Επισκόπηση ασφάλειας

Αυτή η ενότητα περιγράφει τις διάφορες μεθόδους ασφαλείας που χρησιμοποιούνται για τη προστασία των δικτύων WiFi.

• Ανοιχτός και κοινόχρηστος έλεγχος ταυτότητας κλειδιού
• Κρυπτογράφηση WEP
• WPA-Personal
• WPA2-Personal

Έλεγχος ταυτότητας 802.1Χ (ασφάλεια Enterprise)

• Επισκόπηση
• Τι είναι το RADIUS;
• Πώς λειτουργεί ο έλεγχος ταυτότητας 802.1Χ
• Δυνατότητες 802.1Χ

Τύποι ελέγχου ταυτότητας δικτύου

• Άνοιγμα
• Κοινόχρηστος
• WPA-Personal
• WPA2-Personal
• WPA-Enterprise
• WPA2-Enterprise

Τύποι κρυπτογράφησης δεδομένων

• AES-CCMP
• TKIP
• CKIP

Τύποι ελέγχου ταυτότητας

• TLS
• TTLS
• PEAP
• LEAP
• EAP-SIM
• EAP-FAST
• EAP-AKA

Πρωτόκολλα ελέγχου ταυτότητας

• PAP
• CHAP
• MS-CHAP
• MS-CHAP-V2:
• GTC
• TLS

Χαρακτηριστικά Cisco

• Cisco LEAP
• Χαρακτηριστικό ασφάλειας σημείου πρόσβασης βλαπτικών προγραμμάτων Cisco
• Πρωτόκολλο προστασίας μικτού περιβάλλοντος 802.11b και 802.11g
• CKIP
• Γρήγορη περιαγωγή (CCKM)
• Λειτουργία μικτών κελιών
• Διαχείριση ραδιοπρόσβασης

Ανοιχτός και κοινόχρηστος έλεγχος ταυτότητας

Το IEEE 802.11 υποστηρίζει δύο τύπους μεθόδων ελέγχου ταυτότητας δικτύου: Ανοιχτό σύστημα και Κοινόχρηστο κλειδί.

• Όταν χρησιμοποιείται ο ανοιχτός έλεγχος ταυτότητας, μπορεί να ζητήσει έλεγχο ταυτότητας οποιοσδήποτε ασύρματος σταθμός. Ο σταθμός που χρειάζεται να ελέγξει ταυτότητες με ένα άλλο ασύρματο σταθμό στέλνει ένα αίτημα διαχείρισης ελέγχου ταυτότητας που περιέχει την ταυτότητα του σταθμού αποστολής. Ο σταθμός λήψης ή το σημείο πρόσβασης παρέχει οποιαδήποτε αίτηση για έλεγχο ταυτότητας. Ο ανοιχτός έλεγχος ταυτότητας επιτρέπει πρόσβαση στο δίκτυο σε οποιαδήποτε συσκευή. Εάν δεν είναι ενεργοποιημένη η κρυπτογράφηση στο δίκτυο, είναι δυνατή η πρόσβαση στο δίκτυο οποιασδήποτε συσκευής που γνωρίζει το Αναγνωριστικό συνόλου υπηρεσιών (SSID) του σημείου πρόσβασης.
• Όταν χρησιμοποιείται έλεγχος ταυτότητας με κοινόχρηστο κλειδί , θεωρείται ότι κάθε ασύρματος σταθμός έλαβε ένα μυστικό κοινόχρηστο κλειδί σε ασφαλές κανάλι το οποίο είναι ανεξάρτητο από το κανάλι επικοινωνιών ασύρματου δικτύου 802.11. Αυτό το μυστικό κλειδί μπορεί να γίνει κοινόχρηστο μέσω μιας ενσύρματης σύνδεσης Ethernet ή με φυσική πρόσβαση χρησιμοποιώντας ένα stick μνήμης USB ή CD. Ο έλεγχος ταυτότητας με κοινόχρηστο κλειδί απαιτεί από τον πελάτη να ρυθμίσει τις παραμέτρους ενός στατικού κλειδιού WEP. Η πρόσβαση στον πελάτη δίνεται μόνο εάν περάσει τον έλεγχο ταυτότητας με βάση πρόκληση.

WEP

Το Wired Equivalent Privacy (WEP) χρησιμοποιεί κρυπτογράφηση για την πρόληψη μη εξουσιοδοτημένης λήψης ασύρματων δεδομένων. Το WEP χρησιμοποιεί ένα κλειδί κρυπτογράφησης για την κρυπτογράφηση των δεδομένων πριν τη μετάδοσή τους. Μόνο υπολογιστές που χρησιμοποιούν το ίδιο κλειδί κρυπτογράφησης μπορούν να αποκτούν πρόσβαση στο δίκτυο και να αποκρυπτογραφούν τα δεδομένα που μεταδόθηκαν από άλλους υπολογιστές. Η κρυπτογράφηση WEP παρέχει δύο επίπεδα ασφάλειας που χρησιμοποιούν κλειδί 64 bit (που μερικές φορές αναφέρεται ως 40 bit) ή κλειδί 128 bit (που είναι επίσης γνωστό ως 104 bit). Για ισχυρότερη ασφάλεια, χρησιμοποιήστε κλειδί 128 bit. Εάν χρησιμοποιείτε κρυπτογράφηση, όλες οι ασύρματες συσκευές στο ασύρματο δίκτυό σας πρέπει να χρησιμοποιούν τα ίδια κλειδιά κρυπτογράφησης.

