Oversikt over kryptering
WEP-kryptering og autentifikasjon
802.1x-autentifikasjon
Hva er en RADIUS
Wi-Fi-beskyttet tilgang (WPA)
PEAP
Cisco LEAP
Sikkerhet på WLAN kan supplementeres ved å aktivere datakryptering ved hjelp av WEP (Wireless Encryption Protocol). Du kan velge mellom 64-biters eller 128-biters kryptering. Dataene kan også krypteres med en nøkkel. En annen parameter som kalles nøkkelindeksen gir mulighet for å opprette flere nøkler for samme profil. Bare én nøkkel kan imidlertid brukes samtidig. Du kan også velge å passordbeskytte en Intel(R) PROSet for Wireless-profil for å sikre personvernet. Passordet brukes til å generere en WEP-nøkkel automatisk. Du kan velge om du vil bruke et passord eller skrive inn WEP-nøkkelen manuelt. Ved 64-biters kryptering er passordet på fem tegn, og du kan velge å skrive inn et tilfeldig passord som er enkelt å huske, for eksempel Brus1, eller skrive inn ti heksadesimale tall som tilsvarer nettverket brukeren vil koble til, for WEP-nøkkelen. Ved 128-biters kryptering er passordet på tretten tegn, eller du kan skrive inn 26 heksadesimale tall for WEP-nøkkelen for å koble til riktig nettverk.
WEP-kryptering (Wired Equivalent Privacy) og delt godkjenning beskytter dataene på nettverket. WEP bruker en krypteringsnøkkel til å kryptere dataene før sending. Bare datamaskiner som bruker samme krypteringsnøkkel, får tilgang til nettverket eller kan dekryptere de krypterte dataene som overføres av andre datamaskiner. Godkjenning utgjør en ekstra valideringsprosess fra kortet til tilgangspunktet.
Godkjenningsoppsett som støttes, er åpen og delt nøkkelgodkjenning:
Når Datakryptering (WEP, CKIP eller TKIP) er aktivert, brukes en nettverksnøkkel til krypteringen. Du kan få en nettverksnøkkel automatisk (for eksempel kan du få den på det trådløse nettverkskortet, eller du kan sette den inn selv, og angi nøkkellengden (64 biter eller 128 biter), nøkkelformat (ASCII-tegn eller hexadesimaltall) og nøkkelindeks (stedet der en bestemt nøkkel er lagret). Desto lenger nøkkellengde, jo sikrere er nøkkelen. Hver gang lengden på en nøkkel økes med én bit, fordobles antallet mulige nøkler. Under 802.11 kan en trådløs stasjon konfigureres med inntil fire nøkler (nøkkelindeksverdiene er 1, 2, 3 og 4). Når et tilgangspunkt eller en trådløs stasjon overfører en kryptert melding ved hjelp av en nøkkel som er lagret i en spesifikk nøkkelindeks, angir den overførte meldingen nøkkelindeksen som ble brukt til å kryptere meldingsinnholdet. Mottakstilgangspunktet eller den trådløse stasjonen kan deretter hente nøkkelen som er lagret i nøkkelindeksen, og bruke den til å dekode det krypterte meldingsinnholdet.
802.1x bruker to typer krypteringsnøkler, statiske og dynamiske. Statiske krypteringsnøkler blir endret manuelt og er mer sårbare. MD5-godkjenning bruker bare statiske krypteringsnøkler. Dynamiske krypteringsnøkler fornyes automatisk med jevne mellomrom. Dette gjør krypteringsnøkkelen/-nøklene sikrere. For å aktivere de dynamiske krypteringsnøklene må du bruke 802.1x-godkjenningsmetodene som TLS eller TTLS eller PEAP.
