Torna al Sommario

Informazioni generali sulla protezione: Manuale dell'utente di Intel(R) PRO/Wireless 2200BG


Panoramica sulla crittografia
Crittografia WEP e autenticazione
Autenticazione 802.1x
Che cos'è RADIUS?
Accesso protetto Wi-Fi (WPA)
PEAP
Cisco LEAP


Panoramica sulla crittografia

È possibile proteggere ulteriormente la WLAN tramite l'attivazione della crittografia dei dati basata su WEP (Wireless Encryption Protocol). È possibile scegliere tra il livello di crittografia a 64 bit e quello a 128 bit. Anche i dati possono essere crittografati utilizzando una chiave. Un altro parametro, chiamato indice chiavi, consente di creare più chiavi per un profilo. È tuttavia possibile utilizzare solo una chiave alla volta. È inoltre possibile scegliere di utilizzare una password per il profilo di Intel(R) PROSet for Wireless per assicurarne la protezione. La frase di accesso è utilizzata per generare automaticamente una chiave WEP. Viene data l’opzione di utilizzare la frase di accesso oppure di immettere manualmente la chiave WEP. Nella crittografia a 64 bit la frase di accesso è lunga 5 caratteri ed è possibile scegliere di immettere una frase arbitraria qualsiasi facile da ricordare, come Ditta, oppure immettere come chiave WEP 10 numeri esadecimali, corrispondenti alla rete a cui l'utente desidera connettersi. Nella crittografia a 128 bit la frase di accesso è lunga 13 caratteri oppure è possibile immettere come chiave WEP 26 numeri esadecimali per connettersi alla rete appropriata.


Crittografia WEP e autenticazione

La crittografia WEP (Wired Equivalent Privacy) e l'autenticazione condivisa offrono la protezione dei dati sulla rete. Quando si utilizza la crittografia WEP i dati vengono codificati tramite una chiave di crittografia prima di essere trasmessi. Solo i computer che usano la stessa chiave di crittografia possono accedere alla rete o decodificare i dati crittografati trasmessi da altri computer. L'autenticazione offre un ulteriore processo di convalida a partire dalla scheda di rete verso il punto di accesso.

Gli schemi di autenticazione supportati sono l'autenticazione in modalità aperta e quella a chiave condivisa:

Chiavi di rete

Quando la crittografia dati (WEP, CKIP o TKIP) è attivata, per la crittografia viene usata una chiave di rete. Una chiave di rete può essere fornita all'utente automaticamente (per esempio, potrebbe essere inclusa nella propria scheda di rete wireless) oppure può essere immessa dall'utente che ne specifica la lunghezza (64 o 128 bit), il formato (caratteri ASCII o cifre esadecimali) e l'indice (la posizione in cui è memorizzata la chiave specifica). Maggiore è la lunghezza della chiave e più protetta è la chiave. Ogni volta che la lunghezza di una chiave viene aumentata di un bit, il numero possibile di chiavi raddoppia. In 802.11, una stazione wireless può essere configurata con un massimo di quattro chiavi (i valori di indice delle chiavi sono 1, 2, 3 e 4). Quando un punto di accesso o una stazione wireless trasmette un messaggio crittografato usando la chiave memorizzata in uno specifico indice di chiave, il messaggio trasmesso indica l'indice di chiave che è stato utilizzato per crittografare il testo del messaggio. Il punto di accesso o la stazione wireless ricevente può quindi richiamare la chiave che è memorizzata in corrispondenza dell'indice della chiave e usarla per decodificare il testo crittografato del messaggio.

Chiavi di crittografia di tipo statico e dinamico

802.1x utilizza due tipi di chiavi di crittografia, uno statico e uno dinamico. Le chiavi di crittografia statiche vengono cambiate manualmente e sono più vulnerabili. L'autenticazione MD5 usa solo chiavi di crittografia statiche. Le chiavi di crittografia dinamiche vengono rinnovate automaticamente con scadenza periodica. Per questo motivo le chiavi di crittografia dinamiche sono più sicure. Per attivare le chiavi di crittografia dinamiche è necessario utilizzare i metodi di autenticazione 802.1x basati su certificato, come TLS, TTLS o PEAP.


