Takaisin Sisältö-sivulle

Yleistietoja suojauksesta: Intel(R) PRO/Wireless 2200BG -käyttöopas


Salauksen yleiskatsaus
WEP-salaus ja laillisuustarkistus
802.1x-laillisuustarkistus
RADIUS
Wi-Fi Protected Access (WPA) -käyttö
PEAP
Cisco LEAP


Salauksen yleiskatsaus

Langattomien lähiverkkojen suojausta voi tehostaa ottamalla käyttöön tietojen salauksen käyttämällä WEP (Wireless Encryption Protocol) -yhteyskäytäntöä. Voit valita 64- tai 128-bitin salaustason. Tiedot voidaan myös salata avaimella. Toinen parametri nimeltä avainindeksi tarjoaa mahdollisuuden luoda monia avaimia kyseiselle profiilille. Kuitenkin vain yhtä avainta voidaan käyttää kerrallaan. Voit myös suojata Intel(R) PROSet langattomille sovittimille -profiilin salasanalla tietosuojauksen varmistamiseksi. WEP-avain luodaan automaattisesti käyttämällä salalausetta.  Voit vaihtoehtoisesti käyttää joko salalausetta tai antaa WEP-avaimen manuaalisesti. 64-bittistä salausta käytettäessä salalause on 5 merkkiä pitkä ja voit antaa minkä tahansa mielivaltaisen ja helposti muistettavan lausekkeen kuten Acme1 tai antaa 10 heksadesimaalinumeroa WEP-avaimelle, joka vastaa verkkoa, johon halutaan yhdistää. 128-bittistä salausta käytettäessä salalause on 13 merkkiä pitkä ja voit antaa 26 heksadesimaalinumeroa WEP-avaimelle haluttuun verkkoon yhdistämiseksi.


WEP-salaus ja laillisuustarkistus

Verkon tiedot voidaan suojata käyttämällä WEP-salausta ja jaettua laillisuustarkistusta. WEP-menetelmässä tiedot salataan salausavaimella ennen niiden lähettämistä. Ainoastaan samaa salausavainta käyttävät tietokoneet voivat käyttää verkkoa tai purkaa muiden tietokoneiden lähettämien salattujen tietojen salauksen. Laillisuustarkistus muodostaa lisävarmennustoimenpiteen sovittimen ja tukiaseman välillä.

Tuettuja laillisuustarkistusmenetelmiä ovat Avoin ja Jaettu Avain -laillisuustarkistus:

Verkkoavaimet

Kun tiedon salaus (WEP, CKIP tai TKIP) on käytössä, salaamiseen käytetään verkkoavainta. Verkkoavain voidaan myöntää automaattisesti (esimerkiksi langaton verkkosovitin voi myöntää sen) tai sen voi määrittää itse ja määrittää avaimen pituuden (64-bittinen tai 128-bittinen), avaimen muodon (ASCII-merkit tai heksadesimaaliluvut) sekä avainindeksi (tietyn avaimen tallennussijainnin). Avain on sitä turvallisempi, mitä pidempi se on. Aina kun avaimen pituutta kasvatetaan yhdellä bitillä, mahdollisten avainten määrä kaksinkertaistuu. 802.11-laillisuustarkistuksessa langattomalle asemalle voidaan määrittää enintään neljä avainta (avainindeksiarvot ovat 1, 2, 3 ja 4). Kun tukiasema tai langaton asema lähettää salatun sanoman käyttämällä tietyllä avainindeksillä tallennettua avainta, lähetetty sanoma ilmaisee avainindeksin, jota käytettiin viestitekstin salaamisessa. Tämän jälkeen vastaanottava tukiasema tai langaton asema voi hakea tällä avainindeksillä tallennetun avaimen ja käyttää sitä salatun sanomatekstin dekoodaamiseen.

Kiinteät ja dynaamiset salausavaimet

802.1x:ssä käytetään kahdenlaisia salausavaimia, kiinteitä ja dynaamisia avaimia. Kiinteät salausavaimet vaihdetaan manuaalisesti ja ne ovat haavoittuvampia. MD5-laillisuustarkistuksessa käytetään ainoastaan kiinteitä salausavaimia. Dynaamiset salausavaimet uusitaan automaattisesti säännöllisin väliajoin. Tämä lisää salausavainten turvallisuutta. Dynaamisten salausavainten käyttäminen edellyttää sertifikaattipohjaisen 802.1x-laillisuustarkistusmenetelmän, kuten TLS:n, TTLS:n tai PEAP:n, käyttämistä.


