Du kan forhindre ikke-autoriseret modtagelse af dine trådløse data med IEEE 802.11 Wired Equivalent Privacy (WEP). WEP-kryptering giver sikkerhed på to niveauer: 64-bit nøgle (kaldes undertiden for 40-bit) eller en 128-bit nøgle (kaldes også for 104-bit). For at opnå bedre sikkerhed skal du bruge en 128 bit-nøgle. Hvis du bruger kryptering, skal alle trådløse enheder på dit trådløse netværk bruge de samme krypteringsnøgler.
Wired Equivalent Privacy (WEP)-kryptering og delt godkendelse beskytter dine data på netværket. WEP bruger en krypteringsnøgle til at kryptere data, før de overføres. Kun computere, der bruger den samme krypteringsnøgle, kan få adgang til netværket eller afkryptere de krypterede data, der er overført af andre computere. Godkendelse giver en yderligere valideringsproces fra adapteren til adgangspunktet.
WEP-krypteringsalgoritmen er sårbar over for passive og aktive netværksangreb. TKIP- og CKIP-algoritmer indeholder forbedringer til WEP-protokollen, der afbøder eksisterende netværksangreb udbedrer dens mangler.
IEEE 802.11 understøtter to typer metoder til netværksgodkendelse: Åbent system og delt nøgle.
Sådan fungerer 802.1x-godkendelse
802.1x-funktioner
802.1x-godkendelsen er uafhængig af 802.11-godkendelsesprocessen. 802.1x-standarden indeholder en ramme for forskellige godkendelses- og nøgleadministrationsprotokoller. Der findes forskellige 802.1x-godkendelsestyper, der hver indeholder en forskellig fremgangsmåde til godkendelse, men de bruger alle den samme 802.1x-protokol og ramme til kommunikation mellem en klient og et adgangspunkt. I de fleste protokoller vil den søgende ved fuldførelse af 802.1x-godkendelsesprocessen modtage en nøgle, som den bruger til datakryptering. Se Sådan fungerer 802.1x-godkendelse for yderligere oplysninger. Med 802.1x-godkendelse bruges en godkendelsesmetode mellem klienten og en fjern brugerservice for godkendelsesopkald (RADIUS)-server, der er tilsluttet til adgangspunktet. Godkendelsesprocessen bruger legitimationsoplysninger, f.eks. en bruger adgangskode, som ikke transmitteres over det trådløse netværk. De fleste 802.1x-typer understøtter dynamisk pr. bruger-, pr. session-nøgler til at styrke den statiske nøglesikkerhed. 802.1x udnytter brugen af en eksisterende godkendelsesprotokol, der kaldes Extensible Authentication Protocol (EAP).
802.1x-godkendelsen af trådløse lokalnetværk består af tre hovedkomponenter:
802.1x-godkendelsessikkerhed starter en autorisationsanmodning fra den trådløse klient til adgangspunktet, der godkender klienten på en Extensible Authentication Protocol (EAP)-kompatibel RADIUS-server. Denne RADIUS-server kan enten godkende brugeren (med adgangskoder eller certifikater) eller systemet (med MAC-adresse). Teoretisk har den trådløse klient ikke lov til at tilslutte sig netværkene, før transaktionen er fuldført.
Der anvendes flere godkendelsesalgoritmer til 802.1x. Nogle eksempler er: EAP-MD5, EAP-TLS, EAP-TTLS, PEAP og LEAP. De er alle sammen metoder, som den trådløse klient bruger til at identificere sig selv på RADIUS-serveren. Med RADIUS-godkendelse kontrolleres brugeridentiteter i forhold til databaser. RADIUS består af et sæt standarder inden for Godkendelse, Autorisation og Redegørelse (AAA). Radius indeholder en proxy-proces til validering af klienter i et multiservermiljø. IEEE 802.1x-standarden er til kontrol og godkendelse af adgang til portbaserede 802.11 trådløse og kabelførte Ethernet-netværk. Portbaseret netværksadgangskontrol minder om en omskiftet LAN-infrastruktur, der godkender enheder, der er forbundet til en LAN-port og forhindrer adgang til den port, hvis godkendelsesprocessen fejler.
RADIUS er Remote Access Dial-In User Service, en autorisations-, godkendelses- og redegørelses (AAA)-klient-server-protokol, der bruges når en AAA-opkaldsklient logger på eller af en netværksadgangsserver. Typisk bruges en RADIUS-server af internetudbydere (Internet Service Providers (ISP)) til at udføre AAA-opgaver. AAA-faser beskrives som følger:
En forenklet beskrivelse af 802.1x-godkendelsen er:
Wi-Fi-beskyttet adgang (WPA eller WPA2) er en sikkerhedsforbedring, der forøger databeskyttelsesniveauet og adgangskontrollen til et trådløst netværk betydeligt. WPA fastholder 802.1x-godkendelse og nøgleudveksling og fungerer kun med dynamiske krypteringsnøgler. For at styrke datakryptering bruger WPA Temporal Key Integrity Protocol (TKIP). TKIP indeholder vigtige datakrypteringsforbedringer, der inkluderer en pr. pakke-nøgleblandingsfunktion, en meddelelsesintegritetskontrol (MIC) kaldet Michael, en udvidet initialiseringsvektor (IV) med sekvenseringsregler og en mekanisme til omskrivning af nøglen. Ved brug af disse forbedringer beskytter TKIP i mod WEP's kendte svagheder.
