Tato část popisuje různé metody zabezpečení používané k ochraně WiFi sítí.
Ověřování 802.1X (podnikové zabezpečení)
Pokud je bezdrátová síť ponechána bez ochrany, hrozí, že k ní budou moci neoprávněně přistupovat jiné počítače. Pomocí metod zabezpečení, které jsou popsány v této části, lze domácí a malou podnikovou síť snadno chránit před téměř všemi formami neoprávněného přístupu.
Ověřování je proces identifikace a schválení požadavku klienta (obvykle přenosného počítače) na přístup k síti prostřednictvím síťového přístupového bodu. Po dokončení ověřování a udělení přístupu má klient přístup k síti.
Můžete vybrat šifrovací algoritmy, kterými jsou šifrovány informace a data přenášená bezdrátovou sítí. Šifrovat a dešifrovat přenášená data mohou jen počítače, které mají k dispozici předsdílený klíč. Šifrovací klíče mohou mít dvě úrovně zabezpečení, 64bitové nebo 128bitové. 128bitové klíče poskytují vyšší zabezpečení.
Jednoduchým způsobem, jak zvýšit zabezpečení sítě, je zakázat vysílání názvu SSID (Service Set Identifier) na síťovém přístupovém bodu. Název SSID je vyžadován k získání přístupu. K síti mohou přistupovat jen počítače, které znají název SSID. (Název SSID se nenastavuje na adaptéru pomocí Nástroje pro připojení Intel® PROSet/Wireless WiFi, nastavuje se na přístupovém bodu.)
Ověřování IEEE 802.11 podporuje dva typy metod ověřování v síti: otevřený systém a sdílený klíč.
Metoda WEP (Wired Equivalent Privacy) používá šifrování, kterým zabraňuje neoprávněnému přijímání bezdrátových dat. Metoda WEP používá šifrovací klíč k zašifrování dat před jejich odesláním. Přistupovat k síti a dešifrovat data odeslaná jinými počítači mohou jen počítače, které používají stejný šifrovací klíč. Šifrování WEP poskytuje dvě úrovně zabezpečení, a to pomocí 64bitového klíče (rovněž označován jako 40bitový) nebo 128bitového klíče (rovněž označován jako 104bitový). K zajištění vyššího zabezpečení je vhodné používat 128bitový klíč. Pokud použijete šifrování, všechna bezdrátová zařízení v bezdrátové síti musí používat stejné nastavení šifrování.
Při použití šifrování dat WEP lze pro bezdrátovou stanici standardu nakonfigurovat až čtyři klíče (hodnoty indexu klíče jsou 1, 2, 3 a 4). Jestliže přístupový bod (AP) nebo bezdrátová stanice odesílá zprávu, která byla zašifrována pomocí klíče uloženého v konkrétním indexu, obsahuje odesílaná zpráva informaci o indexu klíče, který byl použit k zašifrování. Příjemce (přístupový bod nebo bezdrátová stanice) může načíst uložený klíč z indexu a použít jej k dekódování zašifrované zprávy.
Vzhledem k tomu, že šifrovací algoritmus WEP je zranitelný vůči síťovým útokům, je vhodnější používat zabezpečení WPA-osobní nebo WPA2-osobní.
Režim WPA-osobní je určen pro domácí a malé podnikové prostředí. Režim WPA-osobní vyžaduje ruční konfiguraci předsdíleného klíče (PSK) na přístupovém bodu a klientech. Ověřovací server není vyžadován. Stejné heslo, které zadáte na přístupovém bodu, musíte použít v tomto počítači a ve všech ostatních bezdrátových zařízeních, která přistupují k bezdrátové síti. Zabezpečení závisí na síle a utajení hesla. Dlouhé heslo poskytuje silnější zabezpečení sítě než krátké heslo. Pokud bezdrátový přístupový bod nebo směrovač podporuje šifrování WPA – osobní a WPA2 – osobní, je třeba jej povolit na přístupovém bodu a zadat dlouhé a bezpečné heslo. Metoda WPA-osobní zpřístupňuje algoritmy šifrování dat TKIP a AES-CCMP.
