Tillbaka till Innehåll

Säkerhet - översikt: Intel(R) PRO/Wireless 2200BG Användarhandbok


Kryptering - översikt
WEP-kryptering och verifiering
802.1x-verifiering
Vad är en RADIUS?
WPA (Wi-Fi Protected Access)
PEAP
Cisco LEAP


Kryptering - översikt

Du kan uppnå säkerhet i WLAN genom att aktivera datakryptering med WEP (Wireless Encryption Protocol). Du kan välja kryptering på 64- eller 128-bitarsnivå. Data kan sedan också krypteras med en nyckel. En annan parameter som kallas nyckelindex ger dig möjlighet att skapa flera nycklar för den profilen. Du kan dock bara använda en nyckel åt gången. Du kan också välja att lösenordsskydda en profil av typ Intel(R) PROSet för trådlösa anslutningar i syfte att garantera sekretess. Lösenordsmeningen används för att generera en WEP-nyckel automatiskt. Du kan välja att antingen använda en lösenordsmening eller ange en WEP-nyckel manuellt. Om du använder 64-bitarskryptering är lösenordsmeningen fem tecken lång och du kan välja att ange en slumpmässig fras som är lätt att använda såsom Acme1 eller ange 10 hexadecimala siffror för WEP-nyckeln som motsvarar det nätverk som användaren vill ansluta till. För 128-bitarskryptering är lösenordsmeningen 13 tecken lång eller så kan du ange 26 hexadecimala siffror för WEP-nyckeln för att anslutas till lämpligt nätverk.


WEP-kryptering och verifiering

WEP-kryptering (Wired Equivalent Privacy) och delad verifiering tillhandahåller skydd för data i nätverket. WEP använder en krypteringsnyckel i syfte att kryptera data innan de överförs. Det är bara datorer som använder samma krypteringsnyckel som kan komma åt nätverket eller avkryptera de krypterade data som överförts av andra datorer. Verifiering tillhandahåller ytterligare en valideringsprocess från kortet till åtkomstpunkten.

Verifieringsscheman som du kan använda är Open- och Delad-Nyckel-verifiering:

Nätverksnycklar

När Datakryptering (WEP, CKIP eller TKIP) är aktiverad används en nätverksnyckel för kryptering. En nätverksnyckel kan tillhandahållas till dig automatiskt (den kan t ex tillhandahållas på din trådlösa nätverksadapter eller ange den själv och ange nyckellängden (64-bitars eller 128-bitars), nyckelformatet (ASCII-tecken eller hexadecimala siffror) och nyckelindex (den plats som en specifik nyckel lagras i). Ju längre nyckellängden är ju säkrare är nyckeln. Varje gång längden på en nyckel ökas med en bit fördubblas antalet möjliga nycklar. Under 802.11 kan en trådlös station konfigureras med upp till fyra nycklar (nyckelindexvärdena är 1, 2, 3 och 4). När en åtkomstpunkt eller en trådlös station överför ett krypterat meddelande genom att använda en nyckel som förvaras i ett specifikt nyckelindex anger det överförda meddelandet det nyckelindex som användes för att kryptera meddelandetexten. Den mottagande åtkomstpunkten eller trådlösa stationen kan sedan hämta nyckeln som förvaras i nyckelindex och använda den för att avkoda den krypterade meddelandetexten.

Kryptering med statiska och dynamiska nyckeltyper

802.1x använder två olika typer av krypteringsnycklar, statiska och dynamiska. Statiska krypteringsnycklar ändras manuellt och är mer sårbara. MD5-verifiering använder bara statiska krypteringsnycklar. Dynamiska krypteringsnycklar förnyas automatiskt på en periodisk basis. Detta gör den eller de krypteringsnycklar mer säkra. För att kunna aktivera dynamiska krypteringsnycklar måste du använda 802.1x certifikatbaserade verifieringsmetoder såsom TLS, TTLS eller PEAP.


