LAN 連接埠的裝置,並禁止存取該連接埠。
RADIUS 是 AAA 撥號用戶端在「網路存取伺服器」登入和登出時使用的「遠端驗證撥入使用者服務」、「授權」、「驗證」、以及「會計」(AAA) 用戶端-伺服器通訊協定。一般來說,「網際網路服務提供者」(ISP) 會使用 RADIUS 伺服器來執行 AAA 作業。AAA 階段的說明如下:
以下為 802.1X 驗證作業方式的簡化說明。
Windows XP 支援下列驗證方法:
請參閱開放驗證。
請參閱共用驗證。
請參閱WPA-個人。
請參閱WPA2-個人。
「企業模式」驗證目標在於企業和政府的環境。「WPA 企業」會透過 RADIUS 或其他驗證伺服器來驗證網路使用者。WPA 使用 128 位元加密金鑰與動態作業階段金鑰,來確保您無線網路的隱私以及企業保全性。選取某種「驗證類型」以符合 802.1X 伺服器的驗證通訊協定。
「WPA 企業」驗證目標在於企業和政府的環境。「WPA2 企業」會透過 RADIUS 或其他驗證伺服器來驗證網路使用者。WPA2 使用 128 位元加密金鑰與動態作業階段金鑰,來確保您無線網路的隱私以及企業保全性。選取某種「驗證類型」以符合 802.1X 伺服器的驗證通訊協定。「企業模式」目標在於企業和政府的環境。WPA2 優於 WPA 並執行完整的 IEEE 802.11i 標準。
進階加密標準 - 反 CBC-MAC 通訊協定。IEEE 802.11i 標準所指定的無線傳輸隱私權保護的新方法。AES-CCMP 提供的加密方法比 TKIP 的還要周密。如果進行緊密的資料保護很重要的話,請選擇 AES-CCMP 為資料加密方法。AES-CCMP 可與 WPA/WPA2 個人/企業網路驗證一起使用。
注意: 有些保全性解決方案可能不受到您電腦作業系統的支援,並且可能需要額外的軟體或硬體以及無線 LAN 基礎架構的支援。請向您的電腦製造廠商查詢詳情。
「暫時金鑰整合通訊協定」提供每個封包的金鑰混合、訊息整合檢查以及金鑰重建機制。TKIP 可與 WPA/WPA2 個人/企業網路驗證一起使用。
請參閱 CKIP。
有線對等式保密 (WEP) 使用加密來幫助防止無線資料的未授權接收。WEP 使用加密金鑰在資料傳輸之前對其進行加密。只有使用相同加密金鑰的電腦,才能存取該網路並解密其他電腦傳輸出來的資料。企業 WEP 與個人 WEP 不太相同,因為您可選取「開放」網路驗證,然後按一下「啟用 802.1X」並能從所有用戶端驗證類型中選擇。個人 WEP 之下無法使用驗證類型的選擇。
一種使用「可延伸驗證通訊協定」(EAP) 的驗證方法類型,以及一種稱為「傳輸層保全性」(TLS) 的保全性通訊協定。EAP-TLS 使用的憑證會使用密碼。EAP-TLS 驗證支援動態 WEP 金鑰管理。TLS 通訊協定的目的是要透過資料加密來確保及驗證整個公共網路的通訊。「TLS 交涉通訊協定」可允許伺服器和用戶端在資料傳輸之前,提供互相驗證以及交涉加密驗算法和加密金鑰。
這些設定定義用來驗證使用者的通訊協定和身份證明。在 TTLS (通道的傳輸層保全性) 中,用戶端使用 EAP-TLS 來驗證伺服器,以及在用戶端和伺服器之間建立 TLS 加密的通道。用戶端可以使用另外一個驗證通訊協定。一般是透過非揭露的 TLS 加密通道傳送的基於密碼式的通訊協定挑戰。目前的 TTLS 執行支援所有由 EAP 定義的方法以及許多較舊的方法 ( PAP、CHAP、MS-CHAP 與 MS-CHAP-V2)。利用定義新屬性以支援新的通訊協定可輕易地延伸 TTLS 來與新通訊協定作業。
PEAP 是一種新的「可延伸驗證通訊協定」(EAP) IEEE 802.1X 驗證類型,其設計是要利用伺服器端的「EAP-傳輸層保全性」 (EAP-TLS) 和支援各種驗證方法,包括使用者密碼、一次性密碼以及「一般性 Token 卡」。
可延伸驗證通訊協定 (EAP) 的版本。輕量可延伸式認證通訊協定 (LEAP) 是 Cisco 開發的專屬可延伸驗證通訊協定,其提供詰問/應答驗證機制以及動態金鑰指派。
GSM 用戶識別模組 (EAP-SIM) 的「可延伸驗證通訊協定方式」是驗證機制和作業階段金鑰分配。它使用全球行動通訊系統 (GSM) 訂用者身分模組 (SIM)。EAP-SIM 使用從用戶端介面卡和 RADIUS 伺服器衍生出的動態作業階段為基礎的 WEP 金鑰來加密資料。EAP-SIM 需要您輸入使用者驗證碼或 PIN,才能與用戶識別模組 (SIM) 卡通訊。SIM 卡是特別的智慧卡,用於 "全球行動通訊系統" (GSM) 數位行動網路。RFC 4186 描述 EAP-SIM。
EAP-AKA (適用 UMTS 驗證與金鑰協議的延伸驗證通訊協定方法) 是驗證與作業階段金鑰分配的 EAP 機制,使用全球行動通訊系統 (UMTS) 用戶識別模組 (USIM)。USIM 卡是使用行動網路的特殊智慧卡,使用網路來驗證指定的使用者。
「密碼驗證通訊協定」是為了與 PPP 一起使用而設計的雙向交涉通訊協定。「密碼驗證通訊協定」是在較舊的 SLIP 系統中所使用的純文字密碼。並不是很安全。只能提供 TTLS 驗證類型使用。
