In deze sectie worden de verschillende beveiligingsmethoden beschreven die kunnen worden gebruikt om WiFi-netwerken te beschermen.
802.1X-verificatie (bedrijfsbeveiliging)
Als u het draadloze netwerk niet beschermt, kunnen andere computers toegang tot het netwerk krijgen. Met de beveiligingsmethoden die worden beschreven in deze sectie, kunt u een thuisnetwerk of klein bedrijfsnetwerk eenvoudig beschermen tegen bijna alle vormen van toegang door onbevoegden.
Verificatie is het proces van identificatie en goedkeuring van een verzoek van een client (doorgaans een laptop) om toegang tot een netwerk via een toegangspunt. Wanneer de verificatie is voltooid en toegang is verleend, heeft de client toegang tot het netwerk.
U kunt algoritmen selecteren waarmee gegevens worden gecodeerd voordat ze via het draadloze netwerk worden verzonden. Alleen computers waarop zogenaamde Pre-Shared Keys (coderingssleutels) zijn opgegeven, kunnen de verzonden gegevens coderen en decoderen. Er zijn coderingssleutels voor twee niveaus van beveiliging, 64-bits en 128-bits. Gebruik 128-bits sleutels voor een betere beveiliging.
Een eenvoudige manier om de netwerkbeveiliging te verbeteren is het toegangspunt zo te configureren dat de SSID (Service Set Identifier) niet wordt uitgezonden. De SSID is nodig om toegang te verkrijgen. Alleen computers waarop de SSID bekend is, kunnen toegang krijgen tot het netwerk. (De SSID wordt niet ingesteld voor de adapter met het Intel® PROSet/Wireless WiFi-verbinding hulpprogramma, maar is ingesteld op het toegangspunt.)
IEEE 802.11 ondersteunt twee typen verificatiemethoden: Open systeem en Gedeelde sleutel.
Wired Equivalent Privacy (WEP) maakt gebruik van codering om het onderscheppen van draadloos verzonden gegevens door onbevoegden te voorkomen. WEP gebruikt een coderingssleutel om gegevens te coderen voor de transmissie. Alleen computers met dezelfde coderingssleutel kunnen toegang tot het netwerk krijgen en gecodeerde gegevens van andere computers decoderen. WEP-codering heeft twee beveiligingsniveaus en maakt gebruik van een 64-bits (soms 40-bits genoemd) of 128-bits sleutel (ook wel 104-bits genoemd). Voor een betere beveiliging gebruikt u een 128-bits sleutel. Als u gebruikmaakt van codering, moeten alle draadloze apparaten in het netwerk dezelfde coderingssleutels gebruiken.
Als u WEP-gegevenscodering gebruikt, kan een draadloos station met maximaal vier sleutels (de waarden voor de sleutelindex zijn 1, 2, 3 en 4) worden geconfigureerd. Wanneer een toegangspunt of een draadloos station een gecodeerd bericht verzendt met een sleutel die in een specifieke sleutelindex is opgeslagen, geeft het verzonden bericht de sleutelindex aan waarmee de berichtinhoud is gecodeerd. Het ontvangende toegangspunt of draadloze station kan vervolgens de sleutel ophalen uit de sleutelindex waarin deze is opgeslagen en de sleutel dan gebruiken om de gecodeerde berichtinhoud te decoderen.
Aangezien het WEP-coderingsalgoritme kwetsbaar is voor aanvallen, verdient het aanbeveling WPA-Personal of WPA2-Personal te gebruiken voor de beveiliging.
De modus WPA-Personal is bedoeld voor thuisnetwerken en kleine bedrijfsnetwerken. Voor WPA Personal moet handmatig een PSK (Pre-Shared Key) worden geconfigureerd op het toegangspunt en de clients. Er is geen verificatieserver nodig. Het wachtwoord dat wordt opgegeven voor het toegangspunt, moet ook worden gebruikt op deze computer en op alle draadloze apparaten die verbonden worden met het draadloze netwerk. De mate van beveiliging is afhankelijk van de kracht en de mate van geheimhouding van het wachtwoord. Een lang wachtwoord zorgt voor een betere netwerkbeveiliging dan een kort wachtwoord. Als uw draadloze toegangspunt of router ondersteuning biedt voor WPA-Personal en WPA2-Personal, verdient het aanbeveling om het protocol in te schakelen op het toegangspunt en een lang, sterk wachtwoord op te geven. Met WPA-Personal zijn de coderingsalgoritmen TKIP en AES-CCMP beschikbaar.
