Durch den Einsatz der IEEE 802.11 WEP-Verschlüsselung kann verhindert werden, dass Unbefugte drahtlos gesendete Daten empfangen. WEP-Verschlüsselung bietet zwei Sicherheitsstufen: 64-Bit-Schlüssel (mitunter auch als 40-Bit bezeichnet) und einen 128-Bit-Schlüssel (mitunter auch als 104-Bit bezeichnet). Für erhöhte Sicherheit sollten Sie einen 128-Bit-Schlüssel verwenden. Wenn Sie Verschlüsselung verwenden, müssen alle drahtlosen Geräte auf Ihrem drahtlosen Netzwerk dieselben Chiffrierschlüssel verwenden.
WEP (Wired Equivalent Privacy - kabelvergleichbare Sicherheit)-Verschlüsselung und die freigegebene Authentifizierung schützen die Daten auf dem Netzwerk. WEP verwendet einen Chiffrierschlüssel, um Daten vor ihrer Übertragung zu verschlüsseln. Nur Computer, die denselben Chiffrierschlüssel verwenden, können auf das Netzwerk zugreifen oder von anderen Computern übertragene verschlüsselte Daten entschlüsseln. Die Authentifizierung stellt einen zusätzlichen Validierungsvorgang vom Adapter zum Zugriffspunkt dar.
Der WEP-Verschlüsselungsalgorithmus ist gegenüber passiven und aktiven Angriffe über das Netzwerk verletzbar. Die TKIP- und CKIP-Algorithmen weisen Verbesserungen des WEP-Protokolls auf, die vorhandene Angriffe über das Netzwerk mildern und die Schwächen des WEP-Protokolls ausgleichen.
IEEE 802.11 unterstützt zwei Netzwerkauthentifizierungsmethoden: das offene System und den freigegebenen Schlüssel.
Die 802.1x-Authentifizierung
802.1x-Funktionen
Die 802.1x-Authentifizierung erfolgt unabhängig vom 802.11-Authentifizierungsprozess. Der 802.1x-Standard stellt eine Grundstruktur für verschiedene Authentifizierungs- und Schlüsselverwaltungsprotokolle dar. Es gibt verschiedene 802.1x-Authentifizierungstypen, die unterschiedliche Authentifizierungsansätze verwenden, sich jedoch alle desselben 802.1x-Protokolls und Kommunikationsrahmens zwischen Client und Zugriffspunkt bedienen. Bei den meisten Protokollen erhält der anfragende Teilnehmer nach Beendigung der 802.1x-Authentifizierung einen Schlüssel zum Einsatz in der Datenverschlüsselung. Weitere Informationen dazu finden Sie unter Die 802.1x-Authentifizierung. Bei der 802.1x-Authentifizierung wird zwischen dem Client und einem RADIUS-Server (Remote Authentication Dial-In User Service) in Verbindung mit einem Zugriffspunkt eine Authentifizierungsmethode verwendet. Der Authentifizierungsprozess verwendet Anmeldeinformationen wie z. B. das Benutzerkennwort, die nicht über das drahtlose Netzwerk übertragen werden. Die meisten 802.1x-Typen unterstützen dynamische, benutzer- und sitzungsspezifische Schlüssel, die die statische Schlüsselsicherheit erhöhen. 802.1x bedient sich dabei der Vorteile eines vorhandenen Authentifizierungsprotokolls, das als EAP (Extensible Authentication Protocol oder erweiterbares Authentifizierungsprotokoll) bezeichnet wird.
Die 802.1x-Authentifizierung für WLANs besteht aus drei Hauptkomponenten:
802.1x-Authentifizierungssicherheit initiiert eine Authentifizierungsanfrage vom drahtlosen Client an den Zugriffspunkt, wodurch der Client für einen EAP-fähigen (Extensible Authentication Protocol - erweiterbares Authentifizierungsprotokoll) RADIUS-Server authentifiziert wird. Der RADIUS-Server kann entweder den Anwender (über Kennworte oder Zertifikate) oder das System (über die MAC-Adresse) authentifizieren. Theoretisch ist es dem drahtlosen Client nicht gestattet, eine Verbindung zu den Netzwerken herzustellen, solange die Transaktion nicht abgeschlossen ist.