Με την κρυπτογράφηση δεδομένων WEP, μπορούν να ρυθμιστούν οι παράμετροι ενός ασύρματου σταθμού με έως τέσσερα κλειδιά (οι τιμές του δείκτη κλειδιού είναι 1, 2, 3 και 4). Όταν ένα σημείο πρόσβασης ή ένας ασύρματος σταθμός μεταδίδει ένα κρυπτογραφημένο μήνυμα που χρησιμοποιεί ένα κλειδί που είναι αποθηκευμένο σε συγκεκριμένο δείκτη κλειδιού, το μεταδιδόμενο μήνυμα υποδεικνύει το δείκτη κλειδιού που χρησιμοποιήθηκε για την κρυπτογράφηση του κύριου τμήματος του μηνύματος. Το σημείο πρόσβασης ή ο ασύρματος σταθμός που κάνει τη λήψη μπορεί κατόπιν να ανακτήσει το κλειδί που είναι αποθηκευμένο στο δείκτη κλειδιού και να το χρησιμοποιεί για να αποκωδικοποιήσει το κρυπτογραφημένο κύριο τμήμα του μηνύματος.

Επειδή ο αλγόριθμος κρυπτογράφησης WEP είναι ευπαθής σε επιθέσεις δικτύου, πρέπει να χρησιμοποιήσετε την ασφάλεια WPA-Personal ή WPA2-Personal.

WPA-Personal

Η λειτουργία WPA-Personal προορίζεται για σπίτια και μικρές επιχειρήσεις. Η λειτουργία WPA Personal απαιτεί μη αυτόματη ρύθμιση των παραμέτρων ενός προκοινόχρηστου κλειδιού (PSK) στο σημείο πρόσβασης και τους πελάτες. Δεν απαιτείται κανένας διακομιστής ελέγχου ταυτότητας. Πρέπει να χρησιμοποιείτε τον ίδιο κωδικό πρόσβασης που εισηγάγατε στο σημείο πρόσβασης και στον υπολογιστή αυτό και σε όλες τις άλλες ασύρματες συσκευές που έχουν πρόσβαση στο ασύρματο δίκτυο. Η ασφάλεια εξαρτάται από τη ισχύ και την μυστικότητα του κωδικού πρόσβασης. Όσους περισσότερους χαρακτήρες έχει αυτός ο κωδικός πρόσβασης, τόσο ισχυρότερη είναι η ασφάλεια του ασύρματου δικτύου. Εάν το σημείο ασύρματης πρόσβασης ή ο δρομολογητής που διαθέτετε υποστηρίζει WPA-Personal και WPA2-Personal, θα πρέπει να το ενεργοποιήσετε στο σημείο πρόσβασης και να δώσετε ένα ισχυρό κωδικό πρόσβασης πολλών χαρακτήρων. Η WPA-Personal επιτρέπει τη διαθεσιμότητα των αλγορίθμων κρυπτογράφησης δεδομένων TKIP και AES-CCMP.

WPA2-Personal

Η λειτουργία WPA2-Personal απαιτεί μη αυτόματη ρύθμιση των παραμέτρων ενός προκοινόχρηστου κλειδιού (PSK) στο σημείο πρόσβασης και τους πελάτες. Δεν απαιτείται κανένας διακομιστής ελέγχου ταυτότητας. Πρέπει να χρησιμοποιείτε τον ίδιο κωδικό πρόσβασης που εισηγάγατε στο σημείο πρόσβασης και στον υπολογιστή αυτό και σε όλες τις άλλες ασύρματες συσκευές που έχουν πρόσβαση στο ασύρματο δίκτυο. Η ασφάλεια εξαρτάται από τη ισχύ και την μυστικότητα του κωδικού πρόσβασης. Όσους περισσότερους χαρακτήρες έχει αυτός ο κωδικός πρόσβασης, τόσο ισχυρότερη είναι η ασφάλεια του ασύρματου δικτύου. Η WPA2 αποτελεί βελτίωση σε σχέση με το WPA και εφαρμόζει το πλήρες πρότυπο IEEE 802.11i. Η WPA2 δεν είναι συμβατή με τη WPA. Η WPA2-Personal επιτρέπει τη διαθεσιμότητα των αλγορίθμων κρυπτογράφησης δεδομένων TKIP και AES-CCMP.

Έλεγχος ταυτότητας 802.1Χ (ασφάλεια Enterprise)

Η ενότητα αυτή περιγράφει την συνήθη ασφάλεια που χρησιμοποιείται από μεγάλες εταιρείες.

