使用「IEEE 802.11 有線對等式保密」(WEP) 加密可以預防他人未經授權接收無線資料。WEP 加密提供兩種保全性等級:使用 64 位元金鑰 (也稱為 40 位元) 或 128 位元金鑰 (亦稱為 104 位元)。要得到加強的保全性,請使用 128 位元加密金鑰。如果您使用加密,無線網路上的所有無線裝置都必須使用相同的加密金鑰。
有線對等式保密 (WEP) 加密和共用驗證為網路上的資料提供保護。WEP 使用加密金鑰在資料傳輸之前對其進行加密。只有使用相同加密金鑰的電腦,才能存取該網路或解密其他電腦傳輸出來的加密資料。驗證在介面卡和存取點之間提供額外的確認程序。
WEP 加密演算法容易受到被動和主動網路的攻擊。TKIP 和 CKIP 演算法包括轉移現有網路攻擊和指出其缺點之 WEP 通訊協定的增強功能。
IEEE 802.11 支援兩種類型的網路驗證方法:「開放系統」與「共用金鑰」。
802.1x 驗證和 802.11 驗證的程序是獨立分開的。802.1x 標準為各種驗證和金鑰管理通訊協定提供架構。802.1x 驗證類型有許多種,每個都提供不同驗證方法,但是都使用相同的 802.1x 通訊協定和架構在用戶端和存取點之間通訊。在大部分的通訊協定中,當 802.1x 驗證程序完成時,請求者會接收到用來進行資料加密的金鑰。請參閱 802.1x 驗證的作業方式以取得更多資訊。使用 802.1x 驗證時,會在用戶端以及連接到存取點的「遠端驗證撥入使用者服務」(RADIUS) 伺服器之間使用驗證方法。驗證程序會使用身份證明,例如,不透過無線網路傳輸的使用者密碼。大部分的 802.1x 類型對每個使用者、每個作業階段金鑰都支援動態來強化靜態金鑰保全性。802.1x 受到現存的驗證通訊協定的協助,此驗證通訊協定稱為「可延伸驗證通訊協定」(EAP)。
無線區域網路的 802.1x 驗證有三個主要元件:
802.1x 驗證保全性從無線用戶端對存取點提出授權要求,存取點授權符合「可延伸驗證通訊協定」(EAP) 的 RADIUS 伺服器給用戶端。這個 RADIUS 伺服器可能會驗證使用者 (透過密碼或憑證) 或系統 (透過 MAC 位址)。理論上來說,無線用戶端要等到傳輸完成後才能加入網路。
802.1x 使用的驗證演算法有好幾種。某些範例為:EAP-TLS、EAP-TTLS 以及受保護的 EAP (PEAP)。這些都是無線用戶端向 RADIUS 伺服器識別自己的身份的方法。使用 RADIUS 驗證,使用者的身份會根據資料庫被檢查。RADIUS 組成一組強調「驗證」、「授權」、和「會計」(AAA) 的標準。Radius 包括在多重伺服器環境中驗證用戶端的 proxy 程序。IEEE 802.1x 標準是用來控制和驗證連接埠式 802.11 無線和有線乙太網路的存取。連接埠式的網路存取控制和切換本機區域網路 (LAN) 基礎架構類似,如果驗證程序失敗,此架構會驗證連接到 LAN 連接埠的裝置,並預防該連接埠的存取。
RADIUS 是 AAA 撥號用戶端在「網路存取伺服器」登入和登出時使用的「遠端存取撥入使用者服務」、「授權」、「驗證」、以及「會計」(AAA) 用戶端-伺服器通訊協定。一般來說,「網際網路服務提供者」(ISP) 會使用 RADIUS 伺服器來執行 AAA 作業。AAA 階段的說明如下:
802.1x 驗證的簡要說明是:
Wi-Fi 保護的存取 (WPA 或 WPA2) 是保全性增強功能,可大幅提高資料保護和無線網路存取控制的等級。WPA 執行 802.1x 驗證和金鑰互換,並且僅可與動態加密金鑰作業。要強化資料加密,WPA 會使用其「暫時密碼整合通訊協定」(TKIP)。TKIP 提供重要的資料加密增強功能,包括每個封包的金鑰混合功能、稱為 Michael 的訊息整合檢查 (MIC)、含順序規格的延長初始化向量 (IV),以及金鑰重建機制。使用這些改善的增強功能,TKIP 可防護 WEP 的已知弱點。
