Tilbage til indholdsfortegnelsen
Krypteringsoversigt
WEP-kryptering og godkendelsesoplysninger
802.1x Godkendelse
Hvad er en RADIUS
Wi-Fi-beskyttet adgang (WPA)
PEAP
Cisco LEAP
Sikkerhed i WLAN-et kan suppleres ved at aktivere datakryptering med WEP (Wireless Encryption Protocol). Du kan vælge en 64 eller 128 bit-niveaukryptering. Dataene kan dernæst også krypteres med en nøgle. En anden parameter kaldet nøgleindekset angiver muligheden for at oprette flere nøgler til den profil. Der kan dog kun anvendes en nøgle på et hvilket som helst tidspunkt. Du kan også vælge at beskytte en Intel(R) PROSet for Wireless-profil med en adgangskode for at sikre, at den er privat. Adgangsfrasen bruges til at generere en WEP-nøgle automatisk. Du har muligheden for enten at bruge en adgangsfrase eller indtaste en WEP-nøgle manuelt. Ved brug af 64 bit-kryptering er adgangsfrasen 5 tegn lang, og du kan vælge at indtaste en hvilken som helst vilkårlig frase, f.eks. Acme1, der er let at huske, eller indtaste 10 hexadecimale tal til WEP-nøglen, der svarer til det netværk, som brugeren vil tilslutte sig. Til 128 bit-kryptering er adgangsfrasen 13 tegn lang, eller du kan indtaste 26 hexadecimale tal til WEP-nøglen for at få forbindelse til det relevante netværk.
Wired Equivalent Privacy (WEP)-kryptering og delt godkendelse beskytter dine data på netværket. WEP bruger en krypteringsnøgle til at kryptere data, før de overføres. Kun computere, der bruger den samme krypteringsnøgle, kan få adgang til netværket eller afkryptere de krypterede data, der er overført af andre computere. Godkendelse giver en yderligere valideringsproces fra adapteren til adgangspunktet.
Understøttede godkendelsesskemaer er Åben og Delt nøgle-godkendelse:
Når datakryptering (WEP, CKIP eller TKIP) er aktiveret, bruges en netværknøgle til kryptering. En netværksnøgle kan angives for dig automatisk (f.eks. kan den være indeholdt i din trådløse netværksadapter, eller selv indtaste den og angive nøglelængden (64 bits eller 128 bits), nøgleformat (ASCII-tegn eller hexadecimale cifre), og nøgleindeks (placeringen, hvor en bestemt nøgle lagres). Jo længere nøglen er, jo sikrere er nøglen. Hver gang længden af en nøgle forøges med en bit, fordobles antallet af mulige nøglekombinationer. Under 802.11 kan en trådløs station konfigureres med op til fire nøgler (nøgleindeksværdierne er 1, 2, 3 og 4). Når et adgangspunkt eller en trådløs station transmitterer en krypteret meddelelse med en nøgle, der er lagret i et bestemt nøgleindeks, angiver den transmitterede meddelelse det nøgleindeks, der blev brugt til at kryptere meddelelseskroppen. Det modtagende adgangspunkt eller den modtagende trådløse station kan dernæst hente den nøgle, der er gemt i nøgleindekset og bruge den til at afkode den krypterede meddelelseskrop.
802.1x bruger to typer krypteringsnøgler: statiske og dynamiske. Statiske krypteringsnøgler ændres manuelt, og er mere sårbare. MD5-godkendelse bruger kun statiske krypteringsnøgler. Dynamiske krypteringsnøgler fornys automatisk med mellemrum. Dette gør krypteringsnøglerne mere sikre. For at aktivere dynamiske krypteringsnøgler skal du bruge 802.1x-certifikatgodkendelsesmetoderne, f.eks. TLS, TTLS eller PEAP.
