Zurück zum Inhaltsverzeichnis

Sicherheit - Überblick: Intel(R) PRO/Wireless 2200BG - Benutzerhandbuch


Verschlüsselung - Überblick
WEP-Verschlüsselung und Authentifizierung
802.1x Authentifizierung
Was ist ein RADIUS
WPA (Wi-Fi Protected Access)
PEAP
Cisco LEAP


Verschlüsselung - Überblick

Die Sicherheit im WLAN kann ergänzt werden, indem Sie unter Einsatz des WEP (Wireless Encryption Protocol) die Datenverschlüsselung aktivieren. Sie können eine 64-Bit- oder 128-Bit-Verschlüsselung wählen. Darüber hinaus können die Daten mit einem Schlüssel verschlüsselt werden. Als weiterer Parameter bietet der sogenannte Schlüsselindex die Möglichkeit, mehrere Schlüssel für das betreffende Profil zu erstellen. Sie können jedoch immer nur jeweils einen Schlüssel verwenden. Zur zusätzlichen Sicherheit können Sie ein Intel(R) PROSet für Wireless-Profil auch mit Kennwortschutz einrichten. Der Kennsatz wird zur automatischen Einrichtung eines WEP-Schlüssels verwendet. Sie haben die Option einen Kennsatz zu verwenden oder den WEP-Schlüssel manuell einzugeben. Der Kennsatz der 64-Bit-Verschlüsselung umfasst 5 Zeichen. Sie können entweder einen zufällig gewählten, einfach zu erinnernden Kennsatz (wie zum Beispiel Acme1) eingeben, oder Sie können 10 Hexadezimalzahlen für den WEP-Schlüssel eingeben, der dem Netzwerk entspricht, mit dem die Verbindung hergestellt werden soll. Bei 128-Bit-Verschlüsselung ist der Kennsatz 13 Zeichen lang. Sie können als WEP-Schlüssel 26 Hexadezimalziffern eingeben, um sich mit dem entsprechenden Netzwerk zu verbinden.


WEP-Verschlüsselung und Authentifizierung

WEP- (Wired Equivalent Privacy - kabelvergleichbare Sicherheit) Verschlüsselung und freigegebene Authentifizierung bieten den Daten auf dem Netzwerk Schutz. WEP verwendet einen Verschlüsselungscode, um Daten vor der Übertragung zu schützen. Nur Computer, die denselben Verschlüsselungscode verwenden, können auf das Netzwerk zugreifen oder von anderen Computern übertragene, verschlüsselte Daten entschlüsseln. Die Authentifizierung stellt einen zusätzlichen Validierungsvorgang vom Adapter zum Zugriffspunkt dar.

Es werden zwei Authentifizierungsmethoden unterstützt: Die offene Authentifizierung (Open Authentification) und die Authentifizierung über einen freigegebenen Schlüssel (Shared-Key Authentification).

Netzwerkschlüssel

Bei aktivierter Datenverschlüsselung (WEP, CKIP oder TKIP) wird ein Netzwerkschlüssel zur Verschlüsselung verwendet. Ein Netzwerkschlüssel kann Ihnen automatisch bereitgestellt werden (z. B. als Teil des drahtlosen Netzwerkadapters, oder Sie können ihn selbst eingeben und die Schlüssellänge auf 64-Bit oder 128-Bit, das Schlüsselformat (ASCII-Zeichen oder hexadezimale Zeichen) und den Schlüsselindex (den Ablageort eines bestimmten Schlüssels) festlegen). Je länger der Schlüssel, desto sicherer ist er. Mit jeder bit-weisen Verlängerung des Schlüssels verdoppelt sich die Anzahl der möglichen Schlüssel. In 802.11 kann eine drahtlose Arbeitsstation mit bis zu vier Schlüsseln konfiguriert werden (die Schlüsselindexwerte sind 1, 2, 3 und 4). Bei Übertragung einer verschlüsselten Nachricht über einen Zugriffspunkt oder eine drahtlose Station unter Verwendung eines Schlüssels, der in einem bestimmten Schlüsselindex gespeichert wurde, zeigt die übertragene Nachricht den Schlüsselindex an, der zur Verschlüsselung des Nachrichtentextes verwendet wurde. Der empfangende Zugriffspunkt oder die drahtlose Station kann dann diesen im Schlüsselindex gespeicherten Schlüssel abrufen und ihn zur Entschlüsselung des Nachrichtentextes verwenden.

Statische und dynamische Verschlüsselungs-Codetypen

802.1x verwendet zwei Verschlüsselungscodetypen: statisch und dynamisch. Statische Verschlüsselungscodes werden manuell geändert und sich eher gefährdet. Die MD5-Authentifizierung verwendet nur statische Verschlüsselungscodes. Dynmamische Verschlüsselungscodes werden in regelmäßigen Abständen automatisch erneuert. Dies gewährleistet eine erhöhte Sicherheit. Für dynamische Verschlüsselungscodes müssen Sie die 802.1x Authentifizierungsmethoden wie TLS, TTLS oder PEAP verwenden.


