סעיף זה מתאר את סוגי האבטחה השונים המסייעים בהגנה על רשתות WiFi.
אם הרשת האלחוטית מושארת ללא הגנה, היא תהיה חשופה לגישה ממחשבים אחרים. באפשרותך להגן בקלות על הרשת הביתית או של העסק הקטן מפני רוב צורות הגישה הלא מורשית, באמצעות שיטות אבטחה המתוארות בסעיף זה.
אימות הוא התהליך של זיהוי ואישור בקשה מלקוח (בדרך כלל מחשב נייד) לגישה לרשת בנקודת גישה לרשת. עם השלמת האימות והענקת הרשאת גישה, ללקוח יש גישה לרשת.
באפשרותך לבחור באלגוריתם של הצפנה כדי להצפין את המידע והנתונים הנשלחים דרך הרשת האלחוטית. רק מחשבים המצוידים במפתחות קדם-שיתוף יכולים להצפין ולפענח את הנתונים המשודרים. מפתחות שיתוף זמינים בשתי רמות אבטחה, 64 סיביות ו- 128 סיביות. השתמש במפתחות של 128 סיביות לאבטחה גבוהה יותר.
דרך פשוטה לשיפור אבטחת רשת היא הגדרת נקודת הגישה של הרשת כך שלא תשדר את ה- Service Set Identifier (SSID). ה- SSID נחוץ לשם קבלת גישה. רק מחשבים ה"יודעים" את ה- SSID יכולים לגשת לרשת. (הגדרה זו אינה מוגדרת במתאם באמצעות תוכנית השירות לחיבור Intel(R) PROSet/Wireless WiFi, אלא בנקודת הגישה).
IEEE 802.11 תומך בשני סוגים של שיטות אימות רשת: מערכת פתוחה ומפתח משותף.
הצפנה משמשת את Wired Equivalent Privacy (WEP) כדי לסייע במניעת קבלה של נתונים אלחוטיים ללא הרשאה. WEP משתמש במפתח הצפנה כדי להצפין נתונים לפני שידורם. רק מחשבים המשתמשים באותו מפתח הצפנה יכולים לגשת לרשת ולפענח את הנתונים אשר משודרים על-ידי מחשבים אחרים. הצפנת WEP מספקת שתי רמות אבטחה, באמצעות מפתח 64 סיביות (לעתים נקרא גם 40 סיביות) או מפתח 128 סיביות (המוכר גם כ- 104 סיביות). לאבטחה חזקה יותר, עליך להשתמש במפתח 128 סיביות. אם אתה משתמש בהצפנה, על כל ההתקנים האלחוטיים ברשת האלחוטית שלך להשתמש באותם מפתחות הצפנה.
עם הצפנת נתונים WEP, ניתן להגדיר תחנה אלחוטית עם עד ארבעה מפתחות (ערכי אינדקס המפתח הם 1, 2, 3 ו- 4). כאשר נקודת גישה (AP) או תחנה אלחוטית משדרים הודעה מוצפנת המשתמשת במפתח המאוחסן באינדקס מפתח מסוים, ההודעה המשודרת מציינת את אינדקס המפתח ששימש להצפנת גוף ההודעה. באפשרות נקודת הגישה או התחנה האלחוטית המקבלת לאחזר את המפתח המאוחסן באינדקס המפתח ולהשתמש בו כדי לפענח את גוף ההודעה המוצפן.
מכיוון שאלגוריתם ההצפנה של WEP פגיע להתקפות על הרשת, כדאי שתשקול להשתמש באבטחת WPA-אישי או WPA2-אישי.
מצב WPA אישי מיועד לסביבות ביתיות ושל עסקים קטנים. WPA אישי מחייב הגדרת תצורה ידנית של מפתח טרום שיתוף (PSK) בנקודות גישה ובלקוחות. אין צורך בשרת אימות. במחשב זה ובכל שאר ההתקנים האלחוטיים הניגשים לרשת האלחוטית, יש להשתמש באותה סיסמה שהוזנה בנקודת הגישה. האבטחה תלויה בחוזק ובסודיות של הסיסמה. ככל שהסיסמה ארוכה יותר, כך אבטחה של הרשת האלחוטית חזקה יותר. אם נקודת הגישה האלחוטית או הנתב תומכים ב- WPA-אישי וב- WPA2-אישי, אזי עליך לאפשר אותו בנקודת הגישה ולספק סיסמה ארוכה וחזקה. WPA-אישי הופך לזמינים את האלגוריתמים של הצפנת הנתונים TKIP ו- AES-CCMP.
