يوضح هذا القسم مختلف أساليب التأمين المستخدمة للمساعدة في حماية شبكات WiFi.
إذا تركت الشبكة اللاسلكية دون حماية فإنها تكون معرضة للوصول إليها من أجهزة كمبيوتر أخرى. يمكنك بسهولة حماية الشبكة في المنزل أو الشركة الصغيرة من جل أشكال الوصول غير المصرح به عن طريق أساليب التأمين الموضحة في هذا القسم.
المصادقة هي عملية التعرف على طلب من عميل (كمبيوتر محمول في الغالب) للوصول إلى شبكة عند نقطة وصول شبكية وإقراره. بمجرد استكمال المصادقة ومنح حق الوصول، يتاح للعميل الوصول إلى شبكة.
يمكنك تحديد منوال تشفير لتشفير المعلومات والبيانات المرسلة عبر شبكتك اللاسلكية. لا يستطيع تشفير البيانات المرسلة وفك تشفيرها إلا أجهزة الكمبيوتر المزودة بمفاتيح مشتركة مسبقًا. تتاح مفاتيح التشفير بمستويين من التأمين، 64-بت و128-بت. استخدم مفاتيح 128-بت من أجل تأمين أقوى.
من الطرق البسيطة لتحسين تأمين الشبكة ضبط نقطة وصول الشبكة بحيث لا تبث معرف مجموعة الخدمات (SSID). يتطلب الوصول هذا المعرف SSID. لا يستطيع الوصول إلى الشبكة إلا أجهزة الكمبيوتر التي تعلم معرف SSID. (هذا لا يضبط في المحول باستخدام أداة توصيل Intel(R) PROSet/Wireless WiFi المساعدة، بل يضبط في نقطة الوصول.)
يدعم IEEE 802.11 نوعين من أساليب مصادقة الشبكات: النظام المفتوح والمفاتيح المشترك.
تستخدم الخصوصية المكافئة للتوصيل اللاسلكي (WEP) التشفير للمساعدة على منع أي استقبال لبيانات اللاسلكي غير مصرح به. يستخدم WEP مفتاح تشفير لتشفير البيانات قبل إرسالها، حيث تقتصر إمكانية الوصول إلى الشبكة وفك تشفير البيانات المرسلة من أجهزة كمبيوتر أخرى على أجهزة الكمبيوتر التي تستخدم نفس مفتاح التشفير. يتيح تشفير WEP مستويين من التأمين، وذلك باستخدام مفتاح 64-بت (فيما يطلق عليه أحياناً 40-بت) أو مفتاح 128-بت (يطلق عليه أيضاً 104-بت). لتحقيق تأمين أقوى، ينبغي عليك استخدم مفتاح 128 بت. إذا استخدمت التشفير يتعين على كافة الأجهزة اللاسلكية في شبكتك اللاسلكية استخدام نفس مفاتيح التشفير.
يمكن مع تشفير بيانات WEP تشكيل محطة لاسلكية بما يصل إلى أربعة مفاتيح (قيم مؤشر المفاتيح هي 1 و2 و3 و4). عندما ترسل نقطة وصول أو محطة لاسلكية رسالة مشفرة تستخدم مفتاحاً مخزناً بمؤشر مفاتيح محدد فإن الرسالة المرسلة تبين مؤشر المفاتيح الذي استخدم لتشفير متن الرسالة، ومن ثم تستطيع نقطة الوصول أو المحطة اللاسلكية المستقبلة استرجاع المفتاح المخزن عند مؤشر المفاتيح واستخدامه لفك تشفير متن الرسالة المشفرة
لأن منوال تشفير WEP عرضة لاختراقات الشبكات، يجدر بك النظر في استخدام تأمين WPA-شخصي أو WPA2-شخصي.
