Χρησιμοποιήστε κρυπτογράφηση IEEE 802.11 Wired Equivalent Privacy (WEP) για να αποτρέπετε τη μη εξουσιοδοτημένη λήψη ασύρματων δεδομένων. Η κρυπτογράφηση WEP παρέχει δύο επίπεδα ασφάλειας: κλειδί 64-bit (μερικές φορές αναφέρεται ως 40-bit) ή κλειδί 128-bit (επίσης γνωστό ως 104-bit). Για ισχυρότερη ασφάλεια, χρησιμοποιήστε κλειδί 128-bit. Εάν χρησιμοποιείτε κρυπτογράφηση, όλες οι ασύρματες συσκευές στο ασύρματο δίκτυό σας πρέπει να χρησιμοποιούν τα ίδια κλειδιά κρυπτογράφησης.
Η κρυπτογράφηση WEP και ο κοινόχρηστος έλεγχος ταυτότητας παρέχουν προστασία στα δεδομένα του δικτύου σας. Η κρυπτογράφηση WEP χρησιμοποιεί ένα κλειδί για την κρυπτογράφηση των δεδομένων πριν τη μετάδοσή τους. Μόνο υπολογιστές που χρησιμοποιούν το ίδιο κλειδί κρυπτογράφησης μπορούν να αποκτούν πρόσβαση στο δίκτυο ή να αποκρυπτογραφούν τα κρυπτογραφημένα δεδομένα που μεταφέρθηκαν από άλλους υπολογιστές. Ο έλεγχος ταυτότητας παρέχει μια επιπρόσθετη διαδικασία επικύρωσης από τον προσαρμογέα στο σημείο πρόσβασης.
Ο αλγόριθμος κρυπτογράφησης WEP είναι τρωτός σε παθητικές και ενεργές επιθέσεις στο δίκτυο. Οι αλγόριθμοι TKIP και CKIP περιλαμβάνουν βελτιώσεις στο πρωτόκολλο WEP που μετριάζουν τις υπάρχουσες επιθέσεις στο δίκτυο και αντιμετωπίζουν τα μειονεκτήματά του.
Το IEEE 802.11 υποστηρίζει δύο τύπους μεθόδων ελέγχου ταυτότητας δικτύου: Ανοιχτό σύστημα και Κοινόχρηστο κλειδί.
Πώς λειτουργεί ο έλεγχος ταυτότητας 802.1x
Χαρακτηριστικά 802.1x
Ο έλεγχος ταυτότητας 802.1x είναι ανεξάρτητος από τη διαδικασία ελέγχου ταυτότητας 802.11. Το πρότυπο 802.1x παρέχει ένα πλαίσιο εργασίας για διάφορα πρωτόκολλα ελέγχου ταυτότητας και διαχείρισης κλειδιού. Υπάρχουν διαφορετικοί έλεγχοι ταυτότητας 802.1x. Καθένας παρέχει μια διαφορετική προσέγγιση στον έλεγχο ταυτότητας, αλλά όλοι χρησιμοποιούν το ίδιο πρωτόκολλο και πλαίσιο εργασίας 802.1x για επικοινωνία μεταξύ πελάτη και σημείου πρόσβασης. Στα περισσότερα πρωτόκολλα, αμέσως μετά την ολοκλήρωση της διαδικασίας ελέγχου 802.1x, το σύστημα υποδοχής (supplicant) λαμβάνει ένα κλειδί που το χρησιμοποιεί για κρυπτογράφηση δεδομένων. Ανατρέξτε στην ενότητα Πώς λειτουργεί ο έλεγχος ταυτότητας 802.1x για περισσότερες πληροφορίες. Με τον έλεγχο ταυτότητας 802.1x, μια μέθοδος ελέγχου ταυτότητας χρησιμοποιείται μεταξύ του πελάτη και ενός διακομιστή RADIUS (Remote Authentication Dial-In User Service) που είναι συνδεδεμένος στο σημείο πρόσβασης. Η διαδικασία ελέγχου ταυτότητας χρησιμοποιεί διαπιστευτήρια, όπως ένα κωδικό πρόσβασης χρήστη που δεν μεταφέρεται μέσω ασύρματου δικτύου. Οι περισσότεροι τύποι 802.1x υποστηρίζουν δυναμικά κλειδιά ανά χρήστη και ανά συνεδρία για να ενδυναμώσουν την ασφάλεια του στατικού κλειδιού. Η χρήση ενός υπάρχοντος πρωτοκόλλου ελέγχου ταυτότητας, γνωστό ως EAP (Extensible Authentication Protocol) ωφελεί το 802.1x.
