Takaisin Sisältö-sivulle

Yleistietoja suojauksesta: PRO/Wireless LAN Mini PCI -sovittimen käyttöopas


WEP-salaus ja laillisuustarkistukset
Salauksen yleiskatsaus
Verkon suojaaminen
Laillisuustarkistustyypit
802.1x-laillisuustarkistus
RADIUS
Wi-Fi Protected Access (WPA) -käyttö
PEAP
Cisco LEAP


WEP-salaus ja laillisuustarkistus

Verkon tiedot voidaan suojata käyttämällä WEP-salausta ja jaettua laillisuustarkistusta. WEP-menetelmässä tiedot salataan salausavaimella ennen niiden lähettämistä. Ainoastaan samaa salausavainta käyttävät tietokoneet voivat käyttää verkkoa tai purkaa muiden tietokoneiden lähettämien salattujen tietojen salauksen. Laillisuustarkistus muodostaa lisävarmennustoimenpiteen sovittimen ja tukiaseman välillä.

Tuettuja laillisuustarkistusmenetelmiä ovat Avoin ja Jaettu Avain -laillisuustarkistus:

  • Jaettu-Avain-laillisuustarkistusta tuetaan käyttäen 64-bittisiä ja 128-bittisiä WEP-salausavaimia.
  • Avoin-tila ei käytä salauksen laillisuustarkistusmenetelmää määrättyyn tukiasemaan liittymiseksi.

Verkkoavaimet

Kun tiedon salaus (WEP, CKIP tai TKIP) on käytössä, salaamiseen käytetään verkkoavainta. Verkkoavain voidaan myöntää automaattisesti (esimerkiksi langaton verkkosovitin voi myöntää sen) tai sen voi määrittää itse ja määrittää avaimen pituuden (64-bittinen tai 128-bittinen), avaimen muodon (ASCII-merkit tai heksadesimaaliluvut) sekä avainindeksi (tietyn avaimen tallennussijainnin). Avain on sitä turvallisempi, mitä pidempi se on. Aina kun avaimen pituutta kasvatetaan yhdellä bitillä, mahdollisten avainten määrä kaksinkertaistuu. 802.11-laillisuustarkistuksessa langattomalle asemalle voidaan määrittää enintään neljä avainta (avainindeksiarvot ovat 1, 2, 3 ja 4). Kun tukiasema tai langaton asema lähettää salatun sanoman käyttämällä tietyllä avainindeksillä tallennettua avainta, lähetetty sanoma ilmaisee avainindeksin, jota käytettiin viestitekstin salaamisessa. Tämän jälkeen vastaanottava tukiasema tai langaton asema voi hakea tällä avainindeksillä tallennetun avaimen ja käyttää sitä salatun sanomatekstin dekoodaamiseen.

Kiinteät ja dynaamiset salausavaimet

802.1x:ssä käytetään kahdenlaisia salausavaimia, kiinteitä ja dynaamisia avaimia. Kiinteät salausavaimet vaihdetaan manuaalisesti ja ne ovat haavoittuvampia. MD5-laillisuustarkistuksessa käytetään ainoastaan kiinteitä salausavaimia. Dynaamiset salausavaimet uusitaan automaattisesti säännöllisin väliajoin. Tämä lisää salausavainten turvallisuutta. Dynaamisten salausavainten käyttäminen edellyttää sertifikaattipohjaisen 802.1x-laillisuustarkistusmenetelmän, kuten TLS:n, TTLS:n tai PEAP:n, käyttämistä.


