Langattomasti siirrettyjen tietojen luvaton käyttäminen voidaan ehkäistä IEEE 802.11 WEP (Wired Equivalent Privacy) -salauksen avulla. WEP-salaus käsittää kaksi suojaustasoa, 64-bittistä avainta (tähän viitataan joskus 40-bittisenä avaimena) ja 128-bittistä avainta (tunnetaan myös 104-bittisenä avaimena). Suojaus on tehokkaampi käytettäessä 128-bittistä avainta. Salausta käytettäessä langattoman lähiverkon kaikkien langattomien laitteiden on käytettävä samoja salausavaimia.
Verkon tiedot voidaan suojata käyttämällä WEP-salausta ja jaettua laillisuustarkistusta. WEP-menetelmässä tiedot salataan salausavaimella ennen niiden lähettämistä. Ainoastaan samaa salausavainta käyttävät tietokoneet voivat käyttää verkkoa tai purkaa muiden tietokoneiden lähettämien salattujen tietojen salauksen. Laillisuustarkistus muodostaa lisävarmennustoimenpiteen sovittimen ja tukiaseman välillä.
WEP-salausalgoritmi on altis passiivisille ja aktiivisille verkkohyökkäyksille. TKIP- ja CKIP-algoritmit sisältävät WEP-yhteyskäytännön parannuksia, jotka ehkäisevät verkkohyökkäyksiä ja täydentävät WEP:n puutteita.
IEEE 802.11 -laillisuustarkistus tukee kahta verkon laillisuustarkistusmenetelmää: Avoin järjestelmä ja Jaettu avain.
802.1x-laillisuustarkistuksen toiminta
802.1x-ominaisuudet
802.1x-laillisuustarkistus on riippumaton 802.11-laillisuustarkistusprosessista. 802.1x-standardi muodostaa puitteet erilaisille laillisuustarkistus- ja avaintenhallintayhteyskäytännöille. On olemassa erilaisia 802.1x-laillisuustarkistustyyppejä, joista kukin muodostaa erilaisen lähestymistavan laillisuustarkistukseen käyttämällä samaa 802.1x-yhteyskäytäntöä ja tietoliikennekehystä asiakkaan ja tukiaseman välillä. Useimmissa yhteyskäytännöissä 802.1x-laillisuustarkistuksen suorittamisen jälkeen anoja vastaanottaa avaimen, jota se käyttää tiedon salaamiseen. Lisätietoja on kohdassa 802.1x-laillisuustarkistuksen toiminta. 802.1x-laillisuustarkistuksessa käytetään laillisuustarkistusmenetelmää asiakkaan ja tukiasemaan kytketyn RADIUS (Remote Authentication Dial-In User Service) -palvelimen välillä. Laillisuustarkistusprosessissa käytetään käyttäjätietoja, kuten käyttäjän salasanaa, jota ei lähetetä langattoman verkon kautta. Useimmat 802.1x-tyypit tukevat käyttäjä- ja istuntokohtaisia dynaamisia avaimia kiinteän salasanasuojauksen vahvistamiseksi. 802.1x hyödyntää olemassa olevaa laillisuustarkistusyhteyskäytäntöä, EAP (Extensible Authentication Protocol) -yhteyskäytäntöä.
Langattoman verkon 802.1x-laillisuustarkistus käsittää kolme pääkomponenttia:
802.1x-laillisuustarkistus käynnistää laillisuustarkistuspyynnön langattomasta asiakkaasta tukiasemaan, joka tarkistaa asiakkaan laillisuuden EAP (Extensible Authentication Protocol) -yhteensopivaan RADIUS-palvelimeen. RADIUS-palvelin voi tarkistaa joko käyttäjän (salasanojen tai sertifikaattien kautta) tai järjestelmän (MAC-osoitteen kautta) laillisuuden. Teoriassa langattoman asiakkaan ei sallita liittyvän verkkoon, ennen kuin tämä tapahtuma on valmis.
802.1x:ssä voidaan käyttää useita laillisuustarkistusyhteyskäytäntöjä. Esimerkkejä näistä ovat EAP-TLS, EAP-TTLS ja Protected EAP (PEAP). Nämä kaikki ovat menetelmiä, joilla RADIUS-palvelin voi tunnistaa langattoman asiakkaan. RADIUS-laillisuustarkistuksessa käyttäjien henkilöllisyydet tarkistetaan tietokannoista. RADIUS käsittää joukon AAA (Authentication, Authorization ja Accounting) -standardeja. RADIUS sisältää välityspalvelinprosessin asiakkaiden todentamiseksi monipalvelinympäristössä. IEEE 802.1x -standardi koskee porttiperustaisten langattomien 802.11-verkkojen ja 802.11-Ethernet-kaapeliverkkojen hallinta- ja laillisuustarkistuskäyttöä. Porttiperustainen verkkokäytön hallinta on samanlainen kuin kytkentäisen lähiverkon perusrakenne, joka tarkistaa lähiverkkoporttiin kytkettyjen laitteiden laillisuuden ja estää tämän portin käyttämisen, jos laillisuustarkistus epäonnistuu.