Für 802.1x werden mehrere Authentifizierungsalgorithmen verwendet. Beispiele dafür sind: EAP-TLS, EAP-TTLS und PEAP (Protected EAP). Der drahtlose Client identifiziert sich über eine dieser Methoden auf dem RADIUS-Server. Wenn die RADIUS-Authentifizierung vorliegt, wird die Identität des Benutzers mit Datenbankinformationen verglichen. RADIUS beinhaltet einen Satz mit Standards, die sich auf AAA (Authorization, Authentication, and Accounting = Berechtigung, Authentifizierung und Rechnungswesen) beziehen. RADIUS umfasst zudem einen Proxy-Prozess, der Clients in einer Umgebung mit mehreren Servern validiert. Der IEEE 802.1x-Standard dient der Zugriffskontrolle und -authentifizierung auf anschlussbasierenden drahtlosen und verdrahteten 802.11-Ethernet-Netzwerke. Anschlussbasierende Zugriffskontrolle auf Netzwerke ist mit einer LAN-Infrastruktur mit Switching vergleichbar, in der an den LAN-Anschluss angeschlossene Geräte authentifiziert werden, aber der Zugriff auf diesen Anschluss bei fehlgeschlagener Authentifizierung verhindert wird.
RADIUS (Remote Access Dial-In User Service) ist ein Anwender-Service mit Fernzugriff über Einwählen, ein AAA- (Authorization, Authentication and Accounting = Berechtigungs-, Authentifizierungs- und Rechnungs-) Client-Serverprotokoll, das für die An- oder Abmeldung eines AAA-Einwahl-Clients beim Netzwerk-Access-Server verwendet wird. Ein RADIUS-Server wird üblicherweise von Internet-Serviceanbietern (ISPs) verwendet, um AAA-Aufgaben durchzuführen. AAA-Phasen werden wie folgt beschrieben:
Es folgt eine vereinfachte Beschreibung der 802.1x-Authentifizierung:
Wi-Fi Protected Access (WPA und WPA2) oder Wi-Fi-geschützter Zugriff ist eine Sicherheitsverbesserung, die eine erhebliche Steigerung für den Datenschutz und die Zugriffskontrolle auf ein drahtloses Netzwerk bedeutet. WPA erzwingt die 802.1x-Authentifizierung und den Schlüsselaustausch und funktioniert nur mit dynamischen Chiffrierschlüsseln. WPA (Wi-Fi Protected Access) verwendet zur verstärkten Datenverschlüsselung das TKIP (Temporal Key Integrity Protocol oder temporäres Schlüsselintegritätsprotokoll). TKIP bietet wichtige Datenverschlüsselungsverbesserungen, zu denen die Schlüsselmischfunktion innerhalb des Pakets, ein MIC (Meldungsintegritätsprüfverfahren), das "Michael" genannt wird, ein erweiterter Initialisierungsvektor (IV) mit Sequenzregeln und ein Neuverschlüsselungsmechanismus gehören. Mithilfe dieser Verbesserungen schützt TKIP vor den bekannten Schwachpunkten von WEP.
Diese zweite Generation von WPA, die den IEEE TGi-Spezifikationen entspricht, wird als WPA2 bezeichnet.
Unternehmens-Modus: Der Unternehmens-Modus überprüft Netzwerkbenutzer über einen RADIUS- oder anderen Authentifizierungsserver. WPA verwendet 128-Bit-Chiffrierschlüssel und dynamische Sitzungsschlüssel, um Datenschutz und Unternehmenssicherheit auf Ihrem drahtlosen Netzwerk zu gewährleisten. Der Unternehmens-Modus ist für Umgebungen in Unternehmen und im öffentlichen Dienst gedacht.
Persönliche Modus: Der persönliche Modus erfordert die manuelle Konfiguration eines PSK am Zugriffspunkt und auf Clients. Der PSK authentifiziert Benutzer anhand eines Kennwortes oder eines Identifizierungscodes sowohl auf der Client-Station als auch auf dem Zugriffspunkt. Es wird kein Authentifizierungsserver benötigt. Der Personal-Modus ist für Heim- und Kleinunternehmensumgebungen gedacht.
WPA - Unternehmen und WPA2 - Unternehmen: Bietet dieses Sicherheitsniveau für Firmennetzwerke mit einem 802.1x-RADIUS-Server. Es wird ein Authentifizierungstyp ausgesucht, der dem Authentifizierungsprotokoll des 802.1x-Servers entspricht.
WPA - Persönlich und WPA2 - Persönlich: Bietet dieses Sicherheitsniveau für kleine Netzwerke oder Heimumgebungen. Es verwendet ein Kennwort, das auch als PSK oder vorab freigegebener Schlüssel bezeichnet wird. Je länger das Kennwort ist, umso höher ist die Sicherheit des drahtlosen Netzwerks. Wenn Ihr Wireless-Zugriffspunkt oder Router WPA - Persönlich und WPA2 - Persönlich unterstützt, sollten Sie dies auf dem Zugriffspunkt aktivieren und ein langes, komplexes Kennwort festlegen. Dasselbe Kennwort, das beim Zugriffspunkt eingegeben wird, muss auf diesem Computer und allen anderen drahtlosen Geräten, die auf das drahtlose Netzwerk zugreifen, verwendet werden.