Salauksen yleiskatsaus

Suojaus voidaan toteuttaa langattomissa lähiverkoissa ottamalla käyttöön tietojen salaus käyttäen WEP-protokollaa (Wireless Encryption Protocol). Voit valita 64- tai 128-bitin salaustason. Tiedot voidaan myös salata avaimella. Toinen parametri nimeltä avainindeksi tarjoaa mahdollisuuden luoda monia avaimia kyseiselle profiilille. Kuitenkin vain yhtä avainta voidaan käyttää kerrallaan. Voit myös suojata profiilin salasanalla tietosuojauksen varmistamiseksi. WEP-avain luodaan automaattisesti käyttämällä salalausetta.  Voit vaihtoehtoisesti käyttää joko salalausetta tai antaa WEP-avaimen manuaalisesti. 64-bittistä salausta käytettäessä salalause on 5 merkkiä pitkä ja voit antaa minkä tahansa mielivaltaisen ja helposti muistettavan lausekkeen kuten Acme1 tai antaa 10 heksadesimaalinumeroa WEP-avaimelle, joka vastaa verkkoa, johon halutaan yhdistää. 128-bittistä salausta käytettäessä salalause on 13 merkkiä pitkä ja voit antaa 26 heksadesimaalinumeroa WEP-avaimelle haluttuun verkkoon yhdistämiseksi.

Huomautus: Laitteessa on käytettävä samaa salauslajia, avainindeksinumeroa ja WEP-avainta kuin langattoman verkon muissa laitteissa. Lisäksi jos käytössä on 802.1x-laillisuustarkistus, WEP-salauksen on oltava poissa käytöstä.


Verkon suojaaminen


Laillisuustarkistustyypit

IEEE 802.1x-standardi muodostaa laillisuustarkistuksen perusrakenteen 802-lähiverkoille. Se määrittää EAP (Extensible Authentication Protocol) -laillisuustarkistuksen yhteyskäytännön lähiverkkolähetyksen mahdollistamiseksi monille eri tyyppisille laillisuustarkistuksen yhteyskäytännöille. WAN-asiakas käynnistää laillisuustarkistuspyynnön tukiasemaan, joka tarkistaa asiakkaan laillisuuden EAP (Extensible Authentication Protocol) -yhteensopivaan RADIUS-palvelimeen. RADIUS-palvelin voi tarkistaa joko käyttäjän (salasanojen kautta) tai laitteen (MAC-osoitteen kautta) laillisuuden.  802.1x-laillisuustarkistus on riippumaton 802.11-laillisuustarkistusprosessista. 802.1x-standardi muodostaa laillisuustarkistuksen perusrakenteen. On olemassa erilaisia 802.1x-laillisuustarkistustyyppejä, joista kukin muodostaa erilaisen lähestymistavan laillisuustarkistukseen käyttämällä samaa yhteyskäytäntöä ja tietoliikennekehystä asiakkaan ja tukiaseman välillä. Useimmissa yhteyskäytännöissä 802.1x-laillisuustarkistuksen suorittamisen jälkeen anoja vastaanottaa avaimen, jota se käyttää tiedon salaamiseen.

Lisätietoja 802.1x-profiilin määrittämisestä on kohdassa Asiakkaan WEP- ja MD5-laillisuustarkistusasetusten määrittäminen.


802.1x-laillisuustarkistus

802.1x-ominaisuudet

  • 802.1x-anojayhteyskäytäntötuki

  • EAP (Extensible Authentication Protocol) - RFC 2284 -tuki

  • Tuetut laillisuustarkistusmenetelmät:

    • MD5 - RFC 2284

    • EAP TLS -laillisuustarkistusyhteyskäytäntö - RFC 2716 ja RFC 2246

    • EAP TTLS (Tunneled TLS )

    • Cisco LEAP

    • PEAP

  • Windows XP- ja 2000 -tuki 

Huomautuksia 802.1x-laillisuustarkistuksesta

  • 802.1x-laillisuustarkistusmenetelmät käsittävät salasanat, sertifikaatit ja älykortit.

  • 802.1x-laillisuustarkistusvaihtoehtoja voidaan käyttää ainoastaan Perusrakenne-toimintatilassa.