RADIUS (Remote Access Dial-In User Service) on AAA (Authorization, Authentication, and Accounting) asiakaspalvelinyhteyskäytäntö, jota käytetään AAA-puhelinverkkoasiakkaan kirjautuessa verkkokäyttöpalvelimeen tai siitä ulos. Tyypillisesti Internet-palveluntarjoajat (ISP:t) käyttävät RADIUS-palvelinta AAA-tehtävien suorittamiseen. AAA-vaiheet ovat seuraavat:
Yksinkertaistetusti 802.1x-laillisuustarkistus toimii seuraavasti:
Wi-Fi Protected Access (WPA ja WPA2) on suojauslaajennus, joka vahvistaa huomattavasti langattoman verkon tietojen suojausta ja käytönhallintaa. WPA käyttää 802.1x-laillisuustarkistusta ja avainvaihtoa. Se toimii ainoastaan dynaamisten salausavainten kanssa. Salauksen tehostamiseksi WPA-menetelmässä hyödynnetään sen TKIP-yhteyskäytäntöä. TKIP antaa käyttöön tärkeitä tiedon salauksen parannuksia, kuten pakettikohtaisen avaimensekoitustoiminnon, sanoman eheyden tarkistamisen (MIC:n), sekvenssisäännöillä varustetun laajennetun alustusvektorin (IV) ja uudelleenavainnusmekanismin. Näiden parannusten avulla TKIP suojaa WEP:n tunnetut heikot kohdat.
WPA:n toinen määrittely, joka vastaa IEEE TGi -määritystä, tunnetaan nimellä WPA2.
Enterprise-tila: Enterprise-tila varmentaa verkon käyttäjät RADIUS-palvelimen tai muun laillisuustarkistuspalvelimen avulla. WPA:ssa käytetään 128-bittisiä salausavaimia ja dynaamisia istuntoavaimia varmistamaan langattoman verkon yksityisyys ja yrityksen suojaus. Enterprise-tila on tarkoitettu yritys- ja virastokäyttöön.
Personal-tila: Personal-tilassa tukiasemiin ja asiakaskoneisiin pitää määrittää PSK-avain manuaalisesti. PSK tarkistaa käyttäjien laillisuuden salasanalla tai tunnistuskoodilla sekä asiakaskoneessa että tukiasemassa. Laillisuustarkistuspalvelinta ei tarvita. Personal-tila on tarkoitettu käytettäväksi kodeissa ja pienissä toimistoissa.
WPA-Enterprise ja WPA2-Enterprise: Antaa käyttöön tämäntasoisen suojauksen yritysverkoissa, joissa käytetään 802.1x RADIUS -palvelinta. Laillisuustarkistuksen tyyppi valitaan vastaamaan 802.1x-palvelimen laillisuustarkistusyhteyskäytäntöä.
WPA-Personal ja WPA2-Personal: Antaa käyttöön tämäntasoisen suojauksen yritysverkoissa pienissä verkoissa ja kotiympäristössä. Siinä käytetään ennalta jaetuksi avaimeksi (PSK) kutsuttua salasanaa. Mitä pidempi salasana on, sitä tehokkaampi on langattoman verkon suojaus. Jos langaton tukiasema tai reititin tukee WPA-Personal- ja WPA2-Personal-suojausta, ota se käyttöön tukiasemassa ja määritä pitkä ja tehokas salasana. Tukiasemaan määritettyä salasanaa pitää käyttää tässä tietokoneessa ja langattoman verkon kaikissa muissa langattomissa laitteissa.
HUOMAUTUS: WPA-Personal ja WPA2-Personal eivät toimi yhdessä.
AES-CCMP (Advanced Encryption Standard - Counter CBC-MAC Protocol) Tämä on uusi menetelmä IEEE 802.11i -standardissa määritettyjen lähetysten luottamuksellisuuden suojaamiseksi. AES-CCMP antaa käyttöön tehokkaamman salauksen kuin TKIP. Valitse AES-CCMP suojausmenetelmäksi aina, kun tietojen tehokas suojaus on tärkeää.
