กลับไปที่สารบัญ

ภาพรวมเกี่ยวกับการรักษาความปลอดภัย: คู่มือผู้ใช้ การเชื่อมต่อเครือข่าย Intel(R) PRO/Wireless 3945ABG

• การเข้ารหัส WEP
  • การตรวจสอบความถูกต้องแบบเปิดและคีย์ที่ใช้ร่วมกัน
• การตรวจสอบความถูกต้อง 802.1x
  • วิธีการตรวจสอบความถูกต้อง 802.1x
  • คุณลักษณะ 802.1x
• WPA/WPA2
  • โหมดองค์กร
  • โหมดส่วนบุคคล
  • WPA-Enterprise และ WPA2- Enterprise:
  • WPA-Personal และ WPA2-Personal:
• AES-CCMP
• TKIP
• MD5
• TLS
• TTLS
  • โปรโตคอลการตรวจสอบความถูกต้อง
• PEAP
  • โปรโตคอลการตรวจสอบความถูกต้อง
• คุณลักษณะของ Cisco
  • Cisco LEAP
  • คุณลักษณะด้านความปลอดภัยของจุดเชื่อมต่อปลอม Cisco
  • การข้ามเครือข่ายแบบเร็ว (CCKM)
  • CKIP
  • โปรโตคอลป้องกันสำหรับสภาพแวดล้อมแบบผสม 802.11b และ 802.11g
  • EAP-FAST
  • โหมดเซลล์แบบผสม
  • การจัดการวิทยุ

การเข้ารหัส WEP

ใช้การเข้ารหัส IEEE 802.11 Wired Equivalent Privacy (WEP) เพื่อป้องกันการรับข้อมูลไร้สายโดยไม่ได้รับอนุญาต การเข้ารหัส WEP ให้ความปลอดภัยเป็น 2 ระดับ: คีย์ 64 บิต (บางครั้งเรียกว่า 40 บิต) หรือคีย์ 128 บิต (หรือ 104 บิต) เพื่อเพิ่มประสิทธิภาพการรักษาความปลอดภัย ควรใช้คีย์ 128 บิต หากคุณใช้การเข้ารหัส อุปกรณ์ไร้สายทั้งหมดบนเครือข่ายไร้สายของคุณจะต้องใช้คีย์เข้ารหัสที่ตรงกัน

การเข้ารหัส Wired Equivalent Privacy (WEP) และการตรวจสอบความถูกต้องที่ใช้งานร่วมกัน จะช่วยคุ้มครองข้อมูลของคุณบนเครือข่าย WEP ใช้คีย์เข้ารหัสเพื่อเข้ารหัสข้อมูลก่อนที่จะส่ง เฉพาะคอมพิวเตอร์ที่ใช้คีย์เข้ารหัสเดียวกันเท่านั้นที่จะสามารถเข้าใช้เครือข่าย หรือถอดรหัสข้อมูลที่ถูกเข้ารหัสไว้ซึ่งส่งมาจากคอมพิวเตอร์เครื่องอื่น การตรวจสอบความถูกต้องจะให้กระบวนการตรวจสอบเพิ่มเติมจากอแด็ปเตอร์ไปยังจุดเชื่อมต่อ

อัลกอริธึมการเข้ารหัส WEP อาจตกเป็นเป้าหมายของการโจมตีแบบ passive และแบบ active อัลกอริธึม TKIP และ CKIP ประกอบด้วยส่วนปรับปรุงสำหรับโปรโตคอล WEP ซึ่งช่วยลดความเสี่ยงจากการโจมตีเครือข่ายและแก้ไขจุดอ่อน

การตรวจสอบความถูกต้องแบบเปิดและคีย์ที่ใช้ร่วมกัน

IEEE 802.11 สนับสนุนวิธีการตรวจสอบความถูกต้องบนเครือข่ายสองวิธี ได้แก่ ระบบเปิด (Open System) และคีย์ที่ใช้ร่วมกัน (Shared Key)