Ο έλεγχος ταυτότητας 802.1x για ασύρματα LAN αποτελείται από τρία κύρια συστατικά:
Η ασφάλεια ελέγχου ταυτότητας 802.1x εκκινεί μια αίτηση ελέγχου ταυτότητας από τον ασύρματο πελάτη στο σημείο πρόσβασης, το οποίο ελέγχει την ταυτότητα του πελάτη σε ένα διακομιστή RADIUS συμβατό με το πρωτόκολλο EAP (Extensible Authentication Protocol). Αυτός ο διακομιστής RADIUS μπορεί να ελέγχει την ταυτότητα είτε του χρήστη (μέσω συνθηματικών ή πιστοποιητικών) είτε του συστήματος (από τη διεύθυνση MAC). Θεωρητικά, δεν επιτρέπεται στον ασύρματο πελάτη να συνδεθεί με τα δίκτυα έως ότου ολοκληρωθεί η συναλλαγή.
Χρησιμοποιούνται αρκετοί αλγόριθμοι ελέγχου ταυτότητας για το 802.1x. Μερικά παραδείγματα είναι: EAP-TLS, EAP-TTLS και Protected EAP (PEAP). Αυτές είναι όλες μέθοδοι αναγνώρισης του ασύρματου πελάτη στο διακομιστή RADIUS. Με τον έλεγχο ταυτότητας RADIUS, οι ταυτότητες χρήστη ελέγχονται έναντι των βάσεων δεδομένων. Το RADIUS αποτελεί ένα σύνολο προτύπων που αντιμετωπίζουν τον έλεγχο ταυτότητας, την εξουσιοδότηση και τη λογιστική (Authentication, Authorization, Accounting (AAA)). Το Radius περιλαμβάνει μια διαδικασία μεσολάβησης για την επικύρωση πελατών σε περιβάλλον πολλαπλών διακομιστών. Το πρότυπο IEEE 802.1x προορίζεται για τον έλεγχο και την πρόσβαση ελέγχου ταυτότητας σε ασύρματα 802.11 βάσει θύρας και καλωδιακά δίκτυα Ethernet. Ο έλεγχος πρόσβασης δικτύου βάσει θύρας είναι παρόμοιος με μια υποδομή τοπικού δικτύου (LAN) μεταγωγής που ελέγχει την ταυτότητα συσκευών που συνδέονται σε θύρα LAN και αποτρέπουν την πρόσβαση στη θύρα αυτή, εάν αποτύχει η διαδικασία ελέγχου ταυτότητας.
Το RADIUS (Remote Access Dial-In User Service) είναι ένα πρωτόκολλο πελάτη-διακομιστή για έλεγχο ταυτότητας, εξουσιοδότηση και λογιστική (Authentication, Authorization, Accounting (AAA)), που χρησιμοποιείται όταν ο πελάτης με σύνδεση μέσω τηλεφώνου (dial-up) AAA συνδέεται ή τερματίζει τη σύνδεση του από ένα διακομιστή πρόσβασης δικτύου. Συνήθως, ο διακομιστής RADIUS χρησιμοποιείται από τις υπηρεσίες παροχής Διαδικτύου (ISP) για την εκτέλεση εργασιών AAA. Οι φάσεις ΑΑΑ περιγράφονται ως ακολούθως:
Μια απλουστευμένη περιγραφή του ελέγχου ταυτότητας 802.1x είναι η ακόλουθη:
Το Wi-Fi Protected Access (WPA ή WPA2) είναι μια βελτιωμένη έκδοση ασφάλειας που ενδυναμώνει το επίπεδο προστασίας δεδομένων και ελέγχου πρόσβασης σε ασύρματο δίκτυο. Το WPA επιβάλλει έλεγχο ταυτότητας 802.1x και ανταλλαγή κλειδιών και λειτουργεί μόνο με κλειδιά δυναμικής κρυπτογράφησης. Για την ενίσχυση της κρυπτογράφησης δεδομένων, το WPA χρησιμοποιεί Temporal Key Integrity Protocol (TKIP). Το TKIP παρέχει σημαντικές βελτιώσεις κρυπτογράφησης δεδομένων που περιλαμβάνουν μια λειτουργία ανάμιξης κλειδιών ανά πακέτο, έλεγχο ακεραιότητας μηνύματος (MIC) με το όνομα Michael, διάνυσμα εκτεταμένης προετοιμασίας (IV) με κανόνες ακολουθίας και μηχανισμό αναπαραγωγής κλειδιών. Με τις βελτιώσεις αυτές, το TKIP προστατεύει κατά των γνωστών αδυναμιών του WEP.
