Du kan forhindre uautorisert mottak av de trådløse dataene ved hjelp av IEEE 802.11 WEP (Wired Equivalent Privacy). WEP-kryptering gir to sikkerhetsnivåer: 64-biters-nøkkel (av og til omtalt som 40-biters) eller en 128-biters-nøkkel (also kjent som 104-biters). Den beste sikkerheten får du ved bruk av en 128-biters nøkkel. Hvis du bruker kryptering, må alle trådløse enheter på trådløsnettverket bruke de samme krypteringsnøklene.
WEP-kryptering (Wired Equivalent Privacy) og delt godkjenning beskytter dataene på nettverket. WEP bruker en krypteringsnøkkel til å kryptere dataene før sending. Bare datamaskiner som bruker samme krypteringsnøkkel, får tilgang til nettverket eller kan dekryptere de krypterte dataene som overføres av andre datamaskiner. Godkjenning utgjør en ekstra valideringsprosess fra kortet til tilgangspunktet.
WEP-krypteringsalgoritmen er sårbar overfor passive og aktive nettverksangrep. TKIP- og CKIP-algoritmer inkluderer utvidelser til WEP-protokollen som demper eksisterende nettverksangrep og tar for seg manglene ved dem
IEEE 802.11 støtter to typer nettverksgodkjenningsmetoder: Åpent system og Delt nøkkel.
Slik virker 802.1x-godkjenning
802.1x-funksjoner
802.1x-godkjenningen er uavhengig av 802.11-autentifikasjonsprosessen. 802.1x-standarden gir et rammeverk for flere godkjennings- og nøkkeladministrasjonsprotokoller. Det finnes forskjellige 802.1x-godkjenningstyper, og hver gir forskjellige innfallsvinkler til godkjenningen, men alle tar i bruk den samme 802.1x-protokollen og det samme rammeverk for kommunikasjonen mellom en klient og et tilgangspunkt. I de fleste protokollene, når 802.1x-autentifikasjonsprosessen er ferdig, mottar søkeren en nøkkel som den benytter til datakryptering. Se Slik virker 802.1x-godkjenning for å få mer informasjon. Med 802.1x-godkjenning brukes en godkjenningsmetode mellom klienten og en RADIUS-server (Remote Authentication Dial-In User Service) som er koblet til tilgangspunktet. Godkjenningsprosessen benytter legitimasjonsbeskrivelsene, slik som en brukers passord, som ikke sendes over det trådløse nettverket. De fleste 802.1x-typene støtter dynamisk per-bruker, per økt-nøkler for å styrke den statiske nøkkelsikkerheten. 802.1x tjener på bruken av eksisterende godkjenningsprotokoll kjent som EAP (Extensible Authentication Protocol).
802.1x-autentifikasjon for trådløse LAN har tre hovedkomponenter:
802.1x-autentifikasjonssikkerhet starter en godkjenningsforespørsel fra trådløsklienten til tilgangspunktet som godkjenner klienten til en EAP-kompatibel (Extensible Authentication Protocol) RADIUS-server. RADIUS-serveren kan godkjenne brukeren (via passord eller sertifikater) eller systemet (ved MAC-adressen). Teoretisk sett får ikke den trådløse klienten lov til å bli med i nettverkene før transaksjonen er fullført.
Det brukes mange godkjenningsalgoritmer for 802.1x. Noen eksempler er: EAP-TLS, EAP-TTLS og Protected EAP (PEAP). Dette er alle metoder for trådløsklienten for å identifisere seg selv overfor RADIUS-serveren. Med RADIUS-godkjenning kontrolleres brukeridentitetene mot databaser. RADIUS utgjør et sett med standarder som omhandler AAA (Authentication, Authorization, Accounting). Radius inkluderer en proxy-prosess for validering av klienter i et flerservermiljø. Standarden IEEE 802.1x er for å kontrollere og godkjenne tilgang til portbasert 802.11 trådløst og ledningsammenbundet Ethernet nettverk. Portbasert nettverkstilgangskontroll er lik en svitsjet LAN-infrastruktur som autentifiserer innretninger som er festet til en LAN-port og hindrer tilgang til den porten dersom autentifikasjonsprosessen mislykkes.
RADIUS står for Remote Access Dial-In User Service, og er en AAA-klientserverprotokoll (Authorization, Authentication, Accounting) for en ekstern AAA-klientserver som logger inn på eller ut av en nettverkstilgangsserver. Vanligvis brukes en RADIUS-server av Internett-leverandører (ISP - Internet Service Providers) til å utføre AAA-oppgaver. AAA-fasene beskrives som følger:
En forenklet beskrivelse av 802.1x-godkjenningen er:
Wi-Fi-beskyttet tilgang (WPA eller WPA2) er en sikkerhetsutvidelse som kraftig øker databeskyttelsesnivået og tilgangskontrollen til et trådløsnettverk. WPA tvinger frem 802.1x-godkjenning og nøkkelutveksling og virker bare med dynamiske krypteringsnøkler. For å styrke datakrypteringen bruker WPA sin Midlertidige Nøkkelintegritetsprotokoll (TKIP). TKIP sørger for viktig datakrypteringsutvidelser som omfatter en nøkkelblandingsfunksjon per pakke, en beskjedintegritetssjekk(MIC) som heter "Michael", en utvidet initialiseringsvektor (IV) med sekvensregler og også en gjen-nøkkelmekanisme. Ved hjelp av disse forbedringene beskytter TKIP mot WEPs kjente svakheter.