802.1x-funktioner
802.1x-ansøgerprotokolsupport
Understøttelse af Extensible Authentication Protocol (EAP) - RFC 2284
Understøttede godkendelsesmetoder:
MD5 - RFC 2284
EAP TLS-godkendelsesprotokol - RFC 2716 og RFC 2246
EAP tunnelført TLS (TTLS)
Cisco LEAP
PEAP
Understøtter Windows XP, 2000
Bemærkninger til 802.1x godkendelse
802.1x-godkendelsesmetoder, herunder adgangskoder, certifikater og smartkort (plastikkort med data på)
802.1x-godkendelsesvalg kan kun bruges med driftstilstanden Infrastruktur
Netværksgodkendelsestilstande er: EAP-TLS, EAP-TTLS, MD5 Challenge, LEAP (kun til Cisco klient udvidelser-tilstand) og PEAP (kun til WPA-tilstande)
Oversigt
802.1x-godkendelse er uafhængig af 802.11-godkendelsesprocessen. 802.1x-standarden indeholder en ramme for forskellige godkendelses- og nøgleadministrationsprotokoller. Der findes forskellige 802.1x-godkendelsestyper, der hver indeholder en forskellig fremgangsmåde til godkendelse, men de bruger alle den samme 802.1x-protokol og ramme til kommunikation mellem en klient og et adgangspunkt. I de fleste protokoller vil den søgende ved fuldførelse af 802.1x-godkendelsesprocessen modtage en nøgle, som den bruger til datakryptering.
Med 802.1x-godkendelse bruges en godkendelsesmetode mellem klienten og en fjern brugerservice for godkendelsesopkald (RADIUS)-server, der er tilsluttet til adgangspunktet. Godkendelsesprocessen bruger referencer, f.eks. en bruger adgangskode, som ikke transmitteres over det trådløse netværk. De fleste 802.1x-typer understøtter dynamisk pr. bruger-, pr. session-nøgler til at styrke den statiske nøglesikkerhed. 802.1x udnytter brugen af en eksisterende godkendelsesprotokol, der kaldes Extensible Authentication Protocol (EAP). 802.1x-godkendelse af trådløse netværk består af tre hovedkomponenter: Godkenderen (adgangspunktet), ansøgeren (klient-softwaren), og godkendelsesserveren (en fjern brugerservice for godkendelsesopkald (RADIUS). 802.1x-godkendelsessikkerhed starter en autorisationsanmodning fra WLAN-klienten til adgangspunktet, der godkender klienten på en Extensible Authentication Protocol (EAP)-kompatibel RADIUS-server. Denne RADIUS-server kan enten godkende brugeren (med adgangskoder eller certifikater) eller systemet (med MAC-adresse). Teoretisk har den trådløse klient ikke lov til at tilslutte sig netværkene, før transaktionen er fuldført. Der er flere godkendelsesalgoritmer til 802.1x; MD5-Challenge, EAP-TLS, EAP-TTLS, Protected EAP (PEAP) og EAP Cisco Wireless Light Extensible Authentication Protocol (LEAP). De er alle sammen metoder, som WLAN-klienten bruger til at identificere sig selv på RADIUS-serveren. Med RADIUS-godkendelse kontrolleres brugeridentiteter i forhold til databaser. RADIUS består af et sæt standarder inden for Godkendelse, Autorisation og Redegørelse (AAA). Radius indeholder en proxy-proces til validering af klienter i et multiservermiljø. IEEE 802.1x-standarden er til kontrol og godkendelse af adgang til portbaserede 802.11 trådløse og kabelførte Ethernet-netværk. Portbaseret netværksadgangskontrol minder om en omskiftet LAN-infrastruktur, der godkender enheder, der er forbundet til en LAN-port og forhindrer adgang til den port, hvis godkendelsesprocessen fejler.
Sådan fungerer 802.1x godkendelse
En simpel beskrivelse af 802.1x-godkendelsen er:
Der henvises til Opsætning af klienten til WEP- og MD5-godkendelse, hvor der er detaljer om opsætning af en 802.1x-profil ved hjælp af programmet Intel(R) PROSet for Wireless.
RADIUS er Remote Access Dial-In User Service, hvilket er en autorisations-, godkendelses- og redegørelses (AAA)-klient-server-protokol, når et AAA-opkaldsklient logger på eller af på en netværksadgangsserver. Typisk bruges en RADIUS-server af internetudbydere (Internet Service Providers (ISP)) til at udføre AAA-opgaver. AAA-faser beskrives som følger:
Godkendelsesfase: Kontrollerer et brugernavn og en adgangskode i forhold til en lokal database. Når brugeroplysningerne er kontrollerede, begynder godkendelsesprocessen.
