Salauksen yleiskatsaus
WEP-salaus ja laillisuustarkistus
802.1x-laillisuustarkistus
RADIUS
Wi-Fi Protected Access (WPA) -käyttö
PEAP
Cisco LEAP
Langattomien lähiverkkojen suojausta voi tehostaa ottamalla käyttöön tietojen salauksen käyttämällä WEP (Wireless Encryption Protocol) -yhteyskäytäntöä. Voit valita 64- tai 128-bitin salaustason. Tiedot voidaan myös salata avaimella. Toinen parametri nimeltä avainindeksi tarjoaa mahdollisuuden luoda monia avaimia kyseiselle profiilille. Kuitenkin vain yhtä avainta voidaan käyttää kerrallaan. Voit myös suojata Intel(R) PROSet langattomille sovittimille -profiilin salasanalla tietosuojauksen varmistamiseksi. WEP-avain luodaan automaattisesti käyttämällä salalausetta. Voit vaihtoehtoisesti käyttää joko salalausetta tai antaa WEP-avaimen manuaalisesti. 64-bittistä salausta käytettäessä salalause on 5 merkkiä pitkä ja voit antaa minkä tahansa mielivaltaisen ja helposti muistettavan lausekkeen kuten Acme1 tai antaa 10 heksadesimaalinumeroa WEP-avaimelle, joka vastaa verkkoa, johon halutaan yhdistää. 128-bittistä salausta käytettäessä salalause on 13 merkkiä pitkä ja voit antaa 26 heksadesimaalinumeroa WEP-avaimelle haluttuun verkkoon yhdistämiseksi.
Verkon tiedot voidaan suojata käyttämällä WEP-salausta ja jaettua laillisuustarkistusta. WEP-menetelmässä tiedot salataan salausavaimella ennen niiden lähettämistä. Ainoastaan samaa salausavainta käyttävät tietokoneet voivat käyttää verkkoa tai purkaa muiden tietokoneiden lähettämien salattujen tietojen salauksen. Laillisuustarkistus muodostaa lisävarmennustoimenpiteen sovittimen ja tukiaseman välillä.
Tuettuja laillisuustarkistusmenetelmiä ovat Avoin ja Jaettu Avain -laillisuustarkistus:
Kun tiedon salaus (WEP, CKIP tai TKIP) on käytössä, salaamiseen käytetään verkkoavainta. Verkkoavain voidaan myöntää automaattisesti (esimerkiksi langaton verkkosovitin voi myöntää sen) tai sen voi määrittää itse ja määrittää avaimen pituuden (64-bittinen tai 128-bittinen), avaimen muodon (ASCII-merkit tai heksadesimaaliluvut) sekä avainindeksi (tietyn avaimen tallennussijainnin). Avain on sitä turvallisempi, mitä pidempi se on. Aina kun avaimen pituutta kasvatetaan yhdellä bitillä, mahdollisten avainten määrä kaksinkertaistuu. 802.11-laillisuustarkistuksessa langattomalle asemalle voidaan määrittää enintään neljä avainta (avainindeksiarvot ovat 1, 2, 3 ja 4). Kun tukiasema tai langaton asema lähettää salatun sanoman käyttämällä tietyllä avainindeksillä tallennettua avainta, lähetetty sanoma ilmaisee avainindeksin, jota käytettiin viestitekstin salaamisessa. Tämän jälkeen vastaanottava tukiasema tai langaton asema voi hakea tällä avainindeksillä tallennetun avaimen ja käyttää sitä salatun sanomatekstin dekoodaamiseen.
802.1x:ssä käytetään kahdenlaisia salausavaimia, kiinteitä ja dynaamisia avaimia. Kiinteät salausavaimet vaihdetaan manuaalisesti ja ne ovat haavoittuvampia. MD5-laillisuustarkistuksessa käytetään ainoastaan kiinteitä salausavaimia. Dynaamiset salausavaimet uusitaan automaattisesti säännöllisin väliajoin. Tämä lisää salausavainten turvallisuutta. Dynaamisten salausavainten käyttäminen edellyttää sertifikaattipohjaisen 802.1x-laillisuustarkistusmenetelmän, kuten TLS:n, TTLS:n tai PEAP:n, käyttämistä.
802.1x-ominaisuudet
802.1x-anojayhteyskäytäntötuki
EAP (Extensible Authentication Protocol) - RFC 2284 -tuki
Tuetut laillisuustarkistusmenetelmät:
MD5 - RFC 2284
EAP TLS -laillisuustarkistusyhteyskäytäntö - RFC 2716 ja RFC 2246
EAP TTLS (Tunneled TLS )
Cisco LEAP
PEAP
Windows XP- ja 2000 -tuki
Huomautuksia 802.1x-laillisuustarkistuksesta
802.1x-laillisuustarkistusmenetelmät käsittävät salasanat, sertifikaatit ja älykortit.
