U kunt voorkomen dat onbevoegden in het bezit komen van uw draadloos verzonden gegevens door gebruik te maken van IEEE 802.11 WEP (Wired Equivalent Privacy). WEP-codering voorziet in twee niveaus van beveiliging: een 64-bits sleutel (soms 40-bits genoemd) of een 128-bits sleutel (ook wel 104-bits genoemd). Voor een betere beveiliging gebruikt u een 128-bits sleutel. Als u gebruikmaakt van codering, moeten alle draadloze apparaten in het netwerk dezelfde coderingssleutels gebruiken.
WEP-codering (Wired Equivalent Privacy) en gedeelde verificatie bieden bescherming voor netwerkgegevens. WEP gebruikt een coderingssleutel om gegevens te coderen voor de transmissie. Alleen computers met dezelfde coderingssleutel kunnen toegang tot het netwerk krijgen of gecodeerde gegevens van andere computers decoderen. Verificatie biedt een aanvullend validatieproces tussen de adapter en het toegangspunt.
Het WEP-coderingsalgoritme kan vanaf het netwerk actief of passief worden aangevallen. TKIP- en CKIP-algoritmen bevatten uitbreidingen op het WEP-protocol die aanvallen vanaf het netwerk onschadelijk maken en beperkingen oplossen.
IEEE 802.11 ondersteunt twee typen verificatiemethoden: Open systeem en Gedeelde sleutel.
Hoe werkt 802.1x-verificatie?
802.1x-voorzieningen
De 802.1x-verificatie is onafhankelijk van het 802.11-verificatieproces. De 802.1x-standaard biedt een kader voor meerdere verificatie- en sleutelbeheerprotocollen. De verschillende 802.1x-verificatietypen bieden elk een andere benadering van verificatie maar ze maken wel allemaal gebruik van hetzelfde protocol en dezelfde communicatiestructuur tussen een client en een toegangspunt. Bij de meeste protocollen ontvangen aanvragers, wanneer het 802.1x-verificatieproces is voltooid, een sleutel die ze voor gegevenscodering gebruiken. Zie Hoe werkt 802.1x-verificatie? voor meer informatie. Bij 802.1x-verificatie wordt een verificatiemethode gebruikt tussen de client en een RADIUS-server (Remote Authentication Dial-In User Service) die is verbonden met het toegangspunt. Voor het verificatieproces wordt gebruik gemaakt van referenties, zoals gebruikersnamen en wachtwoorden, die niet over het draadloze netwerk worden verzonden. Het merendeel van de 802.1x-typen ondersteunt dynamische sleutels per gebruiker en per sessie zodat de statische sleutelbeveiliging nog veiliger wordt. 802.1x maakt bovendien gebruik van een bestaand verificatieprotocol dat Extensible Authentication Protocol (EAP) wordt genoemd.
De 802.1x-verificatie voor draadloze LAN's bestaat uit drie basiscomponenten:
Met 802.1x-verificatie wordt een autorisatieverzoek van de draadloze client naar het toegangspunt gestuurd. Het toegangspunt verifieert de client vervolgens via een EAP-compatibele RADIUS-server. Deze RADIUS-server kan de gebruiker (via wachtwoorden of certificaten) of het systeem (via het MAC-adres) verifiëren. In theorie mag de draadloze client pas op het netwerk wanneer de transactie is voltooid.
Er worden verschillende verificatiealgoritmen gebruikt voor 802.1x. Voorbeelden zijn: EAP-TLS, EAP-TTLS en Protected EAP (PEAP). Met al deze methoden kan de draadloze client zich identificeren bij de RADIUS-server. Bij RADIUS-verificatie wordt de identiteit van de gebruiker geverifieerd op basis van gegevens in databases. RADIUS bestaat uit een aantal standaarden die tegemoet komen aan verificatie, autorisatie en accounting (AAA - Authentication, Authorization, Accounting). Radius omvat onder meer een proxy-proces voor het valideren van clients in een omgeving met meerdere servers. Met de IEEE 802.1x-standaard wordt toegang beheerd en geverifieerd voor draadloze en bekabelde 802.11 Ethernet-netwerken op basis van poorten. Toegangsbeheer voor op poorten gebaseerde netwerken lijkt op een LAN-infrastructuur met switches die apparaten verifieert die op een LAN-poort worden aangesloten en toegang tot de desbetreffende poort voorkomt als het verificatieproces mislukt.
