Sicherheit - Überblick

In diesem Abschnitt werden die verschiedenen Sicherheitsmethoden beschrieben, die zum Schutz von WiFi-Netzwerken eingesetzt werden können.

• Authentifizierung anhand offener und freigegebener Schlüssel
• WEP-Verschlüsselung
• WPA - Persönlich
• WPA2 - Persönlich

802.1X-Authentifizierung (Unternehmenssicherheit)

• Überblick
• Was ist RADIUS?
• Die 802.1X-Authentifizierung
• 802.1X-Funktionen

Typen der Netzwerkauthentifizierung

• Offen
• Freigegeben
• WPA - Persönlich
• WPA2 - Persönlich
• WPA - Unternehmen
• WPA2 - Unternehmen

Typen der Datenverschlüsselung

• AES-CCMP
• TKIP
• CKIP

Typen der Netzwerkauthentifizierung

• TLS
• TTLS
• PEAP
• LEAP
• EAP-SIM
• EAP-FAST
• EAP-AKA

Authentifizierungsprotokolle

• PAP
• CHAP
• MS-CHAP
• MS-CHAP-V2
• GTC
• TLS

Cisco-Funktionen

• Cisco LEAP
• Cisco Rogue-Zugriffspunkt-Sicherheitsfunktion
• 802.11b- und 802.11g-Schutzprotokoll für gemischte Umgebung
• CKIP
• Fast Roaming (CCKM)
• Sender-Verwaltungsunterstützung

Authentifizierung anhand offener und freigegebener Schlüssel

IEEE 802.11 unterstützt zwei Netzwerkauthentifizierungsmethoden: das offene System und den freigegebenen Schlüssel.

• Bei der offenen Authentifizierung können alle drahtlosen Stationen die Authentifizierung anfordern. Die Station, die von einer anderen drahtlosen Station authentifiziert werden muss, sendet eine Authentifizierungsanforderung mit der Identität der sendenden Station an die authentifizierende Station. Die empfangende Station oder der Zugriffspunkt gewährt alle Authentifizierungsanforderungen. Eine offene Authentifizierung ermöglicht jedem Gerät den Zugriff auf das Netzwerk. Wenn keine Verschlüsselung im Netzwerk aktiviert ist, kann sich jedes Gerät, das die SSID des Zugriffspunkts kennt, Zugriff auf das Netzwerk verschaffen.
• Bei der Authentifizierung anhand eines freigegebenen Schlüssels wird davon ausgegangen, dass jede drahtlose Station einen freigegebenen Geheimschlüssel über einen sicheren, vom Kommunikationskanal des drahtlosen 802.11-Netzwerks unabhängigen Kanal empfangen hat. Dieser Geheimschlüssel kann über eine verkabelte Ethernetverbindung oder direkt auf einem USB-Speicherstick oder einer CD weitergegeben werden. Für die Authentifizierung mit freigegebenem Schlüssel muss der Client einen statischen WEP-Schlüssel konfigurieren. Client-Zugriff wird nur erteilt, wenn die auf Herausforderung basierende Authentifizierung erfolgreich beantwortet wird.

WEP

WEP (Wired Equivalent Privacy, kabelvergleichbare Sicherheit) verwendet Verschlüsselung, um den unbefugten Empfang drahtlos übertragener Daten zu verhindern. WEP verschlüsselt die Daten vor ihrer Übertragung mit einem Chiffrierschlüssel. Nur Computer, die denselben Chiffrierschlüssel verwenden, können auf das Netzwerk zugreifen und die von anderen Computern übertragenen Daten entschlüsseln. Die WEP-Verschlüsselung ermöglicht zwei Sicherheitsstufen mit einem 64-Bit-Schlüssel (mitunter auch als 40-Bit bezeichnet) und einem 128-Bit-Schlüssel (mitunter auch als 104-Bit bezeichnet). Für erhöhte Sicherheit sollten Sie einen 128-Bit-Schlüssel verwenden. Wenn Sie die Verschlüsselung verwenden, müssen alle drahtlosen Geräte auf Ihrem drahtlosen Netzwerk dieselben Chiffrierschlüssel verwenden.