Voor WPA2-Personal moet handmatig een PSK (Pre-Shared Key) worden geconfigureerd op het toegangspunt en de clients. Er is geen verificatieserver nodig. Het wachtwoord dat wordt opgegeven voor het toegangspunt, moet ook worden gebruikt op deze computer en op alle draadloze apparaten die verbonden worden met het draadloze netwerk. De mate van beveiliging is afhankelijk van de kracht en de mate van geheimhouding van het wachtwoord. Een lang wachtwoord zorgt voor een betere netwerkbeveiliging dan een kort wachtwoord. WPA2 is een verbetering op WPA en implementeert de IEEE 802.11i-standaard volledig. WPA2 is compatibel met WPA. Met WPA2-Personal zijn de coderingsalgoritmen TKIP en AES-CCMP beschikbaar.
Opmerking: WPA-Personal en WPA2-Personal kunnen samenwerken.
In deze sectie worden de typen beveiliging beschreven die veel worden gebruikt door grotere bedrijven.
Overzicht
Wat is RADIUS?
Hoe werkt 802.1X-verificatie?
802.1X-voorzieningen
De 802.1x-verificatie is onafhankelijk van het 802.11-verificatieproces. De 802.11-standaard biedt een kader voor meerdere verificatie- en sleutelbeheerprotocollen. De verschillende 802.1X-verificatietypen bieden elk een andere benadering van verificatie maar ze maken wel allemaal gebruik van hetzelfde 802.11-protocol en dezelfde communicatiestructuur tussen een client en een toegangspunt. Bij de meeste protocollen ontvangen clients, wanneer het 802.1X-verificatieproces is voltooid, een sleutel die ze voor gegevenscodering gebruiken. Zie Hoe werkt 802.1X-verificatie? voor meer informatie. Bij 802.1x-verificatie wordt een verificatiemethode gebruikt tussen de client en een server (bijvoorbeeld een RADIUS-server, Remote Authentication Dial-In User Service) die is verbonden met het toegangspunt. Voor het verificatieproces wordt gebruik gemaakt van referenties, zoals gebruikersnamen en wachtwoorden, die niet over het draadloze netwerk worden verzonden. Het merendeel van de 802.1x-typen ondersteunt dynamische sleutels per gebruiker en per sessie zodat de sleutelbeveiliging nog sterker wordt. 802.1x-verificatie maakt bovendien gebruik van een bestaand verificatieprotocol dat Extensible Authentication Protocol (EAP) wordt genoemd.
De 802.1x-verificatie voor draadloze netwerken bestaat uit drie basiscomponenten:
Bij 802.1X-verificatie wordt een autorisatieverzoek van de draadloze client naar het toegangspunt gestuurd. Het toegangspunt verifieert de client vervolgens via een EAP-compatibele RADIUS-server. Deze RADIUS-server kan de gebruiker (via wachtwoorden of certificaten) of het systeem (via het MAC-adres) verifiëren. In theorie mag de draadloze client pas op het netwerk wanneer de transactie is voltooid. (Niet voor alle verificatiemethoden wordt een RADIUS-server gebruikt. WPA-Personal en WPA2-Personal maken gebruik van een gedeeld wachtwoord dat moet worden ingevoerd op het toegangspunt en alle apparaten die toegang tot het netwerk aanvragen.)
Er zijn verschillende verificatiealgoritmen die worden gebruikt met 802.1X. Voorbeelden zijn: EAP-TLS, EAP-TTLS, Protected EAP (PEAP) en het Cisco Wireless Light Extensible Authentication Protocol (LEAP). Met al deze methoden kan de draadloze client zich identificeren bij de RADIUS-server. Bij RADIUS-verificatie wordt de identiteit van de gebruiker geverifieerd op basis van gegevens in databases. RADIUS bestaat uit een aantal standaarden die tegemoet komen aan verificatie, autorisatie en accounting (AAA - Authentication, Authorization, Accounting). RADIUS omvat onder meer een proxy-proces voor het valideren van clients in een omgeving met meerdere servers. De IEEE 802.1x-standaard biedt een mechanisme voor beheer en verificatie van toegang voor draadloze en bekabelde 802.11 Ethernet-netwerken op basis van poorten. Toegangsbeheer voor op poorten gebaseerde netwerken lijkt op een LAN-infrastructuur met switches die apparaten verifieert die op een LAN-poort worden aangesloten en toegang tot de desbetreffende poort voorkomt als het verificatieproces mislukt.