Επισκόπηση
Τι είναι το RADIUS;
Πώς λειτουργεί ο έλεγχος ταυτότητας 802.1Χ
Δυνατότητες 802.1Χ

Επισκόπηση

Ο έλεγχος ταυτότητας 802.1Χ είναι ανεξάρτητος από τη διαδικασία ελέγχου ταυτότητας 802.11. Το πρότυπο 802.11 παρέχει ένα πλαίσιο εργασίας για διάφορα πρωτόκολλα ελέγχου ταυτότητας και διαχείρισης κλειδιού. Υπάρχουν διαφορετικοί έλεγχοι ταυτότητας 802.1Χ. Καθένας παρέχει μια διαφορετική προσέγγιση στον έλεγχο ταυτότητας αλλά όλοι χρησιμοποιούν το ίδιο πρωτόκολλο και πλαίσιο εργασίας 802.11 για επικοινωνία μεταξύ πελάτη και σημείου πρόσβασης. Στα περισσότερα πρωτόκολλα, αμέσως μετά την ολοκλήρωση της διαδικασίας ελέγχου ταυτότητας 802.1Χ, ο πελάτης λαμβάνει ένα κλειδί που το χρησιμοποιεί για κρυπτογράφηση δεδομένων. Ανατρέξτε στην ενότητα Πώς λειτουργεί ο έλεγχος ταυτότητας 802.1Χ για περισσότερες πληροφορίες. Με τον έλεγχο ταυτότητας 802.1Χ, μια μέθοδος ελέγχου ταυτότητας χρησιμοποιείται μεταξύ του πελάτη και ενός διακομιστή (για παράδειγμα ενός διακομιστή RADIUS (Remote Authentication Dial-In User Service), που είναι συνδεδεμένος στο σημείο πρόσβασης. Η διαδικασία ελέγχου ταυτότητας χρησιμοποιεί πιστοποιήσεις, όπως έναν κωδικό πρόσβασης χρήστη που δεν μεταδίδεται μέσω ασύρματου δικτύου. Οι περισσότεροι τύποι 802.1Χ υποστηρίζουν δυναμικά κλειδιά ανά χρήστη και ανά συνεδρία για να ενδυναμώσουν την ασφάλεια του κλειδιού. Ο έλεγχος ταυτότητας 802.1Χ ωφελείται από τη χρήση ενός υπάρχοντος πρωτοκόλλου ελέγχου ταυτότητας, γνωστό ως EAP (Extensible Authentication Protocol).

Ο έλεγχος ταυτότητας 802.1X για ασύρματα δίκτυα αποτελείται από τρία κύρια συστατικά:

• Τον ελεγκτή ταυτότητας (το σημείο πρόσβασης)
• Το σύστημα υποδοχής (το λογισμικό του πελάτη)
• Ο διακομιστής ελέγχου ταυτότητας

Η ασφάλεια ελέγχου ταυτότητας 802.1Χ εκκινεί μια αίτηση ελέγχου ταυτότητας από τον ασύρματο πελάτη στο σημείο πρόσβασης, το οποίο ελέγχει την ταυτότητα του πελάτη σε ένα διακομιστή RADIUS συμβατό με το πρωτόκολλο EAP (Extensible Authentication Protocol). Αυτός ο διακομιστής RADIUS μπορεί να ελέγχει την ταυτότητα είτε του χρήστη (μέσω κωδικών πρόσβασης ή πιστοποιητικών) είτε του συστήματος (από τη διεύθυνση MAC). Θεωρητικά, δεν επιτρέπεται στον ασύρματο πελάτη να συνδεθεί με τα δίκτυα έως ότου ολοκληρωθεί η συναλλαγή. (Δεν χρησιμοποιούν διακομιστή RADIUS όλες οι μέθοδοι ελέγχου ταυτότητας. Οι WPA-Personal και WPA2-Personal χρησιμοποιούν ένα κοινό κωδικό πρόσβασης που πρέπει να πληκτρολογηθεί στο σημείο πρόσβασης σε όλες τις συσκευές που ζητούν πρόσβαση στο δίκτυο.)

Υπάρχουν αρκετοί αλγόριθμοι ελέγχου ταυτότητας που χρησιμοποιούνται με 802.1X. Για παράδειγμα: EAP-TLS, EAP-TTLS, Protected EAP (PEAP) και EAP Cisco Wireless Light Extensible Authentication Protocol (LEAP). Αυτές είναι όλες μέθοδοι αναγνώρισης του ασύρματου πελάτη στο διακομιστή RADIUS. Με τον έλεγχο ταυτότητας RADIUS, οι ταυτότητες χρήστη ελέγχονται έναντι των βάσεων δεδομένων. Το RADIUS αποτελεί ένα σύνολο προτύπων που αντιμετωπίζουν τον έλεγχο ταυτότητας, την εξουσιοδότηση και τη λογιστική (Authentication, Authorization, Accounting (AAA)). Το RADIUS περιλαμβάνει μια διαδικασία μεσολάβησης για την επικύρωση πελατών σε περιβάλλον πολλαπλών διακομιστών. Το πρότυπο IEEE 802.1Χ παρέχει έναν μηχανισμό για τον έλεγχο και την πρόσβαση ελέγχου ταυτότητας σε ασύρματα 802.11 βάσει θύρας και ενσύρματα δίκτυα Ethernet. Ο έλεγχος πρόσβασης δικτύου βάσει θύρας είναι παρόμοιος με μια υποδομή τοπικού δικτύου (LAN) μεταγωγής που ελέγχει την ταυτότητα συσκευών που συνδέονται σε θύρα LAN και αποτρέπουν την πρόσβαση στη θύρα αυτή, εάν αποτύχει η διαδικασία ελέγχου ταυτότητας.

