Panoramica sulla crittografia
Crittografia WEP e autenticazione
Autenticazione 802.1x
Che cos'è RADIUS?
Accesso protetto Wi-Fi (WPA)
PEAP
Cisco LEAP
È possibile proteggere ulteriormente la WLAN tramite l'attivazione della crittografia dei dati basata su WEP (Wireless Encryption Protocol). È possibile scegliere tra il livello di crittografia a 64 bit e quello a 128 bit. Anche i dati possono essere crittografati utilizzando una chiave. Un altro parametro, chiamato indice chiavi, consente di creare più chiavi per un profilo. È tuttavia possibile utilizzare solo una chiave alla volta. È inoltre possibile scegliere di utilizzare una password per il profilo di Intel(R) PROSet for Wireless per assicurarne la protezione. La frase di accesso è utilizzata per generare automaticamente una chiave WEP. Viene data l’opzione di utilizzare la frase di accesso oppure di immettere manualmente la chiave WEP. Nella crittografia a 64 bit la frase di accesso è lunga 5 caratteri ed è possibile scegliere di immettere una frase arbitraria qualsiasi facile da ricordare, come Ditta, oppure immettere come chiave WEP 10 numeri esadecimali, corrispondenti alla rete a cui l'utente desidera connettersi. Nella crittografia a 128 bit la frase di accesso è lunga 13 caratteri oppure è possibile immettere come chiave WEP 26 numeri esadecimali per connettersi alla rete appropriata.
La crittografia WEP (Wired Equivalent Privacy) e l'autenticazione condivisa offrono la protezione dei dati sulla rete. Quando si utilizza la crittografia WEP i dati vengono codificati tramite una chiave di crittografia prima di essere trasmessi. Solo i computer che usano la stessa chiave di crittografia possono accedere alla rete o decodificare i dati crittografati trasmessi da altri computer. L'autenticazione offre un ulteriore processo di convalida a partire dalla scheda di rete verso il punto di accesso.
Gli schemi di autenticazione supportati sono l'autenticazione in modalità aperta e quella a chiave condivisa:
Quando la crittografia dati (WEP, CKIP o TKIP) è attivata, per la crittografia viene usata una chiave di rete. Una chiave di rete può essere fornita all'utente automaticamente (per esempio, potrebbe essere inclusa nella propria scheda di rete wireless) oppure può essere immessa dall'utente che ne specifica la lunghezza (64 o 128 bit), il formato (caratteri ASCII o cifre esadecimali) e l'indice (la posizione in cui è memorizzata la chiave specifica). Maggiore è la lunghezza della chiave e più protetta è la chiave. Ogni volta che la lunghezza di una chiave viene aumentata di un bit, il numero possibile di chiavi raddoppia. In 802.11, una stazione wireless può essere configurata con un massimo di quattro chiavi (i valori di indice delle chiavi sono 1, 2, 3 e 4). Quando un punto di accesso o una stazione wireless trasmette un messaggio crittografato usando la chiave memorizzata in uno specifico indice di chiave, il messaggio trasmesso indica l'indice di chiave che è stato utilizzato per crittografare il testo del messaggio. Il punto di accesso o la stazione wireless ricevente può quindi richiamare la chiave che è memorizzata in corrispondenza dell'indice della chiave e usarla per decodificare il testo crittografato del messaggio.
802.1x utilizza due tipi di chiavi di crittografia, uno statico e uno dinamico. Le chiavi di crittografia statiche vengono cambiate manualmente e sono più vulnerabili. L'autenticazione MD5 usa solo chiavi di crittografia statiche. Le chiavi di crittografia dinamiche vengono rinnovate automaticamente con scadenza periodica. Per questo motivo le chiavi di crittografia dinamiche sono più sicure. Per attivare le chiavi di crittografia dinamiche è necessario utilizzare i metodi di autenticazione 802.1x basati su certificato, come TLS, TTLS o PEAP.
Funzioni 802.1x
Supporto del protocollo 802.1x del richiedente
Supporto per l'Extensible Authentication Protocol (EAP) - RFC 2284
Metodi di autenticazione supportati:
MD5 - RFC 2284
Protocollo di autenticazione EAP TLS - RFC 2716 e RFC 2246
EAP TLS di tunneling (TTLS)
Cisco LEAP
PEAP
Supporta Windows XP, 2000
Note sull'autenticazione 802.1x
I metodi di autenticazione 802.1x sono le password, i certificati e le smart card (schede di plastica che contengono dati).