WPA2 אישי מחייב הגדרת תצורה ידנית של מפתח טרום שיתוף (PSK) בנקודות גישה ובלקוחות. אין צורך בשרת אימות. במחשב זה ובכל שאר ההתקנים האלחוטיים הניגשים לרשת האלחוטית, יש להשתמש באותה סיסמה שהוזנה בנקודת הגישה. האבטחה תלויה בחוזק ובסודיות של הסיסמה. ככל שהסיסמה ארוכה יותר, כך אבטחה של הרשת האלחוטית חזקה יותר. WPA2 מהווה שיפור של WPA ומיישם במלואו את תקן IEEE 802.11i. WPA2 תואם לאחור ל- WPA. WPA2-אישי הופך לזמינים את האלגוריתמים של הצפנת הנתונים TKIP ו- AES-CCMP.
הערה: ל- WPA-אישי ול- WPA2-אישי יש יכולת לעבוד זה עם זה.
סעיף זה מתאר אבטחה הנמצאת בשימוש נפוץ בחברות גדולות יותר.
סקירה
מהו Radius?
אופן פעולת אימות 802.1X
תכונות 802.1X
אימות 802.1X אינו תלוי בתהליך האימות 802.11. תקן 802.11 מספק מסגרת עבור פרוטוקולים שונים של אימות וניהול מפתח. קיימים סוגים שונים של אימות 802.1X, כאשר כל אחד מהם מספק גישה שונה לאימות, אך כולם משתמשים באותו פרוטוקול 802.11 ומסגרת לתקשורת בין לקוח לנקודת גישה. ברוב הפרוטוקולים, לאחר השלמת תהליך האימות 802.1X, הלקוח מקבל מפתח ומשתמש בו להצפנת נתונים. לקבלת מידע נוסף, ראה "אופן פעולת אימות 802.1X". באימות 802.1X, נעשה שימוש בשיטת אימות בין הלקוח לשרת (לדוגמה, שרת Remote Authentication Dial-In User Service (RADIUS)) המחובר לנקודת הגישה. תהליך האימות משתמש בתעודות, כגון סיסמת משתמש, שאינן משודרות ברשת האלחוטית. רוב סוגי 802.1X תומכים במפתחות דינמיים לפי-משתמש ולפי-הפעלה, כדי לחזק את אבטחת המפתח. אימות 802.1X נהנה משימוש בפרוטוקול אימות קיים המוכר כ- Extensible Authentication Protocol (פרוטוקול אימות בר-הרחבה - EAP).
אימות 802.1X עבור רשתות אלחוטיות כולל שלושה רכיבים עיקריים:
אבטחת האימות 802.1X מאתחלת בקשת אישור מהלקוח האלחוטי אל נקודת הגישה, המאמת את הלקוח לשרת RADIUS התואם לפרוטוקול EAP. שרת RADIUS זה עשוי לאמת את המשתמש (באמצעות סיסמאות או אישורים) או את המערכת (באמצעות כתובת MAC). באופן תיאורטי, הלקוח האלחוטי אינו מורשה להצטרף לרשתות עד להשלמת הטרנזקציה. (לא בכל שיטות האימות נעשה שימוש בשרת RADIUS. WPA-אישי ו- WPA2-אישי משתמשים בסיסמה משותפת שיש להזינה בנקודת הגישה ובכל ההתקנים המבקשים לגשת לרשת.)
