Dette avsnittet beskriver de ulike sikkerhetsmetodene som brukes til å hjelpe med å beskytte WiFi-nettverk.
802.1X-godkjenning (foretakssikkerhet)
Hvis trådløsnettverket er ubeskyttet, er det åpent for tilgang fra andre datamaskiner. Du kan enkelt beskytte hjemme- og småbedriftsnettverket mot nesten all slags uautorisert tilgang med sikkerhetsmetodene som beskrives i dette avsnittet.
Godkjenning (autentisering) er prosessen for å identifisere og godkjenne en forespørsel fra en klient (vanligvis en bærbar datamaskin) om å få tilgang til et nettverk på et nettverkstilgangspunkt. Når godkjenningen er fullført og tilgang gitt, har klienten tilgang til nettverket.
Du kan velge krypteringsalgoritmer som krypterer informasjonen og dataene som sendes over trådløsnettverket. Bare datamaskiner som er utstyrt med forhåndsdelte nøkler kan kryptere og dekryptere dataene som overføres. Krypteringsnøkler er tilgjengelig med to sikkerhetsnivåer, 64-bit og 128-bit. Bruk 128-bitnøkler for å få bedre sikkerhet.
En enkel måte å bedre nettverkssikkerheten på er å angi tilgangspunktet for nettverket til ikke å kringkaste servicesettidentifikatoren (SSID). SSID-en kreves for å få tilgang. Bare datamaskiner som kjenner SSID-en får tilgang til nettverket. (Dette angis ikke på kortet gjennom å bruke Intel(R) PROSet/Wireless WiFi-tilkoblingsverktøyet, men det angis på tilgangspunktet.)
IEEE 802.11 støtter to typer nettverksgodkjenningsmetoder: Åpent system og Delt nøkkel.
Wired Equivalent Privacy (WEP) bruker kryptering for å bidra til å unngå uautorisert mottak av trådløsdata. WEP bruker en krypteringsnøkkel til å kryptere dataene før sending. Bare datamaskiner som bruker samme krypteringsnøkkel får tilgang til nettverket og kan dekryptere dataene som overføres fra andre datamaskiner. WEP-kryptering gir to sikkerhetsnivåer, en 64-bitnøkkel (også kalt 40 bit) eller en 128-bitnøkkel (også kalt 104 bit). Den beste sikkerheten får du ved bruk av en 128-bitnøkkel. Hvis du bruker kryptering, må alle trådløse enheter på trådløsnettverket bruke de samme krypteringsnøklene.
WEP-datakryptering, en trådløs stasjon konfigureres med inntil fire nøkler (nøkkelindeksverdiene er 1, 2, 3 og 4). Når et tilgangspunkt (AP) eller en trådløs stasjon overfører en kryptert melding ved hjelp av en nøkkel som er lagret i en spesifikk nøkkelindeks, angir den overførte meldingen nøkkelindeksen som ble brukt til å kryptere meldingsinnholdet. Mottakstilgangspunktet eller den trådløse stasjonen kan deretter hente nøkkelen som er lagret i nøkkelindeksen, og bruke den til å dekode det krypterte meldingsinnholdet
Fordi WEP-krypteringsalgoritmen er sårbar overfor nettverksangrep bør du vurdere å bruke WPA-Personlig eller WPA2-Personlig sikkerhet.
WPA-Personlig-modus er rettet mot hjem og mindre bedriftsmiljøer. WPA-Personlig krever manuell konfigurasjon av forhåndsdelt nøkkel (PSK) på tilgangspunktet og klientene. Det trengs ingen godkjenningsserver. Det samme passordet som er angitt på tilgangspunktet må brukes på denne datamaskinen og alle andre trådløsenheter som får tilgang til trådløsnettverket. Sikkerheten avhenger av styrken og hemmeligholdet av passordet. Jo lengre dette passordet er, jo kraftigere er sikkerheten i trådløsnettverket. Hvis trådløstilgangspunktet eller ruteren støtter WPA-Personlig og WPA2-personlig, burde du aktivere det på tilgangspunktet og besørge et langt, kraftig passord. WPA-Personlig gjør datakrypteringsalgoritmene TKIP og AES-CCMP tilgjengelig.