L'opzione di autenticazione 802.1x può essere usata solo con la modalità di funzionamento infrastruttura.
Le modalità di autenticazione della rete sono: EAP-TLS, EAP-TTLS, MD5 Challenge, LEAP (solo per la modalità estensioni client Cisco) e PEAP (solo per le modalità WPA).
Panoramica
L'autenticazione 802.1x è indipendente dal processo di autenticazione 802.11. Lo standard 802.1x offre una struttura per vari protocolli di autenticazione e di gestione delle chiavi. Esistono autenticazioni 802.1x di tipo diverso; ciascuna offre un approccio differente all'autenticazione ma tutte impiegano lo stesso protocollo 802.1x e struttura per la comunicazione tra un client e un punto di accesso. Nella maggior parte dei protocolli, al completamento del processo di autenticazione 802.1x il richiedente riceve una chiave che utilizza per crittografare i dati.
L'autenticazione 802.1x prevede l'uso di un metodo di autenticazione tra il client e un server RADIUS (Remote Authentication Dial-In User Service) connesso al punto di accesso. Il processo di autenticazione usa credenziali, come una password dell'utente che non sono trasmesse sulla rete wireless. La maggior parte dei tipi 802.1x supportano chiavi dinamiche per utente e per sessione, che rafforzano la protezione della chiave statica. 802.1x si avvantaggia dell'utilizzo di un protocollo di autenticazione esistente conosciuto come l'Extensible Authentication Protocol (EAP). L'autenticazione 802.1x per le LAN wireless è costituita da tre maggiori componenti: l'autenticatore (il punto di accesso), il richiedente (il software del client) e il server di autenticazione (un server RADIUS). Un client WAN dà inizio a una richiesta di autenticazione 802.1x presso un punto di accesso, il quale esegue l'autenticazione del client a un server RADIUS compatibile con EAP. Il server RADIUS può autenticare l'utente (tramite password o certificati) o il sistema (tramite l'indirizzo MAC). In teoria, al client wireless non è consentito far parte della rete finché la transazione non è completata. Per 802.1x sono usati svariati algoritmi di autenticazione; MD5-Challenge, EAP-TLS, EAP-TTLS, EAP protetto (PEAP), e EAP Cisco Wireless Light Extensible Authentication Protocol (LEAP). Sono tutti metodi utilizzati dai client WLAN per identificare se stessi presso il server RADIUS. Con l'autenticazione RADIUS, le identità degli utenti sono controllate confrontandole con i dati contenuti nei database. RADIUS è costituito da un insieme di standard di autenticazione, autorizzazione e accounting (AAA). Radius dispone di un processo proxy per convalidare i client in un ambiente multiserver. Lo standard IEEE 802.1x serve per controllare e autenticare l'accesso alle reti Ethernet basate su cavo e a quelle wireless 802.11 basate su porta. Il controllo dell'accesso alle reti basate su porta è simile a un'infrastruttura LAN con tecnologia switch che autentica le periferiche collegate a una porta LAN e impedisce l'accesso a tale porta se il processo di autenticazione non riesce.
Come funziona l'autenticazione 802.1x
La procedura di autenticazione 802.1x può essere semplicemente descritta nel modo seguente:
Per dettagli sull'impostazione di un profilo 802.1x usando l'utilità Intel(R) PROSet for Wireless, fare riferimento a Impostazione del client per l'autenticazione WEP e MD5.
RADIUS (Remote Access Dial-In User Service) è un protocollo client-server AAA (Authorization, Authentication, Accounting) utilizzato quando un client AAA remoto esegue la procedura di accesso o di chiusura della sessione da un server di accesso alla rete (NAS). I server RADIUS sono in genere utilizzati dai provider di servizi Internet (ISP) per eseguire operazioni di tipo AAA. Le fasi AAA sono le seguenti:
Fase di autenticazione: consente di verificare il nome utente e la password confrontandoli con le informazioni contenute in un database locale. Completata la verifica delle credenziali, ha inizio il processo di autorizzazione.