• เมื่อใช้การตรวจสอบความถูกต้องแบบ เปิด สถานีไร้สายใดๆ จะสามารถร้องขอการตรวจสอบความถูกต้องได้ สถานีที่ต้องการตรวจสอบความถูกต้องกับสถานีไร้สายอื่นจะส่งคำร้องขอการจัดการการตรวจสอบความถูกต้อง ซึ่งประกอบด้วยรหัสประจำตัวของสถานีที่ส่งสัญญาณ สถานีที่รับสัญญาณหรือจุดเชื่อมต่อจะรับคำร้องขอสำหรับการตรวจสอบความถูกต้อง การตรวจสอบความถูกต้องแบบเปิดจะช่วยให้สามารถเข้าใช้เครือข่ายอุปกรณ์ต่างๆ ได้ หากไม่ได้เปิดใช้การเข้ารหัสบนเครือข่าย อุปกรณ์ใดๆ ที่ทราบ Service Set Identifier (SSID) ของจุดเชื่อมต่อ จะสามารถเข้าใช้เครือข่าย
• เมื่อใช้การตรวจสอบความถูกต้องแบบคีย์ที่ใช้ร่วมกัน สถานีไร้สายแต่ละสถานีจะถูกคาดหมายว่าได้รับคีย์ที่ใช้ร่วมกันผ่านแชนเนลที่ปลอดภัยซึ่งแยกอิสระจากแชนเนลการสื่อสารของเครือข่ายไร้สาย 802.11 การตรวจสอบความถูกต้องแบบคีย์ที่ใช้ร่วมกันกำหนดว่าเครื่องลูกข่ายจะต้องตั้งค่าคีย์ WEP แบบคงที่ เครื่องลูกข่ายจะสามารถเข้าใช้เครือข่ายเฉพาะในกรณีที่ผ่านการตรวจสอบแบบใช้คำถาม

การตรวจสอบความถูกต้อง 802.1x

วิธีการตรวจสอบความถูกต้อง 802.1x
คุณลักษณะ 802.1x

ภาพรวม

การตรวจสอบความถูกต้อง 802.1x เป็นอิสระจากกระบวนการตรวจสอบความถูกต้อง 802.11 มาตรฐาน 802.1x จะให้กรอบงานสำหรับโปรโตคอลการตรวจสอบความถูกต้องและการจัดการคีย์ที่หลากหลาย การตรวจสอบความถูกต้อง 802.1x มีหลายประเภท แต่ละประเภทใช้แนวทางที่แตกต่างกันในการตรวจสอบความถูกต้อง แต่ทุกประเภทจะใช้โปรโตคอลและกรอบงาน 802.1x เดียวกันสำหรับการสื่อสารระหว่างเครื่องลูกข่ายและจุดเชื่อมต่อ ในโปรโตคอลส่วนใหญ่ เมื่อกระบวนการตรวจสอบความถูกต้อง 802.1x เสร็จสิ้น อุปกรณ์ที่ร้องขอจะได้รับคีย์สำหรับใช้ในการเข้ารหัสข้อมูล ดูข้อมูลเพิ่มเติมใน วิธีการตรวจสอบความถูกต้อง 802.1x ในการตรวจสอบความถูกต้อง 802.1x จะใช้วิธีการตรวจสอบความถูกต้องระหว่างเครื่องลูกข่ายและเซิร์ฟเวอร์ Remote Authentication Dial-In User Service (RADIUS) ที่เชื่อมต่อกับจุดเชื่อมต่อ กระบวนการตรวจสอบความถูกต้องจะใช้ข้อมูลรับรอง เช่น รหัสผ่านของผู้ใช้ ที่ไม่ได้จัดส่งบนเครือข่ายไร้สาย การตรวจสอบความถูกต้อง 802.1x ส่วนใหญ่สนับสนุนคีย์แบบไดนามิกสำหรับผู้ใช้และเซสชันหนึ่งๆ เพื่อเพิ่มความแข็งแกร่งให้กับระบบรักษาความปลอดภัยที่ใช้คีย์แบบคงที่ 802.1x ได้รับประโยชน์จากการใช้โปรโตคอลการตรวจสอบความถูกต้องที่มีอยู่ ซึ่งมีชื่อว่า Extensible Authentication Protocol (EAP)

การตรวจสอบความถูกต้อง 802.1x สำหรับ LAN ไร้สาย มีองค์ประกอบหลักสามส่วน ได้แก่

• ตัวตรวจสอบความถูกต้อง (จุดเชื่อมต่อ)
• ผู้ร้องขอ (ซอฟต์แวร์เครื่องลูกข่าย)
• เซิร์ฟเวอร์การตรวจสอบความถูกต้อง (เซิร์ฟเวอร์ Remote Authentication Dial-In User Service [RADIUS])

ระบบรักษาความปลอดภัยที่ใช้การตรวจสอบความถูกต้อง 802.1x จะร้องขอการตรวจสอบความถูกต้องจากเครื่องลูกข่ายไร้สายไปยังจุดเชื่อมต่อ ซึ่งจะทำการตรวจสอบความถูกต้องของเครื่องลูกข่ายโดยเชื่อมต่อกับเซิร์ฟเวอร์ RADIUS ที่ใช้ Extensible Authentication Protocol (EAP) เซิร์ฟเวอร์ RADIUS นี้อาจตรวจสอบความถูกต้องของผู้ใช้ (โดยอาศัยรหัสผ่านหรือใบรับรอง) หรือระบบ (โดยอาศัยที่อยู่ MAC) ในทางทฤษฎีแล้ว เครื่องลูกข่ายไร้สายไม่ได้รับอนุญาตให้เข้าร่วมเครือข่ายจนกว่าทรานแซคชันดังกล่าวจะเสร็จสมบูรณ์

