Tillbaka till Innehåll

Säkerhet - översikt: PRO/trådlöst LAN Mini-PCI-kort Användarhandbok


WEP-kryptering och -verifiering
Kryptering - översikt
Skydda ditt nätverk
Verifieringstyper
802.1x-verifiering
Vad är en RADIUS?
WPA (Wi-Fi Protected Access*)
PEAP
Cisco LEAP


WEP-kryptering och verifiering

WEP-kryptering (Wired Equivalent Privacy) och delad verifiering tillhandahåller skydd för data i nätverket. WEP använder en krypteringsnyckel i syfte att kryptera data innan de överförs. Det är bara datorer som använder samma krypteringsnyckel som kan komma åt nätverket eller avkryptera de krypterade data som överförts av andra datorer. Verifiering tillhandahåller ytterligare en valideringsprocess från kortet till åtkomstpunkten.

Autentiseringsscheman som du kan använda är Open- och Shared-Key-autentisering:

  • Shared-Key-verifiering stöds genom att använda 64-bitars- och 128-bitars WEP-krypteringsnycklar.
  • Open-läget använder inte en krypteringsverifieringsmetod för att associera med en specifik åtkomstpunkt.

Nätverksnycklar

När Datakryptering (WEP, CKIP eller TKIP) är aktiverad används en nätverksnyckel för kryptering. En nätverksnyckel kan tillhandahållas till dig automatiskt (den kan t ex tillhandahållas på din trådlösa nätverksadapter eller ange den själv och ange nyckellängden (64-bitars eller 128-bitars), nyckelformatet (ASCII-tecken eller hexadecimala siffror) och nyckelindex (den plats som en specifik nyckel lagras i). Ju längre nyckellängden är ju säkrare är nyckeln. Varje gång längden på en nyckel ökas med en bit fördubblas antalet möjliga nycklar. Under 802.11 kan en trådlös station konfigureras med upp till fyra nycklar (nyckelindexvärdena är 1, 2, 3 och 4). När en åtkomstpunkt eller en trådlös station överför ett krypterat meddelande genom att använda en nyckel som förvaras i ett specifikt nyckelindex anger det överförda meddelandet det nyckelindex som användes för att kryptera meddelandetexten. Den mottagande åtkomstpunkten eller trådlösa stationen kan sedan hämta nyckeln som förvaras i nyckelindex och använda den för att avkoda den krypterade meddelandetexten.

Krypteringens statiska och dynamiska nyckeltyper

802.1x använder två olika typer av krypteringsnycklar, statiska och dynamiska. Statiska krypteringsnycklar ändras manuellt och är mer sårbara. MD5-verifiering använder bara statiska krypteringsnycklar. Dynamiska krypteringsnycklar förnyas automatiskt på en periodisk basis. Detta gör den eller de krypteringsnycklar mer säkra. För att kunna aktivera dynamiska krypteringsnycklar måste du använda 802.1x certifikatbaserade verifieringsmetoder såsom TLS, TTLS eller PEAP.


Kryptering - översikt

Du kan uppnå ytterligare säkerhet i WLAN genom att aktivera datakryptering med WEP (Wireless Encryption Protocol). Du kan välja kryptering på 64- eller 128-bitarsnivå. Data kan sedan också krypteras med en nyckel. En annan parameter som kallas nyckelindex ger dig möjlighet att skapa flera nycklar för den profilen. Du kan dock bara använda en nyckel åt gången. Du kan också välja att lösenordsskydda profilen i syfte att garantera sekretess. Lösenordsmeningen används för att generera en WEP-nyckel automatiskt. Du kan välja att antingen använda en lösenordsmening eller ange en WEP-nyckel manuellt. Om du använder 64-bitarskryptering är lösenordsmeningen fem tecken lång och du kan välja att ange en slumpmässig fras som är lätt att använda såsom Acme1 eller ange 10 hexadecimala siffror för WEP-nyckeln som motsvarar det nätverk som användaren vill ansluta till. För 128-bitarskryptering är lösenordsmeningen 13 tecken lång eller så kan du ange 26 hexadecimala siffror för WEP-nyckeln för att anslutas till lämpligt nätverk.

Obs! Du måste använda samma krypteringstyp, nyckelindexnummer och WEP-nyckel som andra enheter i ditt trådlösa nätverk. Om du dessutom använder 802.1x-verifiering måste du avaktivera WEP-kryptering.