Autenticazione 802.1x

Funzioni 802.1x

Note sull'autenticazione 802.1x

Panoramica

L'autenticazione 802.1x è indipendente dal processo di autenticazione 802.11. Lo standard 802.1x offre una struttura per vari protocolli di autenticazione e di gestione delle chiavi. Esistono autenticazioni 802.1x di tipo diverso; ciascuna offre un approccio differente all'autenticazione ma tutte impiegano lo stesso protocollo 802.1x e struttura per la comunicazione tra un client e un punto di accesso. Nella maggior parte dei protocolli, al completamento del processo di autenticazione 802.1x il richiedente riceve una chiave che utilizza per crittografare i dati.

L'autenticazione 802.1x prevede l'uso di un metodo di autenticazione tra il client e un server RADIUS (Remote Authentication Dial-In User Service) connesso al punto di accesso. Il processo di autenticazione usa credenziali, come una password dell'utente che non sono trasmesse sulla rete wireless. La maggior parte dei tipi 802.1x supportano chiavi dinamiche per utente e per sessione, che rafforzano la protezione della chiave statica. 802.1x si avvantaggia dell'utilizzo di un protocollo di autenticazione esistente conosciuto come l'Extensible Authentication Protocol (EAP). L'autenticazione 802.1x per le LAN wireless è costituita da tre maggiori componenti: l'autenticatore (il punto di accesso), il richiedente (il software del client) e il server di autenticazione (un server RADIUS). Un client WAN dà inizio a una richiesta di autenticazione 802.1x presso un punto di accesso, il quale esegue l'autenticazione del client a un server RADIUS compatibile con EAP. Il server RADIUS può autenticare l'utente (tramite password o certificati) o il sistema (tramite l'indirizzo MAC).  In teoria, al client wireless non è consentito far parte della rete finché la transazione non è completata. Per 802.1x sono usati svariati algoritmi di autenticazione; MD5-Challenge, EAP-TLS, EAP-TTLS, EAP protetto (PEAP), e EAP Cisco Wireless Light Extensible Authentication Protocol (LEAP). Sono tutti metodi utilizzati dai client WLAN per identificare se stessi presso il server RADIUS. Con l'autenticazione RADIUS, le identità degli utenti sono controllate confrontandole con i dati contenuti nei database. RADIUS è costituito da un insieme di standard di autenticazione, autorizzazione e accounting (AAA). Radius dispone di un processo proxy per convalidare i client in un ambiente multiserver. Lo standard IEEE 802.1x serve per controllare e autenticare l'accesso alle reti Ethernet basate su cavo e a quelle wireless 802.11 basate su porta. Il controllo dell'accesso alle reti basate su porta è simile a un'infrastruttura LAN con tecnologia switch che autentica le periferiche collegate a una porta LAN e impedisce l'accesso a tale porta se il processo di autenticazione non riesce.

Come funziona l'autenticazione 802.1x

La procedura di autenticazione 802.1x può essere semplicemente descritta nel modo seguente:

  1. Un client invia a un punto di accesso un messaggio di "richiesta di accesso". Il punto di accesso richiede l'identità del client.
  2. Il client risponde inviando il pacchetto contenente la propria identità, che viene quindi trasmesso al server di autenticazione.
  3. Il server di autenticazione invia al punto di accesso un pacchetto di "accettazione".
  4. Il punto di accesso cambia lo stato della porta del client che viene autorizzata a far passare il traffico di dati.

Per dettagli sull'impostazione di un profilo 802.1x usando l'utilità Intel(R) PROSet for Wireless, fare riferimento a Impostazione del client per l'autenticazione WEP e MD5.


Che cos'è RADIUS?

