回到內容頁

保全性概述: Intel(R) PRO/Wireless 2200BG 使用者指南


加密概述
WEP 加密和驗證
802.1x 驗證
何謂 RADIUS
Wi-Fi 保護的存取 (WPA)
PEAP
Cisco LEAP


加密概述

WLAN 中的保全性可以使用 WEP (無線加密通訊協定) 啟用資料加密來加以輔助。 您可以選擇 64 或 128 位元等級的加密。 另外,資料也可以用金鑰加密。 另外一個稱為加密金鑰索引的參數會提供選項讓您為該設定檔建立多重加密金鑰。 但是,一次僅能使用一個加密金鑰。 您也可以選擇用密碼保護 Intel(R) PROSet for Wireless 設定檔以確保私密性。 密語是用來自動產生WEP 鍵的。您可以選擇使用密語或手動輸入 WEP 鍵。 使用 64 位元加密,密語是 5 個字元長,您可以配合使用者要連線的網路,為 WEP 鍵選擇任何隨意和容易記住的辭句,像 Acme1,或輸入 10 個十六進位數字。 若是 128 位元加密,密語就是 13 個字元長,或者為 WEP 鍵輸入 26 個十六進位數字以取得與適當網路之間的連線。


WEP 加密和驗證

有線對等式保密 (WEP) 加密和共用驗證為網路上的資料提供保護。 WEP 使用加密鍵在資料傳輸之前對其進行加密。 使用相同加密鍵的電腦才能存取該網路或解密其它電腦傳輸出來的加密資料。 驗證在介面卡和存取點之間提供額外的確認程序。

支援的驗證佈局是 "開放" 和 "共用鍵" 驗證:

網路金鑰

啟用資料加密 (WEP、CKIP 或 TKIP) 時,會使用網路金鑰來進行加密。 網路金鑰可自動提供給您 (例如,可能會提供在您的無線網路介面卡、或者,您可自己輸入並指定金鑰的長度 (64 位元或 128 位元)、金鑰格式 (ASCII 字元或十六進位數字)、以及金鑰索引 (特定金鑰的儲存位置)。 金鑰長度越長、保全性就越高。 金鑰長度每增加一個位元,可能的金鑰數目就增加一倍。 在 802.11 下,無線站台最多可用四個金鑰設定 (金鑰索引值是 1、2、3、和 4)。 當某個存取點或無線站台使用儲存在特定金鑰索引中的金鑰傳輸加密訊息時,傳輸訊息就會顯示用來加密訊息內容的金鑰索引。 然後,接收存取點或無線站台就可以擷取儲存在該金鑰索引中的金鑰,然後,用該金鑰來解開加密的訊息內容。

加密靜態和動態金鑰類型

802.1x 使用兩種類型的加密金鑰,靜態和動態。 靜態加密金鑰是手動方式變更,比較容易受侵害。 MD5 驗證僅使用靜態加密金鑰。 動態加密金鑰會定期自動換新。 這種方法使加密金鑰更安全。 要啟用動態加密金鑰,您一定要使用 802.1x 證書為基礎的驗證方法,例如 TLS、TTLS、或 PEAP。


802.1x 驗證

802.1x 功能

802.1x 驗證注意事項

概述

802.1x 驗證和 802.11 驗證程序是獨立分開的。 802.1x 標準為各種驗證和金鑰管理通訊協定提供架構。 802.1x 驗證類型有許多種,每個都提供不同驗證方法,但是都使用相同的 802.1x 通訊協定和架構在用戶端和存取點之間通訊。 在大部分的通訊協定中,當 802.1x 驗證程序完成時,請求者會接收到用來進行資料加密的金鑰。

使用 802.1x 驗證時,會在用戶端以及連接到存取點的 "遠端驗證撥入使用者服務" (RADIUS) 伺服器之間使用驗證方法。 驗證程序會使用身份證明,例如,不透過無線網路傳輸的使用者密碼。 大部分的 802.1x 類型都支援動態一個使用者、一個會期金鑰來強化靜態金鑰保全性。 802.1x 受到現存的驗證通訊協定,稱為 "可延伸驗證通訊協定" (EAP),的協助。 無線 LAN 的 802.1x 驗證有三個主要元件: 驗證者 (存取點)、請求者 (用戶端軟體)、以及驗證伺服器 ("遠端驗證撥入使用者服務" 伺服器 (RADIUS)。 802.1x 驗證保全性從 WLAN 用戶端對存取點提出授權要求,存取點授權符合 "可延伸驗證通訊協定" (EAP) 的 RADIUS 伺服器給用戶端。 這個 RADIUS 伺服器可能會驗證使用者(透過密碼或證書)或系統 (透過 MAC 位址)。 理論上來說,無線用戶端要等到傳輸完成後才能加入網路。 用於 802.1x 的驗證演算法有數種:MD5 挑戰、EAP-TLS、EAP-TTLS、保護的 EAP (PEAP)、以及 EAP Cisco 無線可輕微延伸的驗證通訊協定 (LEAP)。 這些都是 WLAN 用戶端向 RADIUS 伺服器識別自己的身份的方法。 使用 RADIUS 驗證,使用者的身份會根據資料庫被檢查。 RADIUS 組成一組強調「驗證」、「授權」、和「會計」(AAA) 的標準。 Radius 包括在多重伺服器環境中驗證用戶端的 proxy 程序。 IEEE 802.1x 標準是用來控制和驗證連接埠式 802.11 無線和有線 Ethernet 網路的存取。 連接埠式的網路存取控制和切換本機區域網路 (LAN) 基礎架構類似,如果驗證程序失敗,此架構會驗證連接到 LAN 連接埠的裝置,並預防該連接埠的存取。

