Az IEEE 802.11 Wired Equivalent Privacy (WEP) segítségével megakadályozható a vezeték nélküli hálózatok adatainak illetéktelen lehallgatása. A WEP titkosítás két biztonsági szintet kínál: 64 bites (néha 40 bitesnek is nevezett) vagy 128 bites (néha 104 bitesnek is nevezett) kulcsot. A 128 bites kulcs biztonságosabb. Titkosítás alkalmazásakor a vezeték nélküli hálózaton levő valamennyi vezeték nélküli eszköznek ugyanazokat a titkosítási kulcsokat kell használnia.
A WEP jelentése Wired Equivalent Privacy, azaz „a vezetékessel egyenértékű adatvédelem”. A WEP alapú titkosítás és a közös kulcsú hitelesítés védi a hálózaton átvitt adatokat. A WEP elküldésük előtt titkosító kulccsal titkosítja az adatokat. Csak azok a számítógépek férhetnek hozzá a hálózathoz és fejthetik vissza a többi számítógép által küldött titkosított adatokat, amelyek ugyanazt a titkosító kulcsot használják. A hitelesítés egy további ellenőrzési eljárást is beiktat az adapter és a hozzáférési pont közé.
A WEP titkosítási algoritmusa sebezhető a passzív és aktív hálózati támadások útján. A TKIP és a CKIP algoritmus ellenállóbbá teszi a WEP protokollt a hálózati támadásokkal szemben, és kiküszöböli néhány hiányosságát.
Az IEEE 802.11 hitelesítés kétféle hálózati hitelesítési módot támogat: a Nyílt rendszerű és a Megosztott módszert.
A 802.1x hitelesítés működése
A 802.1x funkciói
A 802.1x alapú hitelesítés független a 802.11 szerinti hitelesítési folyamattól. A 802.1x szabvány hitelesítési keretrendszert biztosít különböző hitelesítési és kulcskezelési protokollokhoz. Több különböző 802.1x alapú hitelesítési típus van, amelyek mindegyike más megközelítéssel oldja meg a hitelesítést, de az ügyfélgép és a hozzáférési pont közötti kommunikációhoz ugyanazt a 802.1x protokollt és keretrendszert használják. A legtöbb protokollban a 802.1x alapú hitelesítés végeztével a kérelmező egy kulcsot kap, amelyet adattitkosításra használ. További információk A 802.1x alapú hitelesítés működése című részben találhatók. A 802.1x alapú hitelesítés hitelesítést végez az ügyfélgép és a hozzáférési ponthoz kapcsolódó RADIUS kiszolgáló között. A hitelesítés felhasználói azonosító adatokkal – például felhasználói jelszóval – történik, amelyeket nem a vezeték nélküli hálózaton küldenek el. A legtöbb 802.1x alapú hitelesítés támogatja a dinamikus, felhasználónként és munkamenetenként változó kulcsokat, ezzel erősítve a biztonságot a statikus kulcsokhoz képest. A 802.1x kihasználja az EAP (Extensible Authentication Protocol) hitelesítő protokoll lehetőségeit is.
A vezeték nélküli LAN-ok 802.1x alapú hitelesítésének három fő összetevője van:
A 802.1x szerinti hitelesítésnél a vezeték nélküli ügyfél kérelmezi saját hitelesítését a hozzáférési ponttól, amely egy EAP-kompatibilis RADIUS kiszolgálóhoz továbbítja a kérelmet. A RADIUS kiszolgáló hitelesítheti a felhasználót (annak jelszavával vagy tanúsítványával) vagy a gépet (annak MAC-címével). A vezeték nélküli ügyfél elvileg addig nem csatlakozhat a hálózatra, amíg ez a tranzakció végbe nem ment.
A 802.1x többféle hitelesítő algoritmust használhat. Néhány példa: EAP-TLS, EAP-TTLS és Protected EAP (PEAP). A vezeték nélküli ügyfél ezek bármelyikével azonosíthatja magát a RADIUS kiszolgáló felé. A RADIUS alapú hitelesítés a felhasználó identitását adatbázisok alapján ellenőrzi. A RADIUS egy sor szabványt jelent, amelyek lefedik a hitelesítés, az engedélyezés és a használatkövetés (Authentication, Authorization és Accounting, azaz AAA) területét. A RADIUS több kiszolgálós környezetben proxy útján hitelesíti az ügyfeleket. Az IEEE 802.1x szabvány szabályozza a 802.11 szerinti port alapú, vezeték nélküli és vezetékes Ethernet hálózatok elérését, és gondoskodik a hitelesítésről. A port alapú hálózati hozzáférés-szabályozás hasonlít a kapcsolt helyi hálózatos (LAN) infrastruktúrára, amely a LAN-portokra csatlakozó eszközöket hitelesíti, és sikertelen hitelesítés esetén megtagadja az illető port elérését.