802.1x-laillisuustarkistusvaihtoehtoja voidaan käyttää ainoastaan Perusrakenne-toimintatilassa.
Verkon laillisuustarkistustilat: EAP-TLS, EAP-TTLS, MD5 Challenge, LEAP (vain Cisco-Client eXtentions -tilassa) ja PEAP (vain WPA-tiloissa)
Yleiskatsaus
802.1x-laillisuustarkistus on riippumaton 802.11-laillisuustarkistusprosessista. 802.1x-standardi muodostaa puitteet erilaisille laillisuustarkistus- ja avaintenhallintayhteyskäytännöille. On olemassa erilaisia 802.1x-laillisuustarkistustyyppejä, joista kukin muodostaa erilaisen lähestymistavan laillisuustarkistukseen käyttämällä samaa 802.1x-yhteyskäytäntöä ja tietoliikennekehystä asiakkaan ja tukiaseman välillä. Useimmissa yhteyskäytännöissä 802.1x-laillisuustarkistuksen suorittamisen jälkeen anoja vastaanottaa avaimen, jota se käyttää tiedon salaamiseen.
802.1x-laillisuustarkistuksessa käytetään laillisuustarkistusmenetelmää asiakkaan ja tukiasemaan kytketyn RADIUS (Remote Authentication Dial-In User Service) -palvelimen välillä. Laillisuustarkistusprosessissa käytetään käyttäjätietoja, kuten käyttäjän salasanaa, jota ei lähetetä langattoman verkon kautta. Useimmat 802.1x-tyypit tukevat käyttäjä- ja istuntokohtaisia dynaamisia avaimia kiinteän salasanasuojauksen vahvistamiseksi. 802.1x hyödyntää olemassa olevaa laillisuustarkistusyhteyskäytäntöä, EAP (Extensible Authentication Protocol) -yhteyskäytäntöä. Langattoman verkon 802.1x-laillisuustarkistus käsittää kolme pääkomponenttia: varmistaja (tukiasema), anoja (asiakasohjelmisto) ja laillisuustarkistuspalvelin (RADIUS-palvelin). 802.1x-laillisuustarkistus käynnistää laillisuustarkistuspyynnön langattomasta verkkoasiakkaasta tukiasemaan, joka tarkistaa asiakkaan laillisuuden EAP (Extensible Authentication Protocol) -yhteensopivaan RADIUS-palvelimeen. RADIUS-palvelin voi tarkistaa joko käyttäjän (salasanojen tai sertifikaattien kautta) tai järjestelmän (MAC-osoitteen kautta) laillisuuden. Teoriassa langattoman asiakkaan ei sallita liittyvän verkkoon, ennen kuin tämä tapahtuma on valmis. 802.1x:ää varten käytetään useita laillisuustarkistusalgoritmeja: MD5-Challenge, EAP-TLS, EAP-TTLS, PEAP (Protected EAP) ja LEAP (EAP Cisco Wireless Light Extensible Authentication Protocol). Nämä kaikki ovat menetelmiä, joilla RADIUS-palvelin voi tunnistaa langattoman verkon asiakkaan. RADIUS-laillisuustarkistuksessa käyttäjien henkilöllisyydet tarkistetaan tietokannoista. RADIUS käsittää joukon AAA (Authentication, Authorization ja Accounting) -standardeja. RADIUS sisältää välityspalvelinprosessin asiakkaiden todentamiseksi monipalvelinympäristössä. IEEE 802.1x -standardi koskee porttiperustaisten langattomien 802.11-verkkojen ja 802.11-Ethernet-kaapeliverkkojen hallinta- ja laillisuustarkistuskäyttöä. Porttiperustainen verkkokäytön hallinta on samanlainen kuin kytkentäisen lähiverkon perusrakenne, joka tarkistaa lähiverkkoporttiin kytkettyjen laitteiden laillisuuden ja estää tämän portin käyttämisen, jos laillisuustarkistus epäonnistuu.
802.1x-laillisuustarkistuksen toiminta
Yksinkertaistetusti 802.1x-laillisuustarkistus toimii seuraavasti:
Lisätietoja 802.1x-profiilin määrittämisestä Intel(R) PROSet langattomille sovittimille -ohjelman avulla on kohdassa Asiakkaan WEP- ja MD5-laillisuustarkistusasetusten määrittäminen.
RADIUS (Remote Access Dial-In User Service) on AAA (Authorization, Authentication, and Accounting) asiakaspalvelinyhteyskäytäntö, jota käytetään AAA-puhelinverkkoasiakkaan kirjautuessa verkkokäyttöpalvelimeen tai siitä ulos. Tyypillisesti Internet-palveluntarjoajat (ISP:t) käyttävät RADIUS-palvelinta AAA-tehtävien suorittamiseen. AAA-vaiheet ovat seuraavat:
Laillisuustarkistusvaihe: Käyttäjänimen ja salasanan tarkistaminen käyttämällä paikallista tietokantaa. Tietojen tarkistamisen jälkeen käynnistyy käyttöoikeuksien tarkistaminen.