Režim WPA2-osobní vyžaduje ruční konfiguraci předsdíleného klíče (PSK) na přístupovém bodu a klientech. Ověřovací server není vyžadován. Stejné heslo, které zadáte na přístupovém bodu, musíte použít v tomto počítači a ve všech ostatních bezdrátových zařízeních, která přistupují k bezdrátové síti. Zabezpečení závisí na síle a utajení hesla. Dlouhé heslo poskytuje silnější zabezpečení sítě než krátké heslo. Metoda WPA2 je vylepšením metody WPA a implementuje úplný standard IEEE 802.11i. Metoda WPA2 je zpětně kompatibilní s metodou WPA. Metoda WPA2-osobní zpřístupňuje algoritmy šifrování dat TKIP a AES-CCMP.
POZNÁMKA: Šifrování WPA – osobní a WPA2 – osobní mohou vzájemně spolupracovat.
Tato část popisuje zabezpečení, které je obvykle používáno ve větších společnostech.
Přehled
Co je RADIUS?
Jak funguje ověřování 802.1X
Funkce ověřování 802.1X
Ověřování 802.1X závisí na ověřovacím procesu 802.11. Standard 802.11 poskytuje rámec pro různé ověřovací protokoly a protokoly správy klíčů. Existují různé druhy ověřování 802.1X, z nichž každý poskytuje jiný přístup k ověřování, ale všechny používají ke komunikaci mezi klientem a přístupovým bodem stejný protokol a rámec 802.11. Ve většině protokolů po ukončení ověřovacího procesu 802.1X dostane klient klíč, který používá k šifrování dat. Další informace najdete v části Jak funguje ověřování 802.1X. Při ověřování 802.1X se ověřovací metoda používá mezi klientem a serverem (například serverem RADIUS – Remote Authentication Dial-In User Service), který je připojen k přístupovému bodu. V procesu ověřování jsou používány informace, jako například heslo uživatele, které nejsou přenášeny po celé bezdrátové síti. Většina druhů ověřování 802.1X podporuje dynamické klíče pro jednoho uživatele a jednu relaci ke zvýšení bezpečnosti klíče. Ověřování 802.1X používá stávající ověřovací protokol EAP (Extensible Authentication Protocol).
Ověřování 802.1X pro bezdrátové sítě má tři hlavní součásti:
Ověřování 802.1X inicializuje autorizační požadavek od klienta o schválení přístupu na přístupový bod, který ověří totožnost klienta na serveru RADIUS kompatibilním s protokolem EAP (Extensible Authentication Protocol). Tento server RADIUS může ověřit buď uživatele (prostřednictvím hesel nebo certifikátů), nebo systém (podle adresy MAC). Teoreticky není bezdrátovému klientu povolen přístup na síť před ukončením transakce. (Ne všechny metody ověřování používají server RADIUS. Metody WPA-osobní a WPA2-osobní používají společné heslo, které je nutné zadat na přístupovém bodu a na všech zařízeních, která žádají o přístup k síti.)
Existuje řada ověřovacích algoritmů používaných pro ověřování 802.1X. Mezi některé příklady patří: EAP-TLS, EAP-TTLS, PEAP (Protected EAP ) a LEAP (EAP Cisco Wireless Light Extensible Authentication Protocol). Jedná se o metody, jakými se klient identifikuje serveru RADIUS. Ověřovací server RADIUS prověřuje identitu uživatelů v databázích. Ověřování RADIUS představuje sadu standardů týkajících se ověření, schválení a evidence (AAA – Authentication, Authorization and Accounting). Server RADIUS obsahuje proces proxy k ověřování klientů v prostředí několika serverů. Standard IEEE 802.1X poskytuje mechanismus k řízení a ověřování přístupu k bezdrátovým a kabelovým sítím Ethernet 802.11 založeným na portech. Kontrola přístupu k síti založené na portech je podobná jako u infrastruktury přepínané sítě LAN, která ověřuje přístroje připojené na port LAN a brání přístupu k tomuto portu v případě selhání procesu ověřování.
RADIUS (Remote Authentication Dial-In User Service) je protokol klient-server pro ověřování, schvalování a evidenci (Authorization, Authentication, Accounting – AAA) používaný při přihlášení klienta AAA na síťový přístupový server a jeho odhlášení z tohoto serveru. Obvykle servery RADIUS používají poskytovatelé Internetu k provádění úkolů AAA. Níže uvádíme popis fází AAA:
Následuje zjednodušený popis principu ověřování 802.1X.