يستهدف وضع WPA-الشخصي البيئات المنزلية والشركات الصغيرة. يتطلب WPA الشخصي تشكيلاً يدوياً لمفتاح مشترك مسبقاً (PSK) على نقطة الوصول والعملاء. علماً بانه لا توجد حاجة لخادم مصادقة. يجب استخدام نفس كلمة المرور المدخلة في نقطة الوصول على هذا الكمبيوتر وسائر الأجهزة اللاسلكية التي تتعامل مع الشبكة اللاسلكية. يعتمد التأمين على قوة كلمة المرور وسريتها. وكلما طالت كلمة المرور قوي تأمين الشبكة اللاسلكية. إذا كانت نقطة الوصول اللاسلكية أو الموجه يدعم WPA-شخصي أو WPA2-شخصي الشخصي فيجدر بك تمكينه على نقطة الوصول وتعيين كلمة مرور طويلة وقوية. يتيح WPA-الشخصي منوالي تشفير البيانات TKIP وAES-CCMP.
يتطلب WPA2-الشخصي تشكيلاً يدوياً لمفتاح مشترك مسبقاً (PSK) على نقطة الوصول والعملاء. علماً بانه لا توجد حاجة لخادم مصادقة. يجب استخدام نفس كلمة المرور المدخلة في نقطة الوصول على هذا الكمبيوتر وسائر الأجهزة اللاسلكية التي تتعامل مع الشبكة اللاسلكية. يعتمد التأمين على قوة كلمة المرور وسريتها. وكلما طالت كلمة المرور قوي تأمين الشبكة اللاسلكية. WPA2 هو تحسين على WPA ويطبق مقياس IEEE 802.11i بالكامل. WPA2 متوافق مع WPA. يتيح WPA2-الشخصي منوالي تشفير البيانات TKIP وAES-CCMP.
ملحوظة: لا يمكن التشغيل المتبادل فيما بين WPA – شخصي وWPA2 – شخصي.
يوضح هذا القسم التأمين شائع الاستخدام في الشركات الأكبر.
استعراض
ما معنى RADIUS؟
كيفية عمل مصادقة 802.1X
ميزات 802.1X
لا ترتبط مصادقة 802.1X بعملية مصادقة 802.11، حيث يوفر مقياس 802.11 إطاراً لبروتوكولات متنوعة للمصادقة وإدارة المفاتيح، علماً بأنه توجد أنواع مختلفة من مصادقة 802.1X يقدم كل منها نهجاً مختلفاً للمصادقة مع اشتراكها جميعاً في توظيف نفس بروتوكول 802.11 وإطاره للاتصال بين عميل ونقطة وصول. في معظم البروتوكولات، يتلقى العميل عقب استكمال عملية مصادقة 802.1X مفتاحاً يستخدمه لتشفير البيانات. انظر كيفية عمل مصادقة 802.1X للحصول على مزيدٍ من المعلومات. في مصادقة 802.1X يُستخدم أسلوب مصادقة بين العميل وخادم (مثلاً خادم لخدمة مصادقة مستخدمي الطلب الهاتفي عن بعد (RADIUS)) موصل بنقطة الوصول، وتستخدم عملية المصادقة مسوغات - مثل كلمة مرور مستخدم - لا تنتقل عبر الشبكة اللاسلكية. تدعم معظم أنواع 802.1X المفاتيح الديناميكية لكل مستخدم ولكل جلسة تعزيزاً لتأمين المفاتيح. تستفيد مصادقة 802.1X من استخدام بروتوكول مصادقة قائم يسمى بروتوكول المصادقة المتوسع (EAP).
لمصادقة 802.1X للشبكات اللاسلكية ثلاثة مكونات رئيسية:
يؤسس تأمين مصادقة 802.1Xء طلب اعتماد من العميل اللاسلكي إلى نقطة الوصول، والتي تصادق العميل إلى خادم RADIUS متوافق مع بروتوكول المصادقة المتوسع (EAP). قد يصادق خادم RADIUS المستخدم (عبر كلمات مرور أو شهادات) أو النظام (بعنوان MAC). لا يُسمح نظرياً للعميل اللاسلكي بالانضمام إلى الشبكات حتى تستوفى المعاملة. (ليست كل أساليب المصادقة تستخدم خادم RADIUS. يستخدم WPA-شخصي وWPA2-شخصي كلمة مرور مشتركة يجب إدخالها في نقطة الوصول وفي كل الأجهزة التي تطلب الوصول إلى الشبكة.)
