השתמש בהצפנת IEEE 802.11 Wired Equivalent Privacy (WEP) כדי למנוע קבלת נתונים אלחוטיים ללא הרשאה. הצפנת WEP מספקת שתי רמות אבטחה: מפתח 64 סיביות (לעתים נקרא גם 40 סיביות) או מפתח 128 סיביות (המוכר גם כ- 104 סיביות). לאבטחה חזקה יותר, השתמש במפתח 128 סיביות. אם אתה משתמש בהצפנה, על כל ההתקנים האלחוטיים ברשת האלחוטית שלך להשתמש באותם מפתחות הצפנה.
הצפנת Wired Equivalent Privacy (WEP) ואימות משותף מספקים הגנה לנתונים ברשת. WEP משתמש במפתח הצפנה כדי להצפין נתונים לפני שידורם. רק מחשבים המשתמשים באותו מפתח הצפנה יכולים לגשת לרשת או לפענח את הנתונים המוצפנים אשר משודרים על-ידי מחשבים אחרים. אימות מספק תהליך נוסף לבדיקת תוקף בין המתאם לנקודת הגישה.
אלגוריתם ההצפנה של WEP פגיע להתקפות רשת פסיביות ופעילות. האלגוריתמים TKIP ו- CKIP כוללים שיפורים בפרוטוקול WEP המקלים התקפות קיימות על הרשת ומטפלים בחסרונותיו.
IEEE 802.11 תומך בשני סוגים של שיטות אימות רשת: מערכת פתוחה ומפתח משותף.
אופן פעולת אימות 802.1x
תכונות 802.1x
אימות 802.1x אינו תלוי בתהליך האימות 802.11. תקן 802.1x מספק מסגרת עבור פרוטוקולים שונים של אימות וניהול מפתח. ישנם סוגי אימות 802.1x שונים, כאשר כל אחד מהם מספק גישה שונה לאימות, אך כולם משתמשים באותו פרוטוקול 802.1x ומסגרת לתקשורת בין לקוח לנקודת גישה. ברוב הפרוטוקולים, עם השלמת תהליך האימות 802.1x, המבקש מקבל מפתח ומשתמש בו להצפנת נתונים. לקבלת מידע נוסף, עיין באופן פעולת אימות 802.1x. באימות 802.1x, נעשה שימוש בשיטת אימות בין הלקוח לשרת Remote Authentication Dial-In User Service (RADIUS) המחובר לנקודת הגישה. תהליך האימות משתמש בתעודות, כגון סיסמת משתמש, שאינן משודרות ברשת האלחוטית. רוב סוגי 802.1x תומכים במפתחות דינמיים לפי-משתמש ולפי-הפעלה, כדי לחזק את אבטחת המפתח הסטטי. פרוטוקול 802.1x נהנה משימוש בפרוטוקול אימות קיים המוכר כ- Extensible Authentication Protocol (EAP).
אימות 802.1x עבור רשתות אלחוטיות מקומיות כולל שלושה רכיבים עיקריים:
אבטחת אימות 802.1x מאתחלת בקשת אישור מהלקוח האלחוטי אל נקודת הגישה, המאמת את הלקוח לשרת RADIUS התואם לפרוטוקול EAP. שרת RADIUS זה עשוי לאמת את המשתמש (באמצעות סיסמאות או אישורים) או את המערכת (באמצעות כתובת MAC). באופן תיאורטי, הלקוח האלחוטי אינו מורשה להצטרף לרשתות עד להשלמת הטרנזקציה.
802.1x משתמש במספר אלגוריתמים לאימות. דוגמאות אחדות הן: EAP-TLS, EAP-TTLS ו- Protected EAP (PEAP). כל אלה הם שיטות המשמשות את הלקוח האלחוטי כדי להזדהות בפני שרת RADIUS. באימות RADIUS, זהויות משתמש נבדקות מול מסדי נתונים. RADIUS יוצר מערכת תקנים המטפלים באימות, הרשאה וניהול חשבונות (AAA). RADIUS כולל תהליך proxy המשמש לאימות לקוחות בסביבה מרובת-שרתים. התקן IEEE 802.1x משמש לבקרה ולאימות גישה של רשתות Ethernet אלחוטיות ומחווטות 802.11 מבוססות-יציאות. בקרת גישה של רשת מבוססת-יציאה דומה לתשתית של רשת מקומית (LAN) ממותגת, המאמתת התקנים שמחוברים ליציאת ה- LAN ומונעת גישה ליציאה זו אם תהליך האימות נכשל.