HUOMAUTUS: Tietokoneen käyttöjärjestelmä ei ehkä tue joitakin suojausratkaisuja ja tietokoneeseen voi olla tarpeen asentaa lisäohjelmistoa ja/tai erityislaitteistoa sekä tuki langattoman lähiverkon perusrakennetta varten. Yksityiskohtaisia lisätietoja saat tietokoneen valmistajalta.
TKIP (Temporal Key Integrity Protocol) on WEP (Wired Equivalent Privacy) -suojauksen laajennus. TKIP antaa käyttöön avainten pakettikohtaisen sekoituksen, sanoman yhtenäisyystarkistuksen ja uudelleenavainnusmekanismin, mikä korjaa WEP:n puutteet.
MD5 (Message Digest 5) -laillisuustarkistus on yksisuuntainen laillisuustarkistusmenetelmä, jossa käytetään käyttäjänimiä ja salasanoja. Tämä menetelmä ei tue avaintenhallintaa, mutta se edellyttää ennalta määritettyä avainta, jos tiedon salaus on käytössä. Se voidaan ottaa turvallisesti käyttöön langattoman käytön laillisuustarkistuksessa EAP-tunnelimenetelmien sisässä.
Eräs laillisuustarkistusmenetelmä, jossa käytetään EAP (Extensible Authentication Protocol) -yhteyskäytäntöä ja TLS (Transport Layer Security) -suojausyhteyskäytäntöä. EAP-TLS:ssä käytetään salasanoja käyttäviä sertifikaatteja. EAP-TLS-laillisuustarkistus tukee dynaamista WEP-avainten hallintaa. TLS-yhteyskäytännön tarkoituksena on tietoja salaamalla suojata tietoliikenne ja varmistaa sen laillisuus julkisessa verkossa. TLS Handshake -yhteyskäytäntö sallii palvelimen ja asiakkaan varmistaa toistensa laillisuus ja neuvotella salausalgoritmi sekä salausavaimet ennen tietojen lähettämistä.
Nämä asetukset määrittävät käyttäjän varmentamisessa käytettävät käyttäjätiedot. TTLS (Tunneled Transport Layer Security) -laillisuustarkistuksessa asiakas käyttää EAP-TLS-menetelmää palvelimen laillisuuden tarkistamiseksi ja TLS-salatun kanavan luomiseksi asiakkaan ja palvelimen välille. Asiakas voi käyttää jotain muuta laillisuustarkistusyhteyskäytäntöä, tyypillisesti salasanaan perustuvaa yhteyskäytäntöä (kuten MD5 Challenge), tämän salatun kanavan kautta palvelimen laillisuustarkistuksen ottamiseksi käyttöön. Haaste- ja vastauspaketit lähetetään ei-julkisen TLS-salatun kanavan kautta. Nykyiset TTLS-toteutukset tukevat kaikkia EAP-menetelmiä sekä useita vanhempia menetelmiä (PAP, CHAP, MS-CHAP ja MS-CHAPv2). TTLS voidaan helposti laajentaa toimimaan uusien yhteyskäytäntöjen kanssa määrittämällä siihen uusia yhteyskäytäntöjä tukevia määritteitä.
PEAP on uusi EAP (Extensible Authentication Protocol) IEEE 802.1x -laillisuustarkistustyyppi, joka on suunniteltu hyödyntämään palvelinpuolen EAP-TLS:ää (EAP-Transport Layer Security) ja tukemaan eri laillisuustarkistusmenetelmiä, mukaan lukien käyttäjän salasanat ja kertakäyttöiset salasanat, Generic Token Card -tunnuksia.
Cisco LEAP (Cisco Light EAP) on palvelimen ja asiakkaan 802.1x-laillisuustarkistus käyttäjän toimittaman kirjautumissalasanan avulla. Kun langaton tukiasema viestii Cisco LEAP -yhteensopivan RADIUS-palvelimen (Cisco Secure Access Control Server (ACS) -palvelimen) kanssa, Cisco LEAP mahdollistaa käytönhallinnan langattomien asiakassovittimien ja langattomien verkkojen keskinäisen laillisuustarkistuksen kautta ja antaa käyttöön dynaamiset, käyttäjäkohtaiset salausavaimet, jotka helpottavat lähetettävien tietojen salaamista.