توجد نظم متعددة للمصادقة مستخدمة مع 802.1X. من الأمثلة: EAP-TLS وEAP-TTLS وEAP المحمي (PEAP) وبروتوكول المصادقة المتوسع الخفيف اللاسلكيLEAP منCisco. وهذه كلها أساليب لتعريف العميل اللاسلكي نفسه لخادم RADIUS. بمقتضى مصادقةRADIUS تُفحص معرفات المستخدمين مقابل قاعدة بيانات. يتألف RADIUS من مجموعة مقاييس تتناول المصادقة والاعتماد والمحاسبة (AAA)، ويتضمن RADIUS عملية وكالة للتحقق من العملاء في بيئة متعددة الخادمات. يتيح مقياس IEEE 802.1X آلية للتحكم في الوصول إلى شبكات 802.11 القائمة على المنافذ سواء الشبكات اللاسلكية منها أو شبكات إيثرنت السلكية ومصادقته، علماً بأن التحكم في وصول الشبكات القائمة على المنافذ شبيه ببنية أساسية لشبكة محلية تحويلية تصادق الأجهزة الموصلة بمنفذ شبكة محلية وتمنع الوصول إلى ذلك المنفذ في حالة إخفاق عملية المصادقة.
يعبر الاختصار RADIUS عن خدمة المصادقة عن بعد لمستخدمي الطلب الهاتفي وهي عبارة عن بروتوكول خادم- عميل للاعتماد والمصادقة والمحاسبة (AAA) يُستخدم لدى دخول عميل AAA بالطلب الهاتفي إلى خادم وصول شبكة أو خروجه منه، ويستخدم موفرو خدمات الإنترنت (ISP) خادم RADIUS عادةً لتنفيذ مهام الاعتماد والمصادقة والمحاسبة (AAA). فيما يلي بيان لمرحل الاعتماد والمصادقة والمحاسبة (AAA):
فيما يلي وصف مبسط لكيفية عمل مصادقة 802.1X.
أساليب المصادقة التالية مدعومة على Windows XP:
انظر المصادقة المفتوحة.
انظر المصادقة المشتركة.
انظر WPA - شخصي.
انظر WPA2 – شخصي.
تستهدف مصادقة الوضع المؤسسي بيئات الشركات والجهات الحكومية. يتحقق WPA المؤسسي من مستخدمي الشبكة من خلال خادم مصادقة إما RADIUS أو خلافه. يستخدم WPA مفاتيح تشفير 128-بت ومفاتيح جلسات ديناميكية لضمان خصوصية الشبكة اللاسلكية وتأمين المؤسسة. يُحدد نوع مصادقة لمطابقة بروتوكول مصادقة خادم 802.1X.
تستهدف مصادقة WPA المؤسسي بيئات الشركات والجهات الحكومية. يتحقق WPA2 المؤسسي من مستخدمي الشبكة من خلال خادم مصادقة إما RADIUS أو خلافه. يستخدم WPA2 مفاتيح تشفير 128-بت ومفاتيح جلسات ديناميكية لضمان خصوصية الشبكة اللاسلكية وتأمين المؤسسة. يُحدد نوع مصادقة لمطابقة بروتوكول مصادقة خادم 802.1X. يستهدف الوضع المؤسسي بيئات الشركات والجهات الحكومية. WPA2 هو تحسين على WPA ويطبق مقياس IEEE 802.11i بالكامل.
مقياس التشفير المتقدم - بروتوكول CBC-MAC العداد. يستخدم الأسلوب الجديد لحماية خصوصية الإرسال اللاسلكي المحدد في مقياس IEEE 802.11i. يوفر AES-CCMP أسلوب تشفير أقوى من TKIP. اختر AES-CCMP أسلوباً لتشفير البيانات كلما كانت لحماية البيانات بقوة أهمية. يتاح AES-CCMP مع مصادقة الشبكة WPA/WPA2 شخصي/مؤسسي.
ملحوظة: ملحوظة: ربما تكون بعض حلول التأمين غير مدعومة في نظام تشغيل الكمبيوتر الخاص بك وقد تتطلب برامج ومعدات إضافية وإلى دعم البنية الأساسية للشبكات المحلية اللاسلكية. راجع صانع الكمبيوتر للحصول على التفاصيل.
يوفر بروتوكول سلامة المفاتيح المؤقتة خلطاً للمفاتيح لكل حزمة وفحصاً لسلامة الرسائل وآلية لإعادة صياغة المفاتيح. يتاح TKIP مع مصادقة الشبكة WPA/WPA2 شخصي/مؤسسي.
