Codering - overzicht
WEP-codering en verificatie
802.1x-verificatie
Wat is RADIUS
WPA (Wi-Fi Protected Access)
PEAP
Cisco LEAP
U kunt de beveiliging van het WLAN verbeteren door gegevenscodering met behulp van WEP (Wireless Encryption Protocol) in te schakelen. U kunt kiezen uit 64-bits of 128-bits codering. De gegevens kunnen ook worden gecodeerd met een sleutel. Met de parameter voor een sleutelindex beschikt u over een optie om meerdere sleutels voor een profiel te maken. Er kan echter maar één sleutel tegelijk worden gebruikt. Om de privacy te garanderen kunt u een profiel in Intel(R) PROSet for Wireless ook nog beveiligen met een wachtwoord. Met een wachtwoordgroep worden WEP-sleutels automatisch gegenereerd. U kunt een wachtwoordgroep gebruiken of een WEP-sleutel handmatig invoeren. Wanneer u 64-bits codering gebruikt, is de wachtwoordgroep 5 tekens lang. U kunt hiervoor elke willekeurige en makkelijk te onthouden frase kiezen (zoals Acme1). U kunt ook de 10 hexadecimale cijfers invoeren voor de WEP-sleutel die correspondeert met het netwerk waarmee de gebruiker verbinding wil maken. Bij 128-bits codering is de wachtwoordgroep 13 tekens lang. U kunt ook de 26 hexadecimale cijfers invoeren voor de WEP-sleutel die nodig is om verbinding te maken met het netwerk.
WEP-codering (Wired Equivalent Privacy) en gedeelde verificatie bieden bescherming voor netwerkgegevens. WEP gebruikt een coderingssleutel om gegevens te coderen voor transmissie. Alleen computers met dezelfde coderingssleutel kunnen toegang tot het netwerk krijgen of gecodeerde gegevens van andere computers decoderen. Verificatie biedt een aanvullend validatieproces tussen de adapter en het toegangspunt.
De ondersteunde verificatieschema's zijn open verificatie en verificatie middels een gedeelde sleutel:
Wanneer Gegevenscodering (WEP, CKIP of TKIP) is ingeschakeld, wordt voor de codering gebruik gemaakt van een netwerksleutel. Deze netwerksleutel kan automatisch worden geleverd (deze kan bijvoorbeeld worden geleverd door de draadloze netwerkadapter of u kunt deze zelf invoeren en de lengte (64-bits of 128-bits), indeling (ASCII-tekens of hexadecimale cijfers) en index (de locatie waar een specifieke sleutel is opgeslagen) voor de sleutel opgeven). Hoe langer de sleutel, des te veiliger deze is. Elke keer dat u de lengte van een sleutel met een bit uitbreidt, verdubbelt het aantal mogelijke sleutels. Onder 802.11 kan een draadloos station met maximaal vier sleutels (de waarden voor de sleutelindex zijn 1, 2, 3 en 4) worden geconfigureerd. Wanneer een toegangspunt of een draadloos station een gecodeerd bericht verzendt met een sleutel die in een specifieke sleutelindex is opgeslagen, geeft het verzonden bericht de sleutelindex aan waarmee de berichtinhoud is gecodeerd. Het ontvangende toegangspunt of draadloze station kan vervolgens de sleutel ophalen uit de sleutelindex waarin deze is opgeslagen en de sleutel dan gebruiken om de gecodeerde berichtinhoud te decoderen.
Met 802.1x worden twee typen coderingssleutels gebruikt, statische en dynamische. Statische coderingssleutels worden handmatig gewijzigd en zijn meer kwetsbaar. MD5-verificatie werkt alleen met statische coderingssleutels. Dynamische coderingssleutels worden op regelmatige basis automatisch vernieuwd. Hierdoor zijn deze coderingssleutels veel veiliger. Als u dynamische coderingssleutels wilt inschakelen, dient u 802.1x-verificatiemethoden op basis van certificaten, zoals TLS, TTLS of PEAP, te gebruiken.