HINWEIS:WPA - Persönlich und WPA2 - Persönlich können nicht gleichzeitig in einem Netzwerk eingesetzt werden.
AES-CCMP (Advanced Encryption Standard - Counter CBC-MAC Protocol): Dies ist die neue, im IEEE 802.11i-Standard spezifizierte Methode für den Datenschutz drahtloser Datenübertragungen. AES-CCMP bietet eine stärkere Verschlüsselungsmethode als TKIP. Wählen Sie AES-CCMP als Datenverschlüsselungsmethode, wenn ein besonders effektiver Datenschutz wichtig ist.
HINWEIS: Einige Sicherheitslösungen werden eventuell vom Betriebssystem Ihres Computers nicht unterstützt und erfordern zusätzliche Software bzw. bestimmte Hardware sowie WLAN-Infrastrukturunterstützung. Wenden Sie sich für detaillierte Informationen an den Hersteller Ihres Computers.
TKIP (Temporal Key Integrity Protocol): ist eine Verbesserung der WEP-Sicherheit (Wired Equivalent Privacy). TKIP bietet eine Schlüsselmischfunktion innerhalb des Pakets, ein Meldungsintegritätsprüfverfahren und einen Neuverschlüsselungsmechanismus, welche die Mängel bei WEP beheben.
Message Digest 5 (MD5) ist eine einwegige Authentifizierungsmethode, die Benutzernamen und Kennwörter verwendet. Die Schlüsselverwaltung wird von dieser Methode nicht unterstützt. Die Methode erfordert jedoch einen vorkonfigurierten Schlüssel bei Einsatz von Datenverschlüsselung. Sie kann sicher für die drahtlose Authentifizierung innerhalb EAP-Tunnelmethoden eingesetzt werden.
Eine Authentifizierungsmethode, die das EAP (Extensible Authentication Protocol) und das Sicherheitsprotokoll TLS (Transport Layer Security) verwendet. EAP-TLS arbeitet mit Zertifikaten, die Kennwörter verwenden. Die EAP-TLS-Authentifizierung unterstützt die dynamische WEP-Schlüsselverwaltung. Das TLS-Protokoll dient der Sicherung und Authentifizierung der Kommunikationen im öffentlichen Netzwerk durch Datenverschlüsselung. Über das TLS-Handshakeprotokoll können Server und Client eine gegenseitige Authentifizierung vornehmen und einen Verschlüsselungsalgorithmus und kryptografische Schlüssel aushandeln, bevor Daten übertragen werden.
Diese Einstellungen definieren das Protokoll und die Anmeldeinformationen, anhand derer ein Benutzer authentifiziert wird. Unter TTLS (Tunneled Transport Layer Security) verwendet der Client EAP-TLS zur Serverbestätigung und Einrichtung eines TLS-verschlüsselten Kanals zwischen Client und Server. Der Client kann zur Serverbestätigung über diesen verschlüsselten Kanal auch ein anderes Authentifizierungsprotokoll einsetzen, normalerweise wären dies kennwortbasierende Protokolle wie z. B. MD5 Challenge (Herausforderung). Die Herausforderungs- und Antwortpakete werden über einen verschlüsselten, nicht sichtbaren TLS-Kanal gesendet. TTLS-Implementierungen unterstützen heute alle von EAP definierten Methoden sowie etliche ältere Methoden (PAP, CHAP, MS-CHAP und MS-CHAPv2). Durch Definieren neuer Attribute kann TTLS auf einfache Weise zur Unterstützung neuer Protokolle erweitert werden.
PEAP ist ein neues EAP (Extensible Authentication Protocol oder erweiterbares Authentifizierungsprotokoll) vom IEEE 802.1x-Authentifizierungstyp, das entwickelt wurde, um die Vorteile der EAP-Transport Layer Security (EAP-TLS oder EAP-Transportebenensicherheit) auf Serverebene zu nutzen und verschiedene Authentifizierungsmethoden zu unterstützen, einschließlich Benutzerkennwörtern und einmaligen Kennwörtern sowie Generic Token Cards.
Cisco LEAP (Cisco Light EAP) ist eine 802.1x-Server- und Client-Authentifizierung, die ein vom Benutzer bereitgestelltes Anmeldekennwort verwendet. Wenn ein drahtloser Zugriffspunkt mit einem Cisco LEAP-aktivierten RADIUS (Cisco Secure Access Control Server [ACS]) kommuniziert, bietet Cisco LEAP Zugriffskontrolle über gegenseitige Authentifizierung zwischen den WLAN-Adaptern auf Client-Ebene und den drahtlosen Netzwerken, und stellt dynamische Chiffrierschlüssel für die einzelnen Anwender bereit, um die Datensicherheit bei der Übertragung zu gewährleisten.