RADIUS (שירות משתמש לגישה מרחוק בחיוג) הוא פרוטוקול לקוח-שרת לאישור, הרשאה וחשבונאות (AAA) שנעשה בו שימוש כאשר לקוח חיוג מתחבר לשרת גישה לרשת או מתנתק ממנו. בדרך כלל, ספקי שירותי אינטרנט (ISP) משתמשים בשרת RADIUS לביצוע משימות AAA. להלן תיאור שלבי AAA:
להלן תיאור מפושט של אימות 802.1x:
גישה מאובטחת Wi-Fi (WPA או WPA2) הוא שיפור אבטחה המגביר משמעותית את רמת אבטחת הנתונים ובקרת הגישה לרשת אלחוטית. WPA כופה אימות 802.1x וחילופי מפתחות, ופועל רק עם מפתחות הצפנה דינמיים. WPA משתמש ב- Temporal Key Integrity Protocol (TKIP) כדי לחזק את הצפנת הנתונים. TKIP מספק שיפורים חשובים בהצפנת נתונים, הכוללים פונקציית ערבול מפתח לכל-מנה, בדיקת תקינות הודעה (MIC) הנקראת Michael, וקטור אתחול מורחב (IV) עם כללי רצף ומנגנון החלפת מפתחות. עם שיפורים אלה, TKIP מגן על נקודות התורפה הידועות של WEP.
WPA2 הוא הדור השני של WPA התואם למפרט IEEE TGi.
מצב ארגון: מצב ארגון מאמת משתמשי רשת דרך שרת RADIUS או שרת אימות אחר. WPA משתמש במפתחות הצפנה של 128 סיביות ובמפתחות הפעלה דינמיים, כדי להבטיח את הפרטיות והאבטחה הארגונית של הרשת האלחוטית. מצב ארגוני מיועד לסביבות תאגידים או ממשלתיות.
מצב אישי: מצב אישי דורש הגדרת תצורה ידנית של מפתח טרום שיתוף (PSK) בנקודות גישה ובלקוחות. PSK מאמת משתמשים באמצעות סיסמה או קוד זיהוי, בתחנת הלקוח ובנקודת הגישה גם יחד. אין צורך בשרת אימות. מצב אישי מיועד לסביבות ביתיות ושל עסקים קטנים.
WPA-ארגוני ו- WPA2-ארגוני: מספק רמת אבטחה זו ברשתות ארגוניות עם שרת RADIUS 802.1x. נבחר סוג אימות נבחר שיתאים לפרוטוקול האימות של שרת 802.1x.
WPA-אישי ו- WPA2-אישי: מספק רמת אבטחה זו ברשת קטנה או בסביבה ביתית. אפשרות זו משתמשת בסיסמה הנקראת גם מפתח טרום-שיתוף (PSK). ככל שהסיסמה ארוכה יותר, כך אבטחה של הרשת האלחוטית חזקה יותר. אם נקודת הגישה האלחוטית או הנתב תומכים ב- WPA-אישי וב- WPA2-אישי, אזי עליך לאפשר אותו בנקודת הגישה ולספק סיסמה ארוכה וחזקה. במחשב זה ובכל שאר ההתקנים האלחוטיים הניגשים לרשת האלחוטית, יש להשתמש באותה סיסמה שהוזנה בנקודת הגישה.
הערה: ל- WPA-אישי ול- WPA2-אישי אין יכולת לעבוד זה עם זה.
AES-CCMP - (תקן הצפנה מתקדם - פרוטוקול נגדי ל- CBC-MAC) השיטה החדשה להגנה על פרטיות שידורים אלחוטיים, המפורטת בתקן IEEE 802.11i. AES-CCMP מספק שיטת הצפנה חזקה יותר מ- TKIP. בחר ב- AES-CCMP כשיטת הצפנת הנתונים כאשר יש צורך בהגנה חזקה על הנתונים.