802.1x-voorzieningen
802.1x-protocolondersteuning voor aanvrager
Ondersteuning voor het Extensible Authentication Protocol (EAP) - RFC 2284
Ondersteunde verificatiemethoden:
MD5 - RFC 2284
EAP TLS Authentication Protocol - RFC 2716 en RFC 2246
EAP Tunneled TLS (TTLS)
Cisco LEAP
PEAP
Ondersteunt Windows 2000 en XP
Opmerkingen bij 802.1x-verificatie
802.1x-verificatiemethoden maken gebruik van wachtwoorden, certificaten en smartcards (plastic kaarten waarop u gegevens kunt opslaan)
802.1x-verificatie werkt alleen in de infrastructuurmodus
Een aantal methoden voor netwerkverificatie zijn: EAP-TLS, EAP-TTLS, MD5 Challenge, LEAP (alleen voor de modus Cisco-Client eXtentions) en PEAP (alleen voor de WPA-modi)
Overzicht
802.1x-verificatie is onafhankelijk van het 802.11-verificatieproces. De 802.1x-standaard biedt een structuur voor meerdere verificatie- en sleutelbeheerprotocollen. De verschillende 802.1x-verificatietypen bieden elk een andere benadering van verificatie maar ze maken wel allemaal gebruik van hetzelfde protocol en dezelfde communicatiestructuur tussen een client en een toegangspunt. Bij de meeste protocollen ontvangen aanvragers, wanneer het 802.1x-verificatieproces is voltooid, een sleutel die ze voor gegevenscodering gebruiken.
Bij 802.1x-verificatie wordt een verificatiemethode gebruikt tussen de client en een RADIUS-server (Remote Authentication Dial-In User Service) die is verbonden met het toegangspunt. Voor het verificatieproces wordt gebruik gemaakt van referenties, zoals gebruikersnamen en wachtwoorden, die niet over het draadloze netwerk worden verzonden. Het merendeel van de 802.1x-typen ondersteunt dynamische sleutels per gebruiker en per sessie zodat de statische sleutelbeveiliging nog veiliger wordt. 802.1x maakt bovendien gebruik van een bestaand verificatieprotocol dat Extensible Authentication Protocol (EAP) wordt genoemd. 802.1x-verificatie voor draadloze LAN's bestaat uit drie basiscomponenten: De verificator (het toegangspunt), de aanvrager (de clientsoftware) en de verificatieserver (een RADIUS-server). Met 802.1x-verificatie wordt een autorisatieverzoek van de WLAN-client naar het toegangspunt gestuurd. Het toegangspunt verifieert de client vervolgens via een EAP-compatibele RADIUS-server. Deze RADIUS-server kan de gebruiker (via wachtwoorden of certificaten) of het systeem (via het MAC-adres) verifiëren. In theorie mag de draadloze client pas op het netwerk wanneer de transactie is voltooid. Voor 802.1x worden verscheidene verificatiealgoritmen gebruikt: MD5-Challenge, EAP-TLS, EAP-TTLS, PEAP (Protected EAP) en LEAP (Cisco Wireless Light Extensible Authentication Protocol). Met al deze methoden kan de WLAN-client zich identificeren bij de RADIUS-server. Bij RADIUS-verificatie wordt de identiteit van de gebruiker geverifieerd op basis van gegevens in databases. RADIUS bestaat uit een aantal standaarden die tegemoet komen aan verificatie, autorisatie en accounting (AAA - Authentication, Authorization, Accounting). Radius omvat onder meer een proxy-proces voor het valideren van clients in een multi-server omgeving. Met de IEEE 802.1x-standaard wordt toegang beheerd en geverifieerd voor draadloze en bekabelde 802.11 Ethernet-netwerken op basis van poorten. Toegangsbeheer voor op poorten gebaseerde netwerken lijkt op een LAN-infrastructuur met switches die apparaten verifieert die op een LAN-poort worden aangesloten en toegang tot de desbetreffende poort voorkomt als het verificatieproces mislukt.
Hoe werkt 802.1x-verificatie?
Hieronder vindt u een vereenvoudigde beschrijving van de 802.1x-verificatie:
Zie De client instellen voor WEP- en MD5-verificatie voor meer gedetailleerde informatie over het instellen van een 802.1x-profiel met het hulpprogramma Intel(R) PROSet for Wireless.
RADIUS staat voor Remote Access Dial-In User Service, een client-server-protocol voor autorisatie, verificatie en accounting (AAA - Authorization, Authentication, Accounting) dat wordt gebruikt wanneer een AAA-inbelclient zich aan- of afmeldt bij een server voor netwerktoegang. RADIUS-servers worden vaak gebruikt door Internet Service Providers (ISP) voor het uitvoeren van AAA-taken. De verschillende AAA-fasen zijn als volgt:
Verificatiefase: Controleert of een gebruikersnaam en wachtwoord overeenkomen met gegevens in een lokale database. Zodra de persoonsgegevens zijn gecontroleerd, begint het autorisatieproces.