RADIUS (Remote Access Dial-In User Service) è un protocollo client-server AAA (Authorization, Authentication, Accounting) utilizzato quando un client AAA remoto esegue la procedura di accesso o di chiusura della sessione da un server di accesso alla rete (NAS). I server RADIUS sono in genere utilizzati dai provider di servizi Internet (ISP) per eseguire operazioni di tipo AAA. Le fasi AAA sono le seguenti:


Accesso protetto Wi-Fi (Wi-Fi Protected Access*; WPA)

L'accesso protetto Wi-Fi (WPA) rappresenta una funzione di protezione potenziata che aumenta significativamente il livello di protezione dei dati e il controllo dell'accesso alla WLAN. La modalità WPA impone l'autenticazione 802.1x e lo scambio di chiavi e funziona solo con le chiavi di crittografia dinamiche. Per rendere ancora più sicura la crittografia dei dati, WPA utilizza TKIP (Temporal Key Integrity Protocol). TKIP offre importanti miglioramenti per la crittografia dei dati, che includono una funzione di utilizzo misto di chiavi per pacchetto, il controllo dell'integrità dei messaggi (MIC) chiamato Michael, un vettore di inizializzazione (IV) esteso con regole di sequenza e un meccanismo di rigenerazione delle chiavi. Questi miglioramenti di TKIP offrono una protezione maggiore dai punti deboli di WEP.


PEAP

PEAP è un nuovo tipo di autenticazione IEEE 802.1x EAP (Extensible Authentication Protocol) che utilizza il livello di trasporto EAP-TLS sul lato del server e supporta svariati metodi di autenticazione, incluse le password dell'utente, le password per una singola sessione e le Generic Token Card.


Cisco LEAP

Cisco LEAP (EAP Cisco Wireless) è un metodo di autenticazione 802.1x per server e client realizzata tramite una password di accesso fornita dall'utente. Quando un punto di accesso wireless comunica con un server Cisco RADIUS compatibile con LEAP (server Cisco Secure Access Control Server (ACS)), Cisco LEAP offre il controllo dell'accesso tramite l'autenticazione reciproca delle schede di rete wireless dei client e della rete wireless, realizzata con chiavi di crittografia per utente singolo che facilitano la salvaguardia della privacy dei dati trasmessi.

Funzione di protezione Cisco dai punti di accesso non autorizzati

La funzione di protezione Cisco per i punti di accesso non autorizzati consente di proteggersi dall'introduzione sulla rete di punti di accesso non autorizzati che, presentandosi come punti di accesso legittimi, potrebbero estrarre le informazioni riguardanti le credenziali degli utenti e i protocolli di autenticazione, compromettendo la sicurezza. Questa funzione è operativa solo con l'autenticazione LEAP di Cisco. La tecnologia dello standard 802.11 non protegge la rete dall'introduzione di punti di accesso non autorizzati.

CKIP

Cisco Key Integrity Protocol (CKIP) è il protocollo di protezione proprietario di Cisco per la crittografia
su supporti 802.11. CKIP usa le seguenti funzioni per migliorare la protezione di 802.11 nella modalità
infrastruttura:

 

Cella mista

 

Alcuni punti di accesso, come i Cisco 350 o Cisco 1200, supportano gli ambienti in cui non tutte le stazioni client adottano la crittografia WEP, ovvero supportano il funzionamento cosiddetto in modalità cella mista. Quando queste reti wireless operano in modalità "crittografia opzionale", le stazioni client che partecipano alla rete in modalità WEP inviano tutti i messaggi crittografati, mentre le stazioni che funzionano in modalità standard inviano tutti i messaggi senza crittografarli. I punti di accesso di questo tipo annunciano che sulla rete non è usata la crittografia, ma consentono ai client di parteciparvi in modalità WEP. Quando in un profilo viene attivata la “cella mista” è possibile connettersi ai punti di accesso configurati per il funzionamento con la “crittografia opzionale”.

 

NOTA: quando in un profilo è selezionata l'opzione Attiva Cisco Client eXtensions accertarsi che in Impostazioni avanzate sia selezionata l'opzione Attiva cella mista (opzione Cisco CCX richiesta). I profili che hanno attivata l'opzione Cisco CCX usano la crittografia dei dati CKIP e l'autenticazione LEAP 802.1x.

Torna al Sommario


Leggere le sezioni relative alle limitazioni e declinazioni di responsabilità.