Mit WEP-Datenverschlüsselung kann eine drahtlose Station mit bis zu vier Schlüsseln (mit den Schlüsselindexwerten 1, 2, 3 und 4) konfiguriert werden. Bei Übertragung einer verschlüsselten Nachricht über einen Zugriffspunkt oder eine drahtlose Station unter Verwendung eines Schlüssels, der in einem bestimmten Schlüsselindex gespeichert wird, zeigt die übertragene Nachricht den Index des Schlüssels an, der zur Verschlüsselung des Nachrichtentextes verwendet wurde. Der empfangende Zugriffspunkt oder die drahtlose Station kann dann diesen im Schlüsselindex gespeicherten Schlüssel abrufen und ihn zur Entschlüsselung des Nachrichtentextes verwenden.

Da der WEP-Verschlüsselungsalgorithmus verletzlich gegen Netzwerkangriffe ist, sollten Sie die Verwendung der WPA-Personal- oder WPA2-Personal-Sicherheit in Erwägung ziehen.

WPA - Persönlich

Der WPA - Persönlich-Modus ist für Heim- und Kleinunternehmensumgebungen gedacht. WPA - Persönlich erfordert die manuelle Konfiguration eines vorab freigegebenen Schlüssels (PSK) am Zugriffspunkt und auf Clients. Es wird kein Authentifizierungsserver benötigt. Dasselbe Kennwort, das am Zugriffspunkt eingegeben wird, muss auf diesem Computer und allen anderen drahtlosen Geräten, die auf das drahtlose Netzwerk zugreifen, verwendet werden. Die Sicherheit hängt von der Komplexität und Geheimhaltung des Kennworts ab. Ein langes Kennwort bietet mehr Netzwerksicherheit als ein kurzes Kennwort. Wenn Ihr Wireless-Zugriffspunkt oder Router "WPA - Persönlich" und "WPA2 - Persönlich" unterstützt, sollten Sie dies auf dem Zugriffspunkt aktivieren und ein langes, komplexes Kennwort festlegen. WPA - Persönlich verwendet die TKIP- und AES-CCMP-Verschlüsselungsalgorithmen.

WPA2 - Persönlich

WPA2 - Persönlich erfordert die manuelle Konfiguration eines vorab freigegebenen Schlüssels (PSK) am Zugriffspunkt und auf Clients. Es wird kein Authentifizierungsserver benötigt. Dasselbe Kennwort, das am Zugriffspunkt eingegeben wird, muss auf diesem Computer und allen anderen drahtlosen Geräten, die auf das drahtlose Netzwerk zugreifen, verwendet werden. Die Sicherheit hängt von der Komplexität und Geheimhaltung des Kennworts ab. Ein langes Kennwort bietet mehr Netzwerksicherheit als ein kurzes Kennwort. WPA2 verbessert die WPA-Verschlüsselung und implementiert den IEEE 802.11i-Standard vollständig. WPA2 ist rückwärts kompatibel mit WPA. WPA2 - Persönlich verwendet die TKIP- und AES-CCMP-Verschlüsselungsalgorithmen.

802.1X-Authentifizierung (Unternehmenssicherheit)

Dieser Abschnitt beschreibt die im Allgemeinen von größeren Unternehmen verwendeten Sicherheitsvorkehrungen.

Überblick
Was ist RADIUS?
Die 802.1X-Authentifizierung
802.1X-Funktionen

Überblick

Die 802.1X-Authentifizierung erfolgt unabhängig vom 802.11-Authentifizierungsvorgang. Der 802.11-Standard stellt eine Grundstruktur für verschiedene Authentifizierungs- und Schlüsselverwaltungsprotokolle dar. Es gibt verschiedene 802.1X-Authentifizierungstypen, die zwar unterschiedliche Authentifizierungsansätze verwenden, sich jedoch alle desselben 802.11-Protokolls und Kommunikationssystems zwischen Client und Zugriffspunkt bedienen. Bei den meisten Protokollen erhält der anfragende Teilnehmer nach erfolgter 802.1X-Authentifizierung einen Schlüssel zum Einsatz in der Datenverschlüsselung. Weitere Informationen dazu finden Sie unter Die 802.1X-Authentifizierung. Bei der 802.1X-Authentifizierung wird zwischen dem Client und einem Server (z. B. einem RADIUS-Server) in Verbindung mit einem Zugriffspunkt eine Authentifizierungsmethode verwendet. Der Authentifizierungsprozess verwendet Anmeldeinformationen wie z. B. das Benutzerkennwort, die über das drahtlose Netzwerk nicht übertragen werden. Die meisten 802.1X-Typen unterstützen dynamische benutzer- und sitzungsspezifische Schlüssel zur Erhöhung der Schlüsselsicherheit. Die 802.1X-Verschlüsselung bedient sich dabei der Vorteile eines vorhandenen Authentifizierungsprotokolls, das als EAP (Extensible Authentication Protocol oder erweiterbares Authentifizierungsprotokoll) bezeichnet wird.