Skydda ditt nätverk


Verifieringstyper

IEEE 802.1x-standarden tillhandahåller en allmän verifieringsstruktur för 802-LAN och anger ett utökningsbart verifieringsprotokoll (EAP) för att aktivera LAN-transport för många olika typer av verifieringsprotokoll. En WAN-klient initierar en auktoriseringsbegäran till åtkomstpunkten som verifierar klienten för en EAP-överensstämmande (Extensible Authentication Protocol) RADIUS-server. Denna RADIUS-server kan verifiera antingen användaren (visa lösenord) eller maskinen (med MAC-adress).  802.1x-verifieringen är oberoende av 802.11-verifieringsprocessen. 802.1x-standarden tillhandahåller en verifieringsstruktur. Det finns olika 802.1x-verifieringstyper som var och en utgör ett annorlunda tillvägagångssätt avseende verifiering och som använder samma protokoll och struktur för kommunikation mellan en klient och en åtkomstpunkt. I flertalet protokoll gäller att vid slutförandet av 802.1x-verifieringsprocessen kommer den som anropar att få en nyckel som den använder för datakryptering. 

Se Ställa in klienten för WEP- och MD5-verifiering för information om hur du ställer in en 802.1x-profil.


802.1x-verifiering

802.1x-funktioner

  • 802.1x-anropningsprotokollstöd

  • Stöd för EAP (Extensible Authentication Protocol) - RFC 2284

  • Verifieringsmetoder som stöds:

    • MD5 - RFC 2284

    • EAP TLS-verifieringsprotokoll - RFC 2716 och RFC 2246

    • EAP tunnel TLS (TTLS)

    • Cisco LEAP

    • PEAP

  • Stöder Windows XP, 2000  

802.1x-verifieringsanmärkningar

  • 802.1x-verifieringsmetoder inkluderar lösenord, certifikat och smarta kort (plastkort som förvarar data)

  • 802.1x-verifieringsalternativet kan bara användas med driftsläget Infrastruktur

  • Lägena för nätverksverifiering är: EAP-TLS, EAP-TTLS, MD5 Challenge, LEAP (endast för läget Cisco-Client eXtentions) och PEAP (endast för WPA-lägen)

Översikt

802.1x-verifieringen är oberoende av 802.11-verifieringsprocessen. Standarden 802.1x tillhandahåller en struktur för olika verifierings- och nyckelhanteringsprotokoll. Det finns olika 802.1x-verifieringstyper som var och en tillhandahåller olika sätt att verifiera men alla använder sig av samma 802.1x-protokoll och struktur för kommunikation mellan klient och åtkomstpunkt. I flertalet protokoll gäller att vid slutförandet av 802.1x-verifieringsprocessen kommer den som anropar att få en nyckel som den använder för datakryptering.  Se 802.1x och datakryptering för mer information. Med 802.1x-verifiering används en verifieringsmetod mellan klienten och en RADIUS-server (Remote Authentication Dial-In User Service) som är ansluten till åtkomstpunkten. Verifieringsprocessen använder identifieringsinformation, såsom en användares lösenord, som inte överförs över det trådlösa nätverket. Flertalet 802.1x-typer stöder dynamiska per-användare-, per-sessionnycklar för att förstärka den statiska nyckelsäkerheten. 802.1x-fördelar från användningen av ett befintligt verifieringsprotokoll som kallas EAP (Extensible Authentication Protocol). 802.1x-verifiering för trådlösa LAN har tre huvudkomponenter: Verifieraren (åtkomstpunkten), den som anropar (klientprogramvaran) och verifieringsservern (en RADIUS-server (Remote Authentication Dial-In User Service). 802.1x-verifieringssäkerhet initierar en auktoriseringsbegäran från WLAN-klienten till åtkomstpunkten som verifierar klienten till en EAP-kompatibel (Extensible Authentication Protocol) RADIUS-server. Denna RADIUS-server kan antingen verifiera användaren (via lösenord eller certifikat) eller systemet (med MAC-adress). I teorin har den trådlösa klienten inte tillstånd att gå med i nätverken förrän transaktionen är klar. Det finns flera verifieringsalgoritmer som används för 802.1x: MD5-Challenge, EAP-TLS, EAP-TTLS, skyddad EAP (PEAP) och EAP Cisco Wireless LEAP (Light Extensible Authentication Protocol). Dessa är alla metoder för WLAN-klienten att identifiera sig själv för RADIUS-servern. Med RADIUS-verifiering kontrolleras användaridentiteter mot databaser. RADIUS utgör en uppsättning med standarder som avser verifiering, auktorisering och bokföring eller AAA (Authentication, Authorization and Accounting). RADIUS inkluderar en proxyprocess som validerar klienter i en flerservermiljö. IEEE 802.1x-standarden används för att styra och verifiera åtkomst till portbaserade 802.11 trådlösa och kabelanslutna Ethernet-nätverk. Portbaserad nätverksåtkomstkontroll liknar en växlad LAN-infrastruktur som verifierar enheter som är anslutna till en LAN-port och förhindrar åtkomst till den porten om verifieringsprocessen misslyckas.