Die Cisco Rogue AP-Funktion bietet Schutz vor Einführung eines Rogue-Zugriffspunktes, der vorgibt, ein legitimer Zugriffspunkt in einem Netzwerk zu sein, um auf diese Weise Informationen über die Benutzeranmeldeinformationen und Authentifizierungsprotokolle abzurufen, was die Sicherheit beeinträchtigen könnte. Diese Funktion funktioniert nur mit LEAP-Authentifizierung von Cisco. Der 802.11-Standard schützt ein Netzwerk nicht vor Rogue-Zugriffspunkten. Weitere Informationen finden Sie unter LEAP-Authentifizierung.
Wenn ein WLAN für eine schnelle Verbindung konfiguriert ist, kann sich ein Client-Gerät mit aktivierter LEAP-Authentifizierung ohne Einbeziehung des Hauptservers von einem Zugriffspunkt zum anderen bewegen. Mit dem Cisco Centralized Key Management (CCKM) übernimmt ein Zugriffspunkt, der für Wireless Domain Services (WDS) konfiguriert ist, die Rolle des RADIUS-Servers und authentifiziert den Client, ohne dass sprach- oder andere zeitempfindliche Anwendungen eine Verzögerung wahrnehmen können.
Cisco Key Integrity Protocol (CKIP) ist das proprietäre Sicherheitsprotokoll von Cisco zur Verschlüsselung von 802.11-Medien. CKIP verwendet die folgenden Funktionen zur Erhöhung der 802.11-Sicherheit im Infrastrukturmodus:
Einige Zugriffspunkte, zum Beispiel Cisco 350 oder Cisco 1200, unterstützen Umgebungen, in denen nicht alle Client-Stationen WEP-Verschlüsselung unterstützen. Dies wird gemischter Zellenmodus genannt. Wenn diese drahtlosen Netzwerke im "optionalen Verschlüsselungsmodus" arbeiten, senden Client-Stationen, die sich im WEP-Modus anschließen, alle Meldungen verschlüsselt und Stationen, die den Standardmodus verwenden, alle Meldungen unverschlüsselt. Diese Zugriffspunkte geben bekannt, dass das Netzwerk keine Verschlüsselung verwendet, gestatten Clients jedoch, sich im WEP-Modus anzuschließen. Wenn der gemischte Zellenmodus in einem Profil aktiviert ist, können Sie Verbindungen zu Zugriffspunkten herstellen, die zur "optionalen Verschlüsselung" konfiguriert sind.
EAP-FAST, wie EAP-TTLS und PEAP, verwendet Tunneling, um den Verkehr zu schützen. Der Hauptunterschied besteht darin, dass EAP-FAST keine Zertifikate zum Authentifizieren verwendet. Die Bereitstellung bei EAP-FAST wird ausschließlich vom Client ausgehandelt, weil die erste Kommunikation ausgetauscht wird, wenn EAP-FAST vom Server angefordert wird. Wenn der Client nicht über eine vorab freigegebene, geheime PAC verfügt, kann er um den Start eines EAP-FAST-Einrichtungsaustauschs bitten, um dynamisch eine vom Server zu erhalten.
EAP-FAST verwendet zwei Methoden, um die PAC auszugeben: manuelle Lieferung über einen sicheren Mechanismus außerhalb des Bands und automatische Bereitstellung.
Die EAP-FAST-Methode ist in zwei Teile gegliedert: Bereitstellung und Authentifizierung. Die Bereitstellungsphase umfasst die anfängliche Lieferung der PAC an den Client. Diese Phase muss nur einmal pro Client und Benutzer durchgeführt werden.
Einige Zugriffspunkte, zum Beispiel Cisco 350 oder Cisco 1200, unterstützen Umgebungen, in denen nicht alle Client-Stationen WEP-Verschlüsselung unterstützen. Dies wird gemischter Zellenmodus genannt. Wenn diese drahtlosen Netzwerke im "optionalen Verschlüsselungsmodus" arbeiten, senden Client-Stationen, die sich im WEP-Modus anschließen, alle Meldungen verschlüsselt und Stationen, die den Standardmodus verwenden, alle Meldungen unverschlüsselt. Diese Zugriffspunkte geben bekannt, dass das Netzwerk keine Verschlüsselung verwendet, gestatten Clients jedoch, sich im WEP-Modus anzuschließen. Wenn der gemischte Zellenmodus in einem Profil aktiviert ist, können Sie Verbindungen zu Zugriffspunkten herstellen, die zur "optionalen Verschlüsselung" konfiguriert sind.
Wenn diese Funktion aktiviert ist, versorgt Ihr drahtloser Adapter die Cisco-Infrastruktur mit Informationen zur Senderverwaltung. Wenn das Cisco-Programm "Funkverwaltung" auf der Infrastruktur verwendet wird, werden Funkparameter konfiguriert und Störungen und Rogue-Zugriffspunkte erkannt.