「Challenge Handshake 驗證通訊協定」是三向交涉的通訊協定,被認為比「密碼驗證通訊協定」更安全。只能提供 TTLS 驗證類型使用。
使用 Microsoft 版本的「RSA Message Digest 4 challenge-and-reply protocol」(RSA 訊息摘要 4 挑戰與回應通訊協定)。這僅能在 Microsoft 系統上作用並啟用資料加密。選取這種驗證方法會加密所有的資料。只能提供 TTLS 驗證類型使用。
介紹 MS-CHAP-V1 或標準 CHAP 驗證無法使用的其他功能,即變更密碼功能。如果 RADIUS 伺服器報告密碼已過期,此功能允許用戶端變更帳戶密碼。可供 TTLS 與 PEAP 驗證類型使用。
用使用者一般性 token 卡進行驗證。GTC 中的主要功能是基於數位驗證/Token 卡的驗證。此外,GTC 包括隱藏使用者名稱身份的能力,直至建立 TLS 加密的通道,可提供在驗證階段廣播使用者名稱的其他機密性。只能提供 PEAP 驗證類型使用。
TLS 通訊協定的目的是要透過資料加密來確保及驗證整個公共網路的通訊。「TLS 交涉通訊協定」可允許伺服器和用戶端在資料傳輸之前,提供互相驗證以及交涉加密驗算法和加密金鑰。只能提供 PEAP 驗證類型使用。
Cisco LEAP (Cisco Light EAP) 是透過使用者提供的登入密碼的伺服器和用戶端 802.1X 驗證。當無線存取點與 Cisco LEAP 啟用的 RADIUS (Cisco Secure Access Control Server [ACS]) 通訊時,Cisco LEAP 會透過用戶端 WiFi 介面卡和無線網路之間的相互驗證提供存取控制和提供動態、個別的使用者加密金鑰,以幫助保護傳輸資料的隱私。
Cisco Rogue 存取點功能從可模擬網路上適當存取點的 rogue 存取點開始提供保全性保護,如此便可擷取可能影響保全性的使用者身份證明和驗證通訊協定方面的資訊。這項功能僅適用於 Cisco 的 LEAP 驗證。.標準 802.11 技術無法保護網路攔阻 rogue 存取點進入。請參閱 LEAP 驗證以獲取更多資訊。
有些存取點,例如 Cisco 350 或 Cisco 1200,可支援不是所有用戶端站台都支援的 WEP 加密環境,這就稱為「混合傳播網路模式」。當這些無線網路以「選擇性加密」模式操作時,加入 WEP 模式的用戶端站台所傳送的訊息全部都會加密,而用標準模式的站台所傳送的訊息全部都不加密。這些存取點廣播網路沒有使用加密,但是可允許使用 WEP 模式的用戶端。在設定檔中啟用「混合傳播網路」時,就可讓您連線到為「選擇性加密」設定的存取點。
Cisco Key Integrity Protocol (CKIP) 是 Cisco 在 802.11 媒體中加密的專屬安全性通訊協定。CKIP 使用以下的功能來改善基礎架構模式中的 802.11 保全性:
注意: CKIP 不可與 WPA/WPA2 個人/企業網路驗證一起使用。
注意: 透過在 Windows XP 上使用 WiFi 連線公用程式才支援 CKIP。
設定無線 LAN 以進行快速連線時,啟用 LEAP 的用戶端裝置可從一個存取點漫遊到另外一個存取點,而不需要主伺服器的介入。使用「Cisco 中央化的金鑰管理」(CCKM),設定來提供「無線網域服務」(WDS) 的存取點會取代 RADIUS 伺服器的位置並驗證用戶端,但不會有明顯的語音或其它時間性應用程式延遲的情況發生。
有些存取點,例如 Cisco 350 或 Cisco 1200,可支援不是所有用戶端站台都支援的 WEP 加密環境,這就稱為「混合傳播網路模式」。當這些無線網路以「選擇性加密」模式操作時,加入 WEP 模式的用戶端站台所傳送的訊息全部都會加密,而用標準模式的站台所傳送的訊息全部都不加密。這些存取點廣播網路沒有使用加密,但是可允許使用 WEP 模式加入的用戶端。在設定檔中啟用「混合傳播網路」時,就可讓您連線到為「選擇性加密」設定的存取點。
當這個功能啟用時,您的 WiFi 介面卡會為 Cisco 基礎架構提供無線電管理資訊。如果在此基礎架構上使用「Cisco 無線電管理」公用程式的話,它就會設定無線電參數、偵測干擾以及 Rouge 存取點。
EAP-FAST,像 EAP-TTLS 和 PEAP,使用通道處理來保護流量。主要的差異處是 EAP-FAST 不使用憑證來進行驗證。當伺服器要求 EAP-FAST 時,EAP-FAST 中的規範完全由用戶端當成第一次通訊互換來進行交涉。如果用戶端沒有預先共用的祕密「受保護的存取身份證明」(PAC),它可以初始化規範 EAP-FAST 互換,以便從伺服器動態取得此種身份證明。
EAP-FAST 記錄兩種提供 PAC 的方法: 透過頻外保全機制以手動方式提供以及自動規範。
EAP-FAST 方法分成兩個部份: 規範和驗證。規範階段涉及初步提供 PAC 給用戶端。這個階段僅需要在每個用戶端和使用者執行一次。