Tilbage til indholdsfortegnelsen

Oversigt over sikkerhed: Intel(R) PRO/Wireless 2200BG - Brugervejledning


Krypteringsoversigt
WEP-kryptering og godkendelsesoplysninger
802.1x Godkendelse
Hvad er en RADIUS
Wi-Fi-beskyttet adgang (WPA)
PEAP
Cisco LEAP


Krypteringsoversigt

Sikkerhed i WLAN-et kan suppleres ved at aktivere datakryptering med WEP (Wireless Encryption Protocol). Du kan vælge en 64 eller 128 bit-niveaukryptering. Dataene kan dernæst også krypteres med en nøgle. En anden parameter kaldet nøgleindekset angiver muligheden for at oprette flere nøgler til den profil. Der kan dog kun anvendes en nøgle på et hvilket som helst tidspunkt. Du kan også vælge at beskytte en Intel(R) PROSet for Wireless-profil med en adgangskode for at sikre, at den er privat. Adgangsfrasen bruges til at generere en WEP-nøgle automatisk. Du har muligheden for enten at bruge en adgangsfrase eller indtaste en WEP-nøgle manuelt. Ved brug af 64 bit-kryptering er adgangsfrasen 5 tegn lang, og du kan vælge at indtaste en hvilken som helst vilkårlig frase, f.eks. Acme1, der er let at huske, eller indtaste 10 hexadecimale tal til WEP-nøglen, der svarer til det netværk, som brugeren vil tilslutte sig. Til 128 bit-kryptering er adgangsfrasen 13 tegn lang, eller du kan indtaste 26 hexadecimale tal til WEP-nøglen for at få forbindelse til det relevante netværk.


WEP-kryptering og godkendelsesoplysninger

Wired Equivalent Privacy (WEP)-kryptering og delt godkendelse beskytter dine data på netværket. WEP bruger en krypteringsnøgle til at kryptere data, før de overføres. Kun computere, der bruger den samme krypteringsnøgle, kan få adgang til netværket eller afkryptere de krypterede data, der er overført af andre computere. Godkendelse giver en yderligere valideringsproces fra adapteren til adgangspunktet.

Understøttede godkendelsesskemaer er Åben og Delt nøgle-godkendelse:

Netværksnøgler

Når datakryptering (WEP, CKIP eller TKIP) er aktiveret, bruges en netværknøgle til kryptering. En netværksnøgle kan angives for dig automatisk (f.eks. kan den være indeholdt i din trådløse netværksadapter, eller selv indtaste den og angive nøglelængden (64 bits eller 128 bits), nøgleformat (ASCII-tegn eller hexadecimale cifre), og nøgleindeks (placeringen, hvor en bestemt nøgle lagres). Jo længere nøglen er, jo sikrere er nøglen. Hver gang længden af en nøgle forøges med en bit, fordobles antallet af mulige nøglekombinationer. Under 802.11 kan en trådløs station konfigureres med op til fire nøgler (nøgleindeksværdierne er 1, 2, 3 og 4). Når et adgangspunkt eller en trådløs station transmitterer en krypteret meddelelse med en nøgle, der er lagret i et bestemt nøgleindeks, angiver den transmitterede meddelelse det nøgleindeks, der blev brugt til at kryptere meddelelseskroppen. Det modtagende adgangspunkt eller den modtagende trådløse station kan dernæst hente den nøgle, der er gemt i nøgleindekset og bruge den til at afkode den krypterede meddelelseskrop.

Typer kryptering af statisk og dynamisk nøgle

802.1x bruger to typer krypteringsnøgler: statiske og dynamiske. Statiske krypteringsnøgler ændres manuelt, og er mere sårbare. MD5-godkendelse bruger kun statiske krypteringsnøgler. Dynamiske krypteringsnøgler fornys automatisk med mellemrum. Dette gør krypteringsnøglerne mere sikre. For at aktivere dynamiske krypteringsnøgler skal du bruge 802.1x-certifikatgodkendelsesmetoderne, f.eks. TLS, TTLS eller PEAP.


