استخدم تشفير مقياس IEEE 802.11 للخصوصية المكافئة للتوصيل السلكي (WEP) لمنع استقبال البيانات اللاسلكية غير المصرح به، يوفر تشفير WEP مستويين من التامين: مفتاح 64-بت (فيما يطلق عليه أحياناً 40-بت) أو مفتاح 128-بت (يطلق عليه أيضاً 104-بت). لتحقيق تأمين أقوى استخدم مفتاح 128 بت. إذا استخدمت التشفير يتعين على كافة الأجهزة اللاسلكية في شبكتك اللاسلكية استخدام نفس مفاتيح التشفير.
يوفر تشفير الخصوصية المكافئة للتوصيل السلكي (WEP) والمصادقة المشتركة حمايةً لبياناتك على الشبكة. يستخدم WEP مفتاح تشفير لتشفير البيانات قبل إرسالها، حيث تقتصر إمكانية الوصول إلى الشبكة أو فك تشفير البيانات المرسلة من أجهزة كمبيوتر أخرى على أجهزة الكمبيوتر التي تستخدم نفس مفتاح التشفير. أما المصادقة فتوفر عملية تحقق إضافية من المحول إلى نقطة الوصول.
جدير بالذكر أن منوال تسفير WEP يكون عرضة لهجمات الشبكات السلبية والنشطة، ولذلك يضم منوالي TKIP ,CKIP تحسينات على بروتوكول WEPتخفف من هجمات الشبكات الموجودة وتتعامل مع أوجه القصور فيها.
يدعم IEEE 802.11 نوعين من أساليب مصادقة الشبكات: النظام المفتوح والمفاتيح المشترك.
كيفية عمل مصادقة 802.1x
ميزات 802.1x
لا ترتبط مصادقة 802.1x بعملية مصادقة 802.11، حيث يوفر مقياس 802.1x إطاراً لبروتوكولات متنوعة للمصادقة وإدارة المفاتيح، علماً بأنه توجد أنواع مختلفة من مصادقة 802.1x يقدم كل منها نهجاً مختلفاً للمصادقة مع اشتراكها جميعاً في توظيف نفس بروتوكول 802.1x وإطاره للاتصال بين عميل ونقطة وصول. في معظم البروتوكولات، يتلقى الملتمس عقب استكمال عملية مصادقة 802.1x مفتاحاً يستخدمه لتشفير البيانات. راجع كيفية عمل مصادقة 802.1x للحصول على مزيدٍ من المعلومات. في مصادقة 802.1x يُستخدم أسلوب مصادقة بين العميل وخادم لخدمة مصادقة مستخدمي الطلب الهاتفي عن بعد (RADIUS) موصل بنقطة الوصول، وتستخدم عملية المصادقة مسوغات - مثل كلمة مرور مستخدم - لا تنتقل عبر الشبكة اللاسلكية. تدعم معظم أنواع 802.1x المفاتيح الديناميكية لكل مستخدم ولكل جلسة تعزيزاً لتأمين المفاتيح الثابتة. يستفيد 802.1x من استخدام بروتوكول مصادقة قائم يسمى بروتوكول المصادقة المتوسع (EAP).
لمصادقة 802.1x للشبكات المحلية اللاسلكية ثلاثة مكونات رئيسية:
يؤسس تأمين مصادقة 802.1ء طلب اعتماد من العميل اللاسلكي إلى نقطة الوصول، والتي تصادق العميل إلى خادم RADIUS متوافق مع بروتوكول المصادقة المتوسع (EAP). قد يصادق خادم RADIUS المستخدم (عبر كلمات مرور أو شهادات) أو النظام (بعنوان MAC). لا يُسمح نظرياً للعميل اللاسلكي بالانضمام إلى الشبكات حتى تستوفى المعاملة.
يوجد أكثر من منوال مصادقة للاستخدام من أجل 802.1x، من بين أمثلة ذلك: EAP-TLS وEAP-TTLS وEAP المحمي (PEAP)، وهذه كلها أساليب لتعريف العميل اللاسلكي نفسه لخادم RADIUS. بمقتضى مصادقةRADIUS تُفحص معرفات المستخدمين مقابل قاعدة بيانات. يتألف RADIUS من مجموعة مقاييس تتناول المصادقة والاعتماد والمحاسبة (AAA)، ويتضمن RADIUS عملية وكالة للتحقق من العملاء في بيئة متعددة الخادمات. المقصود من مقياس IEEE 802.1x هو التحكم في الوصول إلى شبكات 802.11 القائمة على المنافذ سواء الشبكات اللاسلكية منها أو شبكات إيثرنت السلكية ومصادقته، علماً بأن التحكم في وصول الشبكات القائمة على المنافذ شبيه ببنية أساسية لشبكة محلية تحويلية تصادق الأجهزة الموصلة بمنفذ شبكة محلية وتمنع الوصول إلى ذلك المنفذ في حالة إخفاق عملية المصادقة.