RADIUS staat voor Remote Authentication Dial-In User Service, een client-server-protocol voor autorisatie, verificatie en accounting (AAA - Authorization, Authentication, Accounting), dat wordt gebruikt wanneer een AAA-inbelclient zich aan- of afmeldt bij een server voor netwerktoegang. RADIUS-servers worden vaak gebruikt door Internet Service Providers (ISP) voor het uitvoeren van AAA-taken. De verschillende AAA-fasen zijn als volgt:
Hieronder vindt u een vereenvoudigde omschrijving van de werking van 802.1X-verificatie.
Onder Windows* XP worden de volgende verificatiemethoden ondersteund:
Zie Open verificatie.
Zie Gedeelde verificatie.
Zie WPA-Personal.
Zie WPA2-Personal.
De Enterprise-modus is bedoeld voor bedrijven en overheidsinstanties. Met WPA-Enterprise worden netwerkgebruikers geverifieerd via een RADIUS-server of een andere verificatieserver. WPA maakt gebruik van 128-bits coderingssleutels en dynamische sessiesleutels om de privacy en bedrijfsbeveiliging te waarborgen. Het daarbij geselecteerde verificatietype dient te worden afgestemd op het verificatieprotocol van de 802.1X-server.
WPA-Enterprise is bedoeld voor bedrijven en overheidsinstanties. Met WPA2-Enterprise worden netwerkgebruikers geverifieerd via een RADIUS-server of een andere verificatieserver. WPA2 maakt gebruik van 128-bits coderingssleutels en dynamische sessiesleutels om de privacy en bedrijfsbeveiliging te waarborgen. Het daarbij geselecteerde verificatietype dient te worden afgestemd op het verificatieprotocol van de 802.1X-server. De Enterprise-modus is bedoeld voor bedrijven en overheidsinstanties. WPA2 is een verbetering op WPA en implementeert de IEEE 802.11i-standaard volledig.
Advanced Encryption Standard - Counter CBC-MAC Protocol. De nieuwe methode voor de bescherming van de privacy bij draadloze transmissies. De specificaties voor deze methode zijn te vinden in de IEEE 802.11i-standaard. AES-CCMP biedt een krachtigere coderingsmethode dan TKIP. Kies AES-CCMP als methode voor de gegevenscodering als een sterke bescherming van gegevens voor u van belang is. AES-CCMP is beschikbaar met netwerkverificatie van de typen WPA/WPA2 Personal/Enterprise.
Opmerking: Sommige beveiligingsoplossingen worden mogelijk niet ondersteund door het besturingssysteem van uw computer en vereisen mogelijk extra software of bepaalde hardware, alsmede ondersteuning voor een draadloze LAN-infrastructuur. De fabrikant van de computer kan u meer informatie geven.
TKIP (Temporal Key Integrity Protocol) voorziet in een sleutelmixfunctie per pakket, een berichtintegriteitscontrole en een re-keying mechanisme. TKIP is beschikbaar met netwerkverificatie van de typen WPA/WPA2 Personal/Enterprise.
Zie CKIP.
Wired Equivalent Privacy (WEP) maakt gebruik van codering om het onderscheppen van draadloos verzonden gegevens door onbevoegden te voorkomen. WEP gebruikt een coderingssleutel om gegevens te coderen voor de transmissie. Alleen computers met dezelfde coderingssleutel kunnen toegang tot het netwerk krijgen en gecodeerde gegevens van andere computers decoderen. WEP-Enterprise is niet identiek aan WEP-Personal. Met WEP-Enterprise kunt u Open netwerkverificatie selecteren en dan op 802.1X inschakelen klikken en alle verificatietypen voor clients selecteren. Deze keuze van verificatietypen is niet beschikbaar met WEP-Personal.
Een type verificatiemethode op basis van EAP (Extensible Authentication Protocol) en het beveiligingsprotocol TLS (Transport Layer Security). EAP-TLS werkt met certificaten waarvoor wachtwoorden worden gebruikt. EAP-TLS-verificatie ondersteunt het beheer van dynamische WEP-sleutels. Het TLS-protocol is bedoeld voor de beveiliging en verificatie van de communicatie via een openbaar netwerk middels gegevenscodering. Het TLS Handshake-protocol maakt het voor server en client mogelijk om elkaar te verifiëren en om te onderhandelen over een coderingsalgoritme en cryptografische sleutels, voordat de gegevens worden verzonden.