802.1x Godkendelse

802.1x-funktioner

Bemærkninger til 802.1x godkendelse

Oversigt

802.1x-godkendelse er uafhængig af 802.11-godkendelsesprocessen. 802.1x-standarden indeholder en ramme for forskellige godkendelses- og nøgleadministrationsprotokoller. Der findes forskellige 802.1x-godkendelsestyper, der hver indeholder en forskellig fremgangsmåde til godkendelse, men de bruger alle den samme 802.1x-protokol og ramme til kommunikation mellem en klient og et adgangspunkt. I de fleste protokoller vil den søgende ved fuldførelse af 802.1x-godkendelsesprocessen modtage en nøgle, som den bruger til datakryptering.

Med 802.1x-godkendelse bruges en godkendelsesmetode mellem klienten og en fjern brugerservice for godkendelsesopkald (RADIUS)-server, der er tilsluttet til adgangspunktet. Godkendelsesprocessen bruger referencer, f.eks. en bruger adgangskode, som ikke transmitteres over det trådløse netværk. De fleste 802.1x-typer understøtter dynamisk pr. bruger-, pr. session-nøgler til at styrke den statiske nøglesikkerhed. 802.1x udnytter brugen af en eksisterende godkendelsesprotokol, der kaldes Extensible Authentication Protocol (EAP). 802.1x-godkendelse af trådløse netværk består af tre hovedkomponenter: Godkenderen (adgangspunktet), ansøgeren (klient-softwaren), og godkendelsesserveren (en fjern brugerservice for godkendelsesopkald (RADIUS). 802.1x-godkendelsessikkerhed starter en autorisationsanmodning fra WLAN-klienten til adgangspunktet, der godkender klienten på en Extensible Authentication Protocol (EAP)-kompatibel RADIUS-server. Denne RADIUS-server kan enten godkende brugeren (med adgangskoder eller certifikater) eller systemet (med MAC-adresse).  Teoretisk har den trådløse klient ikke lov til at tilslutte sig netværkene, før transaktionen er fuldført. Der er flere godkendelsesalgoritmer til 802.1x; MD5-Challenge, EAP-TLS, EAP-TTLS, Protected EAP (PEAP) og EAP Cisco Wireless Light Extensible Authentication Protocol (LEAP). De er alle sammen metoder, som WLAN-klienten bruger til at identificere sig selv på RADIUS-serveren. Med RADIUS-godkendelse kontrolleres brugeridentiteter i forhold til databaser. RADIUS består af et sæt standarder inden for Godkendelse, Autorisation og Redegørelse (AAA). Radius indeholder en proxy-proces til validering af klienter i et multiservermiljø. IEEE 802.1x-standarden er til kontrol og godkendelse af adgang til portbaserede 802.11 trådløse og kabelførte Ethernet-netværk. Portbaseret netværksadgangskontrol minder om en omskiftet LAN-infrastruktur, der godkender enheder, der er forbundet til en LAN-port og forhindrer adgang til den port, hvis godkendelsesprocessen fejler.

Sådan fungerer 802.1x godkendelse

En simpel beskrivelse af 802.1x-godkendelsen er:

  1. En klient sender en "anmodning om adgang"-meddelelse til et adgangspunkt. Adgangspunktet anmoder om identiteten af klienten.
  2. Klienten svarer med dens identitetspakke, der overføres til godkendelsesserveren.
  3. Godkendelsesserveren sender en "accept"-pakke til adgangspunktet.
  4. Adgangspunktet placerer klientporten i den godkendte tilstand, og datatrafikken får lov til at fortsætte.

Der henvises til Opsætning af klienten til WEP- og MD5-godkendelse, hvor der er detaljer om opsætning af en 802.1x-profil ved hjælp af programmet Intel(R) PROSet for Wireless.


Hvad er en RADIUS?