A RADIUS a behívásos felhasználói bejelentkezést szolgáló hitelesítő, engedélyező és használatkövető (AAA) protokoll. Ügyfél–kiszolgáló alapon működik, és a behívó AAA-ügyfelek bejelentkezését és kijelentkezését kezeli. A RADIUS kiszolgálókat általában az internetszolgáltatók alkalmazzák az AAA-feladatokra. Az AAA a következő fázisokra bontható:
A 802.1x alapú hitelesítés leegyszerűsítve a következőképpen működik:
A Wi-Fi Protected Access (WPA és WPA2) olyan továbbfejlesztett biztonsági megoldás, amely jelentős mértékben erősíti a vezeték nélküli hálózatok adatvédelmét és hozzáférés-szabályozását. A WPA megvalósítja a 802.1x szerinti hitelesítést és kulcscserét, és csak dinamikus titkosító kulcsokkal működik. A WPA a TKIP protokollal teszi erősebbé az adattitkosítást. A TKIP fontos továbbfejlesztéseket valósít meg az adattikosításban; ilyenek többek között a csomagonkénti kulcskeverés, az üzenetépség-ellenőrzés (message integrity check, MIC vagy másik nevén Michael), a kibővített és sorrendiségi szabályokat alkalmazó inicializációs vektor (IV), valamint a kulcscsere mechanizmusa. Ezekkel a továbbfejlesztésekkel a TKIP véd a WEP ismert gyenge pontjai ellen.
A WPA második generációja, a WPA2 megfelel az IEEE TGi specifikáció előírásainak.
Vállalati üzemmód: A vállalati üzemmód RADIUS vagy más hitelesítő kiszolgálóval hitelesíti a hálózati felhasználókat. A WPA 128 bites titkosító kulcsokkal és dinamikus munkamenet-kulcsokkal gondoskodik a vezeték nélküli hálózat titkosságáról és a vállalat informatikai biztonságáról. A vállalati üzemmód a nagyvállalatok és az állami szervezetek igényeit elégíti ki.
Személyes üzemmód: A személyes üzemmódnál kézileg kell beállítani egy előre közölt (PSK) kulcsot a hozzáférési pontokon és az ügyfeleken. A PSK jelszóval vagy azonosító kóddal hitelesíti a felhasználókat mind az ügyfélgépen, mind a hozzáférési ponton. Hitelesítő kiszolgálót nem igényel. A Személyes üzemmód otthoni és kisvállalati felhasználók esetén célszerű.
WPA-Vállalati és WPA2-Vállalati: 802.1x RADIUS kiszolgálóval rendelkező vállalati hálózatokon használatos. A hitelesítési fajtáját a 802.1x kiszolgáló hitelesítési protokolljának megfelelően kell megválasztani.
WPA-Személyes és WPA2-Személyes: Kis hálózatokon és otthoni környezetben használatos. Ez a védelem jelszót használ, amelynek közismert neve PSK (pre-shared key, előre közölt kulcs). Minél hosszabb ez a jelszó, annál biztonságosabb a vezeték nélküli hálózat. Ha a vezeték nélküli hozzáférési pont vagy útválasztó támogatja a WPA-Személyes és WPA2-Személyes titkosítást, akkor célszerű bekapcsolni a hozzáférési ponton, és hosszú, erős jelszót kell választani. A hozzáférési ponton használt jelszót kell használni ezen a számítógépen és a vezeték nélküli hálózatra kapcsolódó összes többi vezeték nélküli eszközön is.
MEGJEGYZÉS: A WPA-Személyes és a WPA2-Személyes nem használható együtt ugyanazon a hálózaton.
AES-CCMP - (Advanced Encryption Standard - Counter CBC-MAC Protocol). A vezeték nélküli adatátvitel védelmének új, az IEEE 802.11i szabványban specifikált módja. Az AES-CCMP erősebb titkosítást biztosít, mint a TKIP. Akkor válassza az AES-CCMP adattitkosítást, ha erős adatvédelemre van szüksége.