Τι είναι το RADIUS;

Το RADIUS (Remote Authentication Dial-In User Service) είναι ένα πρωτόκολλο πελάτη-διακομιστή για έλεγχο ταυτότητας, εξουσιοδότηση και λογιστική (Authentication, Authorization, Accounting (AAA)), που χρησιμοποιείται όταν ο πελάτης με σύνδεση μέσω τηλεφώνου (dial-up) AAA συνδέεται ή τερματίζει τη σύνδεση του από ένα διακομιστή πρόσβασης δικτύου. Συνήθως, ο διακομιστής RADIUS χρησιμοποιείται από τις υπηρεσίες παροχής Διαδικτύου (ISP) για την εκτέλεση εργασιών AAA. Οι φάσεις ΑΑΑ περιγράφονται ως ακολούθως:

• Φάση ελέγχου ταυτότητας: Επαληθεύει ένα όνομα χρήστη και κωδικό πρόσβασης έναντι μιας τοπικής βάσης δεδομένων. Μετά την επικύρωση των πιστοποιήσεων, αρχίζει η διαδικασία ελέγχου ταυτότητας.
• Φάση εξουσιοδότησης: Καθορίζει εάν επιτρέπεται πρόσβαση μιας αίτησης σε ένα πόρο. Μια διεύθυνση IP εκχωρείται για έναν πελάτη dial-up.
• Φάση λογιστικής: Συλλέγει πληροφορίες για τη χρήση πόρων με σκοπό την ανάλυση τάσεων, το λογιστικό έλεγχο, την τιμολόγηση χρόνου περιόδου χρήσης ή την κατανομή εξόδων.

Πώς λειτουργεί ο έλεγχος ταυτότητας 802.1Χ

Ακολουθεί μια απλοποιημένη περιγραφή του τρόπου λειτουργίας του ελέγχου ταυτότητας 802.1X.

1. Ένας πελάτης στέλνει μήνυμα "αίτησης για πρόσβαση" σε σημείο πρόσβασης. Το σημείο πρόσβασης ζητά την ταυτότητα του πελάτη.
2. Ο πελάτης απαντά με το πακέτο ταυτότητάς του το οποίο περνά στο διακομιστή ελέγχου ταυτότητας.
3. Ο διακομιστής ελέγχου ταυτότητας στέλνει ένα πακέτο "αποδοχής" στο σημείο πρόσβασης.
4. Το σημείο πρόσβασης τοποθετεί τη θύρα πελάτη στην εξουσιοδοτημένη κατάσταση και επιτρέπεται στην κίνηση δεδομένων να συνεχιστεί.

Δυνατότητες 802.1Χ

Υποστηριζόμενες μέθοδοι ελέγχου ταυτότητας σε Windows XP:

• Υποστήριξη πρωτοκόλλου συστήματος υποδοχής 802.1Χ
• Υποστήριξη για το πρωτόκολλο EAP (Extensible Authentication Protocol) - RFC 2284
• Υποστηριζόμενες μέθοδοι ελέγχου ταυτότητας σε Windows XP:
  • Πρωτόκολλο ελέγχου ταυτότητας EAP TLS - RFC 2716 και RFC 2246
  • EAP tunneled TLS (TTLS)
  • Cisco LEAP
  • PEAP
  • EAP-SIM
  • EAP-FAST
  • EAP-AKA

Έλεγχος ταυτότητας δικτύου

Άνοιγμα

Βλ. Ανοιχτός έλεγχος ταυτότητας.

Κοινόχρηστος

Βλ. Κοινόχρηστος έλεγχος ταυτότητας.

WPA-Personal

Βλ. WPA-Personal:

WPA2-Personal

Βλ. WPA2-Personal.

WPA Enterprise

Ο έλεγχος ταυτότητας της εταιρικής λειτουργίας προορίζεται για εταιρικά ή κυβερνητικά περιβάλλοντα. Η WPA Enterprise επαληθεύει τους χρήστες δικτύου μέσω RADIUS ή άλλου διακομιστή ελέγχου ταυτότητας. Το WPA χρησιμοποιεί κλειδιά κρυπτογράφησης 128 bit και κλειδιά δυναμικής περιόδου χρήσης για να διασφαλίσει την προστασία του απόρρητου και την εταιρική ασφάλεια του ασύρματου δικτύου σας. Επιλέγεται τύπος ελέγχου ταυτότητας που αντιστοιχεί στο πρωτόκολλο ελέγχου ταυτότητας του διακομιστή 802.1Χ.

WPA2 Enterprise

Ο έλεγχος ταυτότητας της WPA Enterprise προορίζεται για εταιρικά ή κυβερνητικά περιβάλλοντα. Η WPA2 Enterprise επαληθεύει τους χρήστες δικτύου μέσω RADIUS ή άλλου διακομιστή ελέγχου ταυτότητας. Η WPA2 χρησιμοποιεί κλειδιά κρυπτογράφησης 128 bit και κλειδιά δυναμικής περιόδου χρήσης για να διασφαλίσει την προστασία του απόρρητου και την εταιρική ασφάλεια του ασύρματου δικτύου σας. Επιλέγεται τύπος ελέγχου ταυτότητας που αντιστοιχεί στο πρωτόκολλο ελέγχου ταυτότητας του διακομιστή 802.1Χ. Η εταιρική λειτουργία προορίζεται για εταιρικά ή κυβερνητικά περιβάλλοντα. Η WPA2 αποτελεί βελτίωση σε σχέση με το WPA και εφαρμόζει το πλήρες πρότυπο IEEE 802.11i.