802.1x-laillisuustarkistus

802.1x-ominaisuudet

Huomautuksia 802.1x-laillisuustarkistuksesta

Yleiskatsaus

802.1x-laillisuustarkistus on riippumaton 802.11-laillisuustarkistusprosessista. 802.1x-standardi muodostaa puitteet erilaisille laillisuustarkistus- ja avaintenhallintayhteyskäytännöille. On olemassa erilaisia 802.1x-laillisuustarkistustyyppejä, joista kukin muodostaa erilaisen lähestymistavan laillisuustarkistukseen käyttämällä samaa 802.1x-yhteyskäytäntöä ja tietoliikennekehystä asiakkaan ja tukiaseman välillä. Useimmissa yhteyskäytännöissä 802.1x-laillisuustarkistuksen suorittamisen jälkeen anoja vastaanottaa avaimen, jota se käyttää tiedon salaamiseen.

802.1x-laillisuustarkistuksessa käytetään laillisuustarkistusmenetelmää asiakkaan ja tukiasemaan kytketyn RADIUS (Remote Authentication Dial-In User Service) -palvelimen välillä. Laillisuustarkistusprosessissa käytetään käyttäjätietoja, kuten käyttäjän salasanaa, jota ei lähetetä langattoman verkon kautta. Useimmat 802.1x-tyypit tukevat käyttäjä- ja istuntokohtaisia dynaamisia avaimia kiinteän salasanasuojauksen vahvistamiseksi. 802.1x hyödyntää olemassa olevaa laillisuustarkistusyhteyskäytäntöä, EAP (Extensible Authentication Protocol) -yhteyskäytäntöä. Langattoman verkon 802.1x-laillisuustarkistus käsittää kolme pääkomponenttia: varmistaja (tukiasema), anoja (asiakasohjelmisto) ja laillisuustarkistuspalvelin (RADIUS-palvelin). 802.1x-laillisuustarkistus käynnistää laillisuustarkistuspyynnön langattomasta verkkoasiakkaasta tukiasemaan, joka tarkistaa asiakkaan laillisuuden EAP (Extensible Authentication Protocol) -yhteensopivaan RADIUS-palvelimeen. RADIUS-palvelin voi tarkistaa joko käyttäjän (salasanojen tai sertifikaattien kautta) tai järjestelmän (MAC-osoitteen kautta) laillisuuden.  Teoriassa langattoman asiakkaan ei sallita liittyvän verkkoon, ennen kuin tämä tapahtuma on valmis. 802.1x:ää varten käytetään useita laillisuustarkistusalgoritmeja: MD5-Challenge, EAP-TLS, EAP-TTLS, PEAP (Protected EAP) ja LEAP (EAP Cisco Wireless Light Extensible Authentication Protocol). Nämä kaikki ovat menetelmiä, joilla RADIUS-palvelin voi tunnistaa langattoman verkon asiakkaan. RADIUS-laillisuustarkistuksessa käyttäjien henkilöllisyydet tarkistetaan tietokannoista. RADIUS käsittää joukon AAA (Authentication, Authorization ja Accounting) -standardeja. RADIUS sisältää välityspalvelinprosessin asiakkaiden todentamiseksi monipalvelinympäristössä. IEEE 802.1x -standardi koskee porttiperustaisten langattomien 802.11-verkkojen ja 802.11-Ethernet-kaapeliverkkojen hallinta- ja laillisuustarkistuskäyttöä. Porttiperustainen verkkokäytön hallinta on samanlainen kuin kytkentäisen lähiverkon perusrakenne, joka tarkistaa lähiverkkoporttiin kytkettyjen laitteiden laillisuuden ja estää tämän portin käyttämisen, jos laillisuustarkistus epäonnistuu.

802.1x-laillisuustarkistuksen toiminta

Yksinkertaistetusti 802.1x-laillisuustarkistus toimii seuraavasti:

  1. Asiakas lähettää "käyttöpyyntö"-sanoman tukiasemaan. Tukiasema vaatii asiakasta ilmaisemaan tunnuksensa.
  2. Asiakas vastaa toimittamalla tunnistepakettinsa, joka välitetään laillisuusvarmistuspalvelimen kautta.
  3. Laillisuustarkistuspalvelin lähettää "hyväksyntä"-paketin tukiasemaan.
  4. Tukiasema asettaa asiakasportin valtuutettuun tilaan ja tietoliikenteen jatkaminen sallitaan.

Lisätietoja 802.1x-profiilin määrittämisestä Intel(R) PROSet langattomille sovittimille -ohjelman avulla on kohdassa Asiakkaan WEP- ja MD5-laillisuustarkistusasetusten määrittäminen.


