I dette afsnit beskrives de forskellige sikkerhedsmetoder, som anvendes til at beskytte trådløse netværk.
802.1x-godkendelse (Koncernsikkerhed)
Dit trådløse netværk er sårbart, hvis det er ubeskyttet, overfor adgang fra andre computere. Du kan nemt beskytte netværket i hjemmet og den mindre virksomhed mod næsten alle former for uautoriseret adgang med de sikkerhedsmetoder, som beskrives i dette afsnit.
Godkendelse er processen at identificere og godkende en anmodning fra en klient (normalt en bærbar computer) om adgang til et netværk via et adgangspunkt. Når godkendelsen er fuldført, og der er givet adgang, har klienten adgang til netværket.
Du kan vælge krypteringsalgoritmer til at kryptere oplysninger og data, som sendes via dit trådløse netværk. Kun computere, der er forsynet med pre-shared keys, kan kryptere og dekryptere de data, som transmitteres. Krypteringsnøgler er tilgængelige med to sikkerhedsniveauer 64-bit og 128-bit. Brug 128-bit nøgler til større sikkerhed.
En simpel måde at forbedre netværkssikkerheden på er at indstille dit netværksadgangspunkt til ikke at rundsende SSID'en (Service Set Identifier). SSID'en er nødvendig for at få adgang. Kun de computere, der kender SSID'en, kan få adgang til netværket. (Denne er ikke indstillet i adapteren ved hjælp af Intel(R) PROSet/Wireless WiFi Connection Utility, den er indstillet i adgangspunktet.)
IEEE 802.11 understøtter to typer metoder til netværksgodkendelse: Åbent system og delt nøgle.
WEP (Wired Equivalent Privacy) bruger kryptering til at forhindre uautoriseret modtagelse af trådløse data. WEP bruger en krypteringsnøgle til at kryptere data, før de overføres. Kun computere, der bruger den samme krypteringsnøgle, kan få adgang til netværket eller dekryptere de data, der er overført af andre computere. WEP-kryptering indeholder to sikkerhedsniveauer, der bruger en 64 bit-nøgle (omtales somme tider som 40 bit) eller en 128 bit-nøgle (omtales også som 104-bit). For at opnå bedre sikkerhed skal du bruge en 128 bit-nøgle. Hvis du bruger kryptering, skal alle trådløse enheder på dit trådløse netværk bruge de samme krypteringsnøgler.
Ved WEP-datakryptering kan en trådløs station konfigureres med op til fire nøgler (nøgleindeksværdierne er 1, 2, 3 og 4). Når et adgangspunkt eller en trådløs station transmitterer en krypteret meddelelse med en nøgle, der er lagret i et bestemt nøgleindeks, angiver den transmitterede meddelelse det nøgleindeks, der blev brugt til at kryptere meddelelseskroppen. Det modtagende adgangspunkt eller den modtagende trådløse station kan dernæst hente den nøgle, der er gemt i nøgleindekset, og bruge den til at afkode den krypterede meddelelseskrop
Da WEP-krypteringsalgoritmen er sårbar overfor netværksangreb, bør du overveje at bruge WPA-Personlig eller WPA2-Personlig sikkerhed.
WPA-Personlig tilstand er målrettet imod hjemmemiljøer og mindre virksomheder. WPA-Personlig kræver manuel konfiguration af en foruddelt nøgle (PSK) på adgangspunkt og klienter. Der er ikke behov for en godkendelsesserver. Den samme adgangskode, du angav for adgangspunktet, skal bruges på denne computer og til alle andre trådløse enheder, der har adgang til det trådløse netværk. Sikkerhed afhænger af styrken og hemmeligholdelsen af adgangskoden. Jo længere denne adgangskode er, jo mere sikkert er det trådløse netværk. Hvis det trådløse adgangspunkt eller routeren understøtter WPA-Personal og WPA2-Personal, skal du aktivere den i adgangspunktet og angive en lang stærk adgangskode. WPA-Personal gør TKIP- og AES-CCMP-datakrypteringsalgoritmerne tilgængelige.