802.1x-verifiering

802.1x-funktioner

802.1x-verifieringsanteckningar

Översikt

802.1x-verifieringen är oberoende av 802.11-verifieringsprocessen. Standarden 802.1x tillhandahåller en struktur för olika verifierings- och nyckelhanteringsprotokoll. Det finns olika 802.1x-verifieringstyper som var och en tillhandahåller olika sätt att verifiera men alla använder sig av samma 802.1x-protokoll och struktur för kommunikation mellan klient och åtkomstpunkt. I flertalet protokoll gäller att vid slutförandet av 802.1x-verifieringsprocessen kommer den som anropar att få en nyckel som den använder för datakryptering. 

Med 802.1x-verifiering används en verifieringsmetod mellan klienten och en RADIUS-server (Remote Authentication Dial-In User Service) som är ansluten till åtkomstpunkten. Verifieringsprocessen använder identifieringsinformation, såsom en användares lösenord, som inte överförs över det trådlösa nätverket. Flertalet 802.1x-typer stöder dynamiska per-användare-, per-sessionnycklar för att förstärka den statiska nyckelsäkerheten. 802.1x-fördelar från användningen av ett befintligt verifieringsprotokoll som kallas EAP (Extensible Authentication Protocol). 802.1x-verifiering för trådlösa LAN har tre huvudkomponenter: Verifieraren (åtkomstpunkten), den som anropar (klientprogramvaran) och verifieringsservern (en RADIUS-server (Remote Authentication Dial-In User Service)). 802.1x-verifieringssäkerhet initierar en auktoriseringsbegäran från WLAN-klienten till åtkomstpunkten som verifierar klienten till en EAP-kompatibel (Extensible Authentication Protocol) RADIUS-server. Denna RADIUS-server kan antingen verifiera användaren (via lösenord eller certifikat) eller systemet (med MAC-adress). I teorin har den trådlösa klienten inte tillstånd att gå med i nätverken förrän transaktionen är klar. Det finns flera verifieringsalgoritmer som används för 802.1x: MD5-Challenge, EAP-TLS, EAP-TTLS, skyddad EAP (PEAP) och EAP Cisco Wireless LEAP (Light Extensible Authentication Protocol). Dessa är alla metoder för WLAN-klienten att identifiera sig själv för RADIUS-servern. Med RADIUS-verifiering kontrolleras användaridentiteter mot databaser. RADIUS utgör en uppsättning med standarder som avser verifiering, auktorisering och bokföring eller AAA (Authentication, Authorization and Accounting). RADIUS inkluderar en proxyprocess som validerar klienter i en flerservermiljö. IEEE 802.1x-standarden används för att styra och verifiera åtkomst till portbaserade 802.11 trådlösa och kabelanslutna Ethernet-nätverk. Portbaserad nätverksåtkomstkontroll liknar en växlad LAN-infrastruktur som verifierar enheter som är anslutna till en LAN-port och förhindrar åtkomst till den porten om verifieringsprocessen misslyckas.

Hur 802.1x-verifiering fungerar

En förenklad beskrivning av 802.1x-verifiering följer:

  1. En klient skickar en "begäran att komma åt" ett meddelande till en åtkomstpunkt. Åtkomstpunkten begär klientens identitet.
  2. Klienten svarar med sitt identitetspaket som skickas till verifieringsservern.
  3. Verifieringsservern skickar ett "acceptera"-paket till åtkomstpunkten.
  4. Åtkomstpunkten placerar klientporten i auktoriserat läge och datatrafiken kan fortsätta.

Se Ställa in klienten för WEP- och MD5-verifiering för information om hur du ställer in en 802.1x-profil med verktyget Intel(R) PROSet för trådlösa anslutningar.


Vad är en RADIUS?