انظر CKIP.
تستخدم الخصوصية المكافئة للتوصيل اللاسلكي (WEP) التشفير للمساعدة على منع أي استقبال لبيانات اللاسلكي غير مصرح به. يستخدم WEP مفتاح تشفير لتشفير البيانات قبل إرسالها، حيث تقتصر إمكانية الوصول إلى الشبكة وفك تشفير البيانات المرسلة من أجهزة كمبيوتر أخرى على أجهزة الكمبيوتر التي تستخدم نفس مفتاح التشفير. ليس WEP المؤسسي مثل WEP الشخصي تمامًا، حيث يمكنك تحديد مصادقة شبكة مفتوحة ثم النقر على تمكين 802.1X ومن ثم يمكن الاختيار من كل أنواع مصادقة العميل. لا يتاح تحديد أنواع المصادقة تحت WEP الشخصي.
نوع من أساليب المصادقة يستخدم بروتوكول المصادقة المتوسع (EAP) وبروتوكول تأمين يسمى تأمين طبقة النقل (TLS). يستخدم EAP-TLS شهادات تستخدم كلمات مرور. تدعم مصادقة EAP-TLS إدارة مفاتيح WEP الديناميكية. المستهدف من بروتوكول TLS هو تأمين ومصادقة الاتصالات عبر شبكة عمومية من خلال تشفير البيانات. يتيح بروتوكول مصافحة TLS للخادم والعميل تقديم مصادقة متبادلة والتوصل بالتفاوض إلى منوال تشفير ومفاتيح شفرة قبل إرسال البيانات.
تعرف هذه الإعدادات البروتوكول والمسوغات المستخدمة لمصادقة مستخدمٍ ما. في TTLS (تأمين طبقة النقل النفقي) يستخدم العميل EAP-TLS للتحقق من الخادم وإنشاء قناة بتشفير TLS بين العميل والخادم، يستطيع العميل استخدام بروتوكول مصادقة آخر. في العادة تقوم البروتوكولات القائمة على كلمات المرور بالاستبيان عبر قناة بتشفير TLS غير مكشوفة. تدعم تطبيقات TTLS اليوم كافة الأساليب التي يعرفها EAP، إضافة إلى العديد من الأساليب الأقدم (PAP وCHAP وMS-CHAP وMS-CHAP-V2). يمكن تمديد TTLS بسهولة للعمل مع بروتوكولات جديدة عن طريق تعريف سمات جديدة لدعم البروتوكولات الجديدة.
PEAP نوع مصادقة جديد ببروتوكول IEEE 802.1X للمصادقة المتوسع (EAP) مصمم للاستفادة من بروتوكول المصادقة المتوسع – تأمين طبقة النقل (EAP-TLS) على جانب الخادم ودعم مختلف أساليب المصادقة، بما فيها كلمات مرور المستخدم وكلمات مرور المرة الواحدة وبطاقات الرموز المميزة العامة.
وهو إصدار من بروتوكول المصادقة المتوسع (EAP). وعلى وجه التفصيل فإن بروتوكول المصادقة المتوسع الخفيف (LEAP) بروتوكول مصادقة متوسع خاص طورته شركة Cisco يتيح آلية استبيان-استجابة للمصادقة وتعيين لمفاتيح WEP ديناميكياً.
أسلوب بروتوكول المصادقة المتوسع لتعريف مشترك GSM (EAP-SIM) عبارة عن آلية للمصادقة وتوزيع مفاتيح الجلسات. وهو يستخدم وحدة تعريف المشتركين (SIM) للنظام العالمي للاتصالات المتنقلة (GSM). يستخدم EAP-SIM في تشفير البيانات مفتاح WEP ديناميكي حسب الجلسة يستقى من محول العميل وخادم RADIUS، ويتطلب EAP-SIM منك إدخال كود تحقيق مستخدم - أو رقم تعريف شخصي - للاتصال ببطاقة وحدة تعريف المشترك (SIM)، وبطاقة SIM هذه عبارة عن بطاقة ذكية خاصة تستخدمها الشبكات الخليوية الرقمية القائمة على نظام النظام العالمي للاتصالات الجوالة (GSM). يضم RFC 4186 وصف EAP-SIM.