802.1X משתמש במספר אלגוריתמים לאימות. להלן דוגמאות אחדות: EAP-TLS, EAP-TTLS, EAP מוגן (PEAP) ו- EAP Cisco Wireless Light Extensible Authentication Protocol (LEAP). כל אלה הם שיטות המשמשות את הלקוח האלחוטי כדי להזדהות בפני שרת RADIUS. באימות RADIUS, זהויות משתמש נבדקות מול מסדי נתונים. RADIUS יוצר מערכת תקנים המטפלים באימות, הרשאה וניהול חשבונות (AAA). RADIUS כולל תהליך proxy המשמש לאימות לקוחות בסביבה מרובת-שרתים. התקן IEEE 802.1X מספק מנגנון לבקרה ולאימות גישה של רשתות Ethernet אלחוטיות ומחווטות 802.11 מבוססות-יציאות. בקרת גישה של רשת מבוססת-יציאה דומה לתשתית של רשת מקומית (LAN) ממותגת, המאמתת התקנים שמחוברים ליציאת ה- LAN ומונעת גישה ליציאה זו אם תהליך האימות נכשל.
RADIUS (שירות משתמש לאימות מרחוק בחיוג) הוא פרוטוקול לקוח-שרת לאישור, הרשאה וחשבונאות (AAA) שנעשה בו שימוש כאשר לקוח חיוג AAA מתחבר לשרת גישה לרשת או מתנתק ממנו. בדרך כלל, ספקי שירותי אינטרנט (ISP) משתמשים בשרת RADIUS לביצוע משימות AAA. להלן תיאור שלבי AAA:
להלן תיאור מפושט של אופן הפעולה של אימות 802.1X.
שיטות האימות הבאות נתמכות ב- Windows XP:
ראה "אימות פתוח".
ראה "אימות משותף".
ראה "WPA-אישי".
ראה "WPA2-אישי".
אימות מצב ארגוני מיועד לסביבות ארגוניות או ממשלתיות. WPA ארגוני מאמת משתמשי רשת דרך שרת RADIUS או שרת אימות אחר. WPA משתמש במפתחות הצפנה של 128 סיביות ובמפתחות הפעלה דינמיים, כדי להבטיח את הפרטיות והאבטחה הארגונית של הרשת האלחוטית. נבחר סוג אימות נבחר שיתאים לפרוטוקול האימות של שרת 802.1X.
אימות WPA ארגוני מיועד לסביבות ארגוניות או ממשלתיות. WPA2 ארגוני מאמת משתמשי רשת דרך שרת RADIUS או שרת אימות אחר. WPA2 משתמש במפתחות הצפנה של 128 סיביות ובמפתחות הפעלה דינמיים, כדי להבטיח את הפרטיות והאבטחה הארגונית של הרשת האלחוטית. נבחר סוג אימות נבחר שיתאים לפרוטוקול האימות של שרת 802.1X. מצב ארגוני מיועד לסביבות ארגוניות או ממשלתיות. WPA2 מהווה שיפור של WPA ומיישם במלואו את תקן IEEE 802.11i.
Advanced Encryption Standard - Counter CBC-MAC Protocol. השיטה החדשה להגנה על פרטיות של שידורים אלחוטיים, המפורטת בתקן IEEE 802.11i. AES-CCMP מספק שיטת הצפנה חזקה יותר מ- TKIP. בחר ב- AES-CCMP כשיטת הצפנת הנתונים כאשר יש צורך בהגנה חזקה על הנתונים. AES-CCMP זמין באימות רשת WPA/WPA2 אישי/ארגוני.
הערה: מערכת ההפעלה של המחשב עשויה שלא לתמוך בפתרונות אבטחה מסוימים ויהיה צורך בתוכנות או בחומרה נוספים, בנוסף לתמיכה בתשתית של ה- LAN האלחוטי. לקבלת פרטים, פנה אל יצרן המחשב.
Temporal Key Integrity Protocol (פרוטוקול תקינות מפתח זמני) מספק ערבול מפתח לכל-מנה, בדיקת תקינות הודעה ומנגנון החלפת מפתחות. TKIP זמין באימות רשת WPA/WPA2 אישי/ארגוני.
ראה "CKIP".