Met deze instellingen worden het protocol en de referenties gedefinieerd voor de verificatie van gebruikers. Onder TTLS (Tunneled Transport Layer Security) gebruikt de client EAP-TLS voor validatie van de server en wordt een met TLS gecodeerd kanaal tussen client en server gemaakt. De client kan een ander verificatieprotocol gebruiken. Gewoonlijk worden op wachtwoord gebaseerde protocollen gebruikt over een onzichtbaar met TLS gecodeerd kanaal. De moderne TTLS-implementaties ondersteunen alle methoden die zijn gedefinieerd in EAP, alsmede verschillende oudere methoden (PAP, CHAP, MS-CHAP en MS-CHAP-V2). TTLS kan eenvoudig worden uitgebreid voor nieuwe protocollen, door nieuwe attributen te definiëren die die protocollen ondersteunen.
PEAP is een nieuw EAP IEEE 802.1X-verificatietype (Extensible Authentication Protocol) dat is ontworpen om optimaal gebruik te maken van EAP-TLS (EAP-Transport Layer Security) aan de serverzijde en dat meerdere verificatiemethoden, zoals gebruikerswachtwoorden, eenmalige wachtwoorden en Generic Token Cards, ondersteunt.
Een speciale versie van EAP (Extensible Authentication Protocol). LEAP (Light Extensible Authentication Protocol) is een protocol dat is ontwikkeld door Cisco en dat voorziet in een verificatiemechanisme waarin controle- en antwoordpakketten worden gebruikt en sleutels dynamisch worden toegewezen.
EAP-SIM (Extensible Authentication Protocol for GSM Subscriber Identity Module) is een mechanisme voor verificatie en distributie van sessiesleutels. Hierbij wordt gebruik gemaakt van de Global System for Mobile Communications (GSM) Subscriber Identity Module (SIM). EAP-SIM maakt voor de gegevenscodering gebruik van een dynamische WEP-sleutel, die voor elke sessie wordt afgeleid van de clientadapter en de RADIUS-server. Als u EAP-SIM gebruikt, moet u een verificatiecode, of pincode, invoeren voor de communicatie met de SIM-kaart (Subscriber Identity Module). Een SIM-kaart is een speciaal soort smartcard die wordt gebruikt in op GSM (Global System for Mobile Communications) gebaseerde digitale netwerken voor mobiele telefonie. EAP-SIM wordt beschreven in RFC 4186.
EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) is een EAP-mechanisme voor verificatie en de distributie van sessiesleutels, waarbij gebruik wordt gemaakt van een Universal Mobile Telecommunications System (UMTS) Subscriber Identity Module (USIM). De USIM-kaart is een speciale smartcard die in netwerken voor mobiele telefonie wordt gebruikt om een gebruiker te valideren bij het netwerk.
(Password Authentication Protocol) is een tweewegs handshake-protocol dat bedoeld is voor gebruik met PPP. PAP maakt gebruik van gewone wachtwoorden die op oudere SLIP-systemen worden gebruikt. Het is niet echt veilig. Alleen beschikbaar met verificatietype TTLS.
CHAP (Challenge Handshake Authentication Protocol) is een driewegs handshake-protocol dat een betere beveiliging biedt dan PAP (Password Authentication Protocol). Alleen beschikbaar met verificatietype TTLS.
Maakt gebruik van een Microsoft-versie van het RSA Message Digest 4-protocol (controle-en-antwoord). Dit werkt alleen op Microsoft-systemen en houdt tevens gegevenscodering in. Als u deze verificatiemethode selecteert, worden alle gegevens gecodeerd. Alleen beschikbaar met verificatietype TTLS.
Introduceert een extra functie die voor MS-CHAP-V1 of standaard CHAP-verificatie niet beschikbaar is, namelijk het wijzigen van het wachtwoord. Met deze functie kan de klant het accountwachtwoord wijzigen wanneer de RADIUS-server meldt dat het wachtwoord vervallen is. Beschikbaar met verificatietypen TTLS en PEAP.
Hierbij worden gebruikerspecifieke token kaarten gebruikt voor de verificatie. De hoofdfunctie van GTC is de op een digitaal certificaat/digitale kaart voor tokens gebaseerde verificatie. Bovendien kan met GTC de gebruikersnaam worden verborgen totdat de met TLS gecodeerde tunnel is gemaakt, wat in die zin extra vertrouwelijkheid biedt dat gebruikersnamen tijdens de verificatiefase niet worden uitgezonden. Alleen beschikbaar met verificatietype PEAP.
Het TLS-protocol is bedoeld voor de beveiliging en verificatie van de communicatie via een openbaar netwerk middels gegevenscodering. Het TLS Handshake-protocol maakt het voor server en client mogelijk om elkaar te verifiëren en om te onderhandelen over een coderingsalgoritme en cryptografische sleutels, voordat de gegevens worden verzonden. Alleen beschikbaar met verificatietype PEAP.