Κρυπτογράφηση δεδομένων

AES-CCMP

Πρωτόκολλο Advanced Encryption Standard - Counter CBC-MAC. Η νέα μέθοδος για την προστασία του απόρρητου των ασύρματων μεταδόσεων όπως ορίζεται στο πρότυπο IEEE 802.11i. Το AES-CCMP παρέχει ισχυρότερη μέθοδο κρυπτογράφησης από το TKIP. Επιλέξτε το AES-CCMP ως τη μέθοδο κρυπτογράφησης δεδομένων όταν είναι σημαντική η ισχυρή προστασία δεδομένων. Το AES-CCMP διατίθεται με τον έλεγχο ταυτότητας WPA/WPA2 Personal/Enterprise.

TKIP

Το Temporal Key Integrity Protocol παρέχει ανάμιξη κλειδιών ανά πακέτο, έλεγχο ακεραιότητας μηνύματος και μηχανισμό αναπαραγωγής κλειδιών. Το TKIP διατίθεται με τον έλεγχο ταυτότητας WPA/WPA2 Personal/Enterprise.

CKIP

See CKIP.

WEP

Το Wired Equivalent Privacy (WEP) χρησιμοποιεί κρυπτογράφηση για την πρόληψη μη εξουσιοδοτημένης λήψης ασύρματων δεδομένων. Το WEP χρησιμοποιεί ένα κλειδί κρυπτογράφησης για την κρυπτογράφηση των δεδομένων πριν τη μετάδοσή τους. Μόνο υπολογιστές που χρησιμοποιούν το ίδιο κλειδί κρυπτογράφησης μπορούν να αποκτούν πρόσβαση στο δίκτυο και να αποκρυπτογραφούν τα δεδομένα που μεταδόθηκαν από άλλους υπολογιστές. Η Enterprise WEP δεν είναι ακριβώς το ίδιο με την προσωπική WEP, γιατί μπορείτε να επιλέξετε Ανοιχτό έλεγχο ταυτότητας και στη συνέχεια να κάνετε κλικ στο Ενεργοποίηση 802.1X και να μπορέσετε να επιλέξετε από όλους τους τύπους ελέγχου ταυτότητας πελάτη. Η επιλογή τύπως ελέγχου ταυτότητας δεν διατίθεται στη προσωπική WEP.

Τύποι ελέγχου ταυτότητας

TLS

Ένας τύπος μεθόδου ελέγχου ταυτότητας που χρησιμοποιεί Extensible Authentication Protocol (EAP) και ένα πρωτόκολλο ασφάλειας που καλείται Transport Layer Security (TLS). Το EAP-TLS χρησιμοποιεί πιστοποιητικά που χρησιμοποιούν κωδικούς πρόσβασης. Ο έλεγχος ταυτότητας EAP-TLS υποστηρίζει δυναμική διαχείριση κλειδιών WEP. Το πρωτόκολλο TLS προορίζεται για την ασφάλεια και τον έλεγχο ταυτότητας επικοινωνιών σε δημόσιο δίκτυο μέσω κρυπτογράφησης δεδομένων. Το πρωτόκολλο χειραψίας TLS επιτρέπει στο διακομιστή και τον πελάτη να παρέχουν αμοιβαίο έλεγχο ταυτότητας και να διαπραγματεύονται έναν αλγόριθμο κρυπτογράφησης και κρυπτογραφημένα κλειδιά πριν τη μετάδοση των δεδομένων.

TTLS

Οι ρυθμίσεις αυτές ορίζουν το πρωτόκολλο και τις πιστοποιήσεις που χρησιμοποιούνται για τον έλεγχο ταυτότητας ενός χρήστη. Σε TTLS (Tunneled Transport Layer Security), ο πελάτης χρησιμοποιεί EAP-TLS για να επικυρώσει το διακομιστή και να δημιουργήσει ένα κανάλι κρυπτογραφημένο με TLS μεταξύ του πελάτη και του διακομιστή. Ο πελάτης μπορεί να χρησιμοποιεί ένα άλλο πρωτόκολλο ελέγχου ταυτότητας. Τα πρωτόκολλα που βασίζονται σε κωδικό πρόσβασης συνήθως δημιουργούν προκλήσεις σε μη εκτεθειμένο κανάλι κρυπτογραφημένο με TLS. Σήμερα, οι εφαρμογές TTLS υποστηρίζουν όλες τις μεθόδους που ορίζονται από το EAP, καθώς και αρκετές παλαιότερες μεθόδους (PAP, CHAP, MS-CHAP and MS-CHAP-V2). Το TTLS μπορεί να επεκταθεί εύκολα για να λειτουργήσει με νέα πρωτόκολλα ορίζοντας νέες ιδιότητες για την υποστήριξη νέων πρωτοκόλλων.

