Använd WEP-krypteringen (Wired Equivalent Privacy) IEEE 802.11 för att förhindra ej auktoriserat mottagande av trådlösa data. WEP-krypteringen tillhandahåller två säkerhetsnivåer: 64-bitarsnyckel (hänvisas ibland till som 40-bitars) eller 128-bitarsnyckel (kallas även för 104-bitars). Använd en 128-bitarsnyckel för bättre säkerhet. Om du använder kryptering måste alla trådlösa enheter i det trådlösa nätverket använda samma krypteringsnycklar.
WEP-kryptering (Wired Equivalent Privacy) och delad autentisering tillhandahåller skydd för data i nätverket. WEP använder en krypteringsnyckel i syfte att kryptera data innan de överförs. Det är bara datorer som använder samma krypteringsnyckel som kan komma åt nätverket eller dekryptera de krypterade data som överförts av andra datorer. Autentisering tillhandahåller ytterligare en valideringsprocess från kortet till åtkomstpunkten.
WEP-krypteringens algoritm är sårbar för passiva och aktiva nätverksattacker. TKIP- och CKIP-algoritmer inkluderar förbättringar i WEP-protokollet som lindrar befintliga nätverksattacker och tar itu med dess nackdelar
IEEE 802.11 ger stöd åt två typer av nätverksautentiseringsmetoder: Öppet system och Delad nyckel.
Hur 802.1x-autentisering fungerar
802.1x-funktioner
802.1x-autentiseringen är oberoende av 802.11-autentiseringsprocessen. Standarden 802.1x tillhandahåller en struktur för olika autentiserings- och nyckelhanteringsprotokoll. Det finns olika 802.1x-autentiseringstyper som var och en tillhandahåller olika sätt att autentisera men alla använder sig av samma 802.1x-protokoll och struktur för kommunikation mellan klient och åtkomstpunkt. I flertalet protokoll gäller att vid slutförandet av 802.1x-autentiseringsprocessen kommer den som anropar att få en nyckel som den använder för datakryptering. Se Hur 802.1x-autentisering fungerar för mer information. Med 802.1x-autentisering används en autentiseringsmetod mellan klienten och en RADIUS-server (Remote Authentication Dial-In User Service) som är ansluten till åtkomstpunkten. Autentiseringsprocessen använder identifieringsinformation, t.ex. en användares lösenord, som inte överförs över det trådlösa nätverket. Flertalet 802.1x-typer stöder dynamiska per-användare-, per-sessionnycklar för att förstärka den statiska nyckelsäkerheten. 802.1x-fördelar från användningen av ett befintligt autentiseringsprotokoll som kallas EAP (Extensible Authentication Protocol).
802.1x-autentisering för trådlösa LAN har tre huvudkomponenter:
802.1x-autentiseringssäkerhet initierar en auktoriseringsbegäran från den trådlösa klienten till åtkomstpunkten som autentiserar klienten till en EAP-kompatibel (Extensible Authentication Protocol) RADIUS-server. Denna RADIUS-server kan antingen autentisera användaren (via lösenord eller certifikat) eller systemet (med MAC-adress). I teorin har den trådlösa klienten inte tillstånd att gå med i nätverken förrän transaktionen är klar.
Det finns flera autentiseringsalgoritmer för 802.1x. Några exempel är: EAP-TLS, EAP-TTLS och Protected EAP (PEAP). Dessa är alla metoder för den trådlösa klienten att identifiera sig för RADIUS-servern. Med RADIUS-autentisering kontrolleras användaridentiteter mot databaser. RADIUS utgör en uppsättning med standarder som avser autentisering, auktorisering och bokföring eller AAA (Authentication, Authorization and Accounting). RADIUS inkluderar en proxyprocess som validerar klienter i en flerservermiljö. IEEE 802.1x-standarden används för att styra och autentisera åtkomst till portbaserade 802.11 trådlösa och kabelanslutna Ethernet-nätverk. Portbaserad nätverksåtkomstkontroll liknar en växlad LAN-infrastruktur som autentiserar enheter som är anslutna till en LAN-port och förhindrar åtkomst till den porten om autentiseringsprocessen misslyckas.
RADIUS (Remote Access Dial-In User Service) är en tjänst för fjärråtkomstanvändare, ett AAA-klientserverprotokoll (Authorization, Authentication och Accounting) som används när en AAA-fjärranslutningsklient loggar in till eller ut från en nätverksåtkomstserver. Vanligtvis används en RADIUS-server av Internet-leverantörer (ISP) för att utföra AAA-uppgifter. AAA-faser beskrivs enligt följande:
En förenklad beskrivning av 802.1x-autentisering följer:
Wi-Fi Protected Access (WPA eller WPA2) innebär avsevärt förbättrad säkerhet med ökat dataskydd och kontroll över åtkomst till trådlösa nätverk. WPA-läget påtvingar 802.1x-autentisering och nyckelutbyte och fungerar enbart med dynamiska krypteringsnycklar. I syfte att förbättra datakryptering använder WPA TKIP (Temporal Key Integrity Protocol). TKIP tillhandahåller viktiga förbättringar avseende datakryptering. Dessa förbättringar inkluderar en blandningsfunktion med per-paket-nyckel, en MIC (Message Integrity Check) som kallas "Michael" och som är en förlängd initieringsvektor (IV) med sekvensregler och en mekanism för nya nycklar. Med dessa förbättringar skyddas TKIP mot WEP:s kända svagheter.