يعبر الاختصار RADIUS عن خدمة مصادقة مستخدمي الطلب الهاتفي عن بعد وهي عبارة عن بروتوكول خادم- عميل للاعتماد والمصادقة والمحاسبة (AAA) يُستخدم لدى دخول عميل AAA بالطلب الهاتفي إلى خادم وصول شبكة أو خروجه منه، ويستخدم موفرو خدمات الإنترنت (ISP) خادم RADIUS عادةً لتنفيذ مهام الاعتماد والمصادقة والمحاسبة (AAA). فيما يلي بيان لمرحل الاعتماد والمصادقة والمحاسبة (AAA):
يمكن بيان مصادقة 802.1x بشكل مبسط كما يلي:
يمثل وصول واي فاي المحمي (WPA أو WPA2) تحسيناً تأمينياً يزيد من مستوى حماية البيانات والتحكم في الوصول لشبكة لاسلكية زيادةً عظيمة. تعزز WPA مصادقة 802.1x وتبادل المفاتيح إلا إنها لا تعمل إلا مع مفاتيح التشفير الديناميكية. يستغل WPA بروتوكول سلامة المفاتيح المؤقتة (TKIP) تعزيزاً لتشفير البيانات، حيث يوفر TKIP تحسينات مهمة في تشفير البيانات من بينها وظيفة لخلط المفاتيح في كل حزمة وفحص (MIC) لسلامة الرسائل وموجه تهيئة موسع (IV) بقواعد للتسلسل إضافةً إلى آلية لإعادة صياغة المفاتيح، وباستخدام هذه التحسينات يحمي TKIP من نقاط الضعف المعروفة في WEP.
يُعرف الجيل الثاني من WPA والمتوافق مع مواصفات IEEE TGi باسم WPA2.
الوضع المؤسسي:يتحقق الوضع المؤسسي من مستخدمي الشبكة من خلال خادم مصادقة إما RADIUS أو خلافه. يستخدم WPA مفاتيح تشفير 128-بت ومفاتيح جلسات ديناميكية لضمان خصوصية الشبكة اللاسلكية وتأمين المؤسسة. يستهدف الوضع المؤسسي بيئات الشركات والجهات الحكومية.
الوضع الشخصي:يتطلب الوضع الشخصي تشكيلاص يدوياً لمفتاح مشترك مسبقاً (PSK) على نقطة الوصول والعملاء، حيث يصادق المفتاح المشترك مسبقاالمستخدمين عبر كلمة مرور أو كود تعريف على كلٍ من محطة العميل ونقطة الوصول، علماً بانه لا توجد حاجة لخادم مصادقة. يستهدف الوضع الشخصي البيئات المنزلية والشركات الصغيرة.
WPA – مؤسسي وWPA2 - مؤسسي: يوفر هذا المستوى من التأمين على الشبكات المؤسسية بخادم RADIUS 802.1x. يُحدد نوع مصادقة لمطابقة بروتوكول مصادقة خادم 802.1x.
WPA – شخصي وWPA2 – شخصي: يوفر هذا المستوى من التأمين في بيئة الشبكة الصغيرة أو المنزل. وهو يستخدم كلمة مرور تسمى أيضاً مفتاح مشترك مسبقاً (PSK)، وكلما طالت كلمة المرور قوي تأمين الشبكة اللاسلكية. إذا كانت نقطة الوصول اللاسلكية أو الموجه يدعم WPA-شخصي أو WPA2-شخصي الشخصي فيجدر بك تمكينه على نقطة الوصول وتعيين كلمة مرور طويلة وقوية. يجب استخدام نفس كلمة المرور المدخلة في نقطة الوصول على هذا الكمبيوتر وسائر الأجهزة اللاسلكية التي تتعامل مع الشبكة اللاسلكية.
ملحوظة:لا يمكن التشغيل المتبادل فيما بين WPA – شخصي وWPA2 – شخصي.
