Kablosuz verilerin yetkisiz kişiler tarafından alınmasını engellemek için IEEE 802.11 Kabloluya Eşdeğer Gizlilik (WEP - Wired Equivalent Privacy) şifrelemesini kullanın. WEP şifrelemesi iki güvenlik düzeyi sağlar: 64-bit anahtarla (bazen 40-bit olarak anılır) ya da 128-bit anahtarla (104-bit olarak da bilinir). Daha iyi güvenlik için 128-bit anahtar kullanın. Şifreleme kullanıyorsanız, kablosuz ağınızdaki tüm kablosuz aygıtlar aynı şifreleme anahtarını kullanmak zorundadır.
Kabloluya Eşdeğer Gizlilik (Wired Equivalent Privacy - WEP) şifrelemesi ve paylaşılan kimlik doğrulaması ağdaki verileriniz için koruma sağlar. WEP, verileri göndermeden önce şifrelemek için bir şifreleme anahtarı kullanır. Yalnızca aynı şifreleme anahtarını kullanan bilgisayarlar ağa erişebilir ya da başka bilgisayarlar tarafından gönderilen şifrelenmiş verilerin şifresini çözebilir. Kimlik doğrulama, bağdaştırıcıdan erişim noktasına ek bir doğrulama işlemi sağlar.
WEP şifrelemesi edilgen ve etkin ağ saldırılarına karşı zayıftır. TKIP ve CKIP algoritmaları WEP iletişim kuralına ilişkin varolan ağ saldırılarını hafifleten ve iletişim kuralının eksik yönlerini iyileştiren geliştirmeler içermektedir.
802.11 iki tipte ağ kimlik doğrulama yöntemini destekler: Açık sistem ve paylaşılan anahtar kimlik doğrulaması.
802.1x Kimlik Doğrulamasının Çalışma Yöntemi
802.1x Özellikleri
802.1x kimlik doğrulaması, 802.11 kimlik doğrulama sürecinden bağımsızdır. 802.1x standardı, çeşitli kimlik doğrulama ve anahtar yönetimi iletişim kurallarına bir çerçeve sağlar. Her biri kimlik doğrulamaya farklı bir yaklaşım getiren ama hepsi istemci ile erişim noktası arasındaki iletişim için aynı 802.1x iletişim kuralı ile çerçevesini kullanan değişik 802.1x kimlik doğrulama tipleri vardır. Çoğu iletişim kuralında, 802.1x kimlik doğrulaması işlemi tamamlandıktan sonra, talepte bulunan taraf, veri şifrelemesi için kullandığı bir anahtar alır. Ek bilgi için 802.1x kimlik doğrulamasının çalışma yöntemi başlıklı konuya bakın. 802.1x kimlik doğrulaması, istemci ile erişim noktasına bağlı bir RADIUS (Remote Authentication Dial-In User Service : Uzak Kimlik- Doğrulama Çevirmeli Erişim Kullanıcı Hizmeti) sunucusu arasında kullanılan kimlik doğrulamasıdır. Kimlik doğrulama işleminde, kullanıcının parolası gibi kablosuz ağ üzerinden aktarılmayan kimlik bilgileri kullanılır. Çoğu 802.1x tipleri, statik anahtar güvenliğini güçlendirmek için, devingen kullanıcı-başına ve oturum-başına anahtarları destekler. 802.1x kimlik doğrulaması, EAP (Extensible Authentication Protocol - Genişletilebilir Kimlik Doğrulama İletişim Kuralı) olarak bilinen bir kimlik doğrulama iletişim kuralı kullanımından yararlanır.
Kablosuz ağlar için 802.1x kimlik doğrulamasının üç ana bileşeni vardır:
802.1x kimlik doğrulama güvenliği, kablosuz istemciden erişim noktasına bir kimlik doğrulama talebini gönderir ve erişim noktası, istemciyi bir EAP uyumlu RADIUS sunucusunda doğrular. RADIUS sunucusu kullanıcıyı (parolalar ya da sertifikalar aracılığıyla) ya da sistemi (MAC adresi aracılığıyla) doğrular. Kuramsal olarak, kablosuz istemci işlemler tamamlanana kadar ağa katılamaz.