הצפנה משמשת את Wired Equivalent Privacy (WEP) כדי לסייע במניעת קבלה של נתונים אלחוטיים ללא הרשאה. WEP משתמש במפתח הצפנה כדי להצפין נתונים לפני שידורם. רק מחשבים המשתמשים באותו מפתח הצפנה יכולים לגשת לרשת ולפענח את הנתונים אשר משודרים על-ידי מחשבים אחרים. WEP ארגוני אינו זהה בדיוק ל- WEP אישי. ההבדל הוא שבאפשרותך לבחור אימות רשת פתוח ולאחר מכן ללחוץ על אפשור 802.1X ולבחור מבין כל סוגי אימות הלקוח. מבחר סוגי האימות אינו זמין ב- WEP אישי.
סוג של שיטת אימות המשתמשת ב- Extensible Authentication Protocol (EAP) ובפרוטוקול אבטחה הנקרא Transport Layer Security (TLS). EAP-TLS משתמש באישורים (הרשאות) המשתמשים בסיסמאות. אימות EAP-TLS תומך בניהול מפתחות WEP דינמי. פרוטוקול TLS מיועד לאבטח ולאמת תקשורת ברשת ציבורית באמצעות הצפנת נתונים. פרוטוקול לחיצת ידיים TLS מאפשר לשרת וללקוח לספק אימות הדדי ולבצע אלגוריתם הצפנה ומפתחות מוצפנים לפני שידור נתונים.
הגדרות אלה מגדירות את הפרוטוקול ואת האישורים המשמשים לאימות משתמש. ב- TTLS (Tunneled Transport Layer Security), הלקוח משתמש ב- EAP-TLS כדי לאמת את השרת וליצור ערוץ מוצפן-TLS בין הלקוח לשרת. באפשרות הלקוח להשתמש בפרוטוקול אימות אחר. בדרך כלל, פרוטוקולים מבוססי סיסמה מזדהים דרך ערוץ מוצפן TLS שאינו חשוף. כיום, יישומי TTLS תומכים בכל השיטות המוגדרות על-ידי EAP, וכן במספר שיטות ישנות יותר (PAP, CHAP, MS-CHAP ו- MS-CHAP-V2). ניתן להרחיב בקלות את TTLS כך שיפעל עם פרוטוקול חדשים, על-ידי הגדרת תכונות חדשות לתמיכה בפרוטוקולים חדשים.
PEAP הוא סוג אימות Extensible Authentication Protocol (EAP) IEEE 802.1X חדש המיועד לנצל את EAP-Transport Layer Security (EAP-TLS) של צד השרת ולתמוך בשיטות אימות מגוונות, כולל סיסמאות משתמש, סיסמאות חד-פעמיות וכרטיסי אסימון גנרי.
גרסה של פרוטוקול אימות בר-הרחבה (Extensible Authentication Protocol - EAP). Light Extensible Authentication Protocol (LEAP), פרוטוקול אימות בר-הרחבה קנייני אשר פותח על-ידי Cisco, המספק מנגנון אימות הזדהות-תשובה והקצאת מפתחות דינמית.
שיטת פרוטוקול אימות בר-הרחבה לזיהוי מנוי GSM (EAP-SIM) היא מנגנון המשמש לאימות ולהפצה של מפתחות הפעלה. שיטה זו משתמשת במודול זהות המנוי (SIM) של Global System for Mobile Communications (GSM). EAP-SIM משתמש במפתח WEP דינמי מבוסס-הפעלה, אשר נגזר ממתאם הלקוח ומשרת RADIUS, כדי להצפין נתונים. ב- EAP-SIM נדרש ממך להזין קוד אימות משתמש, או מספר זיהוי אישי (PIN), למטרת תקשורת עם כרטיס מודול זהות המנוי (SIM). כרטיס SIM הוא כרטיס חכם מיוחד המשמש רשתות סלולריות דיגיטליות המבוססות על Global System for Mobile Communications (GSM). RFC 4186 מתאר את EAP-SIM.