RADIUS

RADIUS (Remote Access Dial-In User Service) on AAA (Authorization, Authentication, and Accounting) asiakaspalvelinyhteyskäytäntö, jota käytetään AAA-puhelinverkkoasiakkaan kirjautuessa verkkokäyttöpalvelimeen tai siitä ulos. Tyypillisesti Internet-palveluntarjoajat (ISP:t) käyttävät RADIUS-palvelinta AAA-tehtävien suorittamiseen. AAA-vaiheet ovat seuraavat:


Wi-Fi Protected Access* (WPA) -käyttö

Wi-Fi Protected Access (WPA) on suojauslaajennus, joka vahvistaa huomattavasti langattoman verkon tietojen suojausta ja käytönhallintaa. WPA-tilassa käytetään 802.1x-laillisuustarkistusta ja avainvaihtoa. Se toimii ainoastaan dynaamisten salausavainten kanssa. Salauksen tehostamiseksi WPA-menetelmässä hyödynnetään sen TKIP-yhteyskäytäntöä. TKIP antaa käyttöön tärkeitä tiedon salauksen parannuksia, kuten pakettikohtaisen avaimensekoitustoiminnon, sanoman eheyden tarkistamisen (MIC:n eli Michaelin), sekvenssisäännöillä varustetun laajennetun alustusvektorin (IV) ja uudelleenavainnusmekanismin. Näiden parannusten avulla TKIP suojaa WEP:n tunnetut heikot kohdat.


PEAP

PEAP on uusi EAP (Extensible Authentication Protocol) IEEE 802.1x -laillisuustarkistustyyppi, joka on suunniteltu hyödyntämään palvelinpuolen EAP-TLS:ää (EAP-Transport Layer Security) ja tukemaan eri laillisuustarkistusmenetelmiä, mukaan lukien käyttäjän salasanat ja kertakäyttöiset salasanat, Generic Token Card -tunnuksia.


Cisco LEAP

Cisco LEAP (EAP Cisco Wireless) on palvelimen ja asiakkaan 802.1x-laillisuustarkistus käyttäjän toimittaman kirjautumissalasanan avulla. Kun langaton tukiasema viestii Cisco LEAP -yhteensopivan RADIUS-palvelimen (Cisco Secure Access Control Server (ACS) -palvelimen) kanssa, Cisco LEAP mahdollistaa käytönhallinnan langattomien asiakassovittimien ja langattoman verkon keskinäisen laillisuustarkistuksen kautta ja antaa käyttöön dynaamiset, käyttäjäkohtaiset salausavaimet, jotka helpottavat lähetettävien tietojen salaamista.

Cisco Rogue AP -ominaisuus

antaa käyttöön suojan epäluotettavilta tukiasemilta, jotka voivat jäljitellä verkon laillisia tukiasemia saadakseen tietoonsa käyttäjätietoja ja laillisuustarkistuksen yhteyskäytäntöjä, mikä voi vaarantaa tietoturvan. Tämä ominaisuus on käytettävissä vain Ciscon LEAP-laillisuustarkistuksen kanssa. 802.11-vakiotekniikka ei suojaa verkkoa epäluotettavilta tukiasemilta.

CKIP

Cisco Key Integrity Protocol (CKIP) on Ciscon oma suojausyhteyskäytäntö tietojen
salaamiseksi 802.11-tietovälineissä. CKIP parantaa 802.11-suojausta perusrakennetilassa hyödyntämällä seuraavia
ominaisuuksia:

 

Sekasolu

 

Toiset tukiasemat, kuten Cisco 350 ja Cisco 1200, tukevat ympäristöjä, joissa kaikki asiakasasemat eivät tue WEP-salausta. Tätä kutsutaan sekasolutilaksi. Kun tällainen langaton verkko toimii valinnaisessa salaustilassa, WEP-tilassa siihen liittyvät asiakasasemat lähettävät kaikki sanomat salattuina ja vakiotilassa siihen liittyvät asemat lähettävät kaikki sanomat salaamattomina. Nämä tukiasemat ilmoittavat, että verkossa ei käytetä salausta, mutta sallivat asiakkaiden liittymisen WEP-tilaa käyttämällä. Kun sekasolutila on otettu käyttöön profiilissa, on mahdollista muodostaa yhteys tukiasemiin, joissa salaus on määritetty valinnaiseksi.

 

HUOMAUTUS: Varmista, että Lisäasetukset-ikkunassa on valittuna Ota sekasolu käyttöön (vaatii Cisco CCx:ää) -vaihtoehto silloin, kun profiilissa käytetään Ota Cisco-Client eXtentions käyttöön -asetusta. Cisco CCX käytössä -profiilissa käytetään CKIP-salausta ja 802.1x LEAP -laillisuustarkistusta.

Takaisin Sisältö-sivulle


Lue myös Rajoitukset ja vastuuvapautuslausekkeet.