V systému Windows* XP jsou podporovány následující metody ověřování:
Viz Otevřené ověřování.
Viz Sdílené ověřování.
Viz WPA-osobní.
Viz WPA2-osobní.
Podnikový režim ověřování je určen pro podniková a vládní prostředí. V režimu WPA-podniky jsou uživatelé sítě ověřováni prostřednictvím serveru RADIUS nebo jiného ověřovacího serveru. Ověřování WPA používá 128bitové šifrovací klíče a dynamické klíče relací k zajištění ochrany důvěrných informací v bezdrátové síti a zabezpečení podniku. Je vybrán typ ověřování, který odpovídá ověřovacímu protokolu serveru 802.1X.
Ověřování WPA-podniky je určeno pro podniková a vládní prostředí. V režimu WPA2-podniky jsou uživatelé sítě ověřováni prostřednictvím serveru RADIUS nebo jiného ověřovacího serveru. Ověřování WPA2 používá 128bitové šifrovací klíče a dynamické klíče relací k zajištění ochrany důvěrných informací v bezdrátové síti a zabezpečení podniku. Je vybrán typ ověřování, který odpovídá ověřovacímu protokolu serveru 802.1X. Podnikový režim je určen pro podniková a vládní prostředí. Metoda WPA2 je vylepšením metody WPA a implementuje úplný standard IEEE 802.11i.
Advanced Encryption Standard - Counter CBC-MAC Protocol. Nová metoda ochrany důvěrných informací při bezdrátovém přenosu specifikovaná standardem IEEE 802.11i. Protokol AES-CCMP poskytuje silnější metodu šifrování než protokol TKIP. Metodu ochrany dat AES-CCMP zvolte vždy, když je zapotřebí silná ochrana dat. Šifrování AES-CCMP je k dispozici s ověřováním v síti WPA/WPA2 osobní/podniky.
POZNÁMKA: Některá řešení zabezpečení nemusí být podporována konkrétními operačními systémy a pravděpodobně bude zapotřebí dodatečný software nebo hardware a také podpora bezdrátové síťové infrastruktury. Podrobné informace získáte od výrobce počítače.
Protokol TKIP (Temporal Key Integrity Protocol) poskytuje kombinování klíčů v paketech, kontrolu integrity zpráv (MIC) a mechanismus vystavování nových klíčů. Šifrování TKIP je k dispozici s ověřováním v síti WPA/WPA2 osobní/podniky.
Viz CKIP.
Metoda WEP (Wired Equivalent Privacy) používá šifrování, kterým zabraňuje neoprávněnému přijímání bezdrátových dat. Metoda WEP používá šifrovací klíč k zašifrování dat před jejich odesláním. Přistupovat k síti a dešifrovat data odeslaná jinými počítači mohou jen počítače, které používají stejný šifrovací klíč. Podniková metoda WEP se liší od osobní metody WEP, protože lze vybrat Otevřené ověřování v síti a potom klepnout na položku Povolit 802.1X a zvolit ze všech typů ověřování klienta. Osobní metoda WEP neumožňuje výběr typu ověřování.
Metoda ověřování, která využívá protokol EAP (Extensible Authentication Protocol) a bezpečnostní protokol TLS (Transport Layer Security). Metoda EAP-TLS používá certifikáty, které používají hesla. Ověřování EAP-TLS podporuje dynamickou správu klíčů WEP. Protokol TLS je určen pro zabezpečení a ověření komunikace ve veřejné síti prostřednictvím šifrování dat. Signalizační protokol TLS umožňuje serveru a klientovi, aby se vzájemně ověřili a dohodli algoritmus šifrování a kryptografické klíče ještě před přenášením dat.