Die 802.1X-Authentifizierung für drahtlose Netzwerke besteht aus drei Hauptkomponenten:

• Der authentifizierende Teilnehmer (der Zugriffspunkt)
• Der anfragende Teilnehmer (die Client-Software)
• Der Authentifizierungsserver

Die 802.1X-Authentifizierungssicherheit initiiert eine Authentifizierungsanfrage vom drahtlosen Client an den Zugriffspunkt, wodurch der Client für einen EAP-fähigen (Extensible Authentication Protocol - erweiterbares Authentifizierungsprotokoll) RADIUS-Server authentifiziert wird. Der RADIUS-Server kann entweder den Anwender (über Kennworte oder Zertifikate) oder das System (über die MAC-Adresse) authentifizieren. Theoretisch ist es dem drahtlosen Client nicht gestattet, eine Verbindung zu den Netzwerken herzustellen, solange die Transaktion nicht abgeschlossen ist. (Nicht alle Authentifizierungsmethoden verwenden einen RADIUS-AAA-Server. WPA - Persönlich und WPA2 - Persönlich verwenden ein gemeinsames Kennwort, das im Zugriffspunkt und allen auf des Netzwerk zugreifenden Geräten eingegeben werden muss.)

Für 802.1X werden verschiedene Authentifizierungsalgorithmen verwendet. Hier einige Beispiele: EAP-TLS, EAP-TTLS, PEAP (Protected EAP oder geschütztes EAP) und EAP Cisco Wireless Light Extensible Authentication Protocol (LEAP). Der drahtlose Client identifiziert sich über eine dieser Methoden auf dem RADIUS-Server. Wenn die RADIUS-Authentifizierung vorliegt, wird die Identität des Benutzers mit Datenbankinformationen verglichen. RADIUS beinhaltet einen Satz mit Standards, die sich auf AAA (Authorization, Authentication, Accounting = Autorisierung, Authentifizierung und Kontoverwaltung) beziehen. RADIUS umfasst zudem einen Proxy-Prozess, der Clients in einer Umgebung mit mehreren Servern validiert. Der IEEE 802.1X-Standard dient der Kontrolle und Authentifizierung für den Zugriff auf anschlussbasierende drahtlose und verkabelte 802.11-Ethernet-Netzwerke. Die anschlussbasierende Zugriffskontrolle auf Netzwerke ist mit einer LAN-Infrastruktur mit Switching vergleichbar, in der an den LAN-Anschluss angeschlossene Geräte authentifiziert werden, aber der Zugriff auf diesen Anschluss bei fehlgeschlagener Authentifizierung verhindert wird.

Was ist RADIUS?

RADIUS (Remote Authentication Dial-In User Service) ist ein Anwender-Fernservice zum Einwählen, ein AAA-Client-Serverprotokoll, das für die An- oder Abmeldung eines AAA-Einwahl-Clients beim Netzwerk-Access-Server verwendet wird. Ein RADIUS-Server wird üblicherweise von Internet-Serviceanbietern (ISPs) verwendet, um AAA-Aufgaben durchzuführen. AAA-Phasen werden wie folgt beschrieben:

• Authentifizierungsphase: Vergleicht Benutzernamen und Kennwort mit einer lokalen Datenbank. Nachdem die Berechtigungsnachweise überprüft wurden, beginnt der Berechtigungsvorgang.
• Berechtigungsphase: Bestimmt, ob einer Anfrage Zugriff auf eine Ressource gewährt wird. Dem Einwähl-Client wird eine IP-Adresse zugewiesen.
• Rechnungsphase: Sammelt Informationen über den Einsatz der Ressource für Trendanalysen, Auditierungen, Sitzungszeitabrechnungen oder Kostenzuweisungen.