MEGJEGYZÉS: Előfordulhat, hogy egyes biztonsági megoldásokat nem támogat a számítógép operációs rendszere, és ezekhez további szoftverekre és/vagy bizonyos hardverekre, továbbá a vezeték nélküli LAN infrastruktúra támogatására van szükség. A részleteket kérdezze meg a számítógép gyártójától.
A TKIP (Temporal Key Integrity Protocol, időváltozós kulcsvédő protokoll) a WEP biztonsági protokoll továbbfejlesztett változata. A TKIP csomagonkénti kulcskeverést, üzenetépség-ellenőrzést és kulcsváltó mechanizmust alkalmaz, ami kiküszöböli a WEP hiányosságait.
A Message Digest 5 (MD5) egy felhasználóneveket és jelszavakat használó, egyirányú hitelesítési módszer. Nem támogatja a kulcskezelést, de adattitkosítás használata esetén előre konfigurált kulcsot igényel. Biztonságosan használható, EAP titkosított csatornán belüli, vezeték nélküli hálózati hitelesítesekhez.
Olyan hitelesítési módszer, amely az EAP hitelesítési protokollt, valamint a Transport Layer Security (TLS) biztonsági protokollt alkalmazza. Az EAP-TLS jelszavakkal kombinált tanúsítványokat használ. Az EAP-TLS hitelesítés támogatja a dinamikus WEP-kulcsok kezelését. A TLS protokoll a nyilvános hálózatokon zajló kommunikáció védelmére és hitelesítésére szolgál, és ehhez adattitkosítást használ. A TLS handshake protokoll lehetővé teszi, hogy a kiszolgáló és az ügyfél kölcsönösen hitelesítse egymást, és az adatcsere előtt megegyezzenek a titkosító algoritmusban és a titkosító kulcsokban.
Ezek a beállítások határozzák meg a felhasználó hitelesítésénél alkalmazott protokollt és azonosító adatokat. A TTLS (Tunneled Transport Layer Security) alkalmazásakor az ügyfél az EAP-TLS használatával hitelesíti a kiszolgálót és egy TLS titkosítású csatornát hoz létre az ügyfél és a kiszolgáló között. Az ügyfél ezen a titkosított csatornán a kiszolgáló ellenőrzésének lehetővé tételéhez bármilyen más hitelesítési protokollt is használhat – jellemzően valamilyen jelszó alapú protokollt, például az MD5 kérdés–válasz protokollt. A kérdést és a választ tartalmazó csomagok átvitele egy TLS titkosítású külön csatornán történik. A TTLS megvalósítások ma az EAP által definiált összes módszert támogatják, továbbá számos régi módszert is (PAP, CHAP, MS-CHAP és MS-CHAPv2). A TTLS könnyen kiterjeszthető úgy, hogy együttműködjön az új protokollokkal. Ehhez új attribútumokat kell definiálni.
A PEAP egy új EAP alapú IEEE 802.1x szerinti hitelesítéstípus, amely kihasználja a kiszolgáló oldali EAP-Transport Layer Security (EAP-TLS) lehetőségeit, és több különböző hitelesítési módszert támogat, köztük a felhasználói jelszavakat, az egyszer használatos jelszavakat és a Generic Token Card azonosítókártyákat.
A Cisco LEAP (Cisco Light EAP) funkció a felhasználó által megadott bejelentkezési jelszó alapján a 802.1x szerinti hitelesíti a kiszolgálókat és az ügyfeleket. Amikor egy vezeték nélküli hozzáférési pont egy a Cisco LEAP-et támogató RADIUS kiszolgálóval (Cisco Secure Access Control Server, ACS) kommunikál, a Cisco LEAP gondoskodik a hozzáférés szabályozásáról. Ehhez kölcsönös hitelesítést végez az ügyfél vezeték nélküli adaptere és a vezeték nélküli hálózat között, és dinamikus, az egyes felhasználókhoz kötődő titkosító kulcsokkal védi az átvitt adatokat.
A Cisco szabálysértő hozzáférési pontok (Rogue Access Point) elleni biztonsági funkciója véd a rendszer biztonságát veszélyeztető olyan szabálysértő hozzáférési pontoktól, amelyek egy jogosult hozzáférési pontot utánozva szereznek információt a felhasználók azonosító adatairól és a hitelesítő protokollokról, veszélyeztetve a biztonságot. Ez a funkció csak a Cisco saját LEAP hitelesítési módjával működik. A szokásos 802.11 technológia nem védi meg a hálózatot a szabálysértő hozzáférési pontok ellen. További információk a LEAP hitelesítés című részben találhatók.