Den andre generasjonen WPA som oppfyller IEEE TGi-spesifikasjonen, er kjent som WPA2.
Foretaksmodus: Foretaksmodus bekrefter nettverksbrukerne gjennom en RADIUS eller annen godkjenningsserver. WPA bruker 128-biters kryptering og dynamiske øktnøkler for å sikre personvern og foretakssikkerhet på trådløsnettverket. Foretaksmodus er rettet inn mot bedriftsmiljøer eller offentlige miljøer.
Personlig modus: Personlig modus krever manuell konfigurasjon av forhåndsdelt nøkkel (PSK) på tilgangspunktet og klienter. PSK godkjenner brukere via et passord eller en identifikasjonkode både på klientstasjonen og tilgangspunktet. Det trengs ingen godkjenningsserver. Personlig modus er rettet mot hjem og mindre bedriftsmiljøer.
WPA-Foretak og WPA2-Foretak: Sørger for dette sikkerhetsnivået på foretaksnettverk med en 802.1x RADIUS-server. En godkjenningstype velges for å passe til godkjenningsprotokollen for 802.1x-serveren.
WPA-Personlig og WPA2-Personlig: Sørge for dette sikkerhetsnivået i mindre nettverk eller i hjemmemiljøer. Det bruker et passord som også kalles forhåndsdelt nøkkel (PSK). Jo lengre dette passordet er, jo kraftigere er sikkerheten i trådløsnettverket. Hvis trådløstilgangspunktet eller ruteren støtter WPA-Personlig og WPA2-personlig, da må du aktivere det på tilgangspunktet og besørge et langt, kraftig passord. Det samme passordet som er satt inn i tilgangspunktet, må brukes på denne datamaskinen og alle andre trådløsenheter som får tilgang til trådløsnettverket.
MERK: WPA - Personlig og WPA2 - Personlig er ikke interoperative.
AES-CCMP - (Advanced Encryption Standard - Counter CBC-MAC Protocol) Det er den nye metoden for å beskytte personvernet i trådløse overføringer som er angitt i IEEE 802.11i-standarden. AES-CCMP sørger for en sterker krypteringsmetode enn TKIP. Velg AES-CCMP som datakrypteringsmetode når det er viktig med kraftig beskyttelse av data.
MERK: Enkelte sikkerhetsløsninger kan hende ikke støttes av operativsystemet i datamaskinen din og kan hende krever ekstra programvare samt visse maskinvarer samt støtte for trådløs LAN-infrastruktur. Sjekk nærmere med produsenten av datamaskinen din.
TKIP (Temporal Key Integrity Protocol) er en utvidelse av WEP-sikkerhet (Wired Equivalent Privacy). TKIP gir nøkkelmiksing per pakke, en beskjedintegritetssjekk og en omnøklingsmekanisme, som således fikser feilene i WEP.
Message Digest 5 (MD5) er en enveis godkjenningsmetode som bruker brukernavn og passord. Denne metoden støtter ikke nøkkeladministrasjon, men krever en forhåndskonfigurert nøkkel dersom datakryptering brukes. Det er sikkert å distribuere den til trådløs godkjenning i EAP-tunnelmetoder.
En godkjenningsmetode som bruker Extensible Authentication Protocol (EAP) og en sikkerhetsprotokoll som kalles Transport Layer Security (TLS). EAP-TLS bruker sertifikater som benytter passord. EAP-TLS-godkjenning støtter dynamisk WEP-nøkkeladministrasjon. TLS-protokollen er ment å sikre og godkjenne kommunikasjon gjennom et offentlig nettverk ved bruk av datakryptering. TLS Handshake Protocol lar serveren og klienten gi gjensidig godkjenning og forhandle en krypteringsalgoritme og kryptografiske nøkler før data blir sendt.
Disse innstillingene definerer protokollen og legitimasjonsbeskrivelsene som brukes for å godkjenne en bruker. I TTLS (Tunneled Transport Layer Security) benytter klienten EAP-TLS for å bekrefte serveren og lage en TLS-kryptert kanal mellom klienten og serveren. Klienten kan bruke en annen godkjenningsprotokoll, normalt passordbaserte protokoller som MDF Challenge over denne krypterte kanalen for å aktivere serverbekreftelsen. Utfordrings- og responspakker sendes over en ikke-utsatt TLS-kryptert kanal. TTLS-implementeringer støtter i dag alle metoder definert av EAP samt mange andre eldre metoder (PAP,CHAP, MS-CHAP og MS-CHAPv2). TTLS kan lett utvides til å virke sammen med nye protokoller ved å definere nye attributter for å støtte nye protokoller.