802.1x için birkaç kimlik doğrulama algoritması bulunur. Örneğin: EAP-TLS, EAP-TTLS ve Korunmuş EAP (PEAP). Bunların tümü, kablosuz istemcinin kendi kimliğini RADIUS sunucusunda doğrulama yöntemleridir. RADIUS kimlik doğrulamasında, kullanıcı kimlikleri veri tabanlarıyla karşılaştırılır. RADIUS, AAA (Authentication, Authorization, Accounting - Kimlik Doğrulama, Yetkilendirme, Hesap Yönetimi) olarak anılan bir standartlar takımından oluşur. RADIUS, istemcileri bir çoklu sunucu ortamında doğrulamak için, bir proksi uygulamasını da içerir. IEEE 802.1x standardı, bağlantı noktası tabanlı 802.11 kablosuz ve kablolu Ethernet ağlarına erişimi denetleme ve doğrulama için tasarlanmıştır. Bağlantı noktası tabanlı ağ erişim denetimi, bir LAN bağlantı noktasına bağlı olan aygıtların kimliğini doğrulayan ve kimlik doğrulaması başarısız olduğunda bu noktaya erişimi engelleyen anahtarlamalı yerel ağ (LAN) alt yapısına benzerdir.
RADIUS (Remote Access Dial-In User Service - Uzak Erişim Çevirmeli Kullanıcı Hizmeti) bir AAA (Authorization, Authentication, Accounting - Yetkilendirme, Kimlik Doğrulama, Hesap Yönetimi) istemci sunucusu iletişim kuralı olup bir AAA çevirmeli istemcisi bir ağ erişim sunucusunda oturum açtığında ya da oturum kapattığında kullanılır. Genelde bir RADIUS sunucusu, Internet Servis Sağlayıcıları (ISP) tarafından AAA görevleri gerçekleştirmek için kullanılır. AAA evreleri aşağıdaki gibidir:
802.1x kimlik doğrulaması basitçe şöyle açıklanabilir:
Wi-Fi Korunmuş Erişim (WPA ya da WPA2), bir kablosuz ağda veri koruma düzeyini ve erişim denetimini büyük ölçüde arttıran bir güvenlik geliştirmesidir. WPA, 802.1x kimlik doğrulamasını ve anahtar değişimini zorlar ve yalnızca devingen şifreleme anahtarlarıyla çalışır. Veri şifrelemesini iyileştirmek için, WPA, Geçici Anahtar Bütünlük İletişim Kuralı'nı (TKIP - Temporal Key Integrity Protocol) kullanır. TKIP, paket düzeyinde anahtar karıştırma işlevi, Michael olarak adlandırılan bir ileti bütünlük denetimi, diziliş kuralları uygulayan genişletilmiş bir ilklendirme vektörü (IV) ve bir yeniden anahtarlama mekanizması gibi özellikler içeren önemli veri şifreleme geliştirmeleri sağlar. TKIP, bu geliştirmelerle WEP'nin bilinen zayıflıklarına karşı korur.
IEEE TGi teknik belirtimlerine uyan ikinci nesil WPA, WPA2 olarak bilinir.
Kuruluş Modu: Kuruluş Modu RADIUS ya da başka bir kimlik doğrulama sunucusu aralığıyla ağ kullanıcılarını doğrular. WPA, kablosuz ağınızın gizliliğini ve kuruluşunuzun güvenliğini sağlamak için 128-bit şifreleme anahtarları ve dinamik oturum anahtarları kullanır. Kuruluş Modu, kurumsal ortamlar ve kamu kuruluşları için tasarlanmıştır.