RADIUS (Remote Access Dial-In User Service) är en tjänst för fjärråtkomstanvändare, ett AAA-klientserverprotokoll (Authorization, Authentication och Accounting) som gäller när en AAA-fjärranslutningsklient loggar in till eller ut från en nätverksåtkomstserver. Vanligtvis används en RADIUS-server av Internet-leverantörer (ISP) för att utföra AAA-uppgifter. AAA-faser beskrivs enligt följande:


WPA (Wi-Fi Protected Access*)

WPA (Wi-Fi Protected Access) är en säkerhetsförbättring som avsevärt ökar dataskyddsnivån och åtkomstkontrollen till ett WLAN. WPA-läget påtvingar 802.1x-verifiering och nyckelutbyte och fungerar enbart med dynamiska krypteringsnycklar. I syfte att förbättra datakryptering använder WPA sin TKIP (Temporal Key Integrity Protocol). TKIP tillhandahåller viktiga förbättringar avseende datakryptering. Dessa förbättringar inkluderar en blandningsfunktion med per-paket-nyckel, en MIC (Message Integrity Check) som kallas Michael och som är en förlängd initieringsvektor (IV) med sekvensregler och även en mekanism för nya nycklar. Genom att använda dessa förbättringar skyddas TKIP mot WEP:s kända svagheter.


PEAP

PEAP är en ny EAP (Extensible Authentication Protocol) IEEE 802.1x-verifieringstyp som är avsedd att dra fördel av EAP-Transport Layer Security (EAP-TLS) på serversidan och att stödja olika verifieringsmetoder, inklusive användarlösenord och engångslösenord och generiska token-kort.


Cisco LEAP

Cisco LEAP (EAP Cisco Wireless) är en server och klient 802.1x-verifiering via användarangivet inloggningslösenord. När en trådlös åtkomstpunkt kommunicerar med en Cisco LEAP-aktiverad RADIUS-server (Cisco Secure Access Control Server (ACS)), tillhandahåller Cisco LEAP åtkomstkontroll genom gemensam verifiering mellan klientens trådlösa kort och det trådlösa nätverket och tillhandahåller dynamiska, individuella användarkrypteringsnycklar för att hjälpa till att skydda sekretessen för överförda data. 

Cisco Rogue AP-säkerhetsfunktion

Funktionen Cisco Rogue AP tillhandahåller säkerhetsskydd mot en introduktion av en s k rogue eller otillåten åtkomstpunkt som skulle kunna imitera en legitim åtkomstpunkt i ett nätverk för att extrahera information om användarreferenser och verifieringsprotokoll vilket skulle kunna kompromissa säkerheten. Denna funktion kan bara användas med Ciscos LEAP-verifiering. Standardteknologin 802.11 skyddar inte ett nätverk från att en otillåten åtkomstpunkt introduceras. 

CKIP

CKIP (Cisco Key Integrity Protocol) är Ciscos egna säkerhetsprotokoll för kryptering
i 802.11-media. CKIP använder följande funktioner för att förbättra 802.11-säkerhet i infrastrukturläge:

 

Blandad cell

 

Vissa åtkomstpunkter t.ex. Cisco 350 eller Cisco 1200 stödjer miljöer i vilka inte alla klientstationer stödjer WEP-kryptering: detta kallas Blandat cell-läge. När dessa trådlösa nätverk används i läget för "valfri kryptering" kommer klientstationer som går med i WEP-läge att skicka alla meddelanden krypterade. Stationer som går med genom att använda standardläge skickar alla meddelanden avkrypterade. Dessa åtkomstpunkter sänder ut att nätverket inte använder kryptering men tillåter klienter att gå med genom att använda WEP-läge. När "Blandad-cell" är aktiverat i en profil kan du ansluta till åtkomstpunkter som är konfigurerade för "valfri kryptering".

 

OBS! Se till att du aktiverar de avancerade inställningarna Aktivera blandad cell (kräver Cisco CCX-tillvalet) när du använder Aktivera Cisco-Client eXtentions i en profil. En Cisco CCX-aktiverad profil använder CKIP-datakryptering och 802.1x LEAP-verifiering.

Tillbaka till Innehåll


Läs alla begränsningar och ansvarsfriskrivningar.