Tato nastavení definují protokol a identifikační informace použité k ověření uživatele. V ověřování TTLS (Tunneled Transport Layer Security) používá klient metodu EAP-TLS k ověření serveru a vytvoření kanálu šifrovaného protokolem TLS mezi klientem a serverem. Klient může použít jiný ověřovací protokol. Protokoly založené na heslu typicky ověřují prostřednictvím neveřejného šifrovacího kanálu TLS. Současné implementace ověřování TTLS podporují všechny metody definované protokolem EAP a také řadu dalších starších metod (PAP, CHAP, MS-CHAP a MS-CHAP-V2). Ověřování TTLS lze snadno rozšířit pro spolupráci s novými protokoly definováním atributů, které tyto nové protokoly podporují.
Protokol PEAP je nový druh ověřování EAP (Extensible Authentication Protocol) IEEE 802.1X navržený tak, aby využíval zabezpečení EAP-TLS (EAP-Transport Layer Security) na straně serveru a podporoval různé ověřovací metody včetně uživatelských hesel, jednorázových hesel a karet Generic Token Cards.
Verze protokolu EAP (Extensible Authentication Protocol). Protokol LEAP (Light Extensible Authentication Protocol) je proprietární rozšiřitelný ověřovací protokol vyvinutý společností Cisco, který poskytuje ověřovací mechanismus založený na dotazu a odpovědi a dynamické přiřazování klíčů.
Protokol EAP-SIM (Extensible Authentication Protocol Method for GSM Subscriber Identity) je mechanismus ověřování a distribuce klíče relace. Používá modul SIM (Subscriber Identity Module) systému GSM (Global System for Mobile Communications). Ověřování EAP-SIM používá k šifrování dat dynamický relační klíč WEP, který je odvozen od klientského adaptéru a serveru RADIUS. Šifrování EAP-SIM vyžaduje ke komunikaci s kartou SIM (Subscriber Identity Module) zadání kódu ověření uživatele (PIN). Karta SIM je speciální karta Smart používaná digitálními mobilními sítěmi standardu GSM (Global System for Mobile Communications). Protokol EAP-SIM je popsán v dokumentu RFC 4186.
EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) je mechanismus EAP pro ověřování a distribuci klíče relace, který používá kartu USIM (Subscriber Identity Module) systému UMTS (Universal Mobile Telecommunications System). Karta USIM je speciální karta Smart používaná mobilními sítěmi k ověření daného uživatele v síti.
Password Authentication Protocol – dvoucestný signalizační protokol navržený k použití s protokolem PPP. Protokol PAP využívá prosté textové heslo používané ve starších systémech SLIP. Tento protokol není zabezpečený. Je k dispozici jen pro typ ověřování TTLS.
Protokol CHAP (Challenge Handshake Authentication Protocol) je třícestný signalizační protokol, který je považován za bezpečnější než protokol PAP. Je k dispozici jen pro typ ověřování TTLS.
Využívá protokol RSA Message Digest 4 Challenge-and-Reply ve verzi společnosti Microsoft. Tato metoda funguje jen v systémech Microsoft a umožňuje šifrování dat. Při výběru této metody ověřování budou všechna data šifrována. Je k dispozici jen pro typ ověřování TTLS.
Zavádí další funkci, která není k dispozici v protokolu MS-CHAP-V1 nebo při standardním ověřování CHAP – funkci změny hesla. Tato funkce umožňuje klientovi změnit heslo účtu, pokud server RADIUS oznámí, že platnost hesla vypršela. Je k dispozici pro typy ověřování TTLS a PEAP.
Přenáší uživatelské karty tokenu určené k ověřování. Hlavní funkcí protokolu GTC je ověřování založené na digitálním certifikátu/kartě tokenu. Protokol GTC také umožňuje skrýt identifikační uživatelské jméno, dokud není vytvořen šifrovaný tunel TLS. Tím je dále zvýšena ochrana důvěrných údajů, protože uživatelská jména nejsou všesměrově vysílána během fáze ověřování. Je k dispozici jen pro typ ověřování PEAP.
Protokol TLS je určen pro zabezpečení a ověření komunikace ve veřejné síti prostřednictvím šifrování dat. Signalizační protokol TLS umožňuje serveru a klientovi, aby se vzájemně ověřili a dohodli algoritmus šifrování a kryptografické klíče ještě před přenášením dat. Je k dispozici jen pro typ ověřování PEAP.
