Tilbake til Innhold-siden

Oversikt over sikkerhet: Brukerhåndbok for PRO/Wireless LAN Mini PCI-kort


WEP-kryptering og -godkjenning
Krypteringsoversikt
Beskytte nettverket
Godkjenningstyper
802.1x-godkjenning
Hva er en RADIUS
Wi-Fi-beskyttet tilgang (WPA)
PEAP
Cisco LEAP


WEP-kryptering og -godkjenning

WEP-kryptering (Wired Equivalent Privacy) og delt godkjenning beskytter dataene på nettverket. WEP bruker en krypteringsnøkkel til å kryptere dataene før sending. Bare datamaskiner som bruker samme krypteringsnøkkel, får tilgang til nettverket eller kan dekryptere de krypterte dataene som overføres av andre datamaskiner. Godkjenning utgjør en ekstra valideringsprosess fra kortet til tilgangspunktet.

Godkjenningsoppsett som støttes, er åpen og delt nøkkelgodkjenning:

  • Delt nøkkelgodkjenning støttes med 64-biters og 128-biters WEP-krypteringsnøkler.
  • Åpen modus bruker ikke noen godkjenningsmetode for kryptering til å koble til et bestemt tilgangspunkt.

Nettverksnøkler

Når Datakryptering (WEP, CKIP eller TKIP) er aktivert, brukes en nettverksnøkkel til krypteringen. En nettverksnøkkel kan gis deg automatisk (for eksempel kan den gis på ditt trådløse nettverkskort, eller du kan sette den inn selv, og angi nøkkellengden (64-bit eller 128-bit), nøkkelformat (ASCII-tegn eller hexadesimaltall) og nøkkelindeks (stedet der en spesifikk nøkkel er lagret). Desto lenger nøkkellengde, jo sikrere er nøkkelen. Hver gang lengden på en nøkkel økes med én bit, fordobles antallet mulige nøkler. Under 802.11 kan en trådløs stasjon konfigureres med inntil fire nøkler (nøkkelindeksverdiene er 1, 2, 3 og 4). Når et tilgangspunkt eller en trådløs stasjon overfører en kryptert melding ved hjelp av en nøkkel som er lagret i en spesifikk nøkkelindeks, angir den overførte meldingen nøkkelindeksen som ble brukt til å kryptere meldingsinnholdet. Mottakstilgangspunktet eller den trådløse stasjonen kan deretter hente nøkkelen som er lagret i nøkkelindeksen, og bruke den til å dekode det krypterte meldingsinnholdet.

Krypteringsstatiske og -dynamiske nøkkeltyper

802.1x bruker to typer krypteringsnøkler, statiske og dynamiske. Statiske krypteringsnøkler blir endret manuelt og er mer sårbare. MD5-godkjenning bruker bare statiske krypteringsnøkler. Dynamiske krypteringsnøkler fornyes automatisk med jevne mellomrom. Dette gjør krypteringsnøkkelen/-nøklene sikrere. For å aktivere de dynamiske krypteringsnøklene må du bruke 802.1x-godkjenningsmetodene som TLS eller TTLS eller PEAP.


Oversikt over kryptering

Sikkerhet på WLAN kan oppnås ved å aktivere datakryptering ved hjelp av WEP (Wireless Encryption Protocol). Du kan velge mellom 64-biters eller 128-biters kryptering. Dataene kan også krypteres med en nøkkel. En annen parameter som kalles nøkkelindeksen gir mulighet for å opprette flere nøkler for samme profil. Bare én nøkkel kan imidlertid brukes samtidig. Du kan også velge å passordbeskytte profilen for å sikre personvernet. Passordet brukes til å generere en WEP-nøkkel automatisk. Du kan velge om du vil bruke et passord eller skrive inn WEP-nøkkelen manuelt. Ved 64-biters kryptering er passordet på fem tegn, og du kan velge å skrive inn et tilfeldig passord som er enkelt å huske, for eksempel Brus1, eller skrive inn ti heksadesimale tall som tilsvarer nettverket brukeren vil koble til, for WEP-nøkkelen. Ved 128-biters kryptering er passordet på tretten tegn, eller du kan skrive inn 26 heksadesimale tall for WEP-nøkkelen for å koble til riktig nettverk.

Obs! Du må bruke samme krypteringstype, nøkkelindeksnummer og WEP-nøkkel som de andre enhetene på det trådløse nettverket. Vær også klar over at hvis 802.1x-godkjenning brukes, må WEP-kryptering deaktiveres.


Beskytte nettverket


Godkjenningstyper

Standarden IEEE 802.1x gir en generell godkjenningsramme for 802 LANs og angir en utvidbar godkjenningsprotokoll (EAP) for å aktivere LAN-transport for mange ulike typer godkjenningsprotokoller. En WAN-klient starter en godkjenningsforespørsel til tilgangspunktet, som godkjenner klienten til en EAP-tilpasset (Extensible Authentication Protocol) RADIUS-server. RADIUS-serveren kan godkjenne brukeren (via passord) eller datamaskinen (ved MAC-adressen).  802.1x-godkjenningen er uavhengig av 802.11-godkjenningsprosessen. Standarden 802.1x gir et autentifikasjonsrammeverk. Det finnes forskjellige 802.1x autentifikasjonstyper, og hver gir forskjellige innfallsvinkler til godkjenningen, men alle tar i bruk den samme protokollen og det samme rammeverk for kommunikasjonen mellom en klient og et tilgangspunkt. I de fleste protokollene, når 802.1x-godkjenningsprosessen er ferdig, mottar søkeren en nøkkel som den benytter til datakryptering.

Se Konfigurere klienten for WEP- og MD5-godkjenning for å få detaljer om å sette opp en 802.1x-profil.


802.1x Bekreftelse

802.1x-funksjoner

  • 802.1x-søkerprotokollstøtte

  • Støtte for Extensible Authentication Protocol (EAP) - RFC 2284

  • Støttede godkjenningsmetoder:

    • MD5 - RFC 2284

    • EAP TLS-godkjenningsprotokoll - RFC 2716 og RFC 2246

    • EAP Tunneled TLS (TTLS)

    • Cisco LEAP

    • PEAP

  • Støtter Windows XP, 2000  

Merknader om 802.1x-godkjenning

  • 802.1x-godkjenningsmetoder, inkludert passord, sertifikater og smartkort (plastkort som inneholder data)

  • 802.1x-godkjenningsalternativet kan bare brukes sammen med driftsmodusen Infrastruktur

  • Nettverksgodkjenningsmodusene er: EAP-TLS, EAP-TTLS, MD5 Challenge, LEAP (bare for Cisco-Client eXtentions-modus) og PEAP (bare for WPA-modus)

Oversikt

802.1x-godkjenningen er uavhengig av 802.11-godkjenningsprosessen. 802.1x-standarden gir et rammeverk for flere godkjennings- og nøkkeladministrasjonsprotokoller. Det finnes forskjellige 802.1x-godkjenningstyper, og hver gir