802.1x-funksjoner
802.1x-søkerprotokollstøtte
Støtte for Extensible Authentication Protocol (EAP) - RFC 2284
Støttede godkjenningsmetoder:
MD5 - RFC 2284
EAP TLS-godkjenningsprotokoll - RFC 2716 og RFC 2246
EAP Tunneled TLS (TTLS)
Cisco LEAP
PEAP
Støtter Windows XP, 2000
Merknader om 802.1x-godkjenning
802.1x-godkjenningsmetoder, inkludert passord, sertifikater og smartkort (plastkort som inneholder data)
802.1x-godkjenningsalternativet kan bare brukes sammen med driftsmodusen Infrastruktur
Nettverksgodkjenningsmodusene er: EAP-TLS, EAP-TTLS, MD5 Challenge, LEAP (bare for Cisco-Client eXtentions-modus) og PEAP (bare for WPA-modus)
Oversikt
802.1x-godkjenningen er uavhengig av 802.11-godkjenningsprosessen. 802.1x-standarden gir et rammeverk for flere godkjennings- og nøkkeladministrasjonsprotokoller. Det finnes forskjellige 802.1x-godkjenningstyper, og hver gir forskjellige innfallsvinkler til godkjenningen, men alle tar i bruk den samme 802.1x-protokollen og det samme rammeverk for kommunikasjonen mellom en klient og et tilgangspunkt. I de fleste protokollene, når 802.1x-godkjenningsprosessen er ferdig, mottar søkeren en nøkkel som den benytter til datakryptering.
Med 802.1x-godkjenning brukes en godkjenningsmetode mellom klienten og en RADIUS-server (Remote Authentication Dial-In User Service) som er koblet til tilgangspunktet. Godkjenningsprosessen benytter legitimasjonsbeskrivelsene, slik som en brukers passord, som ikke sendes over det trådløse nettverket. De fleste 802.1x-typene støtter dynamisk per-bruker, per økt-nøkler for å styrke den statiske nøkkelsikkerheten. 802.1x tjener på bruken av eksisterende godkjenningsprotokoll kjent som EAP (Extensible Authentication Protocol). 802.1x-godkjenning for trådløse LAN har tre hovedkomponenter: Den som godkjenner (tilgangspunktet), søkeren (klientprogramvaren) og godkjenningsserveren (en RADIUS-server (Remote Authentication Dial-In User Service)). 802.1x-godkjenningssikkerhet starter en godkjenningsforespørsel fra WLAN-klienten til tilgangspunktet som godkjenner klienten til en EAP-kompatibel (Extensible Authentication Protocol) RADIUS-server. RADIUS-serveren kan godkjenne brukeren (via passord eller sertifikater) eller systemet (ved MAC-adressen). Teoretisk sett får ikke den trådløse klienten lov til å bli med i nettverkene før transaksjonen er fullført. Det finnes flere godkjenningsalgoritmer for 802.1x; MD5-Challenge, EAP-TLS, EAP-TTLS, PEAP (Protected EAP) og EAP Cisco Wireless LEAP (Light Extensible Authentication Protocol). Dette er alle metoder for WLAN-klienten for å identifisere seg selv overfor RADIUS-serveren. Med RADIUS-godkjenning kontrolleres brukeridentitetene mot databaser. RADIUS utgjør et sett med standarder som omhandler AAA (Authentication, Authorization, Accounting). Radius inkluderer en proxy-prosess for validering av klienter i et flerservermiljø. Standarden IEEE 802.1x er for å kontrollere og godkjenne tilgang til portbasert 802.11 trådløst og ledningsammenbundet Ethernet nettverk. Portbasert nettverkstilgangskontroll er lik en svitsjet LAN-infrastruktur som godkjenner innretninger som er festet til en LAN-port og hindrer tilgang til den porten dersom godkjenningsprosessen mislykkes.
Hvordan 802.1x-godkjenningen virker
En forenklet beskrivelse av 802.1x-godkjenningen er:
Se Konfigurere klienten for WEP- og MD5-godkjenning for å få detaljer om å sette opp en 802.1x-profil ved bruk av Intel(R) PROSet for Wireless-verktøyet.
RADIUS står for Remote Access Dial-In User Service, og er en AAA-klientserverprotokoll (Authorization, Authentication, Accounting) for en ekstern AAA-klient som logger inn på eller ut av en nettverkstilgangsserver. Vanligvis brukes en RADIUS-server av Internett-leverandører (ISP - Internet Service Providers) til å utføre AAA-oppgaver. AAA-fasene beskrives som følger:
Godkjenningsfasen: Kontrollerer et brukernavn og passord mot en lokal database. Når legitimasjonsbeskrivelsene er kontrollert, begynner autoriseringsprosessen.