Η δεύτερη γενεά των WPA που συμμορφώνεται με τις προδιαγραφές IEEE TGi είναι γνωστή ως WPA2.
Εταιρική λειτουργία: Η εταιρική λειτουργία επαληθεύει τους χρήστες δικτύου μέσω RADIUS ή άλλου διακομιστή ελέγχου ταυτότητας. Το WPA χρησιμοποιεί κλειδιά κρυπτογράφησης 128-bit και κλειδιά δυναμικής συνεδρίας για να διασφαλίσει την προστασία του απόρρητου και την εταιρική ασφάλεια του ασύρματου δικτύου σας. Η εταιρική λειτουργία προορίζεται για εταιρικά ή κυβερνητικά περιβάλλοντα.
Προσωπική λειτουργία: Η προσωπική λειτουργία απαιτεί μη αυτόματη ρύθμιση των παραμέτρων ενός προκοινόχρηστου κλειδιού (PSK) στο σημείο πρόσβασης και στους πελάτες. Το PSK ελέγχει την ταυτότητα των χρηστών μέσω κωδικού πρόσβασης ή αναγνώρισης, τόσο στο σταθμό πελάτη όσο και στο σημείο πρόσβασης. Δεν απαιτείται κανένας διακομιστής ελέγχου ταυτότητας. Η προσωπική λειτουργία προορίζεται για σπίτια και μικρές επιχειρήσεις.
WPA-Enterprise και WPA2-Enterprise: Να παρέχετε αυτό το επίπεδο ασφάλειας σε εταιρικά δίκτυα με διακομιστή 802.1x RADIUS. Επιλέγεται τύπος ελέγχου ταυτότητας που αντιστοιχεί στο πρωτόκολλο ελέγχου ταυτότητας του διακομιστή 802.1x.
WPA-Personal και WPA2-Personal: Παρέχει αυτό το επίπεδο ασφάλειας σε μικρά δίκτυα ή οικιακά περιβάλλοντα. Χρησιμοποιεί ένα κωδικό πρόσβασης που καλείται και προκοινόχρηστο κλειδί (PSK). Όσους περισσότερους χαρακτήρες έχει αυτό το συνθηματικό, τόσο ισχυρότερη είναι η ασφάλεια του ασύρματου δικτύου. Εάν το σημείο ασύρματης πρόσβασης ή ο δρομολογητής που διαθέτετε υποστηρίζει WPA-Personal και WPA2-Personal, θα πρέπει να το ενεργοποιήσετε στο σημείο πρόσβασης και να δώσετε ένα ισχυρό συνθηματικό πολλών χαρακτήρων. Πρέπει να χρησιμοποιείτε το ίδιο συνθηματικό που εισάγετε στο σημείο πρόσβασης και τον υπολογιστή αυτό και σε όλες τις άλλες ασύρματες συσκευές που έχουν πρόσβαση στο ασύρματο δίκτυο.
ΣΗΜΕΙΩΣΗ: Τα WPA-Personal και WPA2-Personal δεν είναι διαλειτουργικά.
AES-CCMP - (Advanced Encryption Standard - Counter CBC-MAC Protocol) Είναι η νέα μέθοδος για προστασία του απόρρητου στις ασύρματες μεταδόσεις, που ορίζονται στο πρότυπο IEEE 802.11i. Το AES-CCMP παρέχει ισχυρότερη μέθοδο κρυπτογράφησης από το TKIP. Επιλέξτε το AES-CCMP ως τη μέθοδο κρυπτογράφησης δεδομένων όταν είναι σημαντική η ισχυρή προστασία δεδομένων.