RADIUS staat voor Remote Access Dial-In User Service, een client-server-protocol voor autorisatie, verificatie en accounting (AAA - Authorization, Authentication, Accounting) dat wordt gebruikt wanneer een AAA-inbelclient zich aan- of afmeldt bij een server voor netwerktoegang. RADIUS-servers worden vaak gebruikt door Internet Service Providers (ISP) voor het uitvoeren van AAA-taken. De verschillende AAA-fasen zijn als volgt:
Hieronder vindt u een vereenvoudigde beschrijving van de 802.1x-verificatie:
WPA en WPA2 (Wi-Fi Protected Access) vormen een beveiligingsuitbreiding waarmee het niveau van gegevensbeveiliging en toegangsbeheer van een draadloos netwerk aanzienlijk wordt verhoogd. WPA dwingt 802.1x-verificatie en sleuteluitwisseling af en werkt alleen met dynamische coderingssleutels. WPA maakt voor versterking van de gegevenscodering gebruik van TKIP (Temporal Key Integrity Protocol). TKIP biedt belangrijke uitbreidingen voor gegevenscodering, waaronder een sleutelmixfunctie per pakket, een berichtintegriteitscontrole (MIC - Message Integrity Check), een uitgebreide initialisatievector (IV) met opvolgingsregels en een nieuw sleutel mechanisme. Met deze verbetering biedt TKIP beveiliging tegen bekende zwakke punten van WEP.
De tweede generatie van WPA die voldoet aan de IEEE TGi-specificaties staat bekend als WPA2.
Enterprise-modus: In de Enterprise-modus worden netwerkgebruikers geverifieerd via een RADIUS-server of een andere verificatieserver. WPA maakt gebruik van 128-bits coderingssleutels en dynamische sessiesleutels om de privacy en bedrijfsbeveiliging te waarborgen. De Enterprise-modus is bedoeld voor bedrijven en overheidsinstanties.
Personal-modus: Voor de persoonlijke modus moet handmatig een PSK (Pre-Shared Key) worden geconfigureerd op het toegangspunt en de clients. De PSK verifieert de gebruikers via een wachtwoord of identificatiecode op zowel de client als het toegangspunt. Er is geen verificatieserver nodig. De Personal-modus is bedoeld voor thuisnetwerken en kleine bedrijfsnetwerken.
WPA-Enterprise en WPA2-Enterprise: Enterprise voorziet in beveiliging op dit niveau voor bedrijfsnetwerken met een 802.1x RADIUS-server. Het daarbij geselecteerde verificatietype dient te worden afgestemd op het verificatieprotocol van de 802.1x-server.
WPA-Personal en WPA2-Personal: Personal voorziet in beveiliging op dit niveau voor kleine netwerken en thuisnetwerken. Hierbij wordt een wachtwoord gebruikt, dat ook wel een vooraf gedeelde sleutel (PSK, Pre-Shared Key) wordt genoemd. Hoe langer het wachtwoord, hoe sterker de beveiliging van het draadloze netwerk. Als uw draadloze toegangspunt of router ondersteuning biedt voor WPA-Personal en WPA2-Personal, verdient het aanbeveling om het protocol in te schakelen op het toegangspunt en een lang, sterk wachtwoord op te geven. Het wachtwoord dat wordt opgegeven voor het toegangspunt, moet ook worden gebruikt op deze computer en op alle draadloze apparaten die verbonden worden met het draadloze netwerk.
Opmerking: WPA-Personal en WPA2-Personal kunnen niet tegelijk worden gebruikt.
AES-CCMP - (Advanced Encryption Standard - Counter CBC-MAC Protocol) Dit is de nieuwe methode voor de bescherming van persoonlijke gegevens bij draadloze transmissies die wordt gespecificeerd in de IEEE 802.11i-standaard. AES-CCMP biedt een krachtigere coderingsmethode dan TKIP. Kies AES-CCMP als methode voor de gegevenscodering als een sterke bescherming van gegevens voor u van belang is.