PEAP er en ny Extensible Authentication Protocol (EAP) IEEE 802.1x-godkjenningstype lagd for å trekke fordeler fra serversidens EAP-Transport Layer Security (EAP-TLS) og for å støtte forskjellige godkjenningsmetoder, herunder brukerens passord og engangspassord og Generic Token Cards.
Cisco LEAP (Cisco Light EAP) er en 802.1x-godkjenning for server og klient via brukerdefinert påloggingspassord. Når et trådløst tilgangspunkt kommuniserer med en Cisco LEAP-aktivert RADIUS (Cisco-sikker tilgangskontrollserver [ACS]-server), gir Cisco LEAP tilgangskontroll via gjensidig godkjenning mellom klientens trådløskort og det trådløse nettverket og gir dynamiske, individuelle brukerkrypteringsnøkler for å hjelpe til med å beskytte personvernet i de overførte dataene.
Cisco Rogue AP-funksjonen gir sikkerhetsbeskyttelse fra en innføring av et svindeltilgangspunkt som kan etterape et legitimt tilgangspunkt på et nettverk for å få ut informasjon om brukerlegitimasjonsbeskrivelsene og autentifikasjonsprotokoller som kan sette sikkerheten i fare. Funksjonen virker bare med Ciscos LEAP-godkjenning. Standard 802.11-teknologi beskytter ikke et nettverk mot innføringen av et uautorisert tilgangspunkt. Se LEAP-godkjenning hvis du vil ha mer informasjon.
Når et trådløst LAN er konfigurert for hurtiggjenkjenning, kan en LEAP-aktivert klientenhet streife fra et tilgangspunkt til et annet uten å involvere hovedserveren. Ved bruk av CCKM (Cisco Centralized Key Management) tar et tilgangspunkt som er konfigurert for å gi Wireless Domain Services (WDS), plassen til RADIUS-serveren og godkjenner klienten uten merkbar forsinkelse i stemme eller andre tidssensitive programmer.
Cisco Key Integrity Protocol (CKIP) er Ciscos egen sikkerhetsprotokoll for kryptering i 802.11-medier. CKIP bruker følgende egenskaper for å forbedre 802.11-sikkerheten i infrastrukturmodus:
Enkelte tilgangspunkter, for eksempel Cisco 350 eller Cisco 1200, støtter omgiveler der ikke alle klientstasjoner støtter WEP-kryptering, dette kalle en mikset-celle-modus. Når disse trådløse nettverkene virker i "alternativ krypterings”-modus, sender klientstasjonene som slutter seg til WEP-modus alle meldingene kryptert, og stasjoner som bruker standardmodus, sender alle meldingene ukryptert. Disse tilgangspunktene kringkaster at nettverket ikke bruker kryptering, men tillater at klientene slutter seg til ved hjelp av WEP-modus. Når Mikset celle er aktivert i en profil, lar den deg koble til tilgangspunktene som er konfigurert for "valgfri kryptering".
EAP-FAST, på samme vis som EAP-TTLS og PEAP, bruker tunnelering for å beskytte trafikken. Hovedforskjellen er at EAP-FAST ikke bruker sertifikat for å godkjenne. Besørgelse i EAP-FAST forhandles alene av klienten som den første kommunikasjonsutvekslingen når det anmodes om EAP-FAST fra serveren. Hvis klienten ikke har en forhåndsdelt hemmelig Protected Access Credential (PAC), kan den be om å starte en EAP-FAST-utveksling for dynamisk å bli tildelt en fra serveren.
EAP-FAST-dokumenterer to metoder for å levere PAC: manuell levering gjennom en sikker mekanisme utenfor båndet, og automatisk besørgelse.
EAP-FAST-metoden kan deles inn i to deler: klargjøring og godkjenning. Besørgelsesfasen involverer den første leveringen av PAC til klienten. Denne fasen trenger man å utføre kun én gang per kliwent og bruker.
Enkelte tilgangspunkter, for eksempel Cisco 350 eller Cisco 1200, støtter omgiveler der ikke alle klientstasjoner støtter WEP-kryptering, dette kalle en mikset-celle-modus. Når disse trådløse nettverkene virker i "alternativ krypterings”-modus, sender klientstasjonene som slutter seg til WEP-modus alle meldingene kryptert, og stasjoner som bruker standardmodus, sender alle meldingene ukryptert. Disse tilgangspunktene kringkaster at nettverket ikke bruker kryptering, men tillater klienter som slutter seg til ved hjelp av WEP-modus. Når "Mikset celle" er aktivert i en profil, lar den deg koble til tilgangspunktene som er konfigurert for "valgfri kryptering".
Når denne funksjonen er aktivert, gir trådløskortet radiostyringsinformasjon til Cisco-infrastrukturen. Hvis Cisco-radiostyringsverktøyet brukes på infrastrukturen, vil det konfigurere radioparametre, oppdage interferens og Rogue-tilgangspunkter.