Использование шифрования IEEE 802.11 Wired Equivalent Privacy (WEP) предотвращает несанкционированный доступ к данным беспроводной сети. WEP-шифрование представляет два уровня защиты: 64-битный ключ (иногда представляется как 40-битный) или 128-битный ключ (также известен как 104-битный). Используйте 128-битный ключ для лучшей защиты. Если вы используете шифрование, все устройства в беспроводной сети должны использовать одинаковые ключи шифрования.
WEP-шифрование (Wired Equivalent Privacy) и общая аутентификация обеспечивают защиту ваших данных в сети. WEP-шифрование использует ключ шифрования для кодирования данных перед их отправкой. Только компьютеры, использующие этот же ключ, могут получить доступ к сети и расшифровать переданные другими компьютерами данные. Аутентификация обеспечивает дополнительную проверку на стадии коммуникаций между адаптером и точкой доступа.
Алгоритм WEP-шифрования уязвим к несанкционированным атакам в сети. Алгоритмы TKIP и CKIP содержат дополнения для WEP-протокола, которые сдерживают атаки и снижают недостатки сетей.
Спецификация 802.11 поддерживает два метода сетевой аутентификации: открытую систему и с использованием общего ключа.
Как работает аутентификация 802.1x
Функции 802.1x
Аутентификация по стандарту 802.1x - это процесс, независимый от аутентификации по стандарту 802.11. Стандарт 802.1x обеспечивает основы для различных видов аутентификации и протоколов манипулирования ключами. В стандарте 802.1x присутствуют различные типы аутентификации, каждый из которых обеспечивает свой подход к установлению подлинности, но все они используют один протокол 802.1x и структуру для взаимодействия между клиентом и точкой доступа. В большинстве протоколов после выполнения процесса аутентификации стандарта 802.1x приемная сторона получает ключ, который она использует для шифрования данных. Для получения дополнительной информации см. раздел Как работает аутентификация 802.1x. При аутентификации по стандарту 802.1x используется метод установления подлинности между клиентом и сервером удаленной аутентификации RADIUS (Remote Authentication Dial-In User Service), к которому подключена точка доступа. Процесс аутентификации использует идентификационную информацию, например, пароль пользователя, который не передается через беспроводную сеть. Большинство видов аутентификации 802.1x поддерживают динамические ключи для пользователя, сеанса и для усиления защиты статического ключа. Стандарт 802.1x имеет преимущества перед использованием существующего протокола аутентификации EAP (Extensible Authentication Protocol).
Аутентификация стандарта 802.1x для беспроводных локальных сетей имеет три главных компонента:
Защита аутентификации стандарта 802.1x инициирует запрос на аутентификацию от клиента беспроводной сети в точку доступа, которая устанавливает его подлинность через протокол EAP в соответствующем сервере RADIUS. Этот сервер RADIUS может выполнить аутентификацию пользователя (с помощью пароля или сертификата) или компьютера (с помощью адреса MAC). Теоретически, клиент беспроводной сети не может войти в сеть до завершения транзакции.
Существует несколько аутентификационных алгоритмов, используемых для спецификации 802.1x. См. ниже примеры: EAP-TLS, EAP-TTLS и PEAP (Protected EAP). Эти методы используются при идентификации клиента беспроводной локальной сети в сервере RADIUS. Во время аутентификации в сервере RADIUS пользователи проходят проверку в специализированных базах данных. Аутентификация RADIUS основана на наборе стандартов, предназначенных для аутентификации, авторизации и ведения учетных записей (Authentication, Authorization and Accounting - AAA). Сервер Radius содержит прокси-процесс для проверки клиентов в многосерверной среде. Стандарт IEEE 802.1x предназначен для управления и аутентифицированного доступа к беспроводным сетям на основе портов 802.11 и проводных сетей Ethernet. Управление сетевым доступом, основанным на использовании портов, подобно инфраструктуре локальной сети, управляемой с помощью коммутаторов, которая идентифицирует устройство, подключенное к порту ЛС, и запрещает доступ к этому порту, если процесс аутентификации был неудачен.
RADIUS (Remote Access Dial-In User Service) - это сервис протокола клиент-сервер для авторизации, аутентификации и ведения учетных записей (Authorization, Authentication и Accounting - AAA), который используется для регистрации клиентов в сервере сетевого доступа по коммутируемой линии. Обычно сервер RADIUS используется поставщиками услуг доступа в Интернет (Internet Service Providers - ISP) для выполнения задач AAA. Далее описаны фазы AAA:
Упрощенное определение аутентификации стандарта 802.1x:
Стандарт Wi-Fi Protected Access (WPA или WPA2) - усовершенствованный стандарт безопасности, который значительно поднимает уровень защищенности и управления доступом к данным беспроводных локальных сетей. WPA активизирует аутентификацию по стандарту 802.1x, обмен ключами и может работать только с динамическими ключами шифрования. Для усиления шифрования данных WPA использует протокол целостности временного ключа (Temporal Key Integrity Protocol - TKIP). Протокол TKIP обеспечивает важные усовершенствования шифрования данных, которые включают функцию смешения содержимого ключа для каждого пакета, проверку целостности сообщений (message integrity check - MIC), имеющую название "Michael", расширенный вектор инициализации (initialization vector - IV) с последовательными правилами и механизм манипуляций с ключом. С помощью этих прогрессивных усовершенствований протокол TKIP обеспечивает защиту уязвимых мест WEP-шифрования.