WPA2-Personlig krever manuell konfigurasjon av en forhåndsdelt nøkkel (PSK) på tilgangspunktet og klientene. Det trengs ingen godkjenningsserver. Det samme passordet som er angitt på tilgangspunktet må brukes på denne datamaskinen og alle andre trådløsenheter som får tilgang til trådløsnettverket. Sikkerheten avhenger av styrken og hemmeligholdet av passordet. Jo lengre dette passordet er, jo kraftigere er sikkerheten i trådløsnettverket. WPA2 er en forbedring i forhold til WPA, og implementerer hele IEEE 802.11i-standarden. WPA2 er bakoverkompatibel med WPA. WPA2-Personlig gjør datakrypteringsalgoritmene TKIP og AES-CCMP tilgjengelig.
MERK: WPA-Personlig og WPA2-Personlig er interoperative.
Dette avsnittet beskriver sikkerhet som ofte brukes av større bedrifter.
Oversikt
Hva er Radius?
Slik virker 802.1x-godkjenning
802.1x-funksjoner
802.1X-godkjenningen er uavhengig av 802.11-godkjenningsprosessen. 802.11.1-standarden gir et rammeverk for flere godkjennings- og nøkkeladministrasjonsprotokoller. Det finnes forskjellige 802.1X-godkjenningstyper, og hver har forskjellige innfallsvinkler til godkjenningen, men alle tar i bruk den samme 802.11.1-protokollen og det samme rammeverket for kommunikasjonen mellom en klient og et tilgangspunkt. I de fleste protokollene, etter at 802.1x-godkjenningsprosessen er ferdig, mottar søkeren en nøkkel som den benytter til datakryptering. Se Slik virker 802.1x-godkjenning for å få mer informasjon. Med 802.1X-godkjenning brukes en godkjenningsmetode mellom klienten og en server (for eksempel en RADIUS-server (Remote Authentication Dial-In User Service)) som er koblet til tilgangspunktet. Godkjenningsprosessen benytter legitimasjonsbeskrivelsene, slik som en brukers passord, som ikke sendes over det trådløse nettverket. De fleste 802.1X-typene støtter dynamiske nøkler per bruker, per økt, for å styrke nøkkelsikkerheten. 802.1X-godkjenningen drar fordel av å bruke en eksisterende godkjenningsprotokoll som kalles EAP (Extensible Authentication Protocol).
802.1X-godkjenningen for trådløse nettverk har tre hovedkomponenter:
802.1x-godkjenningssikkerhet starter en godkjenningsforespørsel fra trådløsklienten til tilgangspunktet som godkjenner klienten til en EAP-kompatibel (Extensible Authentication Protocol) RADIUS-server. RADIUS-serveren kan godkjenne brukeren (via passord eller sertifikater) eller systemet (ved MAC-adressen). Teoretisk sett får ikke den trådløse klienten lov til å bli med i nettverkene før transaksjonen er fullført. (Ikke alle godkjenningsmetodene bruker en RADIUS-server. WPA-Personlig og WPA2-Personlig bruker et felles passord som må angis på tilgangspunktet og på alle enhetene som ber om tilgang til nettverket.)
Flere godkjenningsalgoritmer brukes med 802.1X. Noen eksempler er: EAP-TLS, EAP-TTLS, Protected EAP (PEAP) og EAP Cisco Wireless Light Extensible Authentication Protocol (LEAP). Dette er alle metoder for trådløsklienten for å identifisere seg selv overfor RADIUS-serveren. Med RADIUS-godkjenning kontrolleres brukeridentitetene mot databaser. RADIUS utgjør et sett med standarder som omhandler AAA (Authentication, Authorization, Accounting). RADIUS inkluderer en proxy-prosess for validering av klienter i et flerservermiljø. Standarden IEEE 802.1X gir en mekanisme for å kontrollere og godkjenne tilgang til portbasert 802.11 trådløst og kablet Ethernet-nettverk. Portbasert nettverkstilgangskontroll er lik en svitsjet LAN-infrastruktur som godkjenner innretninger som er festet til en LAN-port og hindrer tilgang til den porten dersom godkjenningsprosessen mislykkes.
RADIUS står for Remote Authentication Dial-In User Service, og er en AAA-klientserverprotokoll (Authorization, Authentication, Accounting) for en ekstern AAA-klientserver som logger inn på eller ut av en nettverkstilgangsserver. Vanligvis en RADIUS-server brukes av Internett-leverandører (ISP - Internet Service Providers) til å utføre AAA-oppgaver. AAA-fasene beskrives som følger:
Nedenfor er en forenklet beskrivelse av hvordan 802.1X-godkjenning fungerer.