ΣΗΜΕΙΩΣΗ: Μερικές λύσεις ασφάλειας μπορεί να μην υποστηρίζονται από το λειτουργικό σύστημα του υπολογιστή σας και μπορεί να απαιτούν επιπρόσθετο λογισμικό ή/και υλισμικό, καθώς και υποστήριξη υποδομής ασύρματου δικτύου LAN. Ρωτήστε τον κατασκευαστή του υπολογιστή σας για λεπτομέρειες.
Το TKIP (Temporal Key Integrity Protocol) είναι μια βελτιωμένη έκδοση της ασφάλειας WEP (Wired Equivalent Privacy). Το TKIP παρέχει ανάμιξη κλειδιών ανά πακέτο, έλεγχο ακεραιότητας μηνύματος και μηχανισμό κλειδιών μητρώου, ο οποίος επιδιορθώνει τα ελαττώματα του WEP.
Το Message Digest 5 (MD5) είναι μια μονόδρομη μέθοδος ελέγχου ταυτότητας που χρησιμοποιεί ονόματα χρηστών και συνθηματικά. Η μέθοδος αυτή δεν υποστηρίζει διαχείριση κλειδιού, αλλά απαιτεί ένα προδιαμορφωμένο κλειδί, εάν χρησιμοποιείται η κρυπτογράφηση δεδομένων. Μπορεί να αναπτυχθεί με ασφάλεια για έλεγχο ταυτότητας ασύρματης δικτύωσης μέσα σε μεθόδους σήραγγας EAP.
Ένας τύπος μεθόδου ελέγχου ταυτότητας που χρησιμοποιεί Extensible Authentication Protocol (EAP) και ένα πρωτόκολλο ασφάλειας που καλείται Transport Layer Security (TLS). Το EAP-TLS χρησιμοποιεί πιστοποιητικά που χρησιμοποιούν συνθηματικά. Ο έλεγχος ταυτότητας EAP-TLS υποστηρίζει δυναμική διαχείριση κλειδιών WEP. Το πρωτόκολλο TLS προορίζεται για την ασφάλεια και τον έλεγχο ταυτότητας επικοινωνιών σε δημόσιο δίκτυο μέσω κρυπτογράφησης δεδομένων. Το πρωτόκολλο χειραψίας TLS επιτρέπει στο διακομιστή και τον πελάτη να παρέχουν αμοιβαίο έλεγχο ταυτότητας και να διαπραγματεύονται έναν αλγόριθμο κρυπτογράφησης και κρυπτογραφημένα κλειδιά πριν τη μετάδοση των δεδομένων.
Οι ρυθμίσεις αυτές ορίζουν το πρωτόκολλο και τα διαπιστευτήρια που χρησιμοποιούνται για τον έλεγχο ταυτότητας ενός χρήστη. Σε TTLS (Tunneled Transport Layer Security), ο πελάτης χρησιμοποιεί EAP-TLS για να επικυρώσει το διακομιστή και να δημιουργήσει ένα κανάλι κρυπτογραφημένο με TLS μεταξύ του πελάτη και του διακομιστή. Ο πελάτης μπορεί να χρησιμοποιήσει άλλο πρωτόκολλο ελέγχου ταυτότητας, συνήθως πρωτόκολλα με βάση συνθηματικό, όπως την πρόκληση MD5, μέσω αυτού του κρυπτογραφημένου καναλιού για να καθιστά δυνατή την επικύρωση του διακομιστή. Τα πακέτα πρόκλησης και απάντησης αποστέλλονται μέσω μη εκτεθειμένου καναλιού κρυπτογραφημένο με TLS. Σήμερα, οι εφαρμογές TTLS υποστηρίζουν όλες τις μεθόδους που ορίζονται από το EAP, καθώς και αρκετές παλαιότερες μεθόδους (PAP, CHAP, MS-CHAP και MS-CHAPv2). Το TTLS μπορεί να επεκταθεί εύκολα για να λειτουργήσει με νέα πρωτόκολλα ορίζοντας νέες ιδιότητες για την υποστήριξη νέων πρωτόκολλων.