PEAP

Το PEAP είναι ένας νέος τύπος ελέγχου ταυτότητας Extensible Authentication Protocol (EAP) IEEE 802.1Χ που είναι σχεδιασμένος να εκμεταλλεύεται EAP-Transport Layer Security (EAP-TLS) από την πλευρά του διακομιστή και να υποστηρίζει διάφορες μεθόδους ελέγχου ταυτότητας, περιλαμβανομένων κωδικών πρόσβασης χρηστών, μονόχρηστων κωδικών πρόσβαης και Generic Token Cards.

LEAP

Μια έκδοση του Extensible Authentication Protocol (EAP). Το Light Extensible Authentication Protocol (LEAP) είναι ένα ιδιόκτητο επεκτάσιμο πρωτόκολλο ελέγχου ταυτότητας το οποίο αναπτύχθηκε από τη Cisco και παρέχει ένα μηχανισμό ελέγχου ταυτότητας που ανταποκρίνεται σε πρόκληση και εκχώρηση δυναμικού κλειδιού.

EAP-SIM

Η μέθοδος πρωτοκόλλου επεκτάσιμου ελέγχου ταυτότητας για την ταυτότητα συνδρομητή GSM (Extensible Authentication Protocol Method for GSM Subscriber Identity, EAP-SIM) είναι ένας μηχανισμός ελέγχου ταυτότητας και διανομής κλειδιού συνεδρίας. Χρησιμοποιεί την μονάδα ταυτότητας συνδρομητή (Subscriber Identity Module, SIM) του παγκόσμιου συστήματος κινητής επικοινωνίας (Global System for Mobile Communications, GSM). Το EAP-SIM χρησιμοποιεί δυναμικό κλειδί WEP που βασίζεται στη συνεδρία, το οποίο προέρχεται από τον προσαρμογέα πελάτη και το διακομιστή RADIUS, για την κρυπτογράφηση των δεδομένων. Το EAP-SIM απαιτεί να εισάγετε κωδικό επικύρωσης χρήστη, ή PIN, για επικοινωνία με την κάρτα Subscriber Identity Module (SIM). Η κάρτα SIM είναι μια ειδική έξυπνη κάρτα που χρησιμοποιείται από ψηφιακά κυψελωτά δίκτυα Global System for Mobile Communications (GSM). Το RFC 4186 περιγράφει το EAP-SIM.

EAP-AKA

Το EAP-AKA (Μηχανισμός πιστοποίησης επεκτάσιμου πρωτοκόλλου πιστοποίησης με τη μέθοδο πιστοποίησης και καθορισμού κλειδιού) είναι ένας μηχανισμός EAP για τον έλεγχο ταυτότητας και τη διανομή κλειδιών περιόδου λειτουργίας με τη χρήση της μονάδας ταυτότητας συνδρομητή (USIM) του παγκόσμιου συστήματος κινητών τηλεπικοινωνιών (UMTS). Η κάρτα USIM είναι μια ειδική έξυπνη κάρτα που χρησιμοποιείται με τα δίκτυα κινητής τηλεφωνίας για την επικύρωση ενός συγκεκριμένου χρήστη με το δίκτυο.

Πρωτόκολλα ελέγχου ταυτότητας

PAP

Το Password Authentication Protocol είναι ένα αμφίδρομο πρωτόκολλο χειραψίας σχεδιασμένο να χρησιμοποιείται με PPP. Το Password Authentication Protocol είναι ένα κωδικό πρόσβασης απλού κειμένου που χρησιμοποιείται σε παλαιότερα συστήματα SLIP. Δεν είναι ασφαλές. Διατίθεται μόνο για τύπο ελέγχου ταυτότητας TTLS.

CHAP

Το Challenge Handshake Authentication Protocol είναι ένα τρίδρομο πρωτόκολλο χειραψίας που θεωρείται πιο ασφαλές από το πρωτόκολλο ελέγχου ταυτότητας. Διατίθεται μόνο για τύπο ελέγχου ταυτότητας TTLS.

MS-CHAP (MD4)

Χρησιμοποιεί έκδοση Microsoft του πρωτοκόλλου πρόκλησης και απάντησης RSA Message Digest 4. Αυτό το πρωτόκολλο λειτουργεί μόνο σε συστήματα Microsoft και επιτρέπει κρυπτογράφηση δεδομένων. Εάν επιλέξετε αυτή τη μέθοδο ελέγχου ταυτότητας, θα κρυπτογραφούνται όλα τα δεδομένα. Διατίθεται μόνο για τύπο ελέγχου ταυτότητας TTLS.

MS-CHAP-V2:

Εισάγει ένα πρόσθετο χαρακτηριστικό που δεν διατίθεται με MS-CHAP-V1 ή τυπικό έλεγχο ταυτότητας CHAP, το χαρακτηριστικό αλλαγής κωδικού πρόσβασης. Αυτό το χαρακτηριστικό επιτρέπει στον πελάτη να αλλάξει τον κωδικό πρόσβασης λογαριασμού αν ο διακομιστής RADIUS αναφέρει ότι έχει λήξει ο κωδικός πρόσβασης. Διατίθεται μόνο για τύπους ελέγχου ταυτότητας TTLS και PEAP.