符合 IEEE TGi 規格的第二代 WPA 稱為 WPA2。
企業模式:「企業模式」會透過 RADIUS 或其他驗證伺服器來驗證網路使用者。WPA 利用 128 位元加密金鑰與動態作業階段金鑰,來確保您無線網路的隱私以及企業保全性。「企業模式」目標在於企業和政府的環境。
個人模式:「個人模式」需要在存取點與用戶端上手動設定預先共用金鑰 (PSK)。在用戶端站台以及存取點兩者中,PSK 會透過密碼或識別碼來驗證使用者。不需要驗證伺服器。「個人模式」目標在家用與小型企業環境。
「WPA-企業」與「WPA2-企業」:在含有 802.1x RADIUS 伺服器的企業網路上提供這種等級的保全性。選取某種「驗證類型」以符合 802.1x 伺服器的驗證通訊協定。
「WPA-個人」與「WPA2-個人」:在小型網路或家庭環境中提供這種等級的保全性。其使用一種稱為預先共用金鑰 (PSK) 的密碼。密碼越長,無線網路的保全性就越牢固。如果您的無線存取點或路由器支援「WPA - 個人」和「WPA2 - 個人」,您就應該在該存取點將其啟用,並提供一個又長又牢靠的密碼。輸入存取點的相同密碼也要使用於這部點腦以及其它存取無線網路的無線裝置。
注意:「WPA-個人」與「WPA2-個人」不能互相操作。
AES-CCMP - (進階加密標準 - 計數器 CBC-MAC 通訊協定) 這是 IEEE 802.11i 標準中指定的無線傳輸私密性保護的新方法。AES-CCMP 提供的加密方法比 TKIP 的還要強。如果進行緊密的資料保護很重要的話,請選擇 AES-CCMP 為資料加密方法。
注意:有些保全性解決方案可能不受到您電腦作業系統的支援,並且可能需要額外的軟體或硬體以及無線 LAN 基礎架構的支援。請向您的電腦製造廠商查詢詳情。
TKIP (暫時金鑰整合通訊協定) 是 WEP (有線對等式保密) 保全性的一種增強功能。TKIP 提供每個封包的金鑰混合、訊息整合檢查,以及修正 WEP 缺點的金鑰重建機制。
訊息摘要 5 (MD5) 是利用使用者名稱與密碼的單向驗證方法。這個方法不支援金鑰管理,但是,如果有使用資料加密的話,則需要預先設定金鑰。 可為 EAP 通道方法內的無線驗證安全顯示。
一種使用「可延伸驗證通訊協定」(EAP) 的驗證方法類型,以及一種稱為「傳輸層保全性」(TLS) 的保全性通訊協定。EAP-TLS 使用的憑證會使用密碼。EAP-TLS 驗證支援動態 WEP 金鑰管理。TLS 通訊協定的目的是要透過資料加密來確保及驗證整個公共網路的通訊。「TLS 交涉通訊協定」可允許伺服器和用戶端在資料傳輸之前,提供互相驗證以及交涉加密驗算法和加密金鑰。
這些設定定義用來驗證使用者的通訊協定和身份證明。在 TTLS (通道的傳輸層保全性) 中,用戶端使用 EAP-TLS 來驗證伺服器,以及在用戶端和伺服器之間建立 TLS 加密的通道。用戶端可以使用另外一個驗證通訊協定,一般是密碼式的通訊協定,如同透過這個加密通道的「MD5 挑戰」來啟用伺服器驗證。挑戰和回應封包是透過非揭露的 TLS 加密通道傳送的。目前的 TTLS 執行支援所有由 EAP 定義的方法以及許多較舊的方法 (PAP、CHAP、MS-CHAP 與 MS-CHAPv2)。利用定義新屬性以支援新的通訊協定可輕易地延伸 TTLS 來與新通訊協定作業。