มีอัลกอริธึมการตรวจสอบความถูกต้องหลายประเภทที่ใช้สำหรับ 802.1x ตัวอย่างได้แก่ EAP-TLS, EAP-TTLS และ Protected EAP (PEAP) วิธีการทั้งหมดนี้จะช่วยให้เครื่องลูกข่ายไร้สายสามารถแสดงข้อมูลต่อเซิร์ฟเวอร์ RADIUS ได้ ในการตรวจสอบความถูกต้องบน RADIUS รหัสประจำตัวของผู้ใช้จะถูกตรวจสอบโดยเปรียบเทียบกับฐานข้อมูล RADIUS ประกอบด้วยชุดมาตรฐานสำหรับการตรวจสอบความถูกต้อง การอนุญาต และการจัดการบัญชี (Authentication, Authorization และ Accounting หรือ AAA) Radius ใช้กระบวนการพร็อกซีเพื่อตรวจสอบเครื่องลูกข่ายในสภาพแวดล้อมที่มีเซิร์ฟเวอร์หลายเครื่อง มาตรฐาน IEEE 802.1x ใช้สำหรับการควบคุมและตรวจสอบการเข้าใช้เครือข่ายอีเธอร์เน็ตแบบใช้สายและแบบไร้สาย 802.11 ที่ใช้พอร์ต การควบคุมการเข้าใช้เครือข่ายที่ใช้พอร์ตมีลักษณะคล้ายคลึงกับโครงสร้างพื้นฐานเครือข่ายเฉพาะที่ (LAN) ที่ใช้สวิตช์ ซึ่งตรวจสอบความถูกต้องของอุปกรณ์ที่เชื่อมต่อกับพอร์ต LAN และป้องกันการเข้าใช้พอร์ตดังกล่าวในกรณีที่กระบวนการตรวจสอบความถูกต้องล้มเหลว

RADIUS คืออะไร?

RADIUS ย่อมาจาก Remote Access Dial-In User Service ซึ่งเป็นโปรโตคอลสำหรับการตรวจสอบความถูกต้อง การอนุญาต และการจัดการบัญชี (AAA) ระหว่างเซิร์ฟเวอร์และเครื่องลูกข่าย โปรโตคอลดังกล่าวจะถูกใช้เมื่อเครื่องลูกข่าย AAA dial-up ล็อกอินหรือล็อกเอาต์จากเซิร์ฟเวอร์การเข้าใช้เครือข่าย โดยทั่วไปแล้ว ผู้ให้บริการอินเทอร์เน็ต (ISP) จะใช้เซิร์ฟเวอร์ RADIUS เพื่อดำเนินงาน AAA ขั้นตอน AAA มีรายละเอียดดังนี้:

• ขั้นตอนการตรวจสอบความถูกต้อง: ตรวจสอบชื่อผู้ใช้และรหัสผ่าน โดยเทียบกับฐานข้อมูลภายในเครื่อง หลังจากที่ตรวจสอบข้อมูลรับรองแล้ว ขั้นตอนการอนุญาตก็จะเริ่มขึ้น
• ขั้นตอนการอนุญาต: ระบุว่าจะอนุญาตให้เข้าใช้ทรัพยากรตามคำร้องขอหรือไม่ จะมีการกำหนดที่อยู่ IP สำหรับเครื่องลูกข่าย Dial-Up
• ขั้นตอนการจัดการบัญชี: รวบรวมข้อมูลเกี่ยวกับการใช้ทรัพยากร เพื่อวิเคราะห์แนวโน้ม ตรวจสอบ จัดทำบิลตามเวลาที่เชื่อมต่อ หรือจัดสรรค่าใช้จ่าย

วิธีการตรวจสอบความถูกต้อง 802.1x

คำอธิบายย่อๆ เกี่ยวกับการตรวจสอบความถูกต้อง 802.1x มีดังนี้:

• เครื่องลูกข่ายส่งข้อความ "ร้องขอการเข้าใช้" ไปยังจุดเชื่อมต่อ จุดเชื่อมต่อร้องขอรหัสประจำตัวของเครื่องลูกข่าย
• เครื่องลูกข่ายตอบกลับ โดยส่งกลุ่มข้อมูลรหัสประจำตัว ซึ่งจะถูกส่งต่อไปยังเซิร์ฟเวอร์การตรวจสอบความถูกต้อง
• เซิร์ฟเวอร์การตรวจสอบความถูกต้องส่งกลุ่มข้อมูล "ยอมรับ" ไปยังจุดเชื่อมต่อ
• จุดเชื่อมต่อกำหนดพอร์ตลูกข่ายให้มีสถานะได้รับอนุญาต และสามารถดำเนินการรับส่งข้อมูล