AES-CCMP- (مقياس التشفير المتقدم – بروتوكول CBC-MAC العداد) هو الأسلوب الجديد لحماية خصوصية الإرسال اللاسلكي المحدد في مقياس IEEE 802.11i. يوفر AES-CCMP أسلوب تشفير أقوى من TKIP. اختر AES-CCMP أسلوباً لتشفير البيانات كلما كانت لحماية البيانات بقوة أهمية.
ملحوظة:ملحوظة: ربما تكون بعض حلول التأمين غير مدعومة في نظام تشغيل الكمبيوتر الخاص بك وقد تتطلب برامج ومعدات إضافية وإلى دعم البنية الأساسية للشبكات المحلية اللاسلكية. راجع صانع الكمبيوتر للحصول على التفاصيل.
TKIP (بروتوكول سلامة المفاتيح المؤقتة) هو تحسين على تأمين WEP (الخصوصية المكافئة للتوصيل السلكي)، ويوفر TKIP خلطاً للمفاتيح لكل حزمة وفحصاً لسلامة الرسائل وآلية لإعادة صياغة المفاتيح، مما يعالج عيوب WEP.
خلاصة الرسائل 5 (MD5) عبارة عن أسلوب مصادقة أحادي الاتجاه يستخدم أسماء مستخدمين وكلمات مرور. لا يدعم هذا الأسلوب إدارة المفاتيح، ومع ذلك فهو يتطلب مفتاح سابق التشكيل في حالة استخدام تشفير البيانات. ويمكن استخدامه بأمان لمصادقة اللاسلكي ضمن أسليب أنفاق EAP.
نوع من أساليب المصادقة يستخدم بروتوكول المصادقة المتوسع (EAP) وبروتوكول تأمين يسمى تأمين طبقة النقل (TLS). يستخدم EAP-TLS شهادات تستخدم كلمات مرور. تدعم مصادقة EAP-TLS إدارة مفاتيح WEP الديناميكية. المستهدف من بروتوكول TLS هو تأمين ومصادقة الاتصالات عبر شبكة عمومية من خلال تشفير البيانات. يتيح بروتوكول مصافحة TLS للخادم والعميل تقديم مصادقة متبادلة والتوصل بالتفاوض إلى منوال تشفير ومفاتيح شفرة قبل إرسال البيانات.
تعرف هذه الإعدادات البروتوكول والمسوغات المستخدمة لمصادقة مستخدمٍ ما. في TTLS (تأمين طبقة النقل النفقي) يستخدم العميل EAP-TLS للتحقق من الخادم وإنشاء قناة بتشفير TLS بين العميل والخادم، وللعميل أن يستخدم بروتوكول مصادقة آخر، عادةً ما يكون بروتوكولاً قائماً على كلمات المرور، مثل MD5-استبيان على هذه القناة المشفرة لتمكين تحقق الخادم، حيث ترسل حزم الاستبيان والاستجابة عبر قناة بتشفير TLS غير مكشوفة. تدعم تطبيقات TTLS اليوم كافة الأساليب التي يعرفها EAP، إضافة إلى العديد من الأساليب الأقدم (PAP وCHAP وMS-CHAP وMS-CHAPv2). يمكن تمديد TTLS بسهولة للعمل مع بروتوكولات جديدة عن طريق تعريف سمات جديدة لدعم البروتوكولات الجديدة.
PEAP نوع مصادقة جديد ببروتوكول IEEE 802.1x للمصادقة المتوسع (EAP) مصمم للاستفادة من بروتوكول المصادقة المتوسع – تأمين طبقة النقل (EAP-TLS) على جانب الخادم ودعم مختلف أساليب المصادقة، بما فيها كلمات مرور المستخدم وكلمات مرور المرة الواحدة وبطاقات الرموز المميزة العامة.
يمثل Cisco LEAP (EAP سيسكو الخفيف) مصادقة 802.1x للخادم والعميل من خلال كلمة مرور للدخول يقدمها المستخدم. عندما تتصل نقطة وصول لاسلكي بخادم RADIUS به تمكين Cisco LEAP (خادم سيسكو لضبط الوصول الآمن [ACS]) يتيح Cisco LEAP ضبط الوصول من خلال المصادقة المتبادلة بين محولات العميل اللاسلكية والشبكات اللاسلكية، كما يتيح مفاتيح تشفير مستخدم مفردة ديناميكية للإعانة على حماية خصوصية البيانات المنقولة.