WPA2-Personlig kræver manuel konfiguration af en pre-shared key (PSK) på adgangspunkt og klienter. Der er ikke behov for en godkendelsesserver. Den samme adgangskode, du angav for adgangspunktet, skal bruges på denne computer og til alle andre trådløse enheder, der har adgang til det trådløse netværk. Sikkerhed afhænger af styrken og hemmeligholdelsen af adgangskoden. Jo længere denne adgangskode er, jo mere sikkert er det trådløse netværk. WPA2 er en forbedring I forhold til WPA og implementerer den fulde IEEE 802.11i standard. WPA2 er bagud-kompatibel med WPA. WPA2-Personal gør TKIP- og AES-CCMP-datakrypteringsalgoritmerne tilgængelige.
BEMÆRK: WPA-Personlig og WPA2-Personlig kan bruges sammen.
I dette afsnit beskrives sikkerhed, som almindeligvis anvendes af store virksomheder.
Oversigt
Hvad er Radius?
Sådan fungerer 802.1X-godkendelse
802.1X-funktioner
802.1x-godkendelsen er uafhængig af 802.11-godkendelsesprocessen. 802.11.1-standarden indeholder en ramme for forskellige godkendelses- og nøgleadministrationsprotokoller. Der findes forskellige 802.1x-godkendelsestyper, der hver indeholder en forskellig fremgangsmåde til godkendelse, men de bruger alle den samme 802.11.1-protokol og ramme til kommunikation mellem en klient og et adgangspunkt. I de fleste protokoller vil klienten ved fuldførelse af 802.1Xx-godkendelsesprocessen modtage en nøgle, som den bruger til datakryptering. Se Sådan fungerer 802.1X-godkendelse for yderligere oplysninger. Med 802.1x-godkendelse bruges en godkendelsesmetode mellem klienten og en server for (f,eks. en Remote Authentication Dial-In User Service (RADIUS) server), der er tilsluttet til adgangspunktet. Godkendelsesprocessen bruger legitimationsoplysninger, f.eks. en bruger adgangskode, som ikke transmitteres over det trådløse netværk. De fleste 802.1x-typer understøtter dynamisk pr. bruger-, pr. session-nøgler til at styrke den nøglesikkerhed. 802.1x udnytter brugen af en eksisterende godkendelsesprotokol, der kaldes Extensible Authentication Protocol (EAP).
802.1x-godkendelsen af trådløse netværk består af tre hovedkomponenter:
802.1x-godkendelsessikkerhed starter en autorisationsanmodning fra den trådløse klient til adgangspunktet, der godkender klienten på en Extensible Authentication Protocol (EAP)-kompatibel RADIUS-server. Denne RADIUS-server kan enten godkende brugeren (med adgangskoder eller certifikater) eller systemet (med MAC-adresse). Teoretisk har den trådløse klient ikke lov til at tilslutte sig netværkene, før transaktionen er fuldført. (Ikke alle godkendelsesmetoder anvender en RADIUS server. WPA-Personlig og WPA2-Personlig bruger en almindelig adgangskode, som skal indtastes ved adgangspunktet og alle enheder, som anmoder om adgang til netværket).
Der findes flere godkendelsesalgoritmer, som anvendes sammen med 802.1X. Nogle eksempler er: EAP-TLS, EAP-TTLS, Protected EAP (PEAP) og EAP Cisco Wireless Light Extensible Authentication Protocol (LEAP). De er alle sammen metoder, som den trådløse klient bruger til at identificere sig selv på RADIUS-serveren. Med RADIUS-godkendelse kontrolleres brugeridentiteter i forhold til databaser. RADIUS består af et sæt standarder inden for Godkendelse, Autorisation og Redegørelse (AAA). RADIUS indeholder en proxy-proces til validering af klienter i et multiservermiljø. IEEE 802.1x-standarden er til kontrol og godkendelse af adgang til portbaserede 802.11 trådløse og kabelførte Ethernet-netværk. Portbaseret netværksadgangskontrol minder om en omskiftet LAN-infrastruktur, der godkender enheder, der er forbundet til en LAN-port og forhindrer adgang til den port, hvis godkendelsesprocessen fejler.
RADIUS er Remote Authentication Dial-In User Service, en autorisations-, godkendelses- og redegørelses (AAA)-klient-server-protokol, der bruges når en AAA-opkaldsklient logger på eller af en netværksadgangsserver. Typisk bruges en RADIUS-server af internetudbydere (Internet Service Providers (ISP)) til at udføre AAA-opgaver. AAA-faser beskrives som følger:
Det følgende er en forenklet beskrivelse af, hvordan 802.1X godkendelse fungerer.