Die 802.1X-Authentifizierung

Der folgende Abschnitt stellt die Funktionsweise der 802.1X-Authentifizierung vereinfacht dar.

1. Ein Client sendet eine "Anfrage auf Zugriff"-Meldung an den Zugriffspunkt. Der Zugriffspunkt fragt nach der Identität des Client.
2. Der Client antwortet mit dem Identitätspaket, das an den Authentifizierungsserver weitergeleitet wird.
3. Der Authentifizierungsserver sendet ein "Akzeptiert"-Paket an den Zugriffspunkt.
4. Der Zugriffspunkt setzt den Client-Anschluss in den berechtigten Zustand, und die Datenübertragung kann beginnen.

802.1X-Funktionen

Die folgenden Authentifizierungsmethoden werden von Windows* XP unterstützt:

• 802.1X-Unterstützung von Anfrageprotokollen
• Support des EAP (Extensible Authentication Protocol) - RFC 2284
• Von Windows* XP unterstützte Authentifizierungsmethoden:
  • EAP TLS Authentifizierungsprotokoll - RFC 2716 und RFC 2246
  • EAP Tunnel TLS (TTLS)
  • Cisco LEAP
  • PEAP
  • EAP-SIM
  • EAP-FAST
  • EAP-AKA

Netzwerkauthentifizierung

Offen

Siehe Offene Authentifizierung.

Freigegeben

Siehe Freigegebene Authentifizierung.

WPA - Persönlich

Siehe WPA - Persönlich.

WPA2 - Persönlich

Siehe WPA2 - Persönlich.

WPA - Unternehmen

Der Authentifizierungsmodus "Unternehmen" ist für Umgebungen in Unternehmen und im öffentlichen Dienst gedacht. WPA - Unternehmen überprüft Netzwerkbenutzer über einen RADIUS- oder anderen Authentifizierungsserver. WPA verwendet 128-Bit-Chiffrierschlüssel und dynamische Sitzungsschlüssel, um Datenschutz und Unternehmenssicherheit in Ihrem drahtlosen Netzwerk zu gewährleisten. Es wird ein Authentifizierungstyp ausgesucht, der dem Authentifizierungsprotokoll des 802.1X-Servers entspricht.

WPA2 - Unternehmen

Der Authentifizierungsmodus "Unternehmen" ist für Umgebungen in Unternehmen und im öffentlichen Dienst gedacht. WPA2 - Unternehmen überprüft Netzwerkbenutzer über einen RADIUS- oder anderen Authentifizierungsserver. WPA2 verwendet 128-Bit-Chiffrierschlüssel und dynamische Sitzungsschlüssel, um Datenschutz und Unternehmenssicherheit auf Ihrem drahtlosen Netzwerk zu gewährleisten. Es wird ein Authentifizierungstyp ausgesucht, der dem Authentifizierungsprotokoll des 802.1X-Servers entspricht. Der Unternehmens-Modus ist für Umgebungen in Unternehmen und im öffentlichen Dienst gedacht. WPA2 verbessert die WPA-Verschlüsselung und implementiert den IEEE 802.11i-Standard vollständig.

Datenverschlüsselung

AES-CCMP

Advanced Encryption Standard - Counter CBC-MAC Protocol. Hierbei handelt es sich um eine neue im IEEE 802.11i-Standard spezifizierte Methode des Datenschutzes bei drahtlosen Übertragungen. AES-CCMP bietet eine stärkere Verschlüsselungsmethode als TKIP. Wählen Sie AES-CCMP als Datenverschlüsselungsmethode, wenn ein besonders effektiver Datenschutz wichtig ist. AES-CCMP kann zusammen mit der Netzwerkauthentifizierung WPA/WPA2 - Persönlich und Unternehmen eingesetzt werden.

TKIP

Das Temporal Key Integrity-Protokoll bietet eine Schlüsselmischfunktion auf Paketbasis, ein Meldungsintegritätsprüfverfahren und einen Neuverschlüsselungsmechanismus. TKIP kann zusammen mit den Netzwerkauthentifizierung WPA/WPA2 - Persönlich und Unternehmen eingesetzt werden.

CKIP

Siehe CKIP.