Autoriseringsfasen: Fastsetter om en forespørsel får innvilget tilgang til en ressurs. En IP-adresse tilordnes for den eksterne klienten.
Regnskapsfasen: Samler informasjon om ressursforbruk med det formål å analysere trender, overvåke, fakturere økttid eller fordele kostnader.
Wi-Fi-beskyttet tilgang (WPA) er en sikkerhetsutvidelse som kraftig øker databeskyttelsesnivået og tilgangskontrollen til et WLAN. WPA-modus håndhever 802.1x-godkjenning og nøkkelutveksling og virker bare med dynamiske krypteringsnøkler. For å styrke datakrypteringen bruker WPA sin Midlertidige Nøkkelintegritetsprotokoll (TKIP). TKIP sørger for viktig datakrypteringsutvidelser som omfatter encryption enhancements that include a en nøkkelblandingsfunksjon per pakke, en beskjedintegritetssjekk (MIC) som heter "Michael", en utvidet initialiseringsvektor (IV) med sekvensregler og også en gjen-nøkkelmekanisme. Ved hjelp av disse forbedringene beskytter TKIP mot WEPs kjente svakheter.
PEAP er en ny Extensible Authentication Protocol (EAP) IEEE 802.1x-godkjenningstype lagd for å trekke fordeler fra serversidens EAP-Transport Layer Security (EAP-TLS) og for å støtte forskjellige godkjenningsmetoder, herunder brukerens passord og engangspassord og Generic Token Cards.
Cisco LEAP (Cisco Light EAP) er en server- og klient-802.1x-godkjenning via brukerlevert påloggingspassord. Når et trådløst tilgangspunkt kommuniserer med en Cisco LEAP-aktivert RADIUS (Cisco-sikker tilgangskontrollserver (ACS)-server), gir Cisco LEAP tilgangskontroll via gjensidig godkjenning mellom klientens trådløskort og det trådløse nettverket og gir dynamiske, individuelle brukerkrypteringsnøkler for å hjelpe til med å beskytte personvernet i de overførte dataene.
Cisco Rogue AP-sikkerhetsfunksjonen
Cisco Rogue AP-funksjonen gir sikkerhetsbeskyttelse fra en innføring av et rogue-tilgangspunkt på et nettverk for å trekke ut informasjon om brukerlegitimasjonsbeskrivelsen og godkjenningsprotokoller som kan bringe sikkerheten i fare. Funksjonen virker bare med Ciscos LEAP-godkjenning. Standard 802.11-teknologi beskytter ikke et nettverk mot innføringen av et rogue-tilgangspunkt.
CKIP
Cisco Key Integrity Protocol (CKIP) er Ciscos egen sikkerhetsprotokoll for kryptering
i 802.11-medier. CKIP bruker følgende funksjoner for å forbedre 802.11-sikkerheten i
infrastrukturmodus:
Enkelte tilgangspunkter, for eksempel Cisco 350 eller Cisco 1200, støtter omgiveler der ikke alle klientstasjoner støtter WEP-kryptering, dette kalle en mikset-celle-modus. Når disse trådløse nettverkene virker i "alternativ krypterings”-modus, sender klientstasjonene som slutter seg til WEP-modus, alle meldingene kryptert, og stasjoner som slutter seg til ved hjelp av standardmosus, sender alle meldingene ukryptert. Disse AP-er kringkaster at nettverket ikke bruker kryptering, men tillater at klientene slutter seg til ved hjelp av WEP-modus. Når "Mikset celle" er aktivert i en profil, lar den deg koble til tilgangspunktene som er konfigurert for "alternativ kryptering".
![]() |
Obs! Sørg for å aktivere Avanserte innstillinger Mikset-celler (krever Cisco CCX-alternativ) når du bruker Aktivere Cisco-Client eXtentions i en profil. En Cisco CCX-aktivert profil bruker CKIP-datakryptering og 802.1x LEAP-autentifikasjon. |
Les alle begrensninger og ansvarsfraskrivelser.