PEAP 是一種新的「可延伸驗證通訊協定」(EAP) IEEE 802.1x 驗證類型,其設計是要利用伺服器端的「EAP-傳輸層保全性」 (EAP-TLS) 和支援各種驗證方法,包括使用者密碼、一次性密碼以及「一般性 Token 卡」。
Cisco LEAP (Cisco Light EAP) 是透過使用者提供的登入密碼的伺服器和用戶端 802.1x 驗證。當無線存取點與 Cisco LEAP 啟用的 RADIUS (Cisco Secure Access Control Server [ACS]) 通訊時,Cisco LEAP 會透過用戶端無線介面卡和無線網路之間的相互驗證提供存取控制和提供動態、個別的使用者加密金鑰,以幫助保護傳輸資料的私密性。
Cisco Rogue 存取點功能從可模擬網路上適當存取點的 rogue 存取點開始提供保全性保護,如此便可擷取可能影響保全性的使用者身份證明和驗證通訊協定方面的資訊。這項功能僅適用於 Cisco 的 LEAP 驗證。.標準 802.11 技術無法保護網路攔阻 rogue 存取點進入。詳細資訊請參閱 LEAP 驗證。
設定無線 LAN 以進行快速連線時,啟用 LEAP 的用戶端裝置可從一個存取點漫遊到另外一個存取點,而不需要主伺服器的介入。使用「Cisco 中央化的金鑰管理」(CCKM),設定來提供「無線網域服務」(WDS) 的存取點會取代 RADIUS 伺服器的位置並驗證用戶端,但不會有明顯的語音或其它時間性應用程式延遲的情況發生。
Cisco Key Integrity Protocol (CKIP) 是 Cisco 在 802.11 媒體中加密的專屬安全性通訊協定。CKIP 使用以下的功能來改善基礎架構模式中的 802.11 保全性:
有些存取點,例如 Cisco 350 或 Cisco 1200,可支援不是所有用戶端站台都支援的 WEP 加密環境,這就稱為「混合傳播網路模式」。當這些無線網路以「選擇性加密」模式操作時,加入 WEP 模式的用戶端站台所傳送的訊息全部都會加密,而用標準模式的站台所傳送的訊息全部都不加密。這些存取點廣播網路沒有使用加密,但是可允許使用 WEP 模式的用戶端。在設定檔中啟用「混合傳播網路」時,就可讓您連線到為「選擇性加密」設定的存取點。
EAP-FAST 像 EAP-TTLS 和 PEAP 一樣,使用通道處理來保護流量。主要的差異處是 EAP-FAST 不使用憑證來進行驗證。當伺服器要求 EAP-FAST 時,EAP-FAST 中的規範完全由用戶端當成第一次通訊互換來進行交涉。如果用戶端沒有預先共用的祕密「受保護的存取身份證明」(PAC),它可以初始化規範 EAP-FAST 互換,以便從伺服器動態取得此種身份證明。
EAP-FAST 記錄兩種提供 PAC 的方法:透過頻外保全機制以手動方式提供,以及自動規範。
EAP-FAST 方法分成兩個部份:規範和驗證。規範階段涉及初步提供 PAC 給用戶端。這個階段僅需要在每個用戶端和使用者執行一次。
有些存取點,例如 Cisco 350 或 Cisco 1200,可支援不是所有用戶端站台都支援的 WEP 加密環境,這就稱為「混合傳播網路模式」。當這些無線網路以「選擇性加密」模式操作時,加入 WEP 模式的用戶端站台所傳送的訊息全部都會加密,而用標準模式的站台所傳送的訊息全部都不加密。這些存取點廣播網路沒有使用加密,但是可允許使用 WEP 模式加入的用戶端。在設定檔中啟用「混合傳播網路」時,就可讓您連線到為「選擇性加密」設定的存取點。
當這個功能啟用時,您的無線介面卡會為 Cisco 基礎架構提供無線電管理。如果在此基礎架構上使用「Cisco 無線電管理」公用程式的話,它就會設定無線電參數、偵測干擾以及 Rouge 存取點。