Το PEAP είναι ένας νέος τύπος ελέγχου ταυτότητας Extensible Authentication Protocol (EAP) IEEE 802.1x που είναι σχεδιασμένος να εκμεταλλεύεται EAP-Transport Layer Security (EAP-TLS) από την πλευρά του διακομιστή και να υποστηρίζει διάφορες μεθόδους ελέγχου ταυτότητας, περιλαμβανομένων συνθηματικών χρηστών, μονόχρηστων συνθηματικών και Generic Token Cards.
Το Cisco LEAP (Cisco Light EAP) είναι ένας έλεγχος ταυτότητας διακομιστή και πελάτη 802.1x μέσω συνθηματικού σύνδεσης που παρέχεται από τον χρήστη. Όταν ένα ασύρματο σημείο πρόσβασης επικοινωνεί με RADIUS με δυνατότητα Cisco LEAP (ασφαλές Access Control Server (ACS) της Cisco), το Cisco LEAP παρέχει έλεγχο πρόσβασης μέσω αμοιβαίου ελέγχου ταυτότητας μεταξύ των ασύρματων προσαρμογέων πελάτη και του ασύρματου δικτύου και παρέχει δυναμικά κλειδιά κρυπτογράφησης ατομικού χρήστη για να βοηθήσει την προστασία του απόρρητου των μεταφερόμενων δεδομένων.
Το χαρακτηριστικό σημείου πρόσβασης βλαπτικού προγράμματος Cisco παρέχει προστασία ασφάλειας από την εισαγωγή σημείου πρόσβασης βλαπτικού προγράμματος που μπορεί να μιμηθεί νόμιμο σημείο πρόσβασης σε δίκτυο προκειμένου να εξάγει πληροφορίες σχετικά με τα διαπιστευτήρια χρήστη και τα πρωτόκολλα ελέγχου ταυτότητας που θα μπορούσαν να επηρεάσουν αρνητικά την ασφάλεια. Το χαρακτηριστικό αυτό λειτουργεί μόνο με έλεγχο ταυτότητας LEAP της Cisco. Η τυπική τεχνολογία 802.11 δεν προστατεύει ένα δίκτυο από την εισαγωγή σημείου πρόσβασης βλαπτικού προγράμματος. Για περισσότερες πληροφορίες, ανατρέξτε στο Έλεγχο ταυτότητας LEAP.
Όταν ρυθμίζονται οι παράμετροι ενός ασύρματου τοπικού δικτύου (LAN) για γρήγορη επανασύνδεση, είναι δυνατή η περιαγωγή μιας συσκευής πελάτη με δυνατότητα LEAP από ένα σημείο πρόσβασης σε άλλο χωρίς τη μεσολάβηση του κύριου διακομιστή. Με τη χρήση του Cisco Centralized Key Management (CCKM), ένα σημείο πρόσβασης του οποίου έχουν ρυθμιστεί οι παράμετροι για να παρέχει Wireless Domain Services (WDS) αντικαθιστά το διακομιστή RADIUS και ελέγχει την ταυτότητα του πελάτη χωρίς εμφανή καθυστέρηση σε φωνητικές εφαρμογές ή άλλες εφαρμογές που είναι ευαίσθητες χρονικά.