Hur 802.1x-verifiering fungerar

En förenklad beskrivning av 802.1x-verifiering följer:

  1. En klient skickar en "begäran att komma åt" ett meddelande till en åtkomstpunkt. Åtkomstpunkten begär klientens identitet.
  2. Klienten svarar med sitt identitetspaket som skickas till verifieringsservern.
  3. Verifieringsservern skickar ett "acceptera"-paket till åtkomstpunkten.
  4. Åtkomstpunkten placerar klientporten i auktoriserat läge och datatrafiken kan fortsätta.

Vad är en RADIUS?

RADIUS (Remote Access Dial-In User Service) är en tjänst för fjärråtkomstanvändare, ett AAA-klientserverprotokoll (Authorization, Authentication och Accounting) som gäller när en AAA-fjärranslutningsklient loggar in till eller ut från en nätverksåtkomstserver. Vanligtvis används en RADIUS-server av Internet-leverantörer (ISP) för att utföra AAA-uppgifter. AAA-faser beskrivs enligt följande:

  • Verifieringsfas: Verifierar ett användarnamn och lösenord mot en lokal databas. När identifieringsinformationen bekräftats påbörjas auktoriseringsprocessen.

  • Auktoriseringsfas: Avgör om en begäran tillåts åtkomst till en resurs. En IP-adress tilldelas för fjärranslutningsklienten.

  • Bokföringsfas: Samlar ihop information om resursanvändning med avsikt att använda den för trendanalys, granskning, fakturering för sessionstid eller kostnadsallokering.


WPA (Wi-Fi Protected Access*)

WPA (Wi-Fi Protected Access) är en säkerhetsförbättring som avsevärt ökar dataskyddsnivån och åtkomstkontrollen till ett WLAN. WPA-läget påtvingar 802.1x-verifiering och nyckelutbyte och fungerar enbart med dynamiska krypteringsnycklar. I syfte att förbättra datakryptering använder WPA sin TKIP (Temporal Key Integrity Protocol). TKIP tillhandahåller viktiga förbättringar avseende datakryptering. Dessa förbättringar inkluderar en blandningsfunktion med per-paket-nyckel, en MIC (Message Integrity Check) som kallas Michael och som är en förlängd initieringsvektor (IV) med sekvensregler och även en mekanism för nya nycklar. Genom att använda dessa förbättringar skyddas TKIP mot WEP:s kända svagheter.


PEAP

PEAP är en ny EAP (Extensible Authentication Protocol) IEEE 802.1x-verifieringstyp som är avsedd att dra fördel av EAP-Transport Layer Security (EAP-TLS) på serversidan och att stödja olika verifieringsmetoder, inklusive användarlösenord och engångslösenord och generiska token-kort.


Cisco LEAP

Cisco LEAP (EAP Cisco Wireless) är en server och klient 802.1x-verifiering via användarangivet inloggningslösenord. När en trådlös åtkomstpunkt kommunicerar med en Cisco LEAP-aktiverad RADIUS-server (Cisco Secure Access Control Server (ACS)), tillhandahåller Cisco LEAP åtkomstkontroll genom gemensam verifiering mellan klientens trådlösa kort och det trådlösa nätverket och tillhandahåller dynamiska, individuella användarkrypteringsnycklar för att hjälpa till att skydda sekretessen för överförda data. 

Cisco Rogue AP-säkerhetsfunktion

Funktionen Cisco Rogue AP tillhandahåller säkerhetsskydd mot en introduktion av en s k rogue eller otillåten åtkomstpunkt som skulle kunna imitera en legitim åtkomstpunkt i ett nätverk för att extrahera information om användarreferenser och verifieringsprotokoll vilket skulle kunna kompromissa säkerheten. Denna funktion kan bara användas med Ciscos LEAP-verifiering. Standardteknologin 802.11 skyddar inte ett nätverk från att en otillåten åtkomstpunkt introduceras. 

CKIP

CKIP (Cisco Key Integrity Protocol) är Ciscos egna säkerhetsprotokoll för kryptering
i 802.11-media. CKIP använder följande funktioner för att förbättra 802.11-säkerhet i infrastrukturläge:

  • KP (Key Permutation)
  • Message Integrity Check
  • Meddelandesekvensnummer

Tillbaka till Innehåll


Läs alla begränsningar och ansvarsfriskrivningar..