De følgende godkendelsesmetoder understøttes af Windows XP:
Se Åben godkendelse.
Se Delt godkendelse.
Se WPA-Personlig.
Se WPA2-Personlig.
Koncernsikkerhedsgodkendelse er målrettet imod større virksomheds- og statslige miljøer. WPA Koncern verificerer netværksbrugere gennem en RADIUS eller anden godkendelsesserver. WPA anvender 128-bit krypteringsnøgler og dynamiske sessionnøgler til sikring af det trådløse netværks privatliv og koncernsikkerhed. Der vælges en godkendelsestype til at matche godkendelsesprotokollen på 802.1x-serveren.
WPA Koncern-godkendelse er målrettet imod større virksomheds- og statslige miljøer. WPA2 Koncern verificerer netværksbrugere gennem en RADIUS- eller anden godkendelsesserver. WPA2 anvender 128-bit krypteringsnøgler og dynamiske sessionnøgler til sikring af det trådløse netværks privatliv og koncernsikkerhed. Der vælges en godkendelsestype til at matche godkendelsesprotokollen på 802.1x-serveren. Koncernsikkerhed er målrettet imod større virksomheds- og statslige miljøer. WPA2 er en forbedring I forhold til WPA og implementerer den fulde IEEE 802.11i standard.
Avanceret krypteringsstandard - Counter CBC-MAC Protocol. Denne nye metode til privatlivsbeskyttelse af trådløse transmissioner, er angivet i standarden IEEE 802.11i. AES-CCMP er en stærkere krypteringsmetode end TKIP. Vælg AES-CCMP-datakrypteringsmetode, når høj databeskyttelse er vigtig. AES-CCMP er tilgængelig med WPA/WPA2-Personlig/Koncern netværksgodkendelse.
BEMÆRK: Visse sikkerhedsløsninger understøttes muligvis ikke af din computers operativsystem og kan kræve ekstra software og/eller bestemt hardware såvel som understøttelse af trådløs LAN-infrastruktur. Henvend dig til din computerproducent for at høre mere.
TKIP giver pr. pakke-nøgleblanding, en meddelelsesintegritetskontrol og en nøgleændringsmekanisme. TKIP er tilgængelig med WPA/WPA2-Personlig/Koncern netværksgodkendelse.
Se CKIP.
WEP (Wired Equivalent Privacy) bruger kryptering til at forhindre uautoriseret modtagelse af trådløse data. WEP bruger en krypteringsnøgle til at kryptere data, før de overføres. Kun computere, der bruger den samme krypteringsnøgle, kan få adgang til netværket eller dekryptere de data, der er overført af andre computere. Enterprise WEP er ikke præcis det samme som en personlig WEP, fordi du kan vælge Åben netværksgodkendelse og derefter klikke på Aktiver 802.1X og få mulighed for at vælge blandt alle klientgodkendelsestyper. Valget af godkendelsestyper er ikke tilgængelig under personlig WEP.
En type godkendelsesmetode, der bruger Extensible Authentication-protokollen (EAP) og en sikkerhedsprotokol, der kaldes Transport Layer Security (TLS). EAP-TLS bruger certifikater, der bruger adgangskoder. EAP-TLS-godkendelse understøtter dynamisk WEP-nøglestyring. TLS protokollen er beregnet til at sikre og godkende kommunikation via offentlige netværk ved anvendelse af datakryptering. TLS Handshake Protocol giver serveren og klienten mulighed for gensidig godkendelse og forhandling om en krypteringsalgoritme og krypteringsnøgler, før data sendes.
Disse indstillinger definerer protokollen og de legitimationsoplysninger, der bruges til at godkende en bruger. I TTLS bruger klienten EAP-TLS til at validere serveren og oprette en TLS-krypteret kanal mellem klient og server. Klienten kan anvende en anden godkendelsesprotokol. Normalt anvender adgangskodebaserede protokoller challenge over en ikke-udsat TLS-krypteret kanal. TTLS implementeringerne understøtter i øjeblikket alle de metoder, der fastlægges af EAP, såvel som flere ældre metoder (PAP, CHAP, MS-CHAP og MS-CHAPV2). TTLS kan nemt udvides til at fungere sammen med nye protokoller ved definition af nye egenskaber til understøttelse af nye protokoller.