Bireysel Mod: Kişisel Mod için erişim noktalarında ve istemcilerde bir ön paylaşımlı anahtarın (PSK) el ile yapılandırılması gerekir. PSK, hem istemci istasyonunda hem erişim noktasında kullanıcıların kimliğini bir parola ya da tanıtıcı bir kod aracılığıyla doğrular. Kimlik doğrulama sunucusu gerekmez. Kişisel Mod, ev ve küçük işletme ortamları için tasarlanmıştır.
WPA-Kuruluş ve WPA2-Kuruluş: 802.1x RADIUS sunucusu bulunan şirket ağlarında bu düzeyde güvenlik sağlar. 802.1x sunucusunun kimlik doğrulama iletişim kuralıyla eşleşecek bir kimlik doğrulama tipi seçilir.
WPA-Bireysel ve WPA2-Bireysel: Küçük ağlar ya da ev ortamındaki ağlar için bu düzeyde güvenlik sağlar. Ön paylaşımlı anahtar (PSK - Pre-shared Key) olarak adlandırılan bir parola kullanılır. Parola ne kadar uzun olursa kablosuz ağın güvenliği o denli güçlü olur. Kablosuz erişim noktanız ya da yönlendiriciniz WPA-Bireysel ve WPA2-Bireysel özelliğini destekliyorsa, erişim noktasında bu özelliği etkinleştirip uzun, sağlam bir parola girmelisiniz. Erişim noktasına kaydedilen parolanın aynısı bu bilgisayarda ve kablosuz ağa erişen tüm bilgisayarlarda kullanılmak zorundadır.
NOT: WPA-Kişisel ve WPA2-Kişisel birlikte çalışmaz.
AES-CCMP - (Advanced Encryption Standard - Counter CBC-MAC Protocol; Gelişmiş Şifreleme Standardı - Sayaç CBC-MAC İletişim Kuralı) kablosuz iletimlerin gizliliğini korumak için IEEE 802.11i standardında belirtilen yeni bir yöntemdir. AES-CCMP, TKIP iletişim kuralına göre daha güçlü bir şifreleme yöntemi sağlar. Güçlü veri koruması önemli olduğunda veri şifreleme yöntemi olarak AES-CCMP iletişim kuralını kullanın.
NOT: Bazı güvenlik çözümleri bilgisayarınızın işletim sistemi tarafından desteklenmez ve ek yazılım ve/ya da donanımın yanı sıra kablosuz LAN alt yapı desteği gerektirir. Ayrıntı bilgi için, bilgisayar üreticinize danışın.
TKIP (Temporal Key Integrity Protocol - Geçici Anahtar Bütünlük İletişim Kuralı), WEP (Wired Equivalent Privacy - Kabloluya Eşdeğer Gizlilik) güvenliğinin geliştirilmiş biçimidir. TKIP, paket düzeyinde anahtar karıştırma, ileti bütünlük denetimi ve WEP'nin kusurlarını gideren bir yeniden anahtarlama mekanizması sağlar.
MD5 kimlik doğrulaması, kullanıcı adı ve parolalar kullanan tek yönlü bir kimlik doğrulama yöntemidir. Bu yöntem anahtar yönetimini desteklemez fakat, veri şifrelemesi kullanılıyorsa, önceden yapılandırılmış bir anahtar gerektirir. Kimlik doğrulama için EAP tüneli yöntemlerinde güvenli biçimde uygulamaya konabilir.
EAP iletişim kuralını ve TLS adı verilen bir güvenlik iletişim kuralını kullanan bir kimlik doğrulama yöntemidir. EAP-TLS, parolalar kullanan sertifikalar kullanır. EAP-TLS kimlik doğrulaması, dinamik WEP anahtarı yönetimini destekler. TLS iletişim kuralı verileri şifreleyerek, kamuya açık bir ağda yürütülen iletişimdeki kimlik doğrulamasını ve güvenliği sağlamak üzere tasarlanmıştır. TLS tokalaşma iletişim kuralı sunucuya ve istemciye, karşılıklı kimlik doğrulama gerçekleştirme olanağı ve veri gönderilmeden önce, bir şifreleme algoritması ve şifreleme anahtarları üzerinde anlaşmaya varma olanağı tanır.