802.1x Authentifizierung

802.1x Funktionen

802.1x Authentifizierungshinweise

Überblick

Die 802.1x Authentifizierung erfolgt unabhängig vom 802.11 Authentifizierungsprozess. Der 802.1x Standard stellt eine Grundstruktur für verschiedene Authentifizierungs- und Schlüsselverwaltungsprotokolle dar. Es gibt verschiedene 802.1x Authentifizierungstypen, die unterschiedliche Authentifizierungsansätze verwenden, sich jedoch alle desselben 802.1x Protokolls und Kommunikationsrahmens zwischen Client und Zugriffspunkt bedienen. Bei den meisten Protokollen erhält der anfragende Teilnehmer nach Beendigung der 802.1x Authentifizierung einen Schlüssel zum Einsatz in der Datenverschlüsselung.

Bei der 802.1x Authentifizierung wird zwischen dem Client und einem RADIUS-Server (Remote Authentication Dial-In User Service) in Verbindung mit einem Zugriffspunkt eine Authentifizierungsmethode verwendet. Der Authentifizierungsprozess verwendet Berechtigungsnachweise wie z. B. das Benutzerkennwort, die nicht über das drahtlose Netzwerk übertragen werden. Die meisten 802.1x Typen unterstützen dynamische, benutzer- und sitzungsspezifische Schlüssel, die die statische Schlüsselsicherheit erhöhen. 802.1x bedient sich dabei der Vorteile eines vorhandenen Authentifizierungsprotokolls, das als EAP (Extensible Authentication Protocol oder erweiterbares Authentifizierungsprotokoll) bezeichnet wird. Die 802.1x Authentifizierung für drahtlose LAN-Netzwerke besteht aus drei Hauptkomponenten: Dem authentifizierenden Teilnehmer (Zugriffpunkt), dem anfragenden Teilnehmer (Client-Software) und dem Authentifizierungsserver (RADIUS-Server oder Remote-Authentication Dial-In User Service). 802.1x-Authentifizierungssicherheit initiiert eine Authentifizierungsanfrage vom WLAN-Client an den Zugriffspunkt, wodurch der Client für einen EAP-fähigen (Extensible Authentication Protocol - erweiterbares Authentifizierungsprotokoll) RADIUS-Server authentifiziert wird. Der RADIUS-Server kann entweder den Anwender (über Kennworte oder Zertifikate) oder das System (über die MAC-Adresse) authentifizieren. Theoretisch ist es dem drahtlosen Client nicht gestattet, eine Verbindung zu den Netzwerken herzustellen, solange die Transaktion nicht abgeschlossen ist. Es werden verschiedene Authentifizierungsalgorithmen für 802.1x verwendet; MD5-Herausforderung, EAP-TLS, EAP-TTLS, PEAP (Protected EAP oder geschütztes EAP) und EAP Cisco Wireless Light Extensible Authentication Protocol (LEAP). Der WLAN-Client identifiziert sich über eine dieser Methoden auf dem RADIUS-Server. Wenn die RADIUS-Authentifizierung vorliegt, wird die Identität des Benutzers mit Datenbankinformationen verglichen. RADIUS beinhaltet einen Satz mit Standards, die sich auf AAA (Authorization, Authentication, and Accounting = Berechtigung, Authentifizierung und Rechnungswesen) beziehen. RADIUS umfasst zudem einen Proxy-Prozess, der Clients in einer Umgebung mit mehreren Servern validiert. Der IEEE 802.1x Standard dient der Zugriffssteuerung und -authentifizierung auf anschlussbasierende 802.11 drahtlose und verdrahtete Ethernet-Netzwerke. Anschlussbasierende Zugriffssteuerung auf Netzwerke ist mit einer LAN-Infrastruktur mit Switching vergleichbar, in der an den LAN-Anschluss angeschlossene Geräte authentifiziert werden, aber der Zugriff auf diesen Anschluss bei fehlgeschlagener Authentifizierung verhindert wird.

Die 802.1x Authentifizierung

Es folgt eine vereinfachte Beschreibung der 802.1x Authentifizierung:

  1. Ein Client sendet eine "Anfrage auf Zugriff"-Meldung an den Zugriffspunkt. Der Zugriffspunkt fragt nach der Identität des Client.
  2. Der Client antwortet mit dem Identitätspaket, das an den Authentifizierungsserver weitergeleitet wird.
  3. Der Authentifizierungsserver sendet ein "Akzeptiert"-Paket an den Zugriffspunkt.
  4. Der Zugriffspunkt setzt den Client-Anschluss in den berechtigten Zustand und die Datenübertragung kann beginnen.

Weitere Informationen zum Einrichten eines 802.1x Profils mit dem Programm Intel(R) PROSet für Wireless finden Sie unter Den Client für WEP- und MD5-Authentifizierung einrichten.


Was ist ein RADIUS?