Følgende godkjenningsmetoder støttes på Windows XP:
Se Åpen godkjenning.
Se Delt godkjenning.
Se WPA-Personlig.
Se WPA2-Personlig.
Godkjenning i foretaksmodus er rettet inn mot bedriftsmiljøer eller statsinstitusjonsmiljøer. WPA-Foretak bekrefter nettverksbrukere gjennom en RADIUS-eller en annen godkjenningsserver. WPA bruker 128-bits kryptering og dynamiske øktnøkler for å sikre personvern og foretakssikkerhet på trådløsnettverket. En godkjenningstype velges for å passe til godkjenningsprotokollen for 802.1x-serveren.
Godkjenning i WPA-foretaksmodus er rettet inn mot bedriftsmiljøer eller statlige miljøer. WPA2-Foretak bekrefter nettverksbrukere gjennom en RADIUS- eller annen godkjenningsserver. WPA2 bruker 128-bits kryptering og dynamiske øktnøkler for å sikre personvern og foretakssikkerhet på trådløsnettverket. En godkjenningstype velges for å passe til godkjenningsprotokollen for 802.1x-serveren. Foretaksmodus er rettet inn mot bedriftsmiljøer eller offentlige miljøer. WPA2 er en forbedring i forhold til WPA, og implementerer hele IEEE 802.11i-standarden.
Advanced Encryption Standard - Counter CBC-MAC Protocol. Den nye metoden for personvernbeskyttelse av trådløse sendinger som spesifisert i IEEE 802.11i-standarden. AES-CCMP sørger for en sterkere krypteringsmetode enn TKIP. Velg AKES-CAMP som datakrypteringsmetode når det er viktig med kraftig beskyttelse av data. AES-CCMP er tilgjengelig med WPA/WPA2-Personlig/Foretak-nettverksgodkjenning.
MERK: Enkelte sikkerhetsløsninger støttes kanskje ikke av operativsystemet i datamaskinen din, og krever kanskje ekstra programvare eller maskinvare samt støtte for trådløs LAN-infrastruktur. Sjekk nærmere med produsenten av datamaskinen din.
Midlertidig nøkkelintegritetsprotokoll (Temporal Key Integrity Protocol) gir nøkkelblanding per pakke, meldingsintegritetssjekk og en omnøklingsmekanisme. TKIP er tilgjengelig med WPA/WPA2-Personlig/Foretak-nettverksgodkjenning.
Se CKIP.
Wired Equivalent Privacy (WEP) bruker kryptering for å bidra til å unngå uautorisert mottak av trådløsdata. WEP bruker en krypteringsnøkkel til å kryptere dataene før sending. Bare datamaskiner som bruker samme krypteringsnøkkel får tilgang til nettverket og kan dekryptere dataene som overføres fra andre datamaskiner. Foretaks-WEP er ikke nøyaktig det samme som personlig WEP på den måten at du kan velge Åpen nettverksgodkjenning og deretter klikke Aktiver 802.1X, for så å kunne velge blant alle klientgodkjenningstypene. Valg av godkjenningstyper er ikke tilgjengelig under personlig WEP.
En godkjenningsmetode som bruker Extensible Authentication Protocol (EAP) og en sikkerhetsprotokoll som kalles Transport Layer Security (TLS). EAP-TLS bruker sertifikater som benytter passord. EAP-TLS-godkjenning støtter dynamisk WEP-nøkkeladministrasjon. TLS-protokollen er ment å sikre og godkjenne kommunikasjon gjennom et offentlig nettverk ved bruk av datakryptering. TLS Handshake Protocol lar serveren og klienten gi gjensidig godkjenning og forhandle en krypteringsalgoritme og kryptografiske nøkler før data blir sendt.
Disse innstillingene definerer protokollen og legitimasjonsbeskrivelsene som brukes for å godkjenne en bruker. I TTLS (Tunneled Transport Layer Security) benytter klienten EAP-TLS for å bekrefte serveren og lage en TLS-kryptert kanal mellom klienten og serveren. Klienten kan bruke en annen autentifikasjonsprotokoll. Vanligvis utfordrer passordbaserte protokoller over en ikke-eksponert TLS-kryptert kanal. TTLS-implementeringer støtter i dag alle metoder definert av EAP samt mange andre eldre metoder (PAP,CHAP, MS-CHAP og MS-CHAP-V2). TTLS kan lett utvides til å virke sammen med nye protokoller ved å definere nye attributter for å støtte nye protokoller.