Den anden generation af WPA, som overholder IEEE TGi-specifikationen, kaldes WPA2.
Koncerntilstand: Koncerntilstand verificerer netværksbrugere gennem en RADIUS- eller anden godkendelsesserver. WPA udnytter 128-bit krypteringsnøgler og dynamiske sessionnøgler til sikring af det trådløse netværks privatliv og koncernsikkerhed. Koncernsikkerhed er målrettet imod større virksomheds- og statslige miljøer.
Personlig tilstand: Personlig tilstand kræver manuel konfiguration af en foruddelt nøgle (PSK) på adgangspunkt og klienter. PSK godkender brugeres adgangskode eller identificeringskode, på både klientstationen og adgangspunktet. Der er ikke behov for en godkendelsesserver. Personlig tilstand er målrettet imod hjemmemiljøer og mindre virksomheder.
WPA-Koncern og WPA2-Koncern: Giver dette sikkerhedsniveau på koncernnetværk med en 802.1x RADIUS-server. Der vælges en godkendelsestype til at matche godkendelsesprotokollen på 802.1x-serveren.
WPA-Personlig og WPA2-Personlig: Giver dette sikkerhedsniveau i mindre netværk eller hjemmenetværk. Det kræver en adgangskode, der også kaldes en foruddelt nøgle (PSK). Jo længere denne adgangskode er, jo mere sikkert er det trådløse netværk. Hvis det trådløse adgangspunkt eller routeren understøtter WPA-Personal og WPA2-Personal, skal du aktivere den i adgangspunktet og angive en lang stærk adgangskode. Den samme adgangskode, du angav for adgangspunktet, skal bruges på denne computer og til alle andre trådløse enheder, der har adgang til det trådløse netværk.
BEMÆRK: WPA-Personlig og WPA2-Personlig kan ikke bruges sammen.
AES-CCMP (Advanced Encryption Standard - Counter CBC-MAC Protocol) er den nye metode til fortrolighedsbeskyttelse i trådløse overførsler, som angivet i IEEE 802.11i-standarden. AES-CCMP er en stærkere krypteringsmetode end TKIP. Vælg AES-CCMP-datakrypteringsmetode, når det er høj databeskyttelse er vigtig.
BEMÆRK:Visse sikkerhedsløsninger understøttes muligvis ikke af din computers operativsystem og kan kræve ekstra software og/eller bestemt hardware såvel som understøttelse af trådløs LAN-infrastruktur. Henvend dig til din computerproducent for at høre mere.
TKIP (Temporal Key Integrity Protocol) er en forbedring til WEP (Wired Equivalent Privacy)-sikkerhed. TKIP indeholder nøgle-mixing pr. pakke, en meddelelsesintegritetskontrol og re-keying-mekanisme, som retter fejlene i WEP.
Message Digest 5 (MD5) er en envejs-godkendelsesmetode, der bruger brugernavne og adgangskoder. Denne metode understøtter ikke nøgleadministration, men kræver en forudkonfigureret nøgle, hvis datakryptering anvendes. Den kan sikkert anvendes til trådløs godkendelse i EAP-tunnelmetoder.
En type godkendelsesmetode, der bruger Extensible Authentication-protokollen (EAP) og en sikkerhedsprotokol, der kaldes Transport Layer Security (TLS). EAP-TLS bruger certifikater, der bruger adgangskoder. EAP-TLS-godkendelse understøtter dynamisk WEP-nøglestyring. TLS protokollen er beregnet til at sikre og godkende kommunikation via offentlige netværk ved anvendelse af datakryptering. TLS Handshake Protocol giver serveren og klienten mulighed for gensidig godkendelse og forhandling om en krypteringsalgoritme og krypteringsnøgler, før data sendes.
Disse indstillinger definerer protokollen og de legitimationsoplysninger, der bruges til at godkende en bruger. I TTLS bruger klienten EAP-TLS til at validere serveren og oprette en TLS-krypteret kanal mellem klient og server. Klienten kan bruge en anden godkendelsesprotokol, typisk adgangskodebaserede protokoller, f.eks. MD5 Challenge over denne krypterede kanal til aktivering af servervalidering. Challenge- og svarpakker sendes over en ikke-udsat TLS-krypteret kanal. TTLS implementeringerne understøtter i øjeblikket alle de metoder, der fastlægges af EAP, såvel som flere ældre metoder (PAP, CHAP, MS-CHAP og MS-CHAPv2). TTLS kan nemt udvides til at fungere sammen med nye protokoller ved definition af nye egenskaber til understøttelse af nye protokoller.