Opmerking: Sommige beveiligingsoplossingen worden mogelijk niet ondersteund door het besturingssysteem van uw computer en vereisen mogelijk extra software of bepaalde hardware, alsmede ondersteuning voor een draadloze LAN-infrastructuur. De fabrikant van de computer kan u meer informatie geven.
TKIP (Temporal Key Integrity Protocol) is een uitbreiding op de WEP-beveiliging (Wired Equivalent Privacy). TKIP voorziet in een sleutelmixfunctie per pakket, een berichtintegriteitscontrole en een nieuw sleutel mechanisme, waarmee de zwakke punten van WEP worden verholpen.
Message Digest 5 (MD5) is een methode voor eenrichtingsverificatie die gebruik maakt van gebruikersnamen en wachtwoorden. Deze methode biedt geen ondersteuning voor sleutelbeheer. Als gegevenscodering wordt gebruikt, is een vooraf geconfigureerde sleutel vereist. Zij kan probleemloos worden gebruikt voor draadloze verificatie in EAP-tunnelmethoden.
Een type verificatiemethode op basis van EAP (Extensible Authentication Protocol) en het beveiligingsprotocol TLS (Transport Layer Security). EAP-TLS werkt met certificaten waarvoor wachtwoorden worden gebruikt. EAP-TLS-verificatie ondersteunt het beheer van dynamische WEP-sleutels. Het TLS-protocol is bedoeld voor de beveiliging en verificatie van de communicatie via een openbaar netwerk middels gegevenscodering. Het TLS Handshake-protocol maakt het voor server en client mogelijk om elkaar te verifiëren en om te onderhandelen over een coderingsalgoritme en cryptografische sleutels, voordat de gegevens worden verzonden.
Met deze instellingen worden het protocol en de referenties gedefinieerd voor de verificatie van gebruikers. Onder TTLS (Tunneled Transport Layer Security) gebruikt de client EAP-TLS voor validatie van de server en wordt een met TLS gecodeerd kanaal tussen client en server gemaakt. De client kan gebruik maken van een ander verificatieprotocol (met name op wachtwoord gebaseerde protocollen, zoals MD5 Challenge) over het gecodeerde kanaal om servervalidatie mogelijk te maken. De controle- en antwoordpakketten worden over een onzichtbaar met TLS gecodeerd kanaal verzonden. De moderne TTLS-implementaties ondersteunen alle methoden die zijn gedefinieerd in EAP, alsmede verschillende oudere methoden (PAP, CHAP, MS-CHAP en MS-CHAPv2). TTLS kan eenvoudig worden uitgebreid voor nieuwe protocollen, door nieuwe attributen te definiëren die die protocollen ondersteunen.
PEAP is een nieuw EAP IEEE 802.1x-verificatietype (Extensible Authentication Protocol) dat is ontworpen om optimaal gebruik te maken van EAP-TLS (EAP-Transport Layer Security) aan de serverzijde en dat meerdere verificatiemethoden, zoals gebruikerswachtwoorden, eenmalige wachtwoorden en Generic Token Cards, ondersteunt.
Cisco LEAP (Cisco Light EAP) is een 802.1x-verificatie voor client en server op basis van een door de gebruiker opgegeven aanmeldingswachtwoord. Wanneer een draadloos toegangspunt communiceert met een RADIUS-server waarop Cisco LEAP is ingeschakeld (ACS - Cisco Secure Access Control Server), beheert Cisco LEAP de toegang door de wederzijdse verificatie van de draadloze clientadapters en de draadloze netwerken en biedt LEAP dynamische, individuele gebruikerssleutels waarmee de privacy van verzonden gegevens wordt beveiligd.