Вторым поколением WPA, которое объединено со спецификацией IEEE TGi, является WPA2.
Корпоративный режим. Корпоративный режим проверяет пользователей сети, используя сервер RADIUS или другой сервер аутентификации. Чтобы обеспечить конфиденциальность и защиту в сети, WPA использует 128-битные ключи шифрования и динамические ключи, создаваемые для каждого. Корпоративный режим предназначен для использования в масштабах предприятий или сетях государственных учреждений.
Персональный режим. Для персонального режима необходимо вручную сконфигурировать предварительно опубликованный общий ключ (PSK) в точке доступа или клиентах. PSK аутентифицирует пользователей с помощью пароля или кода идентификации на обеих сторонах - станции клиента и в точке доступа. Аутентификация в сервере не используется. Персональный режим используется в домашних условиях или сетях малого бизнеса.
WPA-Enterprise и WPA2-Enterprise. Используется для обеспечения уровня защиты в сетях предприятий, в которых находится сервер 802.1x RADIUS. Тип аутентификации выбирается в соответствии с аутентификационным протоколом, используемым сервером 802.1x.
WPA- и WPA2-персональная. Обеспечивает уровень защиты в небольших сетях или в домашних условиях. Она использует пароль, который называется предварительно опубликованным ключом (pre-shared key - PSK). Чем больше длина используемого пароля, тем надежнее защита беспроводной сети. Если ваша беспроводная точка доступа или маршрутизатор поддерживают WPA- и WPA2-персональную аутентификацию, тогда вы должны использовать ее в точке доступа, а также назначить длинный и надежный пароль. Этот пароль должен использоваться в этом компьютере и на всех беспроводных устройствах сети для подключения к этой точке доступа.
ПРИМЕЧАНИЕ. WPA- и WPA2-персональная не совместимы друг с другом.
AES-CCMP (Advanced Encryption Standard - Counter CBC-MAC Protocol) - это новый метод защиты конфиденциальности при беспроводной передаче данных, определенный в стандарте IEEE 802.11i. Протокол AES-CCMP обеспечивает более надежный метод шифрования в сравнении с TKIP. Выберите AES-CCMP в качестве метода шифрования, когда необходима повышенная безопасность данных.
ПРИМЕЧАНИЕ. Некоторые решения по обеспечению безопасности могут не поддерживаться операционной системой компьютера, и поэтому, может потребоваться установка дополнительного программного обеспечения или определенного оборудования, а также поддержка инфраструктуры беспроводной локальной сети. За информацией обратитесь к производителю своего компьютера.
TKIP (Temporal Key Integrity Protocol - протокол временной целостности ключа) представляет собой усовершенствование для WEP-защиты (Wired Equivalent Privacy). TKIP обеспечивает функцию смешения содержимого ключа для каждого пакета, проверку целостности сообщений и механизм манипуляций с ключом, компенсируя недостатки WEP.
Аутентификация MD5 (Message Digest 5) - это односторонний метод аутентификации, использующий имена пользователей и пароли. Этот метод не поддерживает манипуляции с ключом, но требует его предварительной конфигурации при использовании шифрования данных. Он может безопасно применяться для беспроводной аутентификации в методах туннелированной аутентификации EAP.
Тип метода аутентификации, использующий протокол EAP и протокол безопасности, именуемый протоколом защиты транспортного уровня (Transport Layer Security - TLS). EAP-TLS использует сертификаты на основе паролей. Аутентификация EAP-TLS поддерживает динамическое управление WEP-ключом. Протокол TLS необходим для защиты и аутентификации связи в сетях общего пользования путем шифрования данных. Протокол квитирования TLS позволяет клиенту и серверу до посылки данных провести взаимную аутентификацию и выработать алгоритм и ключи шифрования.
Эти настройки определяют протокол и идентификационную информацию, используемую для аутентификации пользователя. В аутентификации TTLS (Tunneled Transport Layer Security) клиент использует EAP-TLS для проверки подлинности сервера и создания канала между сервером и клиентом, шифрованного с помощью TLS. Клиент может использовать другой аутентификационный протокол, обычно на основе пароля, например, MD5 Challenge, через шифрованный канал для проверки подлинности сервера. Пакеты запросов и ответов отправляются через защищенный, TLS-шифрованный канал. В настоящее время TTLS поддерживает все методы, применяемые в ЕАР, а также некоторые более старые методы (PAP, CHAP, MS-CHAP и MS-CHAPv2). TTLS легко расширяется для работы с новыми протоколами посредством установки новых атрибутов для описания новых протоколов.