Ha a vezeték nélküli LAN gyors visszacsatlakozásra van konfigurálva, a LEAP-et használó ügyfélgép a fő kiszolgáló közreműködése nélkül tud barangolni a hozzáférési pontok között. A Cisco Centralized Key Management (CCKM) használatakor a Wireless Domain Services (WDS) nyújtására konfigurált hozzáférési pont átveszi a RADIUS kiszolgáló szerepét, és a beszéd- vagy más időérzékeny alkalmazások észrevehető késleltetése nélkül hitelesíti az ügyfelet.
A Cisco Key Integrity Protocol (CKIP) a Cisco saját fejlesztésű biztonsági protokollja a 802.11-es adatátvitel titkosításához. A CKIP a következő funkciókkal javítja az infrastruktúra üzemmódban működő 802.11 biztonságát:
Egyes hozzáférési pontok – például a Cisco 350 és a Cisco 1200 – alkalmazhatóak olyan környezetekben, ahol nem minden ügyfélállomás támogatja a WEP titkosítást; ezt hívják vegyes cellás üzemmódnak. Amikor az ilyen vezeték nélküli hálózatok "opcionális titkosítás" üzemmódban működnek, a WEP üzemmódban csatlakozó ügyfélállomások minden üzenetet titkosítva küldenek, míg a szokásos üzemmódban csatlakozók minden üzenetet titkosítatlanul küldenek. Ezek a hozzáférési pontok közzéteszik, hogy a hálózat nem használ titkosítást, de megengedik, hogy az ügyfelek WEP üzemmódban csatlakozzanak. Amikor egy profilban engedélyezve van a Vegyes cellás beállítás, a profillal kapcsolódni lehet olyan hozzáférési pontokhoz, amelyek "opcionális titkosításra" vannak beállítva.
Az EAP-FAST az EAP-TTLS és a PEAP mechanizmushoz hasonlóan alagutakat használ a forgalom védelmére. A fő különbség az, hogy az EAP-FAST nem tanúsítvánnyal hitelesít. EAP-FAST protokoll esetén az eljuttatást kizárólag az ügyfél egyezteti az első üzenetcsere során, amikor a kiszolgálótól EAP-FAST kiszolgálást kér. Ha az ügyfélnek nincs előre közölt PAC (Protected Access Credential) kulcsa, EAP-FAST üzenetcserét kérhet a kulcs eljuttatásához, amelynek során dinamikusan kap egy kulcsot a kiszolgálótól.
Az EAP-FAST protokollban két módszerrel lehet átadni a PAC-ot: kézileg egy sávon kívüli biztonságos mechanizmussal, vagy automatikusan.
Az EAP-FAST módszer két részre osztható: az eljuttatásra és a hitelesítésre. Az eljuttatási fázisban kapja meg az ügyfél az első PAC-ot. Ezt ügyfelenként és felhasználónként csak egyszer kell elvégezni.
Egyes hozzáférési pontok – például a Cisco 350 és a Cisco 1200 – alkalmazhatóak olyan környezetekben, ahol nem minden ügyfélállomás támogatja a WEP titkosítást; ezt hívják vegyes cellás üzemmódnak. Amikor az ilyen vezeték nélküli hálózatok "opcionális titkosítás" üzemmódban működnek, a WEP módban csatlakozó ügyfélállomások minden üzenetet titkosítva küldenek, míg a szokásos módon csatlakozók minden üzenetet titkosítatlanul küldenek. Ezek a hozzáférési pontok közzéteszik, hogy a hálózat nem használ titkosítást, de megengedik, hogy az ügyfelek WEP üzemmódban csatlakozzanak. Amikor egy profilban engedélyezve van a "Vegyes cellás" beállítás, a profillal kapcsolódni lehet az olyan hozzáférési pontokhoz, amelyek "opcionális titkosításra" vannak beállítva.
Ha ez a funkció engedélyezett, a vezeték nélküli adapter rádiókezelési adatokat szolgáltat a Cisco infrastruktúrának. Ha az infrastruktúrán fut a Cisco Radio Management segédprogram, akkor konfigurálja a rádióparamétereket, valamint észleli a zavarjeleket és a szabálysértő hozzáférési pontokat.