WEP

WEP (Wired Equivalent Privacy, kabelvergleichbare Sicherheit) verwendet Verschlüsselung, um den unbefugten Empfang drahtlos übertragener Daten zu verhindern. WEP verschlüsselt die Daten vor ihrer Übertragung mit einem Chiffrierschlüssel. Nur Computer, die denselben Chiffrierschlüssel verwenden, können auf das Netzwerk zugreifen und die von anderen Computern übertragenen Daten entschlüsseln. Unternehmens-WEP unterscheidet sich vom persönlichen WEP darin, dass Sie die offene Netzwerkauthentifizierung auswählen und anschließend 802.1x aktivieren können, um unter allen Client-Authentifizierungstypen auszuwählen. Die Auswahl der Authentifizierungstypen ist unter dem persönlichen WEP nicht möglich.

Typen der Netzwerkauthentifizierung

TLS

Eine Authentifizierungsmethode, die das EAP (Extensible Authentication Protocol) und das Sicherheitsprotokoll TLS (Transport Layer Security) verwendet. EAP-TLS arbeitet mit Zertifikaten, die Kennwörter verwenden. Die EAP-TLS-Authentifizierung unterstützt die dynamische WEP-Schlüsselverwaltung. Das TLS-Protokoll dient der Sicherung und Authentifizierung der Kommunikationen in einem öffentlichen Netzwerk durch Datenverschlüsselung. Über das TLS-Handshakeprotokoll können Server und Client eine gegenseitige Authentifizierung vornehmen und vor der Datenübertragung einen Verschlüsselungsalgorithmus und Chiffriersschlüssel aushandeln.

TTLS

Diese Einstellungen definieren das Protokoll und die Anmeldeinformationen, mit denen der Anwender authentifiziert wird. Unter TTLS (Tunneled Transport Layer Security) verwendet der Client EAP-TLS zur Serverbestätigung und Einrichtung eines TLS-verschlüsselten Kanals zwischen Client und Server. Der Client kann ein anderes Authentifizierungsprotokoll verwenden. Kennwortbasierte Protokolle wickeln die Herausforderung in der Regel über einen verschlüsselten, nicht sichtbaren TLS-Kanal ab. TTLS-Implementierungen unterstützen heute alle von EAP definierten Methoden sowie etliche ältere Methoden (PAP, CHAP, MS-CHAP und MS-CHAP-V2). Durch Definieren neuer Attribute kann TTLS auf einfache Weise zur Unterstützung neuer Protokolle erweitert werden.

PEAP

PEAP ist ein neues EAP (Extensible Authentication Protocol oder erweiterbares Authentifizierungsprotokoll) vom IEEE 802.1X-Authentifizierungstyp, der entwickelt wurde, um die Vorteile der EAP-Transport Layer Security (EAP-TLS oder EAP-Transportebenensicherheit) auf Serverebene zu nutzen und verschiedene Authentifizierungsmethoden zu unterstützen, einschließlich von Benutzerkennwörtern und einmaligen Kennwörtern sowie Generic Token Cards.

LEAP

Eine Version von EAP (Extensible Authentication Protocol). LEAP (Light Extensible Authentication Protocol) ist ein von Cisco entwickeltes proprietäres EAP mit einem Herausforderung/Antwort-Authentifizierungsmechanismus und dynamischer Schlüsselzuweisung.

EAP-SIM

Die EAP-Methode (Extensible Authentication Protocol oder erweiterbares Authentifizierungsprotokoll) für GSM Subscriber Identity (EAP-SIM) ist ein Mechanismus zur Authentifizierung und Verteilung von Sitzungsschlüsseln. Es verwendet das Global System for Mobile Communications (GSM) Subscriber Identity Module (SIM). EAP-SIM verwendet einen dynamischen, sitzungsbasierten WEP-Schlüssel zur Datenverschlüsselung, der sich vom Client-Adapter und RADIUS-Server ableitet. Bei EAP-SIM müssen Sie einen Benutzerbestätigungscode, eine PIN (Personal Identification Number), eingeben, um mit der SIM-Karte (Subscriber Identity Module) kommunizieren zu können. Eine SIM-Karte ist eine spezielle Smart Card, die von auf GSM (Global System for Mobile Communications) basierenden, digitalen, mobilen Netzwerken verwendet wird. RFC 4186 beschreibt EAP-SIM.