Autorisationsfase: Fastlægger, om en anmodning tillades adgang til en ressource. En IP-adresse tildeles til opkaldsklienten.
Redegørelsesfase: Indsamler oplysninger om ressourcebrug med det formål at udføre tendensanalyse, revision, sessionstidsfakturering og omkostningsallokering.
Wi-Fi-beskyttet adgang (WPA) er en sikkerhedsforbedring, der forøger databeskyttelsesniveauet og adgangskontrollen til et WLAN betydeligt. WPA-tilstand fastholder 802.1x-godkendelse og nøgleudveksling og fungerer kun med dynamiske krypteringsnøgler. For at styrke datakryptering bruger WPA dens Temporal Key Integrity Protocol (TKIP). TKIP indeholder vigtige datakrypteringsforbedringer, der inkluderer en pr. pakke-nøgleblandingsfunktion, en meddelelsesintegritetskontrol (MIC) kaldet Michael, en udvidet initialiseringsvektor (IV) med sekvenseringsregler og også en mekanisme til omskrivning af nøglen. Ved brug af diise forbedringer beskytter TKIP i mod WEPs kendte svagheder.
PEAP er en ny Extensible Authentication Protocol (EAP) IEEE 802.1x-godkendelsestype, der er designet til at drage fordele af EAP-Transport Layer Security (EAP-TLS) på serversiden og til at understøtte forskellige godkendelsesmetoder, herunder brugers adgangskode og engangsadgangskoder og Generic Token Cards.
Cisco LEAP (EAP Cisco Wireless) er en server- og klient 802.1x-godkendelse via en brugerangivet pålogningsadgangskode. Når et trådløst adgangspunkt kommunikerer med en Cisco LEAP-aktiveret RADIUS (Cisco Secure Access Control Server (ACS) server), indeholder Cisco LEAP adgangskontrol via fælles godkendelse mellem klientens trådløse adaptere og de trådløse netværk og indeholder dynamiske, individuelle brugerkrypteringsnøgler til hjælp til beskyttelse af det private i transmitterede data.
Cisco Rogue AP-sikkerhedsfunktion
Ciscos Rogue AP-funktion indeholder sikkerhedsbeskyttelse fra rogue-adgangspunktet, der kunne efterligne et lovligt adgangspunkt på et netværk for at trække oplysninger om brugerreferencer og godkendelsesprotokoller ud, der kunne sætte sikkerheden i fare. Denne funktion fungerer kun med Ciscos LEAP-godkendelse. Standard 802.11-teknologi beskytter ikke et netværk med introduktion af et rogue-adgangspunkt.
CKIP
Cisco Key Integrity Protocol (CKIP) er Ciscos egen sikkerhedsprotokol til kryptering
i 802.11-medier. CKIP bruger følgende funktioner til at forbedre 802.11-sikkerhed i infrastruktur
tilstand:
Nogle adgangspunkter, f.eks. Cisco 350 eller Cisco 1200, understøtter miljøer, hvor ikke alle klientstationer understøtter WEP-kryptering, og dette kaldes blandet celle-tilstand. Når disse trådløse netværk arbejder i en “valgfri krypteringstilstand”, vil klientstationer, som tilmelder sig i WEP-tilstand, sende alle meddelelser krypteret, og stationer, som tilmelder sig i standardtilstand, vil sende alle meddelelser ikke-krypterede. Disse AP'er rundsender, at netværket ikke anvender kryptering, men tillader, at klienterne tilmelder sig i WEP-tilstand. Når “Blandet celle” er aktiveret i en profil, har du mulighed for at tilslutte dig adgangspunkter, som er konfigureret til “valgfri kryptering”.
![]() |
BEMÆRK: Sørg for, at aktivere Avancerede indstillinger Blandede celler (kræver Cisco CCX-funktioner), når du bruger Aktiver Cisco-Client eXtentions i en profil. En Cisco CCX-aktiveret profi bruger CKIP-datakryptering og 802.1x LEAP-godkendelse. |
Tilbage til indholdsfortegnelsen
Læs alle begrænsninger og ansvarsfraskrivelser.