Den andra generationens WPA uppfyller IEEE TGi-specifikationen (även kallad WPA2).
Företagsläge: Företagsläge verifierar nätverksanvändare via RADIUS eller annan autentiseringsserver. WPA använder 128-bitars krypteringsnycklar och dynamiska sessionsnycklar för att säkra ditt trådlösa nätverks sekretess och företagssäkerhet. Företagsläge är avsett för företagsmiljöer och offentliga sektorn.
Personligt läge: Personligt läge kräver manuell konfiguration av en PSK (Pre-Shared Key) på åtkomstpunkterna och klienterna. PSK autentiserar användare med lösenord eller identifierande kod, på både klientstationen och åtkomstpunkten. Ingen autentiseringsserver behövs. Personligt läge är avsett för hemmiljöer och mindre kontor.
WPA-Företag och WPA2-Företag: Tillhandahåll den här skyddsnivån i företagsnätverk med en 802.1x RADIUS-server. En autentiseringstyp väljs för att matcha autentiseringsprotokollet på 802.1x-servern.
WPA-Personligt och WPA2-Personligt: Tillhandahåll den här skyddsnivån i mindre nätverk och i hemmamiljö. Det använder ett lösenord, en PSK-nyckel (Pre-Shared Key) Ju längre lösenord ju starkare säkerhet i det trådlösa nätverket. Om en trådlös åtkomstpunkt eller router stödjer WPA-Personligt och WPA2-Personligt ska du aktivera den vid åtkomstpunkten och ange ett långt och starkt lösenord. Samma lösenord som anges för åtkomstpunkten måste användas på den här datorn och alla andra trådlösa enheter som ska användas i det trådlösa nätverket.
OBS! WPA-Personligt och WPA2-Personligt kan inte fungera ihop.
AES-CCMP - (Advanced Encryption Standard - Counter CBC-MAC Protocol) Detta är den nya metoden för sekretesskydd för trådlösa överföringar som anges i IEEE 802.11i-standarden. AES-CCMP är en starkare krypteringsmetod än TKIP. Välj AES-CCMP som datakrypteringsmetod när det är viktigt med starkt dataskydd.
OBS! Vissa säkerhetslösningar kanske inte stöds av din dators operativsystem och kan kräva ytterligare programvara eller maskinvara såväl som infrastrukturstöd för trådlöst LAN. Tala med datortillverkaren för information.
TKIP (Temporal Key Integrity Protocol) är en förbättring av WEP-säkerheten (Wired Equivalent Privacy). TKIP tillhandahåller blandning med per-paket-nyckel, en meddelandeintegritetskontroll och en mekanism för nya nycklar, som åtgärdar bristerna i WEP.
MD5-autentiseringen (Message Digest 5) är en enkelriktad autentiseringsmetod som använder användarnamn och lösenord. Denna metod stöder inte nyckelhantering men kräver en förkonfigurerad nyckel om datakryptering används. Den kan säkert användas för trådlös autentisering inuti EAP-tunnelmetoder.
En typ av autentiseringsmetod som använder EAP (Extensible Authentication Protocol) och ett säkerhetsprotokoll som heter TLS (Transport Layer Security). EAP-TLS använder certifikat som använder lösenord. EAP-TLS-autentisering stöder dynamisk WEP-nyckelhantering. TLS-protokollet är avsett att skydda och autentisera kommunikationer över ett offentligt nätverk genom datakryptering. TLS-handskakningsprotokollet gör det möjligt för servern och klienten att tillhandahålla gemensam autentisering och att förhandla om en krypteringsalgoritm och kryptografiska nycklar innan data överförs.
Dessa inställningar anger protokoll och den identifierande information som används för att autentisera en användare. I TTLS (Tunneled Transport Layer Security) använder klienten EAP-TLS för att validera servern och för att skapa en TLS-krypterad kanal mellan klient och server. Klienten kan använda ett annat autentiseringsprotokoll, vanligtvis lösenordsbaserade protokoll så som MD5 Challenge, för att aktivera servervalidering över denna krypterade kanal. Fråge- (challenge) och svarspaket skickas över en icke-utsatt TLS-krypterad kanal. Dagens TTLS-implementeringar stödjer alla metoder som definierats av EAP, såväl som flera äldre metoder (PAP, CHAP, MS-CHAP och MS-CHAPv2). TTLS kan lätt utökas så att det fungerar med nya protokoll genom att du definierar nya attribut som stöder nya protokoll.