Cisco LEAP (Cisco Light EAP) je ověření server-klient 802.1X prostřednictvím přihlašovacího hesla předloženého uživatelem. Při komunikaci mezi bezdrátovým přístupovým bodem a serverem RADIUS se zapnutým protokolem Cisco LEAP (Cisco Secure Access Control Server [ACS] server) protokol Cisco LEAP poskytuje kontrolu přístupu prostřednictvím vzájemného ověřování mezi klientskými bezdrátovými adaptery a bezdrátovými sítěmi a poskytuje dynamické šifrovací klíče pro jednotlivé uživatele ke zlepšení ochrany přenášených dat.
Funkce Zabezpečení nebezpečného přístupového bodu Cisco poskytuje ochranu před zavedením nebezpečného přístupového bodu, který by napodoboval legitimní přístupový bod v síti a získával informace o uživatelských pověřeních a ověřovacích protokolech, které by mohly ohrozit zabezpečení. Tato funkce funguje pouze s ověřováním Cisco LEAP. Standardní technologie 802.11 nechrání síť před zřízením nebezpečného přístupového bodu. Další informace najdete v části Ověřování LEAP.
Některé přístupové body, například Cisco 350 nebo Cisco 1200, podporují prostředí, v nichž ne všechny klientské stanice podporují šifrování WEP; tento režim se nazývá režim smíšených buněk. Jestliže tyto bezdrátové sítě pracují v režimu „volitelného šifrování“, klientské stanice, které se připojí do režimu WEP, posílají všechny zprávy šifrované a stanice, které se připojí ve standardním režimu, posílají všechny zprávy nezašifrované. Tyto přístupové body vysílají informaci, že síť nepoužívá šifrování, ale umožňují klientům používat režim WEP. Je-li v profilu povolen režim „smíšených buněk“, dovoluje připojení k přístupovým bodům, které jsou nakonfigurovány na „volitelné šifrování“.
Protokol CKIP (Cisco Key Integrity Protocol) je bezpečnostní protokol pro šifrování v médiích 802.11 vlastněný společností Cisco. Protokol CKIP používá ke zlepšení zabezpečení 802.11 v režimu Infrastruktura tyto funkce:
POZNÁMKA: Protokol CKIP se nepoužívá s ověřováním v síti WPA/WPA2 osobní/podniky.
POZNÁMKA: Protokol CKIP je v systému Windows* XP podporován jen prostřednictvím nástroje pro připojení WiFi.
Pokud je bezdrátová síť LAN nakonfigurována na rychlé opakované připojování, může klientské zařízení s povoleným ověřováním LEAP provádět roaming z jednoho přístupového bodu na druhý bez hlavního serveru. V případě použití centralizované správy klíčů CCKM (Cisco Centralized Key Management) přístupový bod nakonfigurovaný pro poskytování služeb WDS (Wireless Domain Services) nahrazuje server RADIUS a ověřuje klienta bez zpoždění v hlasových nebo jiných aplikacích s časovým počitadlem.
Je-li tato funkce povolena, bezdrátový adaptér poskytuje infrastruktuře Cisco informace pro správu bezdrátové komunikace. Pokud se v infrastruktuře používá nástroj Cisco Radio Management, konfiguruje parametry bezdrátové komunikace, zjišťuje rušení a nebezpečné přístupové body.
Protokol EAP-FAST, podobně jako protokoly EAP-TTLS a PEAP, chrání provoz tunelovým propojením. Hlavním rozdílem je, že protokol EAP-FAST nepoužívá k ověřování certifikáty. Zjišťování v protokolu EAP-FAST je vyjednáváno výhradně klientem, protože první výměna komunikace při požadavku na protokol EAP-FAST je požadována serverem. Pokud klient nemá předsdílené pověření pro zabezpečený přístup (PAC), může požádat o zahájení zjišťovací výměny EAP-FAST za účelem dynamického získání pověření ze serveru.
Protokol EAP-FAST dokumentuje dva způsoby doručení pověření PAC: ruční doručení prostřednictvím zabezpečeného mechanismu mimo pásmo a automatické zajišťování.
Metoda EAP-FAST je rozdělena na dvě části: zajišťování a ověřování. Fáze zajišťování zahrnuje výchozí doručení pověření PAC klientovi. Tuto fázi je třeba provést u každého klienta a uživatele pouze jednou.