הערה: מערכת ההפעלה של המחשב עשויה שלא לתמוך בפתרונות אבטחה מסוימים ויהיה צורך בתוכנות או בחומרה נוספים, בנוסף לתמיכה בתשתית של ה- LAN האלחוטי. לקבלת פרטים, פנה אל יצרן המחשב.
TKIP (Temporal Key Integrity Protocol) הוא שיפור לאבטחת WEP (Wired Equivalent Privacy). TKIP מספק ערבול מפתח לכל-מנה, בדיקת תקינות הודעה ומנגנון החלפת מפתחות, המתקן את הפגמים של WEP.
Message Digest 5 (MD5) היא שיטת אימות חד-סטרית המשתמשת בשמות משתמש ובסיסמאות. שיטה זו אינה תומכת בניהול מפתח, אך נדרש בה מפתח מוגדר מראש אם נעשה שימוש בהצפנת נתונים. ניתן לפרוס אותה בבטחה עבור אימות אלחוטי, בתוך שיטות מנהור EAP.
סוג של שיטת אימות המשתמשת ב- Extensible Authentication Protocol (EAP) ובפרוטוקול אבטחה הנקרא Transport Layer Security (TLS). EAP-TLS משתמש באישורים (הרשאות) המשתמשים בסיסמאות. אימות EAP-TLS תומך בניהול מפתחות WEP דינמי. פרוטוקול TLS מיועד לאבטח ולאמת תקשורת ברשת ציבורית באמצעות הצפנת נתונים. פרוטוקול לחיצת ידיים TLS מאפשר לשרת וללקוח לספק אימות הדדי ולבצע אלגוריתם הצפנה ומפתחות מוצפנים לפני שידור נתונים.
הגדרות אלה מגדירות את הפרוטוקול ואת האישורים המשמשים לאימות משתמש. ב- TTLS (Tunneled Transport Layer Security), הלקוח משתמש ב- EAP-TLS כדי לאמת את השרת וליצור ערוץ מוצפן-TLS בין הלקוח לשרת. הלקוח יכול להשתמש בפרוטוקול אימות אחר, לרוב פרוטוקולים מבוססי-סיסמה, כגון בקשת הזדהות MD5 באותו ערוץ מוצפן כדי לאפשר אימות שרת. מנות בקשת ההזדהות והתשובה נשלחות דרך ערוץ מוצפן TLS שאינו חשוף. כיום, יישומי TTLS תומכים בכל השיטות המוגדרות על-ידי EAP, כמו גם במספר שיטות ישנות יותר (PAP, CHAP, MS-CHAP ו- MS-CHAPv2). ניתן להרחיב בקלות את TTLS כך שיפעל עם פרוטוקול חדשים, על-ידי הגדרת תכונות חדשות לתמיכה בפרוטוקולים חדשים.
PEAP הוא סוג אימות Extensible Authentication Protocol (EAP) IEEE 802.1x חדש המיועד לנצל את EAP-Transport Layer Security (EAP-TLS) של צד השרת ולתמוך בשיטות אימות מגוונות, כולל סיסמאות משתמש, סיסמאות חד-פעמיות וכרטיסי אסימון גנרי.
Cisco LEAP (Cisco Light EAP) הוא אימות 802.1x של שרת ולקוח, באמצעות סיסמת התחברות המסופקת על-ידי המשתמש. כאשר נקודת גישה אלחוטית מתקשרת עם שרת RADIUS מאופשר Cisco LEAP (Cisco Secure Access Control Server [ACS]), Cisco LEAP מספק בקרת גישה באמצעות אימות הדדי בין מתאמי לקוחות אלחוטיים והרשתות האלחוטיות ומספק מפתחות הצפנה דינמיים אישיים כדי לסייע בהגנה על הפרטיות של נתונים משודרים.
תכונת אבטחה של נקודת גישה חריגה של Cisco מספקת הגנת אבטחה מפני חדירה של נקודת גישה עוינת, אשר עשויה לחקות נקודת גישה לגיטימית ברשת כדי לשלוף מידע אודות תעודות משתמש ופרוטוקולי אימות, אשר עלול לסכן את האבטחה. תכונה זו פועלת רק עם אימות LEAP של Cisco. טכנולוגיית 802.11 סטנדרטית אינה מגינה על רשת מפני חדירה של נקודת גישה עוינת. לקבלת מידע נוסף, עיין באימות LEAP.