EAP-AKA

Die EAP-AKA-Methode (Extensible Authentication Protocol for UMTS Authentication and Key Agreement) ist ein EAP-Mechanismus zur Authentifizierung und Verteilung von Sitzungsschlüsseln, der das Subscriber Identity Module (USIM) UMTS (Universal Mobile Telecommunications System) verwendet. Eine USIM-Karte ist eine spezielle Smart Card, die bei zellulären Netzwerken zur Validierung eines bestimmten Netzwerkbenutzers verwendet wird.

Authentifizierungsprotokolle

PAP

Das PAP-Protokoll (Kennwortauthentifizierungsprotokoll) ist ein 2-Wege-Handshake-Protokoll zum Einsatz mit PPP. PAP ist ein unverschlüsseltes Kennwort, das auf älteren SLIP-Systemen verwendet wird. Es bietet keine Sicherheit. Nur verfügbar für den TTLS-Authentifizierungstyp.

CHAP

Das CHAP-Protokoll (Challenge Handshake Authentication Protocol) ist ein 3-Wege-Handshake-Protokoll, das sicherer als das Kennwort-Authentifizierungsprotokoll ist. Nur verfügbar für den TTLS-Authentifizierungstyp.

MS-CHAP (MD4)

Verwendet eine Microsoft-Version des Herausforderungs- und Antwortprotokolls RSA Message Digest 4. Dieses Protokoll funktioniert nur auf Microsoft-Systemen und aktiviert die Datenverschlüsselung. Durch Auswahl dieser Authentifizierungsmethode werden alle Daten verschlüsselt. Nur verfügbar für den TTLS-Authentifizierungstyp.

MS-CHAP-V2

Bietet im Vergleich zu MS-CHAP-V1 oder standardmäßiger CHAP-Authentifizierung als zusätzliche Funktion die Möglichkeit zur Kennwortänderung. Auf diese Weise kann der Client das Kontokennwort ändern, wenn der RADIUS-Server den Ablauf des Kennworts meldet. Nur verfügbar für den TTLS- und PEAP-Authentifizierungstyp.

Generic Token Card (GTC)

Enthält benutzerspezifische Token Cards für die Authentifizierung. Das Hauptmerkmal in GTC ist die Authentifizierung anhand digitaler Zertifikate bzw. Token Cards. GTC bietet darüber hinaus die Möglichkeit, die Identität des Benutzernamens zu verbergen, bis der verschlüsselte TLS-Tunnel eingerichtet ist. Somit besteht zusätzlicher Datenschutz, da Benutzernamen während der Authentifizierungsphase nicht übertragen werden. Nur verfügbar für den PEAP-Authentifizierungstyp.

TLS

Das TLS-Protokoll dient der Sicherung und Authentifizierung der Kommunikationen in einem öffentlichen Netzwerk durch Datenverschlüsselung. Über das TLS-Handshakeprotokoll können Server und Client eine gegenseitige Authentifizierung vornehmen und vor der Datenübertragung einen Verschlüsselungsalgorithmus und Chiffriersschlüssel aushandeln. Nur verfügbar für den PEAP-Authentifizierungstyp.

Cisco-Funktionen

Cisco LEAP

Cisco LEAP (Cisco Light EAP) ist eine 802.1X-Server- und Client-Authentifizierung, die ein vom Benutzer bereitgestelltes Anmeldekennwort verwendet. Wenn ein drahtloser Zugriffspunkt mit einem Cisco LEAP-aktivierten RADIUS (Cisco Secure Access Control Server [ACS]) kommuniziert, bietet Cisco LEAP Zugriffskontrolle über gegenseitige Authentifizierung zwischen den WiFi-Adaptern auf Client-Ebene und den drahtlosen Netzwerken, und stellt dynamische Chiffrierschlüssel für die einzelnen Anwender bereit, um die Datensicherheit bei der Übertragung zu gewährleisten.

Cisco Rogue-Zugriffspunkt-Sicherheitsfunktion

Die Cisco Rogue AP-Funktion bietet Schutz vor Zugriff durch einen Rogue-Zugriffspunkt, der möglicherweise vorgibt, ein legitimer Zugriffspunkt in einem Netzwerk zu sein, um auf diese Weise Informationen über die Benutzeranmeldung und Authentifizierungsprotokolle abzurufen, was die Sicherheit beeinträchtigen könnte. Diese Funktion funktioniert nur mit LEAP-Authentifizierung von Cisco. Der 802.11-Standard schützt ein Netzwerk nicht vor Rogue-Zugriffspunkten. Weitere Informationen finden Sie unter LEAP-Authentifizierung.