EAP-AKA (أسلوب بروتوكول المصادقة المتوسع لمصادقة UMTS واتفاق المفاتيح) عبارة عن آلية EAP للمصادقة وتوزيع مفاتيح الجلسات، تستخدم وحدة تعريف المشترك (USIM) التابعة لنظام الاتصالات الجوالة العالمي (UMTS). بطاقة USIM عبارة عن بطاقة ذكية من نوع خاص تستخدم مع الشبكات الخليوية للتحقق من مستخدمٍ ما محدد مع الشبكة.
بروتوكول المصادقة بكلمة مرور هو بروتوكول مصافحة ثنائية الاتجاه مصمم للاستخدام مع PPP. بروتوكول المصادقة بكلمة مرور عبارة عن كلمات مرور من نص عادي مستخدم على نظم SLIP القديمة، وهو غير مؤمَّن. لا يتاح إلا لنوع المصادقة TTLS.
بروتوكول مصادقة مصافحة الاستبيان هو بروتوكول مصافحة ثلاثي الاتجاه يعتبر أكثر أمانًا من بروتوكول المصادقة بكلمات المرور. لا يتاح إلا لنوع المصادقة TTLS.
يستخدم إصدار لشركة Microsoft من بروتوكول RSA Message Digest 4 للاستبيان والجواب، وهو لا يعمل إلا على نظم Microsoft ويتيح تشفير البيانات. يؤدي تحديد أسلوب المصادقة هذا إلى تشفير كل البياتات. لا يتاح إلا لنوع المصادقة TTLS.
يتيح ميزة إضافية غير موجودة مع MS-CHAP-V1 ولا مصادقة CHAP القياسية، ألا وهي ميزة تغيير كلمة المرور والتي تسمح للعميل بتغيير كلمة مرور الحساب إذا أبلغ خادم RADIUS بانقضاء كلمة المرور. يتاح لنوعي المصادقة TTLS وPEAP.
يحمل بطاقات رموز مميزة محددة للمصادقة، والميزة الرئيسية في GTC هي المصادقة القائمة على الشهادات الرقمية/بطاقات الرموز المميزة، كما يتضمن GTC إمكانية إخفاء هويات أسماء المستخدمين حتى يتأسس نفق TLS المشفر مما يتيح سرية إضافية تحول دون بث أسماء المستخدمين خلال مرحلة المصادقة. لا يتاح إلا لنوع المصادقة PEAP.
المستهدف من بروتوكول TLS هو تأمين ومصادقة الاتصالات عبر شبكة عمومية من خلال تشفير البيانات. يتيح بروتوكول مصافحة TLS للخادم والعميل تقديم مصادقة متبادلة والتوصل بالتفاوض إلى منوال تشفير ومفاتيح شفرة قبل إرسال البيانات. لا يتاح إلا لنوع المصادقة PEAP.
يمثل Cisco) LEAP CiscoالخفيفEAP) مصادقة 802.1X للخادم والعميل من خلال كلمة مرور للدخول يقدمها المستخدم. عندما تتصل نقطة وصول لاسلكية بخادم RADIUS به تمكين Cisco LEAP (خادم Ciscoلضبط الوصول الآمن [ACS]) يتيح Cisco LEAP ضبط الوصول من خلال المصادقة المتبادلة بين محولات WiFi العميل والشبكات اللاسلكية، كما يتيح مفاتيح تشفير مستخدم مفردة ديناميكية للإعانة على حماية خصوصية البيانات المنقولة.
توفر ميزة Cisco للتأمين من نقاط الوصول الدخيلة حماية تأمين من إدخال نقطة وصول دخيلة تستطيع محاكاة نقطة وصول مشروعة على شبكة بغية استخلاص معلومات عن مسوغات المستخدمين وبروتوكولات المصادقة مما قد يخل بالتأمين، ولا تعمل هذه الميزة إلا مع مصادقة LEAP من Cisco. لا تحمي تكنولوجيا 802.11 القياسية الشبكات من إدخال نقطة وصول دخيلة. انظر مصادقة LEAP للحصول على مزيدٍ من المعلومات.