Το Cisco Key Integrity Protocol (CKIP) είναι ένα ιδιόκτητο πρωτόκολλο ασφάλειας της Cisco για κρυπτογράφηση δεδομένων σε μέσα 802.11. Το CKIP χρησιμοποιεί τα ακόλουθα χαρακτηριστικά για τη βελτίωση της ασφάλειας 802.11 σε λειτουργία υποδομής:
Μερικά σημεία πρόσβασης, για παράδειγμα το Cisco 350 ή το Cisco 1200, υποστηρίζουν περιβάλλοντα στα οποία δεν υποστηρίζουν την κρυπτογράφηση WEP όλοι οι σταθμοί πελατών. Αυτό λέγεται λειτουργία μικτών κελιών. Όταν αυτά τα ασύρματα δίκτυα λειτουργούν σε "προαιρετική κρυπτογράφηση", οι σταθμοί πελατών που συμμετέχουν στη λειτουργία WEP στέλνουν όλα τα μηνύματα κρυπτογραφημένα και οι σταθμοί που χρησιμοποιούν την τυπική λειτουργία στέλνουν όλα τα μηνύματα μη κρυπτογραφημένα. Αυτά τα σημεία πρόσβασης μεταδίδουν ότι το δίκτυο δεν χρησιμοποιεί κρυπτογράφηση, αλλά επιτρέπουν στους πελάτες να χρησιμοποιούν λειτουργία WEP. Όταν η λειτουργία Μικτών κελιών είναι ενεργοποιημένη στο προφίλ, σας επιτρέπει να συνδεθείτε στα σημεία πρόσβασης των οποίων οι παράμετροι είναι ρυθμισμένοι για "προαιρετική κρυπτογράφηση".
Το EAP-FAST, όπως και τα EAP-TTLS και PEAP, χρησιμοποιεί διοχέτευση για την προστασία κίνησης. Η βασική διαφορά είναι ότι το EAP-FAST δεν χρησιμοποιεί πιστοποιητικά για έλεγχο ταυτότητας. Η παροχή στο EAP-FAST διαπραγματεύεται αποκλειστικά και μόνο από τον πελάτη ως η πρώτη ανταλλαγή επικοινωνίας όταν γίνεται αίτηση του EAP-FAST από το διακομιστή. Εάν ο πελάτης δεν έχει προ-κοινόχρηστο μυστικό PAC (Protected Access Credential), μπορεί να προετοιμάσει την παροχή ανταλλαγής EAP-FAST για να τη λάβει δυναμικά από τον διακομιστή.
Το EAP-FAST τεκμηριώνει δύο μεθόδους για να παραδώσει το PAC: μη αυτόματη παράδοση μέσω ασφαλούς μηχανισμούς εκτός ζώνης και αυτόματη παροχή.
Η μέθοδος EAP-FAST μπορεί να χωριστεί σε δύο μέρη: Την παροχή και τον έλεγχο ταυτότητας. Η φάση παροχής περιλαμβάνει την αρχική παράδοση PAC στον πελάτη. Η φάση αυτή χρειάζεται να διεξαχθεί μόνο μία φορά ανά πελάτη και χρήστη.
Μερικά σημεία πρόσβασης, για παράδειγμα το Cisco 350 ή το Cisco 1200, υποστηρίζουν περιβάλλοντα στα οποία δεν υποστηρίζουν την κρυπτογράφηση WEP όλοι οι σταθμοί πελατών. Αυτό λέγεται λειτουργία μικτών κελιών. Όταν αυτά τα ασύρματα δίκτυα λειτουργούν σε "προαιρετική κρυπτογράφηση", οι σταθμοί πελατών που συμμετέχουν στη λειτουργία WEP στέλνουν όλα τα μηνύματα κρυπτογραφημένα και οι σταθμοί που χρησιμοποιούν την τυπική λειτουργία στέλνουν όλα τα μηνύματα μη κρυπτογραφημένα. Αυτά τα σημεία πρόσβασης μεταδίδουν ότι το δίκτυο δεν χρησιμοποιεί κρυπτογράφηση, αλλά επιτρέπουν στους πελάτες να χρησιμοποιούν λειτουργία WEP. Όταν η λειτουργία "μικτών κελιών" είναι ενεργοποιημένη στο προφίλ, σας επιτρέπει να συνδεθείτε στα σημεία πρόσβασης των οποίων οι παράμετροι είναι ρυθμισμένοι για "προαιρετική κρυπτογράφηση".
Όταν είναι επιλεγμένο αυτό το χαρακτηριστικό, ο ασύρματος προσαρμογέας σας παρέχει πληροφορίες διαχείρισης ραδιοπρόσβασης στην υποδομή Cisco. Εάν το βοηθητικό πρόγραμμα Διαχείριση ραδιοπρόσβασης χρησιμοποιείται στην υποδομή, ρυθμίζει τις παραμέτρους της ραδιοπρόσβασης και ανιχνεύει παρεμβολές και σημεία πρόσβασης βλαπτικών προγραμμάτων.