RADIUS er Remote Access Dial-In User Service, hvilket er en autorisations-, godkendelses- og redegørelses (AAA)-klient-server-protokol, når et AAA-opkaldsklient logger på eller af på en netværksadgangsserver. Typisk bruges en RADIUS-server af internetudbydere (Internet Service Providers (ISP)) til at udføre AAA-opgaver. AAA-faser beskrives som følger:


Wi-Fi-beskyttet adgang* (WPA)

Wi-Fi-beskyttet adgang (WPA) er en sikkerhedsforbedring, der forøger databeskyttelsesniveauet og adgangskontrollen til et WLAN betydeligt. WPA-tilstand fastholder 802.1x-godkendelse og nøgleudveksling og fungerer kun med dynamiske krypteringsnøgler. For at styrke datakryptering bruger WPA dens Temporal Key Integrity Protocol (TKIP). TKIP indeholder vigtige datakrypteringsforbedringer, der inkluderer en pr. pakke-nøgleblandingsfunktion, en meddelelsesintegritetskontrol (MIC) kaldet Michael, en udvidet initialiseringsvektor (IV) med sekvenseringsregler og også en mekanisme til omskrivning af nøglen. Ved brug af diise forbedringer beskytter TKIP i mod WEPs kendte svagheder.


PEAP

PEAP er en ny Extensible Authentication Protocol (EAP) IEEE 802.1x-godkendelsestype, der er designet til at drage fordele af EAP-Transport Layer Security (EAP-TLS) på serversiden og til at understøtte forskellige godkendelsesmetoder, herunder brugers adgangskode og engangsadgangskoder og Generic Token Cards.


Cisco LEAP

Cisco LEAP (EAP Cisco Wireless) er en server- og klient 802.1x-godkendelse via en brugerangivet pålogningsadgangskode. Når et trådløst adgangspunkt kommunikerer med en Cisco LEAP-aktiveret RADIUS (Cisco Secure Access Control Server (ACS) server), indeholder Cisco LEAP adgangskontrol via fælles godkendelse mellem klientens trådløse adaptere og de trådløse netværk og indeholder dynamiske, individuelle brugerkrypteringsnøgler til hjælp til beskyttelse af det private i transmitterede data.

Cisco Rogue AP-sikkerhedsfunktion

Ciscos Rogue AP-funktion indeholder sikkerhedsbeskyttelse fra rogue-adgangspunktet, der kunne efterligne et lovligt adgangspunkt på et netværk for at trække oplysninger om brugerreferencer og godkendelsesprotokoller ud, der kunne sætte sikkerheden i fare. Denne funktion fungerer kun med Ciscos LEAP-godkendelse. Standard 802.11-teknologi beskytter ikke et netværk med introduktion af et rogue-adgangspunkt.

CKIP

Cisco Key Integrity Protocol (CKIP) er Ciscos egen sikkerhedsprotokol til kryptering
i 802.11-medier. CKIP bruger følgende funktioner til at forbedre 802.11-sikkerhed i infrastruktur
tilstand:

 

Blandet celle

 

Nogle adgangspunkter, f.eks. Cisco 350 eller Cisco 1200, understøtter miljøer, hvor ikke alle klientstationer understøtter WEP-kryptering, og dette kaldes blandet celle-tilstand. Når disse trådløse netværk arbejder i en “valgfri krypteringstilstand”, vil klientstationer, som tilmelder sig i WEP-tilstand, sende alle meddelelser krypteret, og stationer, som tilmelder sig i standardtilstand, vil sende alle meddelelser ikke-krypterede. Disse AP'er rundsender, at netværket ikke anvender kryptering, men tillader, at klienterne tilmelder sig i WEP-tilstand. Når “Blandet celle” er aktiveret i en profil, har du mulighed for at tilslutte dig adgangspunkter, som er konfigureret til “valgfri kryptering”.

 

BEMÆRK: Sørg for, at aktivere Avancerede indstillinger Blandede celler (kræver Cisco CCX-funktioner), når du bruger Aktiver Cisco-Client eXtentions i en profil. En Cisco CCX-aktiveret profi bruger CKIP-datakryptering og 802.1x LEAP-godkendelse.

Tilbage til indholdsfortegnelsen


Læs alle begrænsninger og ansvarsfraskrivelser.