Autorisatiefase: Bepaalt of een verzoek om toegang tot een resource al dan niet wordt ingewilligd. Er wordt een IP-adres toegewezen aan de inbelclient.
Accountingfase: Verzamelt informatie over het gebruik van resources voor trendanalyse, controles, sessiefacturering of kostentoewijzing.
WPA (Wi-Fi Protected Access) is een beveiligingsuitbreiding waarmee het niveau van gegevensbeveiliging en toegangsbeheer van een WLAN aanzienlijk wordt verhoogd. De WPA-modus dwingt 802.1x-verificatie en sleuteluitwisseling af en werkt alleen met dynamische coderingssleutels. WPA maakt voor versterking van de gegevenscodering gebruik van TKIP (Temporal Key Integrity Protocol). TKIP biedt belangrijke uitbreidingen voor gegevenscodering waaronder een sleutelmixfunctie per pakket, een berichtintegriteitscontrole (MIC - Message Integrity Check), Michael genoemd, een uitgebreide initialisatievector (IV) met opvolgingsregels en een re-keyingmechanisme. Met deze uitbreidingen biedt TKIP beveiliging tegen bekende zwakke punten van WEP.
PEAP is een nieuw EAP IEEE 802.1x-verificatietype (Extensible Authentication Protocol) dat is ontworpen om optimaal gebruik te maken van EAP-TLS (EAP-Transport Layer Security) aan de serverzijde en dat meerdere verificatiemethoden, zoals gebruikerswachtwoorden en eenmalige wachtwoorden, en Generic Token Cards ondersteunt.
Cisco LEAP (Cisco Light EAP) is een 802.1x-verificatie voor client en server op basis van een door de gebruiker opgegeven aanmeldingswachtwoord. Wanneer een draadloos toegangspunt communiceert met een Cisco LEAP-enabled RADIUS-server (ACS - Cisco Secure Access Control Server), beheert Cisco LEAP de toegang door de wederzijdse verificatie van de draadloze clientadapters en het draadloze netwerk en biedt LEAP dynamische, individuele gebruikerssleutels waarmee de privacy van verzonden gegevens wordt beveiligd.
De beveiligingsvoorziening Cisco Rogue AP
De voorziening Cisco Rogue AP biedt beveiliging tegen bedrieglijke toegangspunten die zich op netwerken kunnen voordoen als geldige toegangspunten zodat onrechtmatige toegang tot informatie over gebruikersreferenties en verificatieprotocollen wordt verkregen en de beveiliging nog verder wordt ondermijnd. Deze voorziening werkt alleen met LEAP-verificatie van Cisco. Standaard 802.11-technologie beveiligt een netwerk niet tegen bedrieglijke toegangspunten.
CKIP
CKIP (Cisco Key Integrity Protocol) is een beveiligingsprotocol van Cisco voor codering in 802.11-media. CKIP maakt gebruik van de volgende voorzieningen om de 802.11-beveiliging in de infrastructuurmodus te verbeteren:
Sommige toegangspunten, zoals Cisco 350 en Cisco 1200, ondersteunen omgevingen waarin niet alle clients WEP-codering ondersteunen. Dit wordt de modus Gemengde cel genoemd. Wanneer deze draadloze netwerken functioneren in de modus waarin codering optioneel is, worden pakketten vanaf stations waarop WEP is ingeschakeld, gecodeerd verzonden en worden pakketten vanaf stations zonder WEP, ongecodeerd verzonden. Deze toegangspunten zenden uit dat er geen codering wordt gebruikt in het netwerk, maar clients kunnen zich wel aanmelden met gebruik van WEP. Wanneer de modus “Gemengde cel” is ingeschakeld in een profiel, kunt u een verbinding tot stand brengen met toegangspunten die zijn geconfigureerd met optionele codering.
![]() |
Opmerking: Wanneer u de optie Cisco-Client eXtentions inschakelen selecteert in een profiel, moet u in de gavanceerde instellingen de optie Gemengde cel (vereist optie Cisco CCX) inschakelen. Een profiel waarin Cisco CCX is ingeschakeld, maakt gebruik van CKIP-gegevenscodering en 802.1x LEAP-verificatie. |
Lees alle voorwaarden voor het gebruik.