คุณลักษณะ 802.1x

• สนับสนุนโปรโตคอลการร้องขอ 802.1x
• สนับสนุน Extensible Authentication Protocol (EAP) - RFC 2284
• วิธีการตรวจสอบความถูกต้องที่สนับสนุน:
  • EAP TLS Authentication Protocol - RFC 2716 และ RFC 2246
  • EAP Tunneled TLS (TTLS)
  • PEAP
• สนับสนุนการใช้งาน Microsoft Windows XP และ Microsoft Windows 2000

WPA หรือ WPA2

Wi-Fi Protected Access (WPA/WPA2) เป็นส่วนปรับปรุงความปลอดภัยที่ช่วยเพิ่มระดับการคุ้มครองข้อมูลและการควบคุมการเข้าใช้เครือข่ายไร้สาย WPA ใช้การตรวจสอบความถูกต้อง 802.1x และการแลกเปลี่ยนคีย์ และสามารถใช้งานร่วมกับคีย์เข้ารหัสแบบไดนามิกเท่านั้น สำหรับการปรับปรุงการเข้ารหัสข้อมูล WPA จะใช้ Temporal Key Integrity Protocol (TKIP) TKIP ประกอบด้วยส่วนปรับปรุงการเข้ารหัสข้อมูล เช่น ฟังก์ชันการผสมคีย์สำหรับแต่ละกลุ่มข้อมูล, การตรวจสอบความสมบูรณ์ของข้อความ (MIC) ที่เรียกว่า Michael, เวคเตอร์การเริ่มต้น (IV) แบบขยาย พร้อมกฎการจัดลำดับ และกลไกในการกำหนดคีย์ใหม่ ด้วยส่วนปรับปรุงเหล่านี้ TKIP จึงสามารถป้องกันสิ่งที่เป็นจุดอ่อนของ WEP ได้

WPA รุ่นที่สองเป็นไปตามข้อกำหนด IEEE TGi ที่มีชื่อว่า WPA2

โหมดองค์กร: โหมดองค์กรจะตรวจสอบผู้ใช้เครือข่ายผ่านทาง RADIUS หรือเซิร์ฟเวอร์การตรวจสอบความถูกต้อง WPA จะใช้คีย์เข้ารหัส 128 บิต และคีย์เซสชันแบบไดนามิกเพื่อให้แน่ใจว่าเครือข่ายไร้สายของคุณมีความเป็นส่วนตัวและความปลอดภัยระดับองค์กร โหมดองค์กรมุ่งหมายให้ใช้สำหรับสภาพแวดล้อมแบบองค์กรและหน่วยงานราชการ

โหมดส่วนบุคคล: โหมดส่วนบุคคลจำเป็นต้องใช้การกำหนดค่า pre-shared key (PSK) โดยผู้ใช้ที่จุดเชื่อมต่อและเครื่องลูกข่าย PSK จะตรวจสอบความถูกต้องของผู้ใช้ด้วยรหัสผ่านหรือรหัสระบุเครือข่าย ทั้งที่สถานีเครื่องลูกข่ายและจุดเชื่อมต่อ ไม่จำเป็นต้องใช้เซิร์ฟเวอร์การตรวจสอบความถูกต้อง โหมดส่วนบุคคลมุ่งหมายให้ใช้สำหรับสภาพแวดล้อมแบบในบ้านหรือธุรกิจขนาดเล็ก

WPA-Enterprise และ WPA2-Enterprise: ใช้การรักษาความปลอดภัยระดับนี้สำหรับเครือข่ายภายในองค์กรที่มีเซิร์ฟเวอร์ 802.1x RADIUS ประเภทการตรวจสอบความถูกต้องถูกเลือกให้ตรงกับโปรโตคอลการตรวจสอบความถูกต้องของเซิร์ฟเวอร์ 802.1x

WPA-Personal และ WPA2-Personal: ใช้การรักษาความปลอดภัยระดับนี้สำหรับเครือข่ายขนาดเล็กหรือสภาพแวดล้อมภายในบ้าน โดยใช้รหัสผ่านที่เรียกว่า pre-shared key (PSK) รหัสผ่านนี้ยิ่งมีความยาวมากขึ้นเท่าใด ก็ยิ่งเพิ่มความแข็งแกร่งให้กับระบบรักษาความปลอดภัยบนเครือข่ายไร้สายได้มากขึ้น หากจุดเชื่อมต่อไร้สายหรือเราเตอร์ของคุณสนับสนุน WPA-Personal และ WPA2 Personal คุณควรเปิดใช้งานบนจุดเชื่อมต่อ และกำหนดรหัสผ่านแบบยาวที่ซับซ้อน รหัสผ่านชุดที่ป้อนลงในจุดเชื่อมต่อจะต้องนำมาใช้กับคอมพิวเตอร์เครื่องนี้และอุปกรณ์ไร้สายอื่นๆ ทั้งหมดที่เชื่อมต่อกับเครือข่ายไร้สาย