PEAP er en ny Extensible Authentication Protocol (EAP) IEEE 802.1x-godkendelsestype, der er designet til at drage fordele af EAP-Transport Layer Security (EAP-TLS) på serversiden og til at understøtte forskellige godkendelsesmetoder, herunder brugers adgangskode og engangsadgangskoder og Generic Token Cards.
Cisco LEAP (Cisco Light EAP) er en server- og klient 802.1x-godkendelse via en brugerangivet adgangskode. Når et trådløst adgangspunkt kommunikerer med en Cisco LEAP-aktiveret RADIUS (Cisco Secure Access Control Server [ACS]), indeholder Cisco LEAP adgangskontrol via fælles godkendelse mellem klientens trådløse adaptere og de trådløse netværk og indeholder dynamiske, individuelle brugerkrypteringsnøgler til hjælp til beskyttelse af det private i transmitterede data.
Cisco Rogue AP-funktionen indeholder sikkerhedsbeskyttelse fra rogue-adgangspunktet, der kunne efterligne et lovligt adgangspunkt på et netværk for at trække oplysninger om brugerlegitimationsoplysninger og godkendelsesprotokoller ud, der kunne sætte sikkerheden i fare. Denne funktion fungerer kun med Ciscos LEAP-godkendelse. Standard 802.11-teknologi beskytter ikke et netværk med introduktion af et rogue-adgangspunkt. Se Leap-godkendelse for yderligere oplysninger.
Når et trådløst LAN er konfigureret til hurtig gentilslutning, kan en LEAP-aktiveret klientenhed "roame" fra at adgangspunkt til et andet uden at involvere hovedserveren. Ved hjælp af Cisco Centralized Key Management (CCKM), erstatter et adgangspunkt, der er konfigureret til at yde Wireless Domain Services (WDS), RADIUS-serveren og godkender klienten uden mærkbar forsinkelse under tale eller andre tidskritiske anvendelser.
Cisco Key Integrity Protocol (CKIP) er Ciscos egen sikkerhedsprotokol til kryptering i 802.11-medier. CKIP bruger følgende funktioner til at forbedre 802.11-sikkerhed i infrastrukturtilstand:
Nogle adgangspunkter, f.eks. Cisco 350 eller Cisco 1200, understøtter miljøer, hvor ikke alle klientstationer understøtter WEP-kryptering, og dette kaldes blandet celle-tilstand. Når disse trådløse netværk arbejder i en “valgfri krypteringstilstand”, vil klientstationer, som tilmelder sig i WEP-tilstand, sende alle meddelelser krypteret, og stationer, som tilmelder sig i standardtilstand, vil sende alle meddelelser ikke-krypterede. Disse adgangspunkter rundsender, at netværket ikke anvender kryptering, men tillader, at klienterne tilmelder sig i WEP-tilstand. Når Blandet celle er aktiveret i en profil, har du mulighed for at tilslutte dig adgangspunkter, som er konfigureret til “valgfri kryptering”.
EAP-FAST bruger som EAP-TTLS og PEAP tunneller til at beskytte trafikken. Hovedforskellen er, at EAP-FAST ikke bruger certifikater til godkendelse. Levering i EAP-FAST forhandles udelukkende med klienten som den første kommunikationsudveksling, når serveren anmoder om EAP-FAST. Hvis klienten ikke har en foruddelt hemmelig PAC (Protected Access Credential), kan den starte tildeling af EAP-FAST for dynamisk at modtage en fra serveren.
EAP-FAST definerer to metoder til tildeling af PAC'en: manuel levering via en sikkerhedsmekanisme uden for båndet, og automatisk tildeling.
EAP-FAST-metoden opdeles i to dele: tildeling og godkendelse. Leveringsfasen omfatter den første levering af PAC'en til klienten. Denne fase behøver kun at blive udført én gang pr. klient og bruger.
Nogle adgangspunkter, f.eks. Cisco 350 eller Cisco 1200, understøtter miljøer, hvor ikke alle klientstationer understøtter WEP-kryptering, og dette kaldes blandet celle-tilstand. Når disse trådløse netværk arbejder i en “valgfri krypteringstilstand”, vil klientstationer, som tilmelder sig i WEP-tilstand, sende alle meddelelser krypteret, og stationer, som tilmelder sig i standardtilstand, vil sende alle meddelelser ikke-krypterede. Disse adgangspunkter rundsender, at netværket ikke anvender kryptering, men tillader, at klienterne tilmelder sig i WEP-tilstand. Når Blandet celle er aktiveret i en profil, har du mulighed for at tilslutte dig adgangspunkter, som er konfigureret til “valgfri kryptering”.
Når denne funktion er aktiveret, giver din trådløse adapter Cisco infrastrukturen Radio styringsoplysninger. Hvis værktøjet Cisco Radiostyring bruges i infrastrukturen, konfigurerer det radioparametre, registrerer interferens og Rogue-adgangspunkter.