PEAP är en ny EAP (Extensible Authentication Protocol) IEEE 802.1x-autentiseringstyp avsedd att dra fördel av serversidans EAP-TLS (EAP-Transport Layer Security) och för att ge stöd åt olika autentiseringsmetoder, inklusive användares lösenord och engångslösenord, samt generiska token-kort.
Cisco LEAP (Cisco Light EAP) är en 802.1x-autentisering för server och klient via användarangivet inloggningslösenord. När en trådlös åtkomstpunkt kommunicerar med en Cisco LEAP-aktiverad RADIUS-server (Cisco Secure Access Control Server (ACS)), tillhandahåller Cisco LEAP åtkomstkontroll genom att göra en gemensam autentisering av klientens trådlösa kort och de trådlösa nätverken. Dessutom tilldelas enskilda användarkrypteringsnycklar dynamiskt för att hjälpa till att sekretesskydda överförda data.
Funktionen Cisco Rogue Access Point tillhandahåller säkerhetsskydd från ett besök av en otillåten åtkomstpunkt som skulle kunna imitera en legitim åtkomstpunkt i ett nätverk för att kunna extrahera information om användarens identifieringsinformation och autentiseringsprotokoll vilket skulle kunna kompromissa säkerheten. Denna funktion kan bara användas med Ciscos LEAP-autentisering. Standardteknologin i 802.11 skyddar inte ett nätverk från att en otillåten åtkomstpunkt introduceras. Se LEAP-autentisering för mer information.
När ett trådlöst nätverk konfigureras för snabb återanslutning kan en LEAP-aktiverad klientenhet utföra roaming från en åtkomstpunkt till en annan utan att involvera huvudservern. Med Cisco Centralized Key Management (CCKM) kommer en åtkomstpunkt konfigurerad för Wireless Domain Services (WDS) att ersätta RADIUS-servern och autentisera klienten utan märkbar fördröjning i rösttillämpningar eller andra tidskänsliga tillämpningar.
CKIP (Cisco Key Integrity Protocol) är Ciscos egna säkerhetsprotokoll för kryptering i 802.11-media. CKIP använder följande funktioner för att förbättra 802.11-säkerhet i infrastrukturläge:
Vissa åtkomstpunkter t.ex. Cisco 350 eller Cisco 1200 stödjer miljöer i vilka inte alla klientstationer stödjer WEP-kryptering. Detta kallas även blandat cell-läge. När dessa trådlösa nätverk används i läget för "valfri kryptering" skickar klientstationer som ansluter i WEP-läge alla meddelanden krypterade. Stationer som använder standardläge skickar alla meddelanden okrypterade. Dessa åtkomstpunkter sänder ut att nätverket inte använder kryptering men tillåter klienter som använder WEP-läge. När Blandade celle är aktiverat i en profil kan du ansluta till åtkomstpunkter som är konfigurerade för "valfri kryptering".
På samma sätt som för EAP-TTLS och PEAP, gäller att EAP-FAST använder tunnlar för att skydda trafiken. Den största skillnaden är att EAP-FAST inte använder certifikat för autentisering. Tillhandahållande i EAP-FAST förhandlas endast av klienten vid det första kommunikationsutbytet när EAP-FAST begärs från servern. Om klienten inte har en hemlig PAC som delats i förväg, kan den begära att ett tillhandahållande av EAP-FAST-utbyte initieras för att dynamiskt erhålla en från servern.
EAP-FAST-dokument har två sätt att leverera PAC: manuell leverans genom en säker mekanism utanför bandet och automatiskt tillhandahållande.
EAP-FAST-metoden är uppdelad i två delar: tillhandahållande och autentisering. Tillhandahållandefasen innebär den första leveransen av PAC till klienten. Denna fas behöver bara utföras en gång per klient och användare.
Vissa åtkomstpunkter t.ex. Cisco 350 eller Cisco 1200 stödjer miljöer i vilka inte alla klientstationer stödjer WEP-kryptering. Detta kallas även blandat cell-läge. När dessa trådlösa nätverk används i läget för "valfri kryptering" skickar klientstationer som ansluter i WEP-läge alla meddelanden krypterade. Stationer som använder standardläge skickar alla meddelanden okrypterade. Dessa åtkomstpunkter sänder ut att nätverket inte använder kryptering men tillåter klienter som använder WEP-läge att gå med. När Blandad-cell är aktiverat i en profil kan du ansluta till åtkomstpunkter som är konfigurerade för "valfri kryptering".
När den här funktionen är markerad tillhandahåller det trådlösa kortet radiohantering för Ciscos infrastruktur. Om verktyget Cisco Radio Management används på infrastrukturen kommer radioparametrar, störningsidentifiering och otillåtna åtkomstpunkter att konfigureras.