RADIUS (Remote Access Dial-In User Service) ist ein remoter Anwender-Service zum Einwählen, ein AAA- (Authorization, Authentication and Accounting = Berechtigungs-, Authentifizierungs- und Rechnungs-) Client-Serverprotokoll für die An- oder Abmeldung eines AAA-Einwahl-Clients beim Netzwerk-Access-Server. Ein RADIUS-Server wird üblicherweise von Internet-Serviceanbietern (ISPs) verwendet, um AAA-Aufgaben durchzuführen. AAA-Phasen werden wie folgt beschrieben:


WPA (Wi-Fi Protected Access)

Wi-Fi Protected Access (WPA) oder Wi-Fi geschützter Zugriff ist eine Sicherheitsverbesserung, die eine erhebliche Steigerung für den Datenschutz und die Zugriffssteuerung auf ein WLAN bedeutet. Der WPA-Modus erzwingt die 802.1x Authentifizierung und den Schlüsselaustausch und arbeitet nur mit dynamischen Verschlüsselungscodes. WPA (Wi-Fi Protected Access) verwendet zur verstärkten Datenverschlüsselung das TKIP (Temporal Key Integrity Protocol oder temporäres Schlüsselintegritätsprotokoll). TKIP bietet wichtige Datenverschlüsselungsverbesserungen, zu denen die Schlüsselmischfunktion innerhalb des Pakets, ein MIC (Meldungsintegritätsprüfverfahren), das als Michael bezeichnet wird, ein erweiterter Initialisierungsvektor (IV) mit Sequenzregeln und ein Neuverschlüsselungsmechanismus gehören. Mithilfe dieser Verbesserungen schützt TKIP vor den bekannten Schwachpunkten von WEP.


PEAP

PEAP ist ein neues EAP (Extensible Authentication Protocol oder erweiterbares Authentifizierungsprotokoll) vom IEEE 802.1x Authentifizierungstyp, der entwickelt wurde, um die Vorteile der EAP-Transport Layer Security (EAP-TLS oder EAP-Transportebenensicherheit) auf Serverebene zu nutzen und verschiedene Authentifizierungsmethoden zu unterstützen, einschließlich Benutzerkennwörtern und einmaligen Kennwörtern sowie Generic Token Cards.


Cisco LEAP

Cisco LEAP (EAP Cisco Wireless) ist eine 802.1x Server- und Client-Authentifizierung, die ein vom Benutzer bereitgestelltes Anmeldekennwort verwendet. Wenn ein drahtloser Zugriffspunkt mit einem Cisco LEAP-aktivierten RADIUS (Cisco Secure Access Control Server (ACS)- Server) kommuniziert, bietet Cisco LEAP Zugriffssteuerung über gegenseitige Authentifizierung zwischen den drahtlosen Adaptern auf Client-Ebene und dem drahtlosen Netzwerk, und stellt dynamische Verschlüsselungscodes für die einzelnen Anwender bereit, um die Datensicherheit bei der Übertragung zu gewährleisten.

Cisco Rogue AP-Funktion

Die Cisco Rogue AP-Funktion bietet Schutz vor Zugriff durch einen "rogue" (illegitimen) Zugriffspunkt, der möglicherweise vorgibt, ein legitimer Zugriffspunkt in einem Netzwerk zu sein, um auf diese Weise Informationen über die Benutzerberechtigungen und Authentifizierungsprotokolle abzurufen, was die Sicherheit beeinträchtigen könnte. Diese Funktion ist nur einsatzfähig mit LEAP-Authentifizierung von Cisco. Die standardmäßige 802.11 Technologie schützt ein Netzwerk nicht vor Eindringen durch einen illegitimen Zugriffspunkt.

CKIP

Cisco Key Integrity Protocol (CKIP) ist das proprietäre Sicherheitsprotokoll von Cisco zur Verschlüsselung
von 802.11 Medien. CKIP verwendet die folgenden Funktionen zur Erhöhung der 802.11 Sicherheit im Infrastrukturmodus:

 

Mixed-Cell

 

Einige Zugriffspunkte, zum Beispiel Cisco 350 oder Cisco 1200, unterstützen Umgebungen, in denen nicht alle Client-Stationen WEP-Verschlüsselung unterstützen. Dies wird Mixed-Cell-Modus genannt. Wenn diese drahtlosen Netzwerke im "optionalen Verschlüsselungsmodus" arbeiten, senden Client-Stationen, die sich im WEP-Modus anschließen, alle Meldungen verschlüsselt und Stationen, die sich im Standard-Modus anmelden, alle Meldungen unverschlüsselt. Diese Zugriffspunkte geben bekannt, dass das Netzwerk keine Verschlüsselung verwendet, gestatten Clients jedoch, sich im WEP-Modus anzuschließen. Wenn “Mixed-Cell” in einem Profil aktiviert ist, können Sie Verbindungen zu Zugriffspunkten herstellen, die zur "optionalien Verschlüsselung" konfiguriert sind.

 

HINWEIS: Denken Sie daran, die Option Mixed-Cell (Cisco CCX-Option erforderlich) zu aktivieren, wenn Sie in einem Profil Cisco-Client eXtentions aktivieren verwenden. Ein Cisco CCX-aktiviertes Profil verwendet CKIP-Datenverschlüsselung und 802.1x LEAP-Authentifizierung.

Zurück zum Inhaltsverzeichnis


Bitte lesen Sie alle Einschränkungen und Haftungsablehnungen.