  • Verkon laillisuustarkistustilat: EAP-TLS, EAP-TTLS, MD5 Challenge, LEAP (vain Cisco-Client eXtentions -tilassa) ja PEAP (vain WPA-tiloissa)

Yleiskatsaus

802.1x-laillisuustarkistus on riippumaton 802.11-laillisuustarkistusprosessista. 802.1x-standardi muodostaa puitteet erilaisille laillisuustarkistus- ja avaintenhallintayhteyskäytännöille. On olemassa erilaisia 802.1x-laillisuustarkistustyyppejä, joista kukin muodostaa erilaisen lähestymistavan laillisuustarkistukseen käyttämällä samaa 802.1x-yhteyskäytäntöä ja tietoliikennekehystä asiakkaan ja tukiaseman välillä. Useimmissa yhteyskäytännöissä 802.1x-laillisuustarkistuksen suorittamisen jälkeen anoja vastaanottaa avaimen, jota se käyttää tiedon salaamiseen. Lisätietoja on kohdassa 802.1x ja tiedon salaus. 802.1x-laillisuustarkistuksessa käytetään laillisuustarkistusmenetelmää asiakkaan ja tukiasemaan kytketyn RADIUS (Remote Authentication Dial-In User Service) -palvelimen välillä. Laillisuustarkistusprosessissa käytetään käyttäjätietoja, kuten käyttäjän salasanaa, jota ei lähetetä langattoman verkon kautta. Useimmat 802.1x-tyypit tukevat käyttäjä- ja istuntokohtaisia dynaamisia avaimia kiinteän salasanasuojauksen vahvistamiseksi. 802.1x hyödyntää olemassa olevaa laillisuustarkistusyhteyskäytäntöä, EAP (Extensible Authentication Protocol) -yhteyskäytäntöä. Langattoman verkon 802.1x-laillisuustarkistus käsittää kolme pääkomponenttia: varmistaja (tukiasema), anoja (asiakasohjelmisto) ja laillisuustarkistuspalvelin (RADIUS-palvelin). 802.1x-laillisuustarkistus käynnistää laillisuustarkistuspyynnön langattomasta verkkoasiakkaasta tukiasemaan, joka tarkistaa asiakkaan laillisuuden EAP (Extensible Authentication Protocol) -yhteensopivaan RADIUS-palvelimeen. RADIUS-palvelin voi tarkistaa joko käyttäjän (salasanojen tai sertifikaattien kautta) tai järjestelmän (MAC-osoitteen kautta) laillisuuden.  Teoriassa langattoman asiakkaan ei sallita liittyvän verkkoon, ennen kuin tämä tapahtuma on valmis. 802.1x:ää varten käytetään useita laillisuustarkistusalgoritmeja: MD5-Challenge, EAP-TLS, EAP-TTLS, PEAP (Protected EAP) ja LEAP (EAP Cisco Wireless Light Extensible Authentication Protocol). Nämä kaikki ovat menetelmiä, joilla RADIUS-palvelin voi tunnistaa langattoman verkon asiakkaan. RADIUS-laillisuustarkistuksessa käyttäjien henkilöllisyydet tarkistetaan tietokannoista. RADIUS käsittää joukon AAA (Authentication, Authorization ja Accounting) -standardeja. RADIUS sisältää välityspalvelinprosessin asiakkaiden todentamiseksi monipalvelinympäristössä. IEEE 802.1x -standardi koskee porttiperustaisten langattomien 802.11-verkkojen ja 802.11-Ethernet-kaapeliverkkojen hallinta- ja laillisuustarkistuskäyttöä. Porttiperustainen verkkokäytön hallinta on samanlainen kuin kytkentäisen lähiverkon perusrakenne, joka tarkistaa lähiverkkoporttiin kytkettyjen laitteiden laillisuuden ja estää tämän portin käyttämisen, jos laillisuustarkistus epäonnistuu.

802.1x-laillisuustarkistuksen toiminta

Yksinkertaistetusti 802.1x-laillisuustarkistus toimii seuraavasti:

  1. Asiakas lähettää "käyttöpyyntö"-sanoman tukiasemaan. Tukiasema vaatii asiakasta ilmaisemaan tunnuksensa.
  2. Asiakas vastaa toimittamalla tunnistepakettinsa, joka välitetään laillisuusvarmistuspalvelimen kautta.
  3. Laillisuustarkistuspalvelin lähettää "hyväksyntä"-paketin tukiasemaan.
  4. Tukiasema asettaa asiakasportin valtuutettuun tilaan ja tietoliikenteen jatkaminen sallitaan.