Fase di autorizzazione: consente di determinare se verrà concessa la richiesta di accesso a una risorsa. Al client remoto viene assegnato un indirizzo IP.
Fase di registrazione: consente la raccolta di informazioni sull'utilizzo delle risorse allo scopo di effettuare analisi di tendenza, controlli, riepiloghi delle prestazioni orarie della sessione e allocazioni dei costi.
L'accesso protetto Wi-Fi (WPA) rappresenta una funzione di protezione potenziata che aumenta significativamente il livello di protezione dei dati e il controllo dell'accesso alla WLAN. La modalità WPA impone l'autenticazione 802.1x e lo scambio di chiavi e funziona solo con le chiavi di crittografia dinamiche. Per rendere ancora più sicura la crittografia dei dati, WPA utilizza TKIP (Temporal Key Integrity Protocol). TKIP offre importanti miglioramenti per la crittografia dei dati, che includono una funzione di utilizzo misto di chiavi per pacchetto, il controllo dell'integrità dei messaggi (MIC) chiamato Michael, un vettore di inizializzazione (IV) esteso con regole di sequenza e un meccanismo di rigenerazione delle chiavi. Questi miglioramenti di TKIP offrono una protezione maggiore dai punti deboli di WEP.
PEAP è un nuovo tipo di autenticazione IEEE 802.1x EAP (Extensible Authentication Protocol) che utilizza il livello di trasporto EAP-TLS sul lato del server e supporta svariati metodi di autenticazione, incluse le password dell'utente, le password per una singola sessione e le Generic Token Card.
Cisco LEAP (EAP Cisco Wireless) è un metodo di autenticazione 802.1x per server e client realizzata tramite una password di accesso fornita dall'utente. Quando un punto di accesso wireless comunica con un server Cisco RADIUS compatibile con LEAP (server Cisco Secure Access Control Server (ACS)), Cisco LEAP offre il controllo dell'accesso tramite l'autenticazione reciproca delle schede di rete wireless dei client e della rete wireless, realizzata con chiavi di crittografia per utente singolo che facilitano la salvaguardia della privacy dei dati trasmessi.
Funzione di protezione Cisco dai punti di accesso non autorizzati
La funzione di protezione Cisco per i punti di accesso non autorizzati consente di proteggersi dall'introduzione sulla rete di punti di accesso non autorizzati che, presentandosi come punti di accesso legittimi, potrebbero estrarre le informazioni riguardanti le credenziali degli utenti e i protocolli di autenticazione, compromettendo la sicurezza. Questa funzione è operativa solo con l'autenticazione LEAP di Cisco. La tecnologia dello standard 802.11 non protegge la rete dall'introduzione di punti di accesso non autorizzati.
CKIP
Cisco Key Integrity Protocol (CKIP) è il protocollo di protezione proprietario di Cisco per la crittografia
su supporti 802.11. CKIP usa le seguenti funzioni per migliorare la protezione di 802.11 nella modalità
infrastruttura:
Alcuni punti di accesso, come i Cisco 350 o Cisco 1200, supportano gli ambienti in cui non tutte le stazioni client adottano la crittografia WEP, ovvero supportano il funzionamento cosiddetto in modalità cella mista. Quando queste reti wireless operano in modalità "crittografia opzionale", le stazioni client che partecipano alla rete in modalità WEP inviano tutti i messaggi crittografati, mentre le stazioni che funzionano in modalità standard inviano tutti i messaggi senza crittografarli. I punti di accesso di questo tipo annunciano che sulla rete non è usata la crittografia, ma consentono ai client di parteciparvi in modalità WEP. Quando in un profilo viene attivata la “cella mista” è possibile connettersi ai punti di accesso configurati per il funzionamento con la “crittografia opzionale”.
![]() |
NOTA: quando in un profilo è selezionata l'opzione Attiva Cisco Client eXtensions accertarsi che in Impostazioni avanzate sia selezionata l'opzione Attiva cella mista (opzione Cisco CCX richiesta). I profili che hanno attivata l'opzione Cisco CCX usano la crittografia dei dati CKIP e l'autenticazione LEAP 802.1x. |
Leggere le sezioni relative alle limitazioni e declinazioni di responsabilità.