PEAP er en ny Extensible Authentication Protocol (EAP) IEEE 802.1x-godkendelsestype, der er designet til at drage fordele af EAP-Transport Layer Security (EAP-TLS) på serversiden og til at understøtte forskellige godkendelsesmetoder, herunder brugers adgangskode og engangsadgangskoder og Generic Token Cards.
En version af Extensible Authentication Protocol (EAP). LEAP (Light Extensible Authentication Protocol) er en udvidbar godkendelsesprotokol, der er udviklet af Cisco, som indeholder en challenge-response-godkendelsesmekanisme og en dynamisk nøgletildeling.
Extensible Authentication Protocol Method for GSM Subscriber Identity (EAP-SIM) er en mekanisme til godkendelse og distribution af sessionsnøgler. Den anvender Global System for Mobile Communications (GSM) Subscriber Identity Module (SIM). EAP-SIM anvender en dynamisk, sessionsbaseret WEP-nøgle, der er udledt af klientadapteren og RADIUS-serveren, til kryptering af data. EAP-SIM kræver, at du indtaster en brugerverificeringskode, eller en PIN-kode, for kommunikation med Subscriber Identity Module (SIM)-kortet. Et SIM-kort er et specielt smart-kort, der bruges af GSM-baserede digitale mobilnetværk. RFC 4186 beskriver EAP-SIM.
EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) er en EAP-mekanisme til godkendelse og distribution af sessionsnøgle ved hjælp af Universal Mobile Telecommunications System (UMTS) Subscriber Identity Module (USIM). USIM-kortet er et specielt smart-kort, der anvendes i forbindelse med mobiltelefonnetværk til validering af en given bruger i netværket.
Password Authentication Protocol er en tovejs-handshakeprotokol, designet til brug med PPP. Password Authentication Protocol er en almindelig tekst-adgangskode, der anvendes på ældre SLIP-systemer. Den er ikke sikker. Kun tilgængelig for TTLS godkendelsestype.
Challenge Handshake Authentication Protocol er en trevejs-handshakeprotokol, der betragtes som værende mere sikker end PAP-godkendelsesprotokollen. Kun tilgængelig for TTLS godkendelsestype.
Anvender en Microsoft-version af RSA Message Digest 4 challenge-and-reply protokollen. Denne fungerer kun på Microsoft-systemer og muliggør datakryptering. Valg af denne godkendelsesmetode krypterer alle data. Kun tilgængelig for TTLS godkendelsestype.
Introducerer yderligere en funktion, der ikke findes i MS-CHAP-V1 eller standard-CHAP-godkendelse, funktionen til ændring af adgangskode. Denne funktion giver klienten mulighed for at ændre kontoadgangskode, hvis RADIUS-serveren rapporterer, at adgangskoden er udløbet. Tilgængelig for TTLS og PEAP godkendelsestyper.
Fører brugerspecifikke tokencards til godkendelse. Hovedfunktionen i GTC er Digital Certificate/Token Card-baseret godkendelse. Derudover inkluderer GTC muligheden for at skjule brugernavnsidentiteter, til TLS-krypteret tunnel er oprettet, hvilket yder ekstra fortrolighed for, at brugernavne ikke rundsendes i godkendelsesfasen. Kun tilgængelig for PEAP godkendelsestype.
TLS protokollen er beregnet til at sikre og godkende kommunikation via offentlige netværk ved anvendelse af datakryptering. TLS Handshake Protocol giver serveren og klienten mulighed for gensidig godkendelse og forhandling om en krypteringsalgoritme og krypteringsnøgler, før data sendes. Kun tilgængelig for PEAP godkendelsestype.
Cisco LEAP (Cisco Light EAP) er en server- og klient 802.1X-godkendelse via en brugerangivet adgangskode. Når et trådløst adgangspunkt kommunikerer med en Cisco LEAP-aktiveret RADIUS (Cisco Secure Access Control Server [ACS]), indeholder Cisco LEAP adgangskontrol via fælles godkendelse mellem klientens trådløse adaptere og de trådløse netværk og indeholder dynamiske, individuelle brugerkrypteringsnøgler til hjælp til beskyttelse af det private i transmitterede data.