Bu ayarlar bir kullanıcının kimlik doğrulamasını yapmak için kullanılan kimlik bilgilerini ve iletişim kuralını tanımlar. TTLS'de (Tunneled Transport Layer Security - Tünelli Taşıma Katmanı Güvenliği), istemci, sunucuyu doğrulamak için EAP-TLS kullanır ve istemci ile sunucu arasında TLS şifreli bir kanal oluşturur. İstemci, bu şifrelenmiş kanal üzerinde sunucu doğrulamasını etkinleştirmek için, genelde MD5 Challenge gibi parola temelli başka bir iletişim kuralı kullanabilir. Sorgulama ve yanıt paketleri, herkese açık olmayan TLS şifreli bir kanal üzerinden gönderilir. Günümüzdeki TTLS uygulamaları, EAP tarafından tanımlanan tüm yöntemleri ve ek olarak daha eski bazı yöntemleri (PAP, CHAP, MS-CHAP ve MS-CHAPv2) destekler. TTLS, yeni iletişim kurallarını desteklemek için yeni öznitelikler tanımlanarak, yeni iletişim kurallarıyla çalışması için kolayca genişletilebilir.
PEAP, sunucu tarafı EAP-TLS (Extensible Authentication Protocol Transport Layer Security - Genişletilebilir Kimlik Doğrulama İletişim Kuralı Taşıma Katmanı Güvenliği) olanağından yararlanmak ve kullanıcı parolaları, bir kerelik parolalar ve soysal belirteç kartları gibi çeşitli kimlik doğrulama yöntemleri desteklemek için tasarlanmış yeni bir EAP IEEE 802.1x kimlik doğrulama tipidir.
Cisco LEAP (Cisco Light EAP - Cisco Hafif EAP), kullanıcının sağladığı bir oturum açma parolası üzerinden gerçekleştirilen sunucu ve istemci 802.1x kimlik doğrulamasıdır. Kablosuz erişim noktası Cisco LEAP özelliğini kullanan bir RADIUS (Cisco Secure Access Control Server [ACS] - Cisco Güvenli Erişim Denetimi Sunucusu) sunucusu ile iletişim kurduğunda, Cisco LEAP, istemcilerin kablosuz bağdaştırıcıları ile kablosuz ağlar arasında karşılıklı kimlik doğrulaması üzerinden erişim denetimi sağlar ve dinamik, kişisel kullanıcı şifreleme anahtarları sağlayarak iletilen verilerin gizliliğini korumaya yardım eder.
Cisco Yetkisiz Erişim Noktası özelliği, ağdaki onaylanmış bir erişim noktasını taklit ederek kullanıcı kimlik bilgilerini almaya çalışan yetkisiz erişim noktalarına ve güvenliği tehlikeye atabilecek kimlik doğrulama iletişim kurallarına karşı koruma sağlar. Bu özellik yalnızca Cisco LEAP kimlik doğrulamasıyla kullanılabilir. Standart 802.11 teknolojisi, ağı yetkisiz erişim noktalarına karşı korumaz. Ek bilgi için LEAP Kimlik Doğrulaması başlıklı bölüme bakın.
Kablosuz bir LAN, hızlı yeniden bağlanmaya ayarlandığında, LEAP etkinleştirilmiş bir istemci aygıtı bir erişim noktasından diğerine ana sunucuya başvurmadan bağlanabilir. WDS (Wireless Domain Services - Kablosuz Etki Alanı Hizmetleri) sunmak üzere yapılandırılmış bir erişim noktası, CCKM (Cisco Centralized Key Management - Cisco Merkezileştirilmiş Anahtar Yönetimi) kullanarak, RADIUS sunucusunun yerini alır ve istemcinin, -ses ya da başka zamana duyarlı uygulamalarda herhangi bir gecikme olmaksızın- kimlik doğrulamasını yapar.