توفر ميزة سيسكو للتأمين من نقاط الوصول الدخيلة حماية تأمين من إدخال نقطة وصول دخيلة تستطيع محاكاة نقطة وصول مشروعة على شبكة بغية استخلاص معلومات عن مسوغات المستخدمين وبروتوكولات المصادقة مما قد يخل بالتأمين، ولا تعمل هذه الميزة إلا مع مصادقة LEAP من سيسكو. لا تحمي تكنولوجيا 802.11 القياسية الشبكات من إدخال نقطة وصول دخيلة. راجع مصادقة LEAP للحصول على مزيدٍ من المعلومات.
إذا سمح تشكيل شبكة محلية لاسلكية بإعادة التوصيل السريع يستطيع أي جهاز عميل به تمكين LEAP التجوال من نقطة وصول لأخرى دون تدخل من الخادم الرئيسي، حيث تقوم نقطة وصول يسمح تشكيلها بتقديم خدمات النطاق اللاسلكية (WDS) مقام خادم RADIUS وتصادق العميل دون تأخير ملحوظ في تطبيقات الصوت أو غيرها من تطبيقات الحرج الزمني، وذلك عن طريق استخدام إدارة مفاتيح سيسكو المركزية (CCKM).
بروتوكول سيسكو للسلامة باستخدام المفاتيح (CKIP) هو بروتوكول تأمين خاص بسيسكو للتشفير في وسط 802.11. يستخدم CKIP الميزات التالية لتحسين تأمين 802.11 في وضع البنية الأساسية:
تدعم بعض نقاط الوصول، مثل Cisco 350 وCisco 1200، البيئات التي لا تدعم كل محطات العملاء فيها تشفير WEP، مما يطلق عليه اسم وضع الخلايا المختلطة. عندما تعمل تلك الشبكات اللاسلكية في وضع "التشفير الاختياري" ترسل محطات العملاء المنضمة بوضع WEP كافة الرسائل مشفرةً، بينما ترسل المحطات التي تستخدم الوضع القياسي كافة الرسائل غير مشفرة، وتعلن نقاط الوصول هذه عن عدم استخدام الشبكة للتشفير إلا إنها تسمح بالعملاء الذين يستخدمون وضع WEP. في حالة تمكين الخلايا المختلطة في توصيفٍ ما فإن ذلك يتيح لك التوصيل بنقاط الوصول المشَكلة على "التشفير التلقائي".
يستخدم EAP-FAST، شأنه شأن EAP-TTLS وPEAP، الحماية النفقية للتناقل، والفارق الأساسي هو أن EAP-FAST لا يستخدم الشهادات للمصادقة. يقتصر التفاوض على التقديم في EAP-FAST على العميل كأول تبادل للاتصال عند طلب EAP-FAST من الخادم، فإذا لم يكن لدى العميل مسوغ وصول محمي (PAC) سري مشترك مسبقاً فيستطيع تهيئة تبادل EAP-FAST للتقديم من أجل الحصول على مسوغ من الخادم ديناميكياً.
يوثق EAP-FAST أسلوبين لتسليم مسوغ الوصول المحمي: التسليم اليدوي من خلال آلية مؤمَّنة خارج المدى والتقديم التلقائي.
وينقسم أسلوب EAP-FAST إلى قسمين: التقديم والمصادقة. تتضمن مرحلة التقديم التسليم المبدئي لمسوغ الوصول المحمي (PAC) للعميل، ولا يلزم إجراء هذه المرحلة إلا مرة واحدة لكل عميل ومستخدم.
تدعم بعض نقاط الوصول، مثل Cisco 350 وCisco 1200، البيئات التي لا تدعم كل محطات العملاء فيها تشفير WEP، مما يطلق عليه اسم وضع الخلايا المختلطة. عندما تعمل تلك الشبكات اللاسلكية في وضع "التشفير الاختياري" ترسل محطات العملاء المنضمة بوضع WEP كافة الرسائل مشفرةً، بينما ترسل المحطات التي تستخدم الوضع القياسي كافة الرسائل غير مشفرة، وتعلن نقاط الوصول هذه عن عدم استخدام الشبكة للتشفير إلا إنها تسمح بالعملاء الذين يستخدمون وضع WEP. في حالة تمكين الخلايا المختلطة في توصيفٍ ما فإن ذلك يتيح لك التوصيل بنقاط الوصول المشَكلة على "التشفير التلقائي".
في حالة تمكين هذه الميزة يتيح المحول اللاسلكي معلومات إدارة الراديو لبنية سيسكو الأساسية. في حالة استخدام أداة سيسكو المساعدة لإدارة الراديو على البنية الأساسية فإنها تشكل معاملات الراديو وتكشف التداخل وتكشف أيضاً نقاط الوصول الدخيلة.