Cisco Rogue AP-funktionen indeholder sikkerhedsbeskyttelse fra rogue-adgangspunktet, der kunne efterligne et lovligt adgangspunkt på et netværk for at trække oplysninger om brugerlegitimationsoplysninger og godkendelsesprotokoller ud, der kunne sætte sikkerheden i fare. Denne funktion fungerer kun med Ciscos LEAP-godkendelse. Standard 802.11-teknologi beskytter ikke et netværk med introduktion af et rogue-adgangspunkt. Se LEAP-godkendelse for yderligere oplysninger.
Nogle adgangspunkter, f.eks. Cisco 350 eller Cisco 1200, understøtter miljøer, hvor ikke alle klientstationer understøtter WEP-kryptering, og dette kaldes blandet celle-tilstand. Når disse trådløse netværk arbejder i en "valgfri krypteringstilstand", vil klientstationer, som tilmelder sig i WEP-tilstand, sende alle meddelelser krypteret, og stationer, som tilmelder sig i standardtilstand, vil sende alle meddelelser ikke-krypterede. Disse adgangspunkter rundsender, at netværket ikke anvender kryptering, men tillader, at klienterne tilmelder sig i WEP-tilstand. Når "Blandet celle" er aktiveret i en profil, har du mulighed for at tilslutte dig adgangspunkter, som er konfigureret til "valgfri kryptering".
Cisco Key Integrity Protocol (CKIP) er Ciscos egen sikkerhedsprotokol til kryptering i 802.11-medier. CKIP bruger følgende funktioner til at forbedre 802.11-sikkerhed i infrastrukturtilstand:
BEMÆRK: CKIP er ikke tilgængelig med WPA/WPA2 Personlig/Koncern netværksgodkendelse.
BEMÆRK: CKIP understøttes kun via brug af WiFi tilslutningsværktøjet under Windows XP.
Når et trådløst LAN er konfigureret til hurtig gentilslutning, kan en LEAP-aktiveret klientenhed "roame" fra at adgangspunkt til et andet uden at involvere hovedserveren. Ved hjælp af Cisco Centralized Key Management (CCKM) erstatter et adgangspunkt, der er konfigureret til at yde Wireless Domain Services (WDS), RADIUS-serveren og godkender klienten uden mærkbar forsinkelse under tale eller andre tidskritiske anvendelser.
Nogle adgangspunkter, f.eks. Cisco 350 eller Cisco 1200, understøtter miljøer, hvor ikke alle klientstationer understøtter WEP-kryptering, og dette kaldes blandet celle-tilstand. Når disse trådløse netværk arbejder i en "valgfri krypteringstilstand", vil klientstationer, som tilmelder sig i WEP-tilstand, sende alle meddelelser krypteret, og stationer, som tilmelder sig i standardtilstand, vil sende alle meddelelser ikke-krypterede. Disse adgangspunkter rundsender, at netværket ikke anvender kryptering, men tillader, at klienterne tilmelder sig i WEP-tilstand. Når Blandet celle er aktiveret i en profil, har du mulighed for at tilslutte dig adgangspunkter, som er konfigureret til "valgfri kryptering".
Når denne funktion er aktiveret, giver din trådløse adapter Cisco infrastrukturen Radio styringsoplysninger. Hvis værktøjet Cisco Radiostyring bruges i infrastrukturen, konfigurerer det radioparametre, registrerer interferens og Rogue-adgangspunkter.
EAP-FAST bruger som EAP-TTLS og PEAP tunneller til at beskytte trafikken. Hovedforskellen er, at EAP-FAST ikke bruger certifikater til godkendelse. Levering i EAP-FAST forhandles udelukkende med klienten som den første kommunikationsudveksling, når serveren anmoder om EAP-FAST. Hvis klienten ikke har en foruddelt hemmelig PAC (Protected Access Credential), kan den starte tildeling af EAP-FAST for dynamisk at modtage en fra serveren.
EAP-FAST definerer to metoder til tildeling af PAC'en: manuel levering via en sikkerhedsmekanisme uden for båndet og automatisk tildeling.
EAP-FAST-metoden opdeles i to dele: tildeling og godkendelse. Leveringsfasen omfatter den første levering af PAC'en til klienten. Denne fase behøver kun at blive udført én gang pr. klient og bruger.