כאשר רשת LAN אלחוטית מוגדרת לחיבור-מחדש מהיר, התקן לקוח מאופשר LEAP יכול לנדוד מנקודת גישה אחת לאחרת, מבלי לערב את השרת הראשי. באמצעות Cisco Centralized Key Management (CCKM), נקודת גישה שהוגדרה לספק שירותי תחום אלחוטיים (WDS) תופסת את מקומו של שרת ה- RADIUS ומאמתת את הלקוח ללא השהייה מורגשת ביישומי קול או ביישומים אחרים הרגישים לזמן.
Cisco Key Integrity Protocol (CKIP) הוא פרוטוקול אבטחה קנייני של Cisco להצפנה במדיה של 802.11. CKIP משתמש בתכונות הבאות כדי לשפר את אבטחת 802.11 במצב תשתית:
נקודות גישה מסוימות, לדוגמה Cisco 350 או Cisco 1200, תומכות בסביבות שבהן לא כל תחנות הלקוח תומכות בהצפנת WEP; מצב זה נקרא מצב תאים משולבים. כאשר רשתות אלחוטיות אלה פועלות במצב "הצפנה אופציונלית", תחנות לקוח המצטרפות במצב WEP שולחות את כל ההודעות מוצפנות, ואילו תחנות המשתמשות במצב רגיל שולחות את כל ההודעות ללא הצפנה. נקודות גישה אלה משדרות שהרשת אינה משתמשת בהצפנה, אך מאפשרת ללקוחות המשתמשים במצב WEP להצטרף. כאשר מצב תאים משולבים מאופשר בפרופיל, הוא מאפשר להתחבר לנקודות גישה המוגדרות ל"הצפנה אופציונלית".
EAP-FAST, בדומה ל- EAP-TTLS ו- PEAP, משתמש במינהור להגנה על תעבורה. ההבדל העיקרי הוא ש- EAP-FAST אינו משתמש באישורים (הרשאות) כדי לבצע אימות. משא ומתן על אספקה ב- EAP-FAST מבוצע תחילה רק על-ידי הלקוח, כחילוף תקשורת ראשון, כאשר EAP-FAST מתבקש מהשרת. אם ללקוח אין תעודות גישה מאובטחות (PAC) של טרום-שיתוף, הוא יכול ליזום חילוף אספקת EAP-FAST כדי לקבל זאת באופן דינמי מהשרת.
ב- EAP-FAST מתועדות שתי שיטות לאספקת ה- PAC: אספקה ידנית באמצעות מנגנון מאובטח מחוץ לפס ואספקה אוטומטית.
שיטת ה- EAP-FAST מתחלקת לשני חלקים: אספקה ואימות. שלב האספקה כרוך באספקה הראשונית של ה- PAC ללקוח. יש לבצע שלב זה רק פעם אחת עבור כל לקוח וכל משתמש.
נקודות גישה מסוימות, לדוגמה Cisco 350 או Cisco 1200, תומכות בסביבות שבהן לא כל תחנות הלקוח תומכות בהצפנת WEP; מצב זה נקרא מצב תאים משולבים. כאשר רשתות אלחוטיות אלה פועלות במצב "הצפנה אופציונלית", תחנות לקוח המצטרפות במצב WEP שולחות את כל ההודעות מוצפנות, ואילו תחנות המשתמשות במצב רגיל שולחות את כל ההודעות ללא הצפנה. נקודות גישה אלה משדרות שהרשת אינה משתמשת בהצפנה, אך מאפשרת ללקוחות המשתמשים במצב WEP להצטרף. כאשר מצב תאים משולבים מאופשר בפרופיל, הוא מאפשר להתחבר לנקודות גישה המוגדרות ל"הצפנה אופציונלית".
כאשר מאפיין זה מאופשר, המתאם האלחוטי מספק מידע של ניהול רדיו לתשתית Cisco. אם בתשתית נעשה שימוש בכלי העזר לניהול רדיו של Cisco, כלי העזר יגדיר פרמטרים של רדיו ויאתר הפרעות ונקודות גישה עוינות.