หมายเหตุ: WPA-Personal และ WPA2-Personal ไม่สามารถทำงานร่วมกันได้

AES-CCMP - (Advanced Encryption Standard - Counter CBC-MAC Protocol) เป็นวิธีการใหม่สำหรับการปกป้องความเป็นส่วนตัวของการส่งผ่านแบบไร้สาย ดังระบุไว้ในมาตรฐาน IEEE 802.11i โดย AES-CCMP เป็นวิธีการเข้ารหัสที่เข้มงวดกว่า TKIP ควรเลือกการเข้ารหัสข้อมูลแบบ AES-CCMP เมื่อการป้องกันข้อมูลอย่างเข้มงวดเป็นสิ่งสำคัญ

หมายเหตุ: ระบบปฏิบัติการในคอมพิวเตอร์ของคุณอาจไม่สนับสนุนโซลูชั่นความปลอดภัยบางประเภท และอาจจำเป็นต้องใช้ซอฟต์แวร์หรือฮาร์ดแวร์เพิ่มเติม รวมถึงการสนับสนุนโครงสร้าง LAN ไร้สาย โปรดตรวจสอบรายละเอียดจากผู้ผลิตคอมพิวเตอร์ของคุณ

TKIP (Temporal Key Integrity Protocol) เป็นส่วนปรับปรุงสำหรับความปลอดภัยแบบ WEP (Wired Equivalent Privacy) TKIP จะมีการผสมคีย์ต่อกลุ่มข้อมูล การตรวจสอบความสมบูรณ์ของข้อมูล และกลไกการป้อนซ้ำ ซึ่งจะช่วยแก้ไขข้อบกพร่องของ WEP

MD5

Message Digest 5 (MD5) เป็นวิธีการตรวจสอบความถูกต้องแบบทางเดียว ซึ่งใช้ชื่อผู้ใช้และรหัสผ่าน วิธีนี้ไม่สนับสนุนการจัดการคีย์ แต่จำเป็นต้องใช้คีย์ที่กำหนดค่าไว้ล่วงหน้า หากมีการใช้การเข้ารหัสข้อมูล วิธีนี้สามารถใช้งานได้อย่างปลอดภัยสำหรับการตรวจสอบความถูกต้องแบบไร้สายภายในวิธีการอุโมงค์ EAP

TLS

วิธีการตรวจสอบความถูกต้องชนิดหนึ่ง ซึ่งใช้ Extensible Authentication Protocol (EAP) และโปรโตคอลการรักษาความปลอดภัยที่เรียกว่า Transport Layer Security (TLS) EAP-TLS ใช้ใบรับรองที่ใช้รหัสผ่าน การตรวจสอบความถูกต้อง EAP-TLS สนับสนุนการจัดการคีย์ WEP แบบไดนามิก โปรโตคอล TLS ใช้สำหรับคุ้มครองและตรวจสอบความถูกต้องของการสื่อสารบนเครือข่ายสาธารณะโดยใช้การเข้ารหัสข้อมูล โปรโตคอล TLS Handshake ช่วยให้เซิร์ฟเวอร์และเครื่องลูกข่ายสามารถตรวจสอบความถูกต้องระหว่างกัน และแลกเปลี่ยนอัลกอริธึมการเข้ารหัสและคีย์เข้ารหัส ก่อนที่จะส่งข้อมูล

TTLS

การตั้งค่าเหล่านี้จะกำหนดโปรโตคอลและข้อมูลรับรองที่ใช้ในการตรวจสอบความถูกต้องของผู้ใช้ ใน TTLS (Tunneled Transport Layer Security) เครื่องลูกข่ายจะใช้ EAP-TLS เพื่อตรวจสอบเซิร์ฟเวอร์ และสร้างแชนเนลที่เข้ารหัสด้วย TLS ระหว่างเครื่องลูกข่ายและเซิร์ฟเวอร์ เครื่องลูกข่ายจะสามารถใช้โปรโตคอลอื่นสำหรับการตรวจสอบความถูกต้อง ซึ่งโดยปกติแล้วจะเป็นโปรโตคอลที่ใช้รหัสผ่าน เช่น MD5 Challenge บนแชนเนลที่เข้ารหัสนี้ เพื่อรองรับการตรวจสอบเซิร์ฟเวอร์ กลุ่มข้อมูลคำถามและคำตอบจะถูกส่งบนแชนเนลที่เข้ารหัส TLS ซึ่งไม่ถูกเปิดเผย การใช้ TTLS ในปัจจุบัน จะสนับสนุนทุกวิธีที่กำหนดโดย EAP รวมถึงวิธีแบบเก่าหลายๆ วิธี (PAP, CHAP, MS-CHAP และ MS-CHAPv2) TTLS สามารถขยายได้อย่างง่ายดาย เพื่อใช้งานร่วมกับโปรโตคอลใหม่ๆ โดยจะกำหนดลักษณะเฉพาะใหม่ๆ เพื่อรองรับโปรโตคอลตัวใหม่