PEAP er en ny Extensible Authentication Protocol (EAP) IEEE 802.1x-godkjenningstype lagd for å trekke fordeler fra serversidens EAP-Transport Layer Security (EAP-TLS) og for å støtte forskjellige godkjenningsmetoder, herunder brukerens passord og engangspassord og Generic Token Cards.
En versjon av Extensible Authentication Protocol (EAP). LEAP (Light Extensible Authentication Protocol) er en egen utvidet godkjenningsprotokoll som er utviklet av Cisco, som inneholder en godkjenningsmekanisme for utfordringssvar og dynamisk nøkkeltildeling.
Extensible Authentication Protocol Method for GSM Subscriber Identity (EAP-SIM) er en mekanisme for autentifisering og øktnøkkeldistribuering. Det bruker Global System for Mobile Communications (GSM) Subscriber Identity Module (SIM). EAP-SIM bruker en dynamisk, øktbasert WEP-nøkkel, som er hentet ut av klientkortet og RADIUS-serveren for å kryptere data. EAP-SIM krever at du setter inn en brukerverifikasjonskode eller PIN for å kommunisere med Subscriber Identity Module (SIM)-kortet. Et SIM-kort er et spesielt smartkort som brukes av GSM-baserte digitale mobiltelefonnettverk. RFC 4186 beskriver EAP-SIM.
EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) er en EAP-mekanisme for autentisering og distribusjon av øktnøkkel ved hjelp av UMTS USIM (Universal Mobile Telecommunications System (UMTS) Subscriber Identity Module (USIM). USIM-kortet er et spesielt smartkort, som brukes med mobilnettverk for å godkjenne en gitt bruker på nettverket.
Password Authentication Protocol er en toveis håndtrykksprotokoll utformet for bruk med PPP. Password Authentication Protocol er et rent tekstpassord brukt på eldre SLIP-systemer. Det er ikke sikkert. Bare tilgjengelig for TTLS-godkjenningstypen.
Challenge Handshake Authentication Protocol er en treveis håndtrykksprotokoll som anses mer sikker enn PAP-autentifikasjonsprotokollen. Bare tilgjengelig for TTLS-godkjenningstypen.
Bruker en Microsoft-versjon av RSA Message Digest 4 utfordre-og-svar-protokoll. Denne virker kun på Microsoft-systemer og aktiverer datakryptering. Velges denne godkjenningsmetoden, blir alle data kryptert. Bare tilgjengelig for TTLS-godkjenningstypen.
Innfører en tilleggsfunksjon som ikke er tilgjengelig med MS-CHAPV1 eller standard CHAP-godkjenning, funksjonen for endring av passord. Denne funksjonen lar klienten endre kontopassord hvis RADIUS-serveren rapporterer at passordet er utløpt. Tilgjengelig for TTLS- og PEAP-godkjenningstypene.
Inneholder brukerspesifikke kodekort for godkjenning. Hovedfunksjonen i GTC er godkjenning basert på digitale sertifikater / kodekort. I tillegg gir GTC mulighet til å skjule brukernavn til det er opprettet en TLS-kryptert tunnel. Dette gir bedre konfidensialitet og kringkaster ikke brukernavn under godkjenningsfasen. Bare tilgjengelig for PEAP-godkjenningstypen.
TLS-protokollen er ment å sikre og godkjenne kommunikasjon gjennom et offentlig nettverk ved bruk av datakryptering. TLS Handshake Protocol lar serveren og klienten gi gjensidig godkjenning og forhandle en krypteringsalgoritme og kryptografiske nøkler før data blir sendt. Bare tilgjengelig for PEAP-godkjenningstypen.
Cisco LEAP (Cisco Light EAP) er en 802.1x-godkjenning for server og klient via brukerdefinert påloggingspassord. Når et trådløst tilgangspunkt kommuniserer med en Cisco LEAP-aktivert RADIUS (Cisco-sikker tilgangskontrollserver [ACS]), gir Cisco LEAP tilgangskontroll via gjensidig godkjenning mellom klientens WiFi-kort og det trådløse nettverket, og gir dynamiske, individuelle brukerkrypteringsnøkler for å hjelpe til med å beskytte personvernet i de overførte dataene.