Cisco LEAP (Cisco Light EAP) is een 802.1X-verificatie voor client en server op basis van een door de gebruiker opgegeven aanmeldingswachtwoord. Wanneer een draadloos toegangspunt communiceert met een RADIUS-server waarop Cisco LEAP is ingeschakeld (ACS - Cisco Secure Access Control Server), beheert Cisco LEAP de toegang door de wederzijdse verificatie van de draadloze clientadapters en de draadloze netwerken en biedt LEAP dynamische, individuele gebruikerssleutels waarmee de privacy van verzonden gegevens wordt beveiligd.
De Cisco-voorziening voor bedrieglijke toegangspunten biedt beveiliging tegen bedrieglijke toegangspunten die zich op netwerken kunnen voordoen als geldige toegangspunten zodat onrechtmatige toegang tot informatie over gebruikersreferenties en verificatieprotocollen wordt verkregen en de beveiliging wordt ondermijnd. Deze voorziening werkt alleen met LEAP-verificatie van Cisco. Standaard 802.11-technologie beveiligt een netwerk niet tegen bedrieglijke toegangspunten. Zie LEAP-verificatie voor meer informatie.
Sommige toegangspunten, zoals Cisco 350 en Cisco 1200, ondersteunen omgevingen waarin niet alle clients WEP-codering ondersteunen. Dit wordt de modus Gemengde cel genoemd. Wanneer deze draadloze netwerken functioneren in de modus waarin codering optioneel is, worden pakketten vanaf stations waarop WEP is ingeschakeld, gecodeerd verzonden en worden pakketten vanaf stations zonder WEP, ongecodeerd verzonden. Deze toegangspunten zenden uit dat er geen codering wordt gebruikt in het netwerk, maar clients kunnen zich wel aanmelden met gebruik van WEP. Wanneer de modus "Gemengde cel" is ingeschakeld in een profiel, kunt u een verbinding tot stand brengen met toegangspunten die zijn geconfigureerd met optionele codering.
CKIP (Cisco Key Integrity Protocol) is een beveiligingsprotocol van Cisco voor codering in 802.11-media. CKIP maakt gebruik van de volgende voorzieningen om de 802.11-beveiliging in de infrastructuurmodus te verbeteren:
Opmerking: CKIP wordt niet gebruikt met netwerkverificatie van de typen WPA/WPA2 Personal/Enterprise.
Opmerking: CKIP wordt onder Windows* XP alleen ondersteund als u het WiFi-verbinding hulpprogramma gebruikt.
Wanneer een draadloos LAN is geconfigureerd voor het snel opnieuw tot stand brengen van verbindingen, kan een client waarop LEAP ingeschakeld is, zwerven van het ene toegangspunt naar het andere zonder dat hierbij de hoofdserver betrokken wordt. Met behulp van Cisco Centralized Key Management (CCKM) neemt een toegangspunt dat is geconfigureerd voor het leveren van Wireless Domain Services (WDS), de plaats in van de RADIUS-server en wordt de client zonder merkbare vertraging geverifieerd. Deze voorziening is met name bedoeld voor spraaktoepassingen en andere tijdgevoelige toepassingen.
Selecteer deze optie om de draadloze adapter te laten voorzien in radiobeheer voor de Cisco-infrastructuur. Als de functie Radiobeheer wordt gebruikt binnen de infrastructuur, worden radioparameters geconfigureerd en worden interferentie en bedrieglijke toegangspunten gedetecteerd.
EAP-FAST maakt net als EAP-TTLS en PEAP gebruik van tunnels om het netwerkverkeer te beschermen. Het belangrijkste verschil is dat EAP-FAST geen gebruik maakt van certificaten voor verificatie. De levering van referenties in EAP-FAST vindt plaats wanneer de client als de eerste communicatie de server vraagt om EAP-FAST. Als de client geen vooraf gedeelde geheime PAC (Protected Access Credential) heeft, kan de client een EAP-FAST-uitwisseling initiëren waarmee dynamisch een PAC van de server wordt opgehaald.
In EAP-FAST kan de PAC op twee manieren worden aangeleverd: handmatig via een beveiligd out-of-band mechanisme en automatisch.
De EAP-FAST-methode kan worden onderverdeeld in twee delen: levering en verificatie. De leveringsfase omvat de initiële aflevering van de PAC aan de client. Deze fase hoeft slechts eenmaal per client en gebruiker te worden uitgevoerd.