Generic Token Card (GTC)

Φέρει κάρτες διακριτικού ειδικά του χρήστη για έλεγχο ταυτότητας. Το κύριο χαρακτηριστικό στο GTC είναι ο έλεγχος ταυτότητας με βάση ψηφιακή πιστοποίηση/κάρτα διακριτικού. Επιπλέον, το GTC περιλαμβάνει τη δυνατότητα απόκρυψης των ταυτοτήτων ονόματος χρήστη έως ότου γίνει η TLS κρυπτογραφημένη σήραγγα, η οποία παρέχει πρόσθετη εμπιστευτικότητα ότι τα ονόματα χρηστών δεν μεταδίδονται κατά τη φάση ελέγχου ταυτότητας. Διατίθεται μόνο για τύπο ελέγχου ταυτότητας PEAP.

TLS

Το πρωτόκολλο TLS προορίζεται για την ασφάλεια και τον έλεγχο ταυτότητας επικοινωνιών σε δημόσιο δίκτυο μέσω κρυπτογράφησης δεδομένων. Το πρωτόκολλο χειραψίας TLS επιτρέπει στο διακομιστή και τον πελάτη να παρέχουν αμοιβαίο έλεγχο ταυτότητας και να διαπραγματεύονται έναν αλγόριθμο κρυπτογράφησης και κρυπτογραφημένα κλειδιά πριν τη μετάδοση των δεδομένων. Διατίθεται μόνο για τύπο ελέγχου ταυτότητας PEAP.

Χαρακτηριστικά Cisco

Cisco LEAP

Το Cisco LEAP (Cisco Light EAP) είναι ένας έλεγχος ταυτότητας διακομιστή και πελάτη 802.1Χ μέσω κωδικού πρόσβασης σύνδεσης που παρέχεται από τον χρήστη. Όταν ένα ασύρματο σημείο πρόσβασης επικοινωνεί με RADIUS με δυνατότητα Cisco LEAP (ασφαλές Access Control Server (ACS) της Cisco), το Cisco LEAP παρέχει έλεγχο πρόσβασης μέσω αμοιβαίου ελέγχου ταυτότητας μεταξύ των ασύρματων προσαρμογέων πελάτη και του ασύρματου δικτύου και παρέχει δυναμικά κλειδιά κρυπτογράφησης ατομικού χρήστη για να βοηθήσει την προστασία του απόρρητου των μεταφερόμενων δεδομένων.

Χαρακτηριστικό ασφάλειας σημείου πρόσβασης βλαπτικών προγραμμάτων Cisco

Το χαρακτηριστικό σημείου πρόσβασης βλαπτικού προγράμματος Cisco παρέχει προστασία ασφάλειας από την εισαγωγή σημείου πρόσβασης βλαπτικού προγράμματος που μπορεί να μιμηθεί νόμιμο σημείο πρόσβασης σε δίκτυο προκειμένου να εξάγει πληροφορίες σχετικά με τις πιστοποιήσεις χρήστη και τα πρωτόκολλα ελέγχου ταυτότητας που θα μπορούσαν να επηρεάσουν αρνητικά την ασφάλεια. Το χαρακτηριστικό αυτό λειτουργεί μόνο με έλεγχο ταυτότητας LEAP της Cisco. Η τυπική τεχνολογία 802.11 δεν προστατεύει ένα δίκτυο από την εισαγωγή σημείου πρόσβασης βλαπτικού προγράμματος. Βλ. Έλεγχος ταυτότητας LEAP για περισσότερες πληροφορίες.

Πρωτόκολλο προστασίας μικτού περιβάλλοντος 802.11b και 802.11g

Μερικά σημεία πρόσβασης, για παράδειγμα το Cisco 350 ή το Cisco 1200, υποστηρίζουν περιβάλλοντα στα οποία δεν υποστηρίζουν την κρυπτογράφηση WEP όλοι οι σταθμοί πελατών. Αυτό λέγεται λειτουργία μικτών κελιών. Όταν αυτά τα ασύρματα δίκτυα λειτουργούν σε "προαιρετική κρυπτογράφηση", οι σταθμοί πελατών που συμμετέχουν στη λειτουργία WEP στέλνουν όλα τα μηνύματα κρυπτογραφημένα και οι σταθμοί που χρησιμοποιούν την τυπική λειτουργία στέλνουν όλα τα μηνύματα μη κρυπτογραφημένα. Αυτά τα σημεία πρόσβασης μεταδίδουν ότι το δίκτυο δεν χρησιμοποιεί κρυπτογράφηση, αλλά επιτρέπουν στους πελάτες να χρησιμοποιούν λειτουργία WEP. Όταν η λειτουργία Μικτών κελιών είναι ενεργοποιημένη στο προφίλ, σας επιτρέπει να συνδεθείτε στα σημεία πρόσβασης των οποίων οι παράμετροι είναι ρυθμισμένες για "προαιρετική κρυπτογράφηση".