Cisco-funksjonen for uautorisert tilgangspunkt gir sikkerhetsbeskyttelse fra en innføring av et uautorisert tilgangspunkt som kan etterligne et legitimt tilgangspunkt på et nettverk for å få ut informasjon om brukerlegitimasjonsbeskrivelsene og godkjenningsprotokoller som kan sette sikkerheten i fare. Funksjonen virker bare med Ciscos LEAP-godkjenning. Standard 802.11-teknologi beskytter ikke et nettverk mot innføringen av et uautorisert tilgangspunkt. Se LEAP-autentifikasjon hvis du vil ha mer informasjon.
Enkelte tilgangspunkter, for eksempel Cisco 350 eller Cisco 1200, støtter omgivelser der ikke alle klientstasjoner støtter WEP-kryptering, dette kalle en mikset-celle-modus. Når disse trådløse nettverkene virker i "alternativ krypterings"-modus, sender klientstasjonene som slutter seg til WEP-modus alle meldingene kryptert, og stasjoner som bruker standardmodus, sender alle meldingene ukryptert. Disse tilgangspunktene kringkaster at nettverket ikke bruker kryptering, men tillater klienter som bruker WEP-modus. Når "Mikset celle" er aktivert i en profil, lar den deg koble til tilgangspunktene som er konfigurert for "valgfri kryptering".
Cisco Key Integrity Protocol (CKIP) er Ciscos egen sikkerhetsprotokoll for kryptering i 802.11-medier. CKIP bruker følgende egenskaper for å forbedre 802.11-sikkerheten i nettverks(infrastruktur)modus:
MERK: CKIP brukes ikke med nettverksgodkjenningen WPA/WPA2-Personlig/Foretak.
MERK: CKIP støttes bare gjennom bruk av WiFi-tilkoblingsverktøyet på Windows XP.
Når et trådløst LAN er konfigurert for rask gjentilkobling, kan en LEAP-aktivert klientenhet streife fra et tilgangspunkt til et annet uten å involvere hovedserveren. Ved bruk av CCKM (Cisco Centralized Key Management) tar et tilgangspunkt som er konfigurert for å gi Wireless Domain Services (WDS), plassen til RADIUS-serveren og godkjenner klienten uten merkbar forsinkelse i stemme eller andre tidssensitive programmer.
Enkelte tilgangspunkter, for eksempel Cisco 350 eller Cisco 1200, støtter omgivelser der ikke alle klientstasjoner støtter WEP-kryptering, dette kalle en mikset-celle-modus. Når disse trådløse nettverkene virker i "alternativ krypterings"-modus, sender klientstasjonene som slutter seg til WEP-modus alle meldingene kryptert, og stasjoner som bruker standardmodus, sender alle meldingene ukryptert. Disse tilgangspunktene kringkaster at nettverket ikke bruker kryptering, men tillater klienter som slutter seg til ved hjelp av WEP-modus. Når "Mikset celle" er aktivert i en profil, lar den deg koble til tilgangspunktene som er konfigurert for "valgfri kryptering".
Når denne funksjonen er aktivert, gir WiFi-kortet radiostyringsinformasjon til Cisco-infrastrukturen. Hvis Cisco-radiostyringsverktøyet brukes på infrastrukturen, vil det konfigurere radioparametre, oppdage interferens og falske tilgangspunkter.
EAP-FAST, på samme vis som EAP-TTLS og PEAP, bruker tunnelering for å beskytte trafikken. Hovedforskjellen er at EAP-FAST ikke bruker sertifikat for å godkjenne. Tilrettelegging i EAP-FAST forhandles alene av klienten som den første kommunikasjonsutvekslingen når det anmodes om EAP-FAST fra serveren. Hvis klienten ikke har en forhåndsdelt hemmelig Protected Access Credential (PAC), kan den be om å starte en EAP-FAST-utveksling for dynamisk å bli tildelt en fra serveren.
EAP-FAST-dokumenterer to metoder for å levere PAC: manuell levering gjennom en sikker mekanisme utenfor båndet, og automatisk tilrettelegging .
EAP-FAST-metoden kan deles inn i to deler: klargjøring og godkjenning. Besørgelsesfasen involverer den første leveringen av PAC til klienten. Denne fasen trenger man å utføre kun én gang per klient og bruker.