802.11b- und 802.11g-Schutzprotokoll für gemischte Umgebung

Einige Zugriffspunkte, zum Beispiel Cisco 350 oder Cisco 1200, unterstützen Umgebungen, in denen nicht alle Client-Stationen WEP-Verschlüsselung unterstützen. Dies wird gemischter Zellenmodus genannt. Wenn diese drahtlosen Netzwerke im "optionalen Verschlüsselungsmodus" arbeiten, senden Client-Stationen, die sich im WEP-Modus anschließen, alle Meldungen verschlüsselt und Stationen, die den Standardmodus verwenden, alle Meldungen unverschlüsselt. Diese Zugriffspunkte geben bekannt, dass das Netzwerk keine Verschlüsselung verwendet, gestatten Clients jedoch, sich im WEP-Modus anzuschließen. Wenn der gemischte Zellenmodus in einem Profil aktiviert ist, können Sie Verbindungen zu Zugriffspunkten herstellen, die für die "optionale Verschlüsselung" konfiguriert sind.

CKIP

Cisco Key Integrity Protocol (CKIP) ist das proprietäre Sicherheitsprotokoll von Cisco zur Verschlüsselung von 802.11-Medien. CKIP verwendet die folgenden Funktionen zur Erhöhung der 802.11-Sicherheit im Infrastrukturmodus:

• KP (Key Permutation oder Schlüsselpermutation, systematische Vertauschung)
• Message Sequence Number oder Meldungssequenznummer

Fast Roaming (CCKM)

Wenn ein WLAN für eine schnelle Verbindung konfiguriert ist, kann sich ein Client-Gerät mit aktivierter LEAP-Authentifizierung ohne Einbeziehung des Hauptservers von einem Zugriffspunkt zum anderen bewegen. Mit dem Cisco Centralized Key Management (CCKM) übernimmt ein Zugriffspunkt, der für Wireless Domain Services (WDS) konfiguriert ist, die Rolle des RADIUS-Servers und authentifiziert den Client, ohne dass sprach- oder andere zeitempfindliche Anwendungen eine Verzögerung wahrnehmen können.

Sender-Verwaltungsunterstützung

Wenn diese Funktion aktiviert ist, versorgt Ihr WiFi- Adapter die Cisco-Infrastruktur mit Informationen zur Senderverwaltung. Wenn das Cisco-Programm "Cisco Radio Management" auf der Infrastruktur verwendet wird, werden Funkparameter konfiguriert und Störungen und Rogue-Zugriffspunkte erkannt.

EAP-FAST

EAP-FAST verwendet wie EAP-TTLS und PEAP Tunneling zum Schutz der Datenübertragung. Der Hauptunterschied besteht darin, dass EAP-FAST keine Zertifikate zum Authentifizieren verwendet. Die Bereitstellung bei EAP-FAST wird ausschließlich vom Client ausgehandelt, weil die erste Kommunikation ausgetauscht wird, wenn EAP-FAST vom Server angefordert wird. Wenn der Client nicht über eine vorab freigegebene, geheime PAC verfügt, kann er um den Start eines EAP-FAST-Einrichtungsaustauschs bitten, um dynamisch eine vom Server zu erhalten.

EAP-FAST verwendet zwei Methoden, um die PAC auszugeben: manuelle Lieferung über einen sicheren Mechanismus außerhalb des Bands und automatische Bereitstellung.

• Der manuelle Liefermechanismus kann jeder Mechanismus sein, den der Administrator des Netzwerks als ausreichend sicher für das Netzwerk betrachtet.
• Die automatische Bereitstellung richtet einen verschlüsselten Tunnel ein, um die Authentifizierung des Client und die Lieferung der PAC and den Client zu schützen. Dieser Mechanismus, obwohl unsicherer als die manuelle Methode, ist sicherer als die von LEAP verwendete Authentifizierungsmethode.

Die EAP-FAST-Methode ist in zwei Teile gegliedert: Bereitstellung und Authentifizierung. Die Bereitstellungsphase umfasst die anfängliche Lieferung der PAC an den Client. Diese Phase muss nur einmal pro Client und Benutzer durchgeführt werden.