Käyttöoikeuksien tarkistusvaihe: Määritetään, sallitaanko pyynnön käyttää resurssia. Puhelinverkkoasiakkaalle on määritetty IP-osoite.
Kirjanpitovaihe: Tietojen kerääminen resurssin käyttämisestä trendianalyysia, valvontaa, istuntoaikalaskutusta tai kulujen kohdentamista varten.
Wi-Fi Protected Access (WPA) on suojauslaajennus, joka vahvistaa huomattavasti langattoman verkon tietojen suojausta ja käytönhallintaa. WPA-tilassa käytetään 802.1x-laillisuustarkistusta ja avainvaihtoa. Se toimii ainoastaan dynaamisten salausavainten kanssa. Salauksen tehostamiseksi WPA-menetelmässä hyödynnetään sen TKIP-yhteyskäytäntöä. TKIP antaa käyttöön tärkeitä tiedon salauksen parannuksia, kuten pakettikohtaisen avaimensekoitustoiminnon, sanoman eheyden tarkistamisen (MIC:n eli Michaelin), sekvenssisäännöillä varustetun laajennetun alustusvektorin (IV) ja uudelleenavainnusmekanismin. Näiden parannusten avulla TKIP suojaa WEP:n tunnetut heikot kohdat.
PEAP on uusi EAP (Extensible Authentication Protocol) IEEE 802.1x -laillisuustarkistustyyppi, joka on suunniteltu hyödyntämään palvelinpuolen EAP-TLS:ää (EAP-Transport Layer Security) ja tukemaan eri laillisuustarkistusmenetelmiä, mukaan lukien käyttäjän salasanat ja kertakäyttöiset salasanat, Generic Token Card -tunnuksia.
Cisco LEAP (EAP Cisco Wireless) on palvelimen ja asiakkaan 802.1x-laillisuustarkistus käyttäjän toimittaman kirjautumissalasanan avulla. Kun langaton tukiasema viestii Cisco LEAP -yhteensopivan RADIUS-palvelimen (Cisco Secure Access Control Server (ACS) -palvelimen) kanssa, Cisco LEAP mahdollistaa käytönhallinnan langattomien asiakassovittimien ja langattoman verkon keskinäisen laillisuustarkistuksen kautta ja antaa käyttöön dynaamiset, käyttäjäkohtaiset salausavaimet, jotka helpottavat lähetettävien tietojen salaamista.
Cisco Rogue AP -ominaisuus
antaa käyttöön suojan epäluotettavilta tukiasemilta, jotka voivat jäljitellä verkon laillisia tukiasemia saadakseen tietoonsa käyttäjätietoja ja laillisuustarkistuksen yhteyskäytäntöjä, mikä voi vaarantaa tietoturvan. Tämä ominaisuus on käytettävissä vain Ciscon LEAP-laillisuustarkistuksen kanssa. 802.11-vakiotekniikka ei suojaa verkkoa epäluotettavilta tukiasemilta.
CKIP
Cisco Key Integrity Protocol (CKIP) on Ciscon oma suojausyhteyskäytäntö tietojen
salaamiseksi 802.11-tietovälineissä. CKIP parantaa 802.11-suojausta perusrakennetilassa hyödyntämällä seuraavia
ominaisuuksia:
Toiset tukiasemat, kuten Cisco 350 ja Cisco 1200, tukevat ympäristöjä, joissa kaikki asiakasasemat eivät tue WEP-salausta. Tätä kutsutaan sekasolutilaksi. Kun tällainen langaton verkko toimii valinnaisessa salaustilassa, WEP-tilassa siihen liittyvät asiakasasemat lähettävät kaikki sanomat salattuina ja vakiotilassa siihen liittyvät asemat lähettävät kaikki sanomat salaamattomina. Nämä tukiasemat ilmoittavat, että verkossa ei käytetä salausta, mutta sallivat asiakkaiden liittymisen WEP-tilaa käyttämällä. Kun sekasolutila on otettu käyttöön profiilissa, on mahdollista muodostaa yhteys tukiasemiin, joissa salaus on määritetty valinnaiseksi.
![]() |
HUOMAUTUS: Varmista, että Lisäasetukset-ikkunassa on valittuna Ota sekasolu käyttöön (vaatii Cisco CCx:ää) -vaihtoehto silloin, kun profiilissa käytetään Ota Cisco-Client eXtentions käyttöön -asetusta. Cisco CCX käytössä -profiilissa käytetään CKIP-salausta ja 802.1x LEAP -laillisuustarkistusta. |
Lue myös Rajoitukset ja vastuuvapautuslausekkeet.