802.1x 驗證的作業方式

802.1x 驗證的簡要說明是:

  1. 用戶端傳送 "要求存取" 訊息到存取點。 存取點要求用戶端的身份。
  2. 用戶端以它的身份封包回應,然後傳送到驗證伺服器。
  3. 驗證伺服器傳送 "接受" 封包給存取點。
  4. 存取點會將用戶端連接埠放在授權的狀態,資料流量可允許通過。

請參考設定 WEP 和 MD5 驗證的用戶端以獲取有關使用 Intel(R) for Wireless 公用程式來設定 802.1x 設定檔的詳細資料。


何謂 RADIUS?

RADIUS 是 AAA 撥號用戶端在「網路存取伺服器」登入和登出時的「遠端存取撥入使用者服務」、「授權」、「驗證」、以及「會計」(AAA) 用戶端-伺服器通訊協定。 一般來說,"網路服務提供商" (ISP) 會使用 RADIUS 來執行 AAA 作業。 AAA 階段的說明如下:


Wi-Fi 保護的存取* (WPA)

Wi-Fi 保護的存取 (WPA) 是保全性增強功能,可大幅提高資料保護和 WLAN 存取控制的等級。 WPA 模式執行 802.1x 驗證和金鑰互換,並且僅可與動態加密金鑰作業。 要強化資料加密,WPA 使用會其 "暫時密碼整合通訊協定" (TKIP)。 TKIP 提供重要的資料加密增強功能,包括每個封包的金鑰混合功能、訊息整合性檢查 (MIC) 叫做 Michael、以及含順序規格的延長初始化向量 (IV) 、和再次金鑰設定機制。 使用這些改善的增強功能,TKIP 可防護一些 WEP 的已知弱點。


PEAP

PEAP 是一種新的 "可延伸驗證通訊協定" (EAP) IEEE 802.1x 驗證類型,其設計是要利用伺服器端的 "EAP-傳輸層保全性" (EAP-TLS) 和支援各種驗證方法,包括使用者的密碼和一次性密碼、以及 "一般性 Token 卡"。


Cisco LEAP

Cisco LEAP (EAP Cisco Wireless) 是透過使用者供應的登入密碼的伺服器和用戶端 802.1x 驗證。 當無線存取點與 Cisco LEAP 啟用的 RADIUS (Cisco Secure Access Control Server (ACS) 伺服器)通訊時,Cisco LEAP 會透過用戶端無線介面卡和無線網路介面卡之間的相互驗證提供存取控制和提供動態、個別的使用者加密鍵來幫助保護傳輸資料的私密性。

Cisco Rogue AP 保全性功能

Cisco Rogue AP 功能可從模擬網路上適當存取點的 rogue 存取點開始提供保全性保護,如此,可擷取會影響保全性的使用者身份證明和驗證通訊協定方面的資訊。 這項功能僅適用於 Cisco 的 LEAP 驗證。. 標準 802.11 技術無法保護網路攔阻 rogue 存取點進入。

CKIP

Cisco Key Integrity Protocol (CKIP) 是 Cisco 在 802.11 媒體中加密
的專屬安全性通訊協定。 CKIP 使用以下的功能來改善基礎架構
模式中的 802.11 保全性:

 

混合傳播網路

 

有些存取點,例如 Cisco 350 或 Cisco 1200,可支援不是所有用戶端站台都支援的 WEP 加密環境,這就叫做 "混合廣播網路模式"。 當這些無線網路以 "選擇性加密" 模式操作時,加入 WEP 模式的用戶端站台傳送的訊息全部都會加密,而用標準模式加入的用戶端站台,傳送的訊息全部都不加密。 這些 AP 廣播網路沒有使用加密,但是可允許用戶端使用 WEP 模式加入。 在設定檔中啟用“混合廣播網路”時,就可讓您連接到為“選擇性加密”設定的存取點。

 

注意: 在設定檔中使用「啟用 Cisco-Client eXtentions」時,請確定啟用「進階設定」「混合廣播網路」(需要使用 Cisco CCX 選項)。 啟用 Cisco CCX 的設定檔會使用 CKIP 資料加密和 802.1x LEAP 驗證

回到內容頁


請閱讀所有的限制規定和免責聲明