โปรโตคอลการตรวจสอบความถูกต้อง

• PAP: Password Authentication Protocol เป็นโปรโตคอล handshake แบบ 2 ทาง ที่ออกแบบมาสำหรับใช้กับ PPP Password Authentication Protocol เป็นรหัสผ่านตัวอักษรล้วนที่ใช้บนระบบ SLIP ที่เป็นระบบเก่า ซึ่งยังไม่ปลอดภัยเพียงพอ
• CHAP: Challenge Handshake Authentication Protocol เป็นโปรโตคอล handshake 3 ทางที่ยอมรับกันว่ามีความปลอดภัยสูงกว่าแบบ PAP (Password Authentication Protocol)
• MS-CHAP (MD4): ใช้โปรโตคอลถามตอบ RSA Message Digest 4 รุ่นของ Microsoft ซึ่งจะทำงานได้เฉพาะกับระบบของ Microsoft เท่านั้น และจะเปิดใช้งานการเข้ารหัสข้อมูล วิธีการตรวจสอบความถูกต้องนี้จะทำให้ข้อมูลทั้งหมดถูกเข้ารหัส
• MS-CHAP-V2: ไม่สามารถนำคุณลักษณะเพิ่มเติมมาใช้กับ MSCHAPV1 หรือ การตรวจสอบความถูกต้อง CHAP แบบมาตรฐานได้ ซึ่งได้แก่ คุณลักษณะการเปลี่ยนรหัสผ่าน คุณลักษณะนี้ช่วยให้ลูกข่ายสามารถเปลี่ยนรหัสผ่านของบัญชีผู้ใช้ได้ ถ้าเซิร์ฟเวอร์ RADIUS รายงานว่ารหัสผ่านหมดอายุ

PEAP

PEAP เป็นการตรวจสอบความถูกต้อง Extensible Authentication Protocol (EAP) IEEE 802.1x ชนิดใหม่ที่ออกแบบมาเพื่อใช้ประโยชน์จาก EAP-Transport Layer Security (EAP-TLS) ด้านของเซิร์ฟเวอร์ และสนับสนุนวิธีการตรวจสอบความถูกต้องหลายๆ วิธี รวมทั้งรหัสผ่านของผู้ใช้, รหัสผ่านป้อนครั้งเดียว และ Generic Token Cards

โปรโตคอลการตรวจสอบความถูกต้อง

• Generic Token Card (GTC): เก็บ token cards เฉพาะผู้ใช้ไว้สำหรับการตรวจสอบความถูกต้อง คุณลักษณะที่สำคัญใน GTC คือ การตรวจสอบความถูกต้องโดยใช้ใบรับรองแบบดิจิตอล/Token Card นอกจากนี้ GTC ยังมีความสามารถในการซ่อนรหัสชื่อผู้ใช้ไว้จนกว่าจะมีการสร้างอุโมงค์ที่เข้ารหัส TLS แล้ว ซึ่งจะทำให้มีความปลอดภัยเพิ่มมากขึ้น เนื่องจากชื่อผู้ใช้จะไม่ปรากฏขึ้นในระหว่างขั้นตอนการตรวจสอบความถูกต้อง
• MS-CHAP-V2: ดูที่ MS-CHAP-V2 ด้านบน
• TLS: โปรโตคอล TLS ใช้สำหรับคุ้มครองและตรวจสอบความถูกต้องของการสื่อสารบนเครือข่ายสาธารณะโดยใช้การเข้ารหัสข้อมูล โปรโตคอล TLS Handshake ช่วยให้เซิร์ฟเวอร์และเครื่องลูกข่ายสามารถตรวจสอบความถูกต้องระหว่างกัน และแลกเปลี่ยนอัลกอริธึมการเข้ารหัสและคีย์เข้ารหัส ก่อนที่จะส่งข้อมูล ดูที่ TLS ด้านบน