De Cisco-voorziening voor bedrieglijke toegangspunten biedt beveiliging tegen bedrieglijke toegangspunten die zich op netwerken kunnen voordoen als geldige toegangspunten zodat onrechtmatige toegang tot informatie over gebruikersreferenties en verificatieprotocollen wordt verkregen en de beveiliging wordt ondermijnd. Deze voorziening werkt alleen met LEAP-verificatie van Cisco. Standaard 802.11-technologie beveiligt een netwerk niet tegen bedrieglijke toegangspunten. Zie LEAP-verificatie voor meer informatie.
Wanneer een draadloos LAN is geconfigureerd voor het snel opnieuw tot stand brengen van verbindingen, kan een client waarop LEAP ingeschakeld is, zwerven van het ene toegangspunt naar het andere zonder dat hierbij de hoofdserver betrokken wordt. Met behulp van Cisco Centralized Key Management (CCKM) neemt een toegangspunt dat is geconfigureerd voor het leveren van Wireless Domain Services (WDS), de plaats in van de RADIUS-server en wordt de client zonder merkbare vertraging geverifieerd. Deze voorziening is met name bedoeld voor spraaktoepassingen en andere tijdgevoelige toepassingen.
CKIP (Cisco Key Integrity Protocol) is een beveiligingsprotocol van Cisco voor codering in 802.11-media. CKIP maakt gebruik van de volgende voorzieningen om de 802.11-beveiliging in de infrastructuurmodus te verbeteren:
Sommige toegangspunten, zoals Cisco 350 en Cisco 1200, ondersteunen omgevingen waarin niet alle clients WEP-codering ondersteunen. Dit wordt de modus Gemengde cel genoemd. Wanneer deze draadloze netwerken functioneren in de modus waarin codering optioneel is, worden pakketten vanaf stations waarop WEP is ingeschakeld, gecodeerd verzonden en worden pakketten vanaf stations zonder WEP, ongecodeerd verzonden. Deze toegangspunten zenden uit dat er geen codering wordt gebruikt in het netwerk, maar clients kunnen zich wel aanmelden met gebruik van WEP. Wanneer de modus Gemengde cel is ingeschakeld in een profiel, kunt u een verbinding tot stand brengen met toegangspunten die zijn geconfigureerd met optionele codering.
EAP-FAST maakt net als EAP-TTLS en PEAP gebruik van tunnels om het netwerkverkeer te beschermen. Het belangrijkste verschil is dat EAP-FAST geen gebruik maakt van certificaten voor verificatie. De levering van referenties in EAP-FAST vindt plaats wanneer de client als de eerste communicatie de server vraagt om EAP-FAST. Als de client geen vooraf gedeelde geheime PAC (Protected Access Credential) heeft, kan de client een EAP-FAST-uitwisseling initiëren waarmee dynamisch een PAC van de server wordt opgehaald.
In EAP-FAST kan de PAC op twee manieren worden aangeleverd: handmatig via een beveiligd out-of-band mechanisme en automatisch.
De EAP-FAST-methode kan worden onderverdeeld in twee delen: levering en verificatie. De leveringsfase omvat de initiële aflevering van de PAC aan de client. Deze fase hoeft slechts eenmaal per client en gebruiker te worden uitgevoerd.
Sommige toegangspunten, zoals Cisco 350 en Cisco 1200, ondersteunen omgevingen waarin niet alle clients WEP-codering ondersteunen. Dit wordt de modus Gemengde cel genoemd. Wanneer deze draadloze netwerken functioneren in de modus waarin codering optioneel is, worden pakketten vanaf stations waarop WEP is ingeschakeld, gecodeerd verzonden en worden pakketten vanaf stations zonder WEP, ongecodeerd verzonden. Deze toegangspunten zenden uit dat er geen codering wordt gebruikt in het netwerk, maar clients kunnen zich wel aanmelden met gebruik van WEP. Wanneer de modus “Gemengde cel” is ingeschakeld in een profiel, kunt u een verbinding tot stand brengen met toegangspunten die zijn geconfigureerd met optionele codering.
Selecteer deze optie om de draadloze adapter te laten voorzien in radiobeheer voor de Cisco-infrastructuur. Als de functie Radiobeheer wordt gebruikt binnen de infrastructuur, worden radioparameters geconfigureerd en worden interferentie en bedrieglijke toegangspunten gedetecteerd.