تدعم بعض نقاط الوصول، مثل Cisco 350 وCisco 1200، البيئات التي لا تدعم كل محطات العملاء فيها تشفير WEP، مما يطلق عليه اسم وضع الخلايا المختلطة. عندما تعمل تلك الشبكات اللاسلكية في وضع "التشفير الاختياري" ترسل محطات العملاء المنضمة بوضع WEP كافة الرسائل مشفرةً، بينما ترسل المحطات التي تستخدم الوضع القياسي كافة الرسائل غير مشفرة، وتعلن نقاط الوصول هذه عن عدم استخدام الشبكة للتشفير إلا إنها تسمح بالعملاء الذين يستخدمون وضع WEP. في حالة تمكين "الخلايا المختلطة" في توصيفٍ ما فإن ذلك يتيح لك التوصيل بنقاط الوصول المشَكلة على "التشفير التلقائي".
بروتوكولCisco للسلامة باستخدام المفاتيح (CKIP) هو بروتوكول تأمين Ciscoخاص للتشفير في وسط 802.11. يستخدم CKIP الميزات التالية لتحسين تأمين 802.11 في وضع البنية الأساسية:
ملحوظة: لا يستخدم CKIP مع مصادقة الشبكة WPA/WPA2 شخصي/مؤسسي.
ملحوظة: لا يُدعم CKIP إلا من خلال استخدام أداة توصيل WiFi المساعدة على Windows XP.
إذا سمح تشكيل شبكة محلية لاسلكية بإعادة التوصيل السريع يستطيع أي جهاز عميل به تمكين LEAP التجوال من نقطة وصول لأخرى دون تدخل من الخادم الرئيسي، حيث تقوم نقطة وصول يسمح تشكيلها بتقديم خدمات النطاق اللاسلكية (WDS) مقام خادم RADIUS وتصادق العميل دون تأخير ملحوظ في تطبيقات الصوت أو غيرها من تطبيقات الحرج الزمني، وذلك عن طريق استخدام إدارة مفاتيح Cisco المركزية (CCKM).
تدعم بعض نقاط الوصول، مثل Cisco 350 وCisco 1200، البيئات التي لا تدعم كل محطات العملاء فيها تشفير WEP، مما يطلق عليه اسم وضع الخلايا المختلطة. عندما تعمل تلك الشبكات اللاسلكية في وضع "التشفير الاختياري" ترسل محطات العملاء المنضمة بوضع WEP كافة الرسائل مشفرةً، بينما ترسل المحطات التي تستخدم الوضع القياسي كافة الرسائل غير مشفرة، وتعلن نقاط الوصول هذه عن عدم استخدام الشبكة للتشفير إلا إنها تسمح بالعملاء الذين يستخدمون وضع WEP. في حالة تمكين "الخلايا المختلطة" في توصيفٍ ما فإن ذلك يتيح لك التوصيل بنقاط الوصول المشَكلة على "التشفير التلقائي".
في حالة تمكين هذه الميزة يتيح محول WiFi معلومات إدارة الراديو لبنية Cisco الأساسية. في حالة استخدام أداة Cisco المساعدة لإدارة الراديو على البنية الأساسية فإنها تشكل معاملات الراديو وتكشف التداخل وتكشف أيضاً نقاط الوصول الدخيلة.
يستخدم EAP-FAST، شأنه شأن EAP-TTLS وPEAP، الحماية النفقية للتناقل، والفارق الأساسي هو أن EAP-FAST لا يستخدم الشهادات للمصادقة. يقتصر التفاوض على التقديم في EAP-FAST على العميل كأول تبادل للاتصال عند طلب EAP-FAST من الخادم، فإذا لم يكن لدى العميل مسوغ وصول محمي (PAC) سري مشترك مسبقاً فيستطيع تهيئة تبادل EAP-FAST للتقديم من أجل الحصول على مسوغ من الخادم ديناميكياً.
يوثق EAP-FAST أسلوبين لتسليم مسوغ الوصول المحمي: التسليم اليدوي من خلال آلية مؤمَّنة خارج المدى والتقديم التلقائي.
وينقسم أسلوب EAP-FAST إلى قسمين: التقديم والمصادقة. تتضمن مرحلة التقديم التسليم المبدئي لمسوغ الوصول المحمي (PAC) للعميل، ولا يلزم إجراء هذه المرحلة إلا مرة واحدة لكل عميل ومستخدم.