คุณลักษณะของ Cisco

Cisco LEAP

Cisco LEAP (Cisco Light EAP) เป็นการตรวจสอบความถูกต้อง 802.1x สำหรับเซิร์ฟเวอร์และเครื่องลูกข่าย โดยใช้รหัสผ่านสำหรับการล็อกออนที่ผู้ใช้กำหนด เมื่อจุดเชื่อมต่อไร้สายสื่อสารกับ RADIUS ที่รองรับ Cisco LEAP (Cisco Secure Access Control Server [ACS]) Cisco LEAP ก็จะควบคุมการเข้าใช้ โดยอาศัยการตรวจสอบความถูกต้องระหว่างกันของอแด็ปเตอร์ไร้สายในเครื่องลูกข่ายและเครือข่ายไร้สาย และจัดหาคีย์เข้ารหัสแบบไดนามิกสำหรับผู้ใช้ เพื่อช่วยคุ้มครองข้อมูลที่รับส่งบนเครือข่าย

คุณลักษณะด้านความปลอดภัยของจุดเชื่อมต่อปลอม Cisco

คุณลักษณะจุดเชื่อมต่อปลอม Cisco ช่วยป้องกันการติดต่อกับจุดเชื่อมต่อปลอมที่อาจเลียนแบบจุดเชื่อมต่อจริงบนเครือข่าย เพื่อจะดึงข้อมูลเกี่ยวกับข้อมูลรับรองของผู้ใช้และโปรโตคอลการตรวจสอบความถูกต้องที่อาจมีระดับการรักษาความปลอดภัยน้อย คุณลักษณะนี้ทำงานได้เฉพาะกับการตรวจสอบความถูกต้อง LEAP ของ Cisco เท่านั้น เทคโนโลยีมาตรฐาน 802.11 ไม่ป้องกันเครือข่ายจากการติดต่อกับจุดเชื่อมต่อปลอม ดูรายละเอียดเพิ่มเติมใน การตรวจสอบความถูกต้อง LEAP

การข้ามเครือข่ายแบบเร็ว (CCKM)

เมื่อ LAN ไร้สายถูกกำหนดค่าสำหรับการเชื่อมต่อใหม่อย่างรวดเร็ว อุปกรณ์ลูกข่ายที่รองรับ LEAP ก็จะสามารถข้ามจากจุดเชื่อมต่อหนึ่งไปยังอีกจุดหนึ่งโดยไม่ต้องผ่านเซิร์ฟเวอร์หลัก การใช้ Cisco Centralized Key Management (CCKM) จะทำให้จุดเชื่อมต่อที่ถูกกำหนดให้จัดหา Wireless Domain Services (WDS) สามารถทำงานแทนเซิร์ฟเวอร์ RADIUS และตรวจสอบความถูกต้องของเครื่องลูกข่ายโดยแทบจะปราศจากความล่าช้าในการรับส่งสัญญาณเสียงหรือการใช้งานอื่นๆ ที่ต้องอาศัยความรวดเร็ว

CKIP

Cisco Key Integrity Protocol (CKIP) เป็นโปรโตคอลการรักษาความปลอดภัยที่เป็นเทคโนโลยีเฉพาะของ Cisco ใช้สำหรับการเข้ารหัสสื่อ 802.11 CKIP ใช้คุณลักษณะต่อไปนี้เพื่อปรับปรุงการรักษาความปลอดภัย 802.11 ในโหมดโครงสร้างพื้นฐาน:

• การสับเปลี่ยนคีย์ (Key Permutation)
• เลขลำดับของข้อความ (Message Sequence Number)

โปรโตคอลป้องกันสำหรับสภาพแวดล้อมแบบผสม 802.11b และ 802.11g

จุดเชื่อมต่อบางรุ่น เช่น Cisco 350 หรือ Cisco 1200 สนับสนุนสภาพแวดล้อมที่สถานีลูกข่ายบางสถานีไม่สนับสนุนการเข้ารหัส WEP ซึ่งเรียกว่าโหมดเซลล์แบบผสม (Mixed-Cell Mode) เมื่อเครือข่ายไร้สายดังกล่าวทำงานในโหมด “การเข้ารหัสแบบเลือกได้” สถานีลูกข่ายที่เข้าร่วมในโหมด WEP จะส่งข้อความทั้งหมดที่เข้ารหัส ส่วนสถานีที่ใช้โหมดมาตรฐานจะส่งข้อความทั้งหมดที่ไม่ได้เข้ารหัส จุดเชื่อมต่อเหล่านี้จะแพร่สัญญาณว่าเครือข่ายนี้ไม่ใช้การเข้ารหัสแต่อนุญาตให้กับเครื่องลูกข่ายที่ใช้โหมด WEP เมื่อเปิดใช้ เซลล์แบบผสม ในส่วนกำหนดค่า คุณจะสามารถเชื่อมต่อกับจุดเชื่อมต่อที่กำหนดค่าไว้สำหรับ “การเข้ารหัสแบบเลือกได้”