EAP-AKA (שיטת פרוטוקול אימות בר הרחבה עבור אימות והסכם מפתח ל- UMTS) מהווה מנגנון EAP לשם אימות והפצת מפתח הפעלה, באמצעות מערכת תקשורת נייד אוניברסלית (UMTS) למודול זהות מנוי (USIM). כרטיס ה- USIM הוא כרטיס חכם מיוחד המשמש ברשתות סלולריות כדי לאמת משתמש מסוים ברשת.
Password Authentication Protocol (פרוטוקול אימות סיסמה) הוא פרוטוקול לחיצת ידיים דו-סטרי המיועד לשימוש עם PPP. פרוטוקול אימות סיסמה הוא סיסמת טקסט פשוט ששימש במערכות SLIP ישנות יותר. פרוטוקול זה אינו בטוח. זמין רק עבור סוג אימות TTLS.
Challenge Handshake Authentication Protocol (פרוטוקול אימות בלחיצת ידיים) הוא פרוטוקול לחיצת ידיים תלת-סטרי, הנחשב בטוח יותר מאשר פרוטוקול אימות סיסמה. זמין רק עבור סוג אימות TTLS.
משתמש בגרסת Windows של פרוטוקול דרישת הזדהות-ותשובה RSA Message Digest 4. פרוטוקול זה פועל רק במערכות Windows ומאפשר הצפנת נתונים. בחירת שיטת אימות זו גורמת להצפנת כל הנתונים. זמין רק עבור סוג אימות TTLS.
מוסיף תכונה נוספת, תכונת שינוי הסיסמה, שאינה זמינה באימות MS-CHAP-V1 או CHAP סטנדרטי. תכונה זו מאפשרת ללקוח לשנות את סיסמת החשבון, אם שרת ה- RADIUS מדווח שתוקף הסיסמה פג. זמין עבור סוגי האימות TTLS ו- PEAP.
נושא כרטיסי אסימון ספציפיים למשתמש לשם אימות. התכונה העיקרית ב- GTC היא אימות המבוסס על אישור דיגיטלי/כרטיס אסימון. נוסף על כך, GTC כולל את היכולת להסתיר את זהויות שם המשתמש, עד לכינון המנהרה המוצפנת TLS. יכולת זו מספקת ביטחון נוסף ששמות המשתמשים לא ישודרו במהלך שלב האימות. זמין רק עבור סוג אימות PEAP.
פרוטוקול TLS מיועד לאבטח ולאמת תקשורת ברשת ציבורית באמצעות הצפנת נתונים. פרוטוקול לחיצת ידיים TLS מאפשר לשרת וללקוח לספק אימות הדדי ולבצע אלגוריתם הצפנה ומפתחות מוצפנים לפני שידור נתונים. זמין רק עבור סוג אימות PEAP.
Cisco LEAP (Cisco Light EAP) הוא אימות 802.1X של שרת ולקוח, באמצעות סיסמת התחברות המסופקת על-ידי המשתמש. כאשר נקודת גישה אלחוטית מתקשרת עם שרת RADIUS מאופשר Cisco LEAP (Cisco Secure Access Control Server [ACS]), Cisco LEAP מספק בקרת גישה באמצעות אימות הדדי בין מתאמי לקוחות WiFi והרשתות האלחוטיות ומספק מפתחות הצפנה דינמיים אישיים כדי לסייע בהגנה על הפרטיות של נתונים משודרים.
תכונת אבטחה של נקודת גישה חריגה של Cisco מספקת הגנת אבטחה מפני חדירה של נקודת גישה עוינת, אשר עשויה לחקות נקודת גישה לגיטימית ברשת כדי לשלוף מידע אודות תעודות משתמש ופרוטוקולי אימות, אשר עלול לסכן את האבטחה. תכונה זו פועלת רק עם אימות LEAP של Cisco. טכנולוגיית 802.11 סטנדרטית אינה מגינה על רשת מפני חדירה של נקודת גישה עוינת. לקבלת מידע נוסף, ראה אימות LEAP.