Cisco Rogue AP -ominaisuus antaa käyttöön suojan epäluotettavilta tukiasemilta, jotka voivat jäljitellä verkon laillisia tukiasemia saadakseen tietoonsa käyttäjätietoja ja laillisuustarkistuksen yhteyskäytäntöjä, mikä voi vaarantaa tietoturvan. Tämä ominaisuus on käytettävissä vain Ciscon LEAP-laillisuustarkistuksen kanssa. 802.11-vakiotekniikka ei suojaa verkkoa epäluotettavilta tukiasemilta. Lisätietoja on kohdassa LEAP-laillisuustarkistus.
Kun langaton lähiverkko on määritetty nopeaa uudelleenliittämistä varten, LEAP:ta käyttävä asiakaslaite voi siirtyä tukiasemasta toiseen ilman, että pääpalvelimen tarvitsee puuttua tähän. Käyttämällä Cisco Centralized Key Management (CCKM) -ominaisuutta Wireless Domain Services (WDS) -palveluita muodostamaan määritetty tukiasema ottaa RADIUS-palvelimen paikan ja suorittaa asiakkaan laillisuustarkistuksen ilman havaittavaa viivettä puhesovelluksissa tai muissa aikaherkissä sovelluksissa.
Cisco Key Integrity Protocol (CKIP) on Ciscon oma suojausyhteyskäytäntö tietojen salaamiseksi 802.11-tietovälineissä. CKIP parantaa 802.11-suojausta perusrakennetilassa hyödyntämällä seuraavia ominaisuuksia:
Toiset tukiasemat, kuten Cisco 350 ja Cisco 1200, tukevat ympäristöjä, joissa kaikki asiakasasemat eivät tue WEP-salausta. Tätä kutsutaan sekasolutilaksi. Kun tällainen langaton verkko toimii valinnaisessa salaustilassa, WEP-tilassa siihen liittyvät asiakasasemat lähettävät kaikki sanomat salattuina ja vakiotilaa käyttävät asemat lähettävät kaikki sanomat salaamattomina. Nämä tukiasemat ilmoittavat, että verkossa ei käytetä salausta, mutta sallivat WEP-tilaa käyttävät asiakkaat. Kun sekasolutila on otettu käyttöön profiilissa, on mahdollista muodostaa yhteys tukiasemiin, joissa salaus on määritetty valinnaiseksi.
EAP-FAST:ssä liikenne suojataan EAP-TTLS:n ja PEAP:n tavoin tunnelointia käyttämällä. Suurin ero on se, että EAP-FAST:ssä ei käytetä sertifikaatteja laillisuuden tarkistamiseksi. EAP-FAST:ssä asiakas neuvottelee käyttöönoton yksin ensimmäisessä tiedonvaihdossa, kun EAP-FAST:tä vaaditaan palvelimesta. Jos asiakkaalla ei ole ennalta jaettua salaista PAC (Protected Access Credential) -tietoa, se voi pyytää aloittamaan käyttöönoton EAP-FAST-tiedonvaihdon tällaisen saamiseksi palvelimesta.
EAP-FAST:ssä käytetään kahta menetelmää PAC:n toimittamiseksi: manuaalinen toimitus kaistan ulkopuolisen suojatun mekanismin kautta ja automaattinen käyttöönotto.
EAP-FAST-menetelmä jakautuu kahteen osaan: käyttöönotto ja laillisuustarkistus. Käyttöönottovaihe käsittää PAC-tiedon ensitoimituksen asiakkaaseen. Tämä vaihe on suoritettava vain kerran asiakasta ja käyttäjää kohti.
Toiset tukiasemat, kuten Cisco 350 ja Cisco 1200, tukevat ympäristöjä, joissa kaikki asiakasasemat eivät tue WEP-salausta. Tätä kutsutaan sekasolutilaksi. Kun tällaiset langattomat verkot toimivat valinnaisessa salaustilassa, WEP-tilassa liittyvät asiakasasemat lähettävät kaikki sanomat salattuina ja vakiotilaa käyttävät asemat lähettävät kaikki sanomat salaamattomina. Nämä tukiasemat ilmoittavat, että verkossa ei käytetä salausta, mutta sallivat WEP-tilaa käyttävät asiakkaat. Kun sekasolutila on otettu käyttöön profiilissa, on mahdollista muodostaa yhteys tukiasemiin, joissa salaus on määritetty valinnaiseksi.
Kun tämä toiminto on käytössä, langaton sovitin huolehtii Cisco-perusrakenteen radiohallinnasta. Jos perusrakenteessa käytetään Cisco Radio Management -apuohjelmaa, se määrittää radioparametrit, tunnistaa häiriöt ja Rogue-tukiasemat.