EAP-FAST

EAP-FAST ใช้การตรวจสอบแบบอุโมงค์เพื่อคุ้มครองการรับส่งข้อมูล เช่นเดียวกับ EAP-TTLS และ PEAP ข้อแตกต่างที่สำคัญก็คือ EAP-FAST ไม่ได้ใช้ใบรับรองในการตรวจสอบความถูกต้อง เครื่องลูกข่ายจะทำการกำหนด EAP-FAST โดยลำพัง ในรูปแบบของการแลกเปลี่ยนการสื่อสารชุดแรกสุด เมื่อมีการร้องขอ EAP-FAST จากเซิร์ฟเวอร์ หากเครื่องลูกข่ายไม่มี Protected Access Credential (PAC) ที่เป็นข้อมูลลับ ก็จะสามารถเริ่มการแลกเปลี่ยน EAP-FAST ได้เพื่อขอรับ EAP-FAST แบบไดนามิกจากเซิร์ฟเวอร์

EAP-FAST ใช้สองวิธีในการจัดส่ง PAC ได้แก่ การจัดส่งด้วยตนเองผ่านกลไกที่ปลอดภัยนอกย่านความถี่ และการกำหนดโดยอัตโนมัติ

• กลไกการจัดส่งด้วยตนเอง คือกลไกการจัดส่งใดๆ ก็ตามที่ผู้ดูแลระบบของเครือข่ายจะดูว่ามีความปลอดภัยเพียงพอสำหรับเครือข่ายเหล่านั้น
• การกำหนดโดยอัตโนมัติจะสร้างอุโมงค์ที่ถูกเข้ารหัส เพื่อคุ้มครองการตรวจสอบความถูกต้องของเครื่องลูกข่ายและการจัดส่ง PAC ไปยังเครื่องลูกข่าย ถึงแม้ว่ากลไกลนี้อาจจะไม่ปลอดภัยเท่ากับวิธีการจัดส่งด้วยตนเอง แต่ก็ปลอดภัยกว่าวิธีการตรวจสอบความถูกต้องที่ใช้ใน LEAP

วิธี EAP-FAST อาจแบ่งได้เป็นสองส่วน คือ การกำหนด และการตรวจสอบความถูกต้อง ขั้นตอนการกำหนดเป็นการจัดส่ง PAC ไปยังเครื่องลูกข่าย ขั้นตอนนี้ดำเนินการเพียงครั้งเดียวสำหรับเครื่องลูกข่ายและผู้ใช้แต่ละราย

โหมดเซลล์แบบผสม

จุดเชื่อมต่อบางรุ่น เช่น Cisco 350 หรือ Cisco 1200 สนับสนุนสภาพแวดล้อมที่สถานีลูกข่ายบางสถานีไม่สนับสนุนการเข้ารหัส WEP ซึ่งเรียกว่าโหมดเซลล์แบบผสม (Mixed-Cell Mode) เมื่อเครือข่ายไร้สายดังกล่าวทำงานในโหมด “การเข้ารหัสแบบเลือกได้” สถานีลูกข่ายที่เข้าร่วมในโหมด WEP จะส่งข้อความทั้งหมดที่เข้ารหัส ส่วนสถานีที่ใช้โหมดมาตรฐานจะส่งข้อความทั้งหมดที่ไม่ได้เข้ารหัส จุดเชื่อมต่อเหล่านี้จะแพร่สัญญาณว่าเครือข่ายนี้ไม่ใช้การเข้ารหัส แต่อนุญาตให้เครื่องลูกข่ายที่ใช้โหมด WEP เข้าร่วมเครือข่ายได้ เมื่อเปิดใช้เซลล์แบบผสมในส่วนกำหนดค่า คุณจะสามารถเชื่อมต่อกับจุดเชื่อมต่อที่กำหนดค่าไว้สำหรับ “การเข้ารหัสแบบเลือกได้”   

การจัดการวิทยุ

เมื่อเปิดใช้คุณลักษณะนี้ อแด็ปเตอร์ไร้สายของคุณจะส่งข้อมูลเกี่ยวกับการจัดการวิทยุไปยังโครงสร้างพื้นฐานของ Cisco หากใช้ Cisco Radio Management utility บนโครงสร้างพื้นฐาน คุณลักษณะนี้จะกำหนดค่าพารามิเตอร์วิทยุ ตรวจจับการรบกวน และตรวจจับ AP ปลอม

กลับไปที่ด้านบน

กลับไปที่สารบัญ

เครื่องหมายการค้าและข้อสงวนสิทธิ์