Cisco Anahtar Bütünlüğü İletişim Kuralı (CKIP - Cisco Key Integrity Protocol), Cisco şirketinin, 802.11 ortamlarında veri şifrelemesi için, tescilli güvenlik iletişim kuralıdır. CKIP, alt yapı kipinde 802.11 güvenliğini iyileştirmek için, aşağıdaki özellikleri kullanır:
Bazı erişim noktaları, örneğin Cisco 350 ya da Cisco 1200, tüm istemci istasyonlarının WEP şifrelemesini desteklemediği ortamları destekler. Buna karışık-hücre kipi (Mixed-Cell Mode) denir. Bu kablosuz ağlar “isteğe bağlı şifreleme” modunda çalıştığında, WEP modunu kullanan istemci istasyonlar tüm iletileri şifreli olarak gönderir, standart modu kullanan istasyonlar ise tüm iletileri şifresiz olarak gönderir. Bu erişim noktaları ağda şifreleme kullanılmadığını bildirir ama WEP modunu kullanan istemcilere izin verir. Bir profilde Karışık Hücre modu etkinleştirildiğinde, "isteğe bağlı şifreleme" için yapılandırılmış erişim noktalarına bağlanmanıza olanak tanır.
EAP-FAST, EAP-TTLS ve PEAP iletişim kuralları gibi, trafiği korumak için tünelleme kullanır. Başlıca fark, EAP-FAST iletişim kuralının kimlik doğrulaması için sertifikalar kullanmamasıdır. EAP-FAST iletişim kuralında sağlama, sunucudan EAP-FAST istendiğinde ilk iletişim değiş tokuşu olarak, yalnızca istemci tarafından yapılır. İstemcide önceden paylaşılmış gizli PAC (Protected Access Credential - Korunmuş Erişim Kimlik Bilgisi) yoksa, sağlayıcı EAP-FAST değiş tokuşu başlatma isteğiyle sunucudan dinamik olarak bir PAC alabilir.
EAP-FAST, PAC bilgisini vermek için iki yöntem sunar: Bant dışı bir güvenli mekanizma aracılığıyla el ile verme ya da otomatik sağlama.
EAP-FAST yöntemi iki bölüme ayrılır: sağlama ve kimlik doğrulama. Sağlama evresi, PAC bilgisinin istemciye ilk teslimini içerir. Bu evre, her istemci ve kullanıcı için yalnızca bir kez uygulanmak zorundadır.
Bazı erişim noktaları, örneğin Cisco 350 ya da Cisco 1200, tüm istemci istasyonlarının WEP şifrelemesini desteklemediği ortamları destekler. Buna karışık-hücre kipi (Mixed-Cell Mode) denir. Bu kablosuz ağ “isteğe bağlı şifreleme” modunda çalıştığında, WEP modunu kullanan istemci istasyonlar tüm iletileri şifreli olarak gönderir, standart modu kullanan istasyonlar ise tüm iletileri şifresiz olarak gönderir. Bu erişim noktaları ağda şifreleme kullanılmadığını bildirir ama WEP modunu kullanan istemcilerin katılmasına izin verir. Bir profilde “Karışık Hücre” modu etkinleştirildiğinde, "isteğe bağlı şifreleme" için yapılandırılmış erişim noktalarına bağlanmanıza olanak tanır.
Bu özellik etkinleştirildiğinde kablosuz bağdaştırıcınız, Cisco alt yapısına radyo yönetimi hizmetleri sağlar. Alt yapıda Cisco Radyo Yönetimi hizmet programı kullanıldığında, radyo parametrelerini ayarlar ve elektromanyetik girişimi ve yetkisiz erişim noktaları tespit eder.