CKIP

Το Cisco Key Integrity Protocol (CKIP) είναι ένα ιδιόκτητο πρωτόκολλο ασφάλειας της Cisco για κρυπτογράφηση δεδομένων σε μέσα 802.11. Το CKIP χρησιμοποιεί τα ακόλουθα χαρακτηριστικά για τη βελτίωση της ασφάλειας 802.11 σε λειτουργία υποδομής:

• Μετάθεση κλειδιού
• Αριθμός ακολουθίας μηνύματος

Γρήγορη περιαγωγή (CCKM)

Όταν ρυθμίζονται οι παράμετροι ενός ασύρματου τοπικού δικτύου (LAN) για γρήγορη επανασύνδεση, είναι δυνατή η περιαγωγή μιας συσκευής πελάτη με δυνατότητα LEAP από ένα σημείο πρόσβασης σε άλλο χωρίς τη μεσολάβηση του κύριου διακομιστή. Με τη χρήση του Cisco Centralized Key Management (CCKM), ένα σημείο πρόσβασης του οποίου έχουν ρυθμιστεί οι παράμετροι για να παρέχει Wireless Domain Services (WDS) αντικαθιστά το διακομιστή RADIUS και ελέγχει την ταυτότητα του πελάτη χωρίς εμφανή καθυστέρηση σε φωνητικές εφαρμογές ή άλλες εφαρμογές που είναι ευαίσθητες χρονικά.

Λειτουργία μικτών κελιών

Μερικά σημεία πρόσβασης, για παράδειγμα το Cisco 350 ή το Cisco 1200, υποστηρίζουν περιβάλλοντα στα οποία δεν υποστηρίζουν την κρυπτογράφηση WEP όλοι οι σταθμοί πελατών. Αυτό λέγεται λειτουργία μικτών κελιών. Όταν αυτά τα ασύρματα δίκτυα λειτουργούν σε "προαιρετική κρυπτογράφηση", οι σταθμοί πελατών που συμμετέχουν στη λειτουργία WEP στέλνουν όλα τα μηνύματα κρυπτογραφημένα και οι σταθμοί που χρησιμοποιούν την τυπική λειτουργία στέλνουν όλα τα μηνύματα μη κρυπτογραφημένα. Αυτά τα σημεία πρόσβασης μεταδίδουν ότι το δίκτυο δεν χρησιμοποιεί κρυπτογράφηση, αλλά επιτρέπουν στους πελάτες να χρησιμοποιούν λειτουργία WEP. Όταν η λειτουργία Μικτών κελιών είναι ενεργοποιημένη στο προφίλ, σας επιτρέπει να συνδεθείτε στα σημεία πρόσβασης των οποίων οι παράμετροι είναι ρυθμισμένοι για "προαιρετική κρυπτογράφηση".

Διαχείριση ραδιοπρόσβασης

Όταν είναι επιλεγμένο αυτό το χαρακτηριστικό, ο προσαρμογέας σας WiFi παρέχει πληροφορίες διαχείρισης ραδιοπρόσβασης στην υποδομή Cisco. Εάν το βοηθητικό πρόγραμμα Διαχείριση ραδιοπρόσβασης χρησιμοποιείται στην υποδομή, ρυθμίζει τις παραμέτρους της ραδιοπρόσβασης και ανιχνεύει παρεμβολές και σημεία πρόσβασης βλαπτικών προγραμμάτων.

EAP-FAST

Το EAP-FAST, όπως και τα EAP-TTLS και PEAP, χρησιμοποιεί διοχέτευση για την προστασία κίνησης. Η βασική διαφορά είναι ότι το EAP-FAST δεν χρησιμοποιεί πιστοποιητικά για έλεγχο ταυτότητας. Η παροχή στο EAP-FAST διαπραγματεύεται αποκλειστικά και μόνο από τον πελάτη ως η πρώτη ανταλλαγή επικοινωνίας όταν γίνεται αίτηση του EAP-FAST από το διακομιστή. Εάν ο πελάτης δεν έχει προ-κοινόχρηστο μυστικό PAC (Protected Access Credential), μπορεί να προετοιμάσει την παροχή ανταλλαγής EAP-FAST για να τη λάβει δυναμικά από τον διακομιστή.

Το EAP-FAST τεκμηριώνει δύο μεθόδους για να παραδώσει το PAC: μη αυτόματη παράδοση μέσω ασφαλούς μηχανισμούς εκτός ζώνης και αυτόματη παροχή.

• Οι μηχανισμοί μη αυτόματης παράδοσης είναι οποιοσδήποτε μηχανισμός παράδοσης που θεωρεί ο διαχειριστής του δικτύου αρκετά ασφαλή.
• Η αυτόματη παροχή καθιστά μια κρυπτογραφημένη διοχέτευση για την προστασία του ελέγχου ταυτότητας του πελάτη και την παράδοση PAC στον πελάτη. Αυτός ο μηχανισμός, αν και δεν είναι τόσο ασφαλής όσο ο μη αυτόματη μέθοδος, είναι περισσότερο ασφαλής από τη μέθοδο ελέγχου ταυτότητας που χρησιμοποιείται στο LEAP.

Η μέθοδος EAP-FAST μπορεί να χωριστεί σε δύο μέρη: Την παροχή και τον έλεγχο ταυτότητας. Η φάση παροχής περιλαμβάνει την αρχική παράδοση PAC στον πελάτη. Η φάση αυτή χρειάζεται να διεξαχθεί μόνο μία φορά ανά πελάτη και χρήστη.