PEAP - это новый аутентификационный протокол EAP (Extensible Authentication Protocol - EAP) стандарта IEEE 802.1x, разработанный для улучшения системы защиты EAP-Transport Layer Security (EAP-TLS) и поддержки различных методов аутентификации, включающих пароли пользователей, одноразовые пароли и карты доступа (Generic Token Cards).
Cisco LEAP (Cisco Light EAP) - это аутентификация сервера и клиента 802.1x с помощью пароля, предоставляемого пользователем. Когда точка доступа беспроводной сети взаимодействует с LEAP-совместимым сервером Cisco RADIUS (сервер Cisco Secure Access Control Server [ACS]), Cisco LEAP осуществляет управление доступом через взаимную аутентификацию между беспроводными адаптерами клиентов и сетью, и предоставляет динамические, индивидуальные кличи шифрования пользователей для защиты конфиденциальности передаваемых данных.
Функция "Cisco Rogue AP" обеспечивает защиту от попытки доступа фальшивой или недопустимой точки доступа, которая может имитировать реальную точку доступа в сети для получения идентификационной информации пользователей и протоколов аутентификации, нарушая тем самым целостность защиты сети. Эта функция работает только в среде аутентификации Cisco LEAP. Технология стандарта 802.11 не защищает сеть от несанкционированного доступа фальшивых точек доступа. Для получения дополнительной информации см. раздел Аутентификация LEAP.
Когда беспроводная ЛС сконфигурирована для выполнения быстрого повторного подключения, клиент с активной поддержкой протокола LEAP может перемещаться от одной точки доступа к другой без вмешательства главного сервера. Используя централизованное управление Cisco (Cisco Centralized Key Management - CCKM), точка доступа, сконфигурированная для обеспечения работы беспроводной службы доменов (Wireless Domain Services - WDS), заменяет сервер RADIUS и аутентифицирует клиента без существенных задержек, которые возможны для голосовых или других, зависимых от времени приложений.
Cisco Key Integrity Protocol (CKIP) - это собственный протокол защиты Cisco для шифрования в среде 802.11. Протокол CKIP использует следующие особенности для усовершенствования защиты 802.11 в режиме "infrastructure":
Режим работы, когда некоторые точки доступа, например, Cisco 350 или Cisco 1200 поддерживают среды, в которых не все клиентские станции поддерживают WEP-шифрование, называется смешанным режимом (Mixed-Cell). Когда некоторые беспроводные сети работают в режиме "дополнительного шифрования", клиентские станции, подключившиеся к сети в режиме WEP-шифрования, отправляют все сообщения в шифрованном виде, а станции, подключившиеся к сети в стандартном режиме, передают все сообщения нешифрованными. Эти точки доступа передают широковещательные сообщения нешифрованными, но позволяют клиентам использовать режим WEP-шифрования. Когда "смешанный режим" разрешен в профиле, вы можете подключиться к точке доступа, которая сконфигурирована для "дополнительного шифрования".
EAP-FAST, подобно EAP-TTLS и PEAP, использует туннелирование для защиты сетевого трафика. Главным отличием является то, что EAP-FAST не использует сертификаты для аутентификации. Аутентификация в среде EAP-FAST представляет собой единственный коммуникационный обмен, инициируемый клиентом, когда идентификация EAP-FAST запрошена сервером. Если клиент не имеет предварительно опубликованного ключа PAC (Protected Access Credential), он может запросить аутентификационный обмен EAP-FAST для динамического получения ключа от сервера.
EAP-FAST имеет два метода доставки ключа PAC: доставка вручную с помощью внеполосного механизма и автоматического входа.
Метод EAP-FAST можно разделить на две части: вход и аутентификация. Фаза входа представляет собой начальную доставку клиенту ключа PAC. Эта часть нужна клиенту и пользователю только один раз.
Режим работы, когда некоторые точки доступа, например, Cisco 350 или Cisco 1200 поддерживают среды, в которых не все клиентские станции поддерживают WEP-шифрование, называется смешанным режимом (Mixed-Cell). Когда некоторые беспроводные сети работают в режиме "дополнительного шифрования", клиентские станции, подключившиеся к сети в режиме WEP-шифрования, отправляют все сообщения в шифрованном виде, а станции, подключившиеся к сети в стандартном режиме, передают все сообщения нешифрованными. Такие точки доступа передают широковещательные сообщения нешифрованными, но позволяют клиентам для подключения использовать режим WEP-шифрования. Когда "смешанный режим" разрешен в профиле, вы можете подключиться к точке доступа, которая сконфигурирована для "дополнительного шифрования".
Если эта функция включена, беспроводный адаптер обеспечивает информацию управления радиообменом для режима Cisco infrastructure. Если программа Cisco Radio Management используется в сети "infrastructure", она конфигурирует параметры радиообмена, определяет уровень помех и фиктивные точки доступа.