RADIUS

RADIUS (Remote Access Dial-In User Service) on AAA (Authorization, Authentication, and Accounting) asiakaspalvelinyhteyskäytäntö, jota käytetään AAA-puhelinverkkoasiakkaan kirjautuessa verkkokäyttöpalvelimeen tai siitä ulos. Tyypillisesti Internet-palveluntarjoajat (ISP:t) käyttävät RADIUS-palvelinta AAA-tehtävien suorittamiseen. AAA-vaiheet ovat seuraavat:

  • Laillisuustarkistusvaihe: Käyttäjänimen ja salasanan tarkistaminen käyttämällä paikallista tietokantaa. Tietojen tarkistamisen jälkeen käynnistyy käyttöoikeuksien tarkistaminen.

  • Käyttöoikeuksien tarkistusvaihe: Määritetään, sallitaanko pyynnön käyttää resurssia. Puhelinverkkoasiakkaalle on määritetty IP-osoite.

  • Kirjanpitovaihe: Tietojen kerääminen resurssin käyttämisestä trendianalyysia, valvontaa, istuntoaikalaskutusta tai kulujen kohdentamista varten.


Wi-Fi Protected Access* (WPA) -käyttö

Wi-Fi Protected Access (WPA) on suojauslaajennus, joka vahvistaa huomattavasti langattoman verkon tietojen suojausta ja käytönhallintaa. WPA-tilassa käytetään 802.1x-laillisuustarkistusta ja avainvaihtoa. Se toimii ainoastaan dynaamisten salausavainten kanssa. Salauksen tehostamiseksi WPA-menetelmässä hyödynnetään sen TKIP-yhteyskäytäntöä. TKIP antaa käyttöön tärkeitä tiedon salauksen parannuksia, kuten pakettikohtaisen avaimensekoitustoiminnon, sanoman eheyden tarkistamisen (MIC:n eli Michaelin), sekvenssisäännöillä varustetun laajennetun alustusvektorin (IV) ja uudelleenavainnusmekanismin. Näiden parannusten avulla TKIP suojaa WEP:n tunnetut heikot kohdat.


PEAP

PEAP on uusi EAP (Extensible Authentication Protocol) IEEE 802.1x -laillisuustarkistustyyppi, joka on suunniteltu hyödyntämään palvelinpuolen EAP-TLS:ää (EAP-Transport Layer Security) ja tukemaan eri laillisuustarkistusmenetelmiä, mukaan lukien käyttäjän salasanat ja kertakäyttöiset salasanat, Generic Token Card -tunnuksia.


Cisco LEAP

Cisco LEAP (EAP Cisco Wireless) on palvelimen ja asiakkaan 802.1x-laillisuustarkistus käyttäjän toimittaman kirjautumissalasanan avulla. Kun langaton tukiasema viestii Cisco LEAP -yhteensopivan RADIUS-palvelimen (Cisco Secure Access Control Server (ACS) -palvelimen) kanssa, Cisco LEAP mahdollistaa käytönhallinnan langattomien asiakassovittimien ja langattoman verkon keskinäisen laillisuustarkistuksen kautta ja antaa käyttöön dynaamiset, käyttäjäkohtaiset salausavaimet, jotka helpottavat lähetettävien tietojen salaamista.

Cisco Rogue AP -ominaisuus

antaa käyttöön suojan epäluotettavilta tukiasemilta, jotka voivat jäljitellä verkon laillisia tukiasemia saadakseen tietoonsa käyttäjätietoja ja laillisuustarkistuksen yhteyskäytäntöjä, mikä voi vaarantaa tietoturvan. Tämä ominaisuus on käytettävissä vain Ciscon LEAP-laillisuustarkistuksen kanssa. 802.11-vakiotekniikka ei suojaa verkkoa epäluotettavilta tukiasemilta.

CKIP

Cisco Key Integrity Protocol (CKIP) on Ciscon oma suojausyhteyskäytäntö tietojen
salaamiseksi 802.11-tietovälineissä. CKIP parantaa 802.11-suojausta perusrakennetilassa hyödyntämällä seuraavia
ominaisuuksia:

  • Avainten vaihtaminen
  • Sanoman eheyden tarkistaminen
  • Sanoman järjestysnumero

Takaisin Sisältö-sivulle


Lue myös Rajoitukset ja vastuuvapautuslausekkeet.