נקודות גישה מסוימות, לדוגמה Cisco 350 או Cisco 1200, תומכות בסביבות שבהן לא כל תחנות הלקוח תומכות בהצפנת WEP; מצב זה נקרא מצב תאים משולבים. כאשר רשתות אלחוטיות אלה פועלות במצב "הצפנה אופציונלית", תחנות לקוח המצטרפות במצב WEP שולחות את כל ההודעות מוצפנות, ואילו תחנות המשתמשות במצב רגיל שולחות את כל ההודעות ללא הצפנה. נקודות גישה אלה משדרות שהרשת אינה משתמשת בהצפנה, אך מאפשרת ללקוחות המשתמשים במצב WEP להצטרף. כאשר מצב "תאים משולבים" מאופשר בפרופיל, הוא מאפשר להתחבר לנקודות גישה המוגדרות ל"הצפנה אופציונלית".
Cisco Key Integrity Protocol (CKIP) הוא פרוטוקול אבטחה קנייני של Cisco להצפנה במדיה של 802.11. CKIP משתמש בתכונות הבאות כדי לשפר את אבטחת 802.11 במצב תשתית:
הערה: CKIP אינו משמש באימות רשת WPA/WPA2 אישי/ארגוני.
הערה: CKIP נתמך רק בעת שימוש בתוכנית השירות לחיבור WiFi ב- Windows XP.
כאשר רשת LAN אלחוטית מוגדרת לחיבור-מחדש מהיר, התקן לקוח מאופשר LEAP יכול לנדוד מנקודת גישה אחת לאחרת, מבלי לערב את השרת הראשי. באמצעות Cisco Centralized Key Management (CCKM), נקודת גישה שהוגדרה לספק שירותי תחום אלחוטיים (WDS) תופסת את מקומו של שרת ה- RADIUS ומאמתת את הלקוח ללא השהייה מורגשת ביישומי קול או ביישומים אחרים הרגישים לזמן.
נקודות גישה מסוימות, לדוגמה Cisco 350 או Cisco 1200, תומכות בסביבות שבהן לא כל תחנות הלקוח תומכות בהצפנת WEP; מצב זה נקרא מצב תאים משולבים. כאשר רשתות אלחוטיות אלה פועלות במצב "הצפנה אופציונלית", תחנות לקוח המצטרפות במצב WEP שולחות את כל ההודעות מוצפנות, ואילו תחנות המשתמשות במצב רגיל שולחות את כל ההודעות ללא הצפנה. נקודות גישה אלה משדרות שהרשת אינה משתמשת בהצפנה, אך מאפשרת ללקוחות המשתמשים במצב WEP להצטרף. כאשר מצב תאים משולבים מאופשר בפרופיל, הוא מאפשר להתחבר לנקודות גישה המוגדרות ל"הצפנה אופציונלית".
כאשר מאפיין זה מאופשר, מתאם ה- WiFi מספק מידע של ניהול רדיו לתשתית Cisco. אם בתשתית נעשה שימוש בכלי העזר לניהול רדיו של Cisco, כלי העזר יגדיר פרמטרים של רדיו ויאתר הפרעות ונקודות גישה עוינות.
EAP-FAST, בדומה ל- EAP-TTLS ו- PEAP, משתמש במינהור להגנה על תעבורה. ההבדל העיקרי הוא ש- EAP-FAST אינו משתמש באישורים (הרשאות) כדי לבצע אימות. משא ומתן על אספקה ב- EAP-FAST מבוצע תחילה רק על-ידי הלקוח, כחילוף תקשורת ראשון, כאשר EAP-FAST מתבקש מהשרת. אם ללקוח אין תעודות גישה מאובטחות (PAC) של טרום-שיתוף, באפשרותו ליזום חילוף אספקת EAP-FAST כדי לקבל אחת באופן דינמי מהשרת.
ב- EAP-FAST מתועדות שתי שיטות לאספקת ה- PAC: אספקה ידנית באמצעות מנגנון מאובטח מחוץ לפס ואספקה אוטומטית.
שיטת ה- EAP-FAST מתחלקת לשני חלקים: אספקה ואימות. שלב האספקה כרוך באספקה הראשונית של ה- PAC ללקוח. יש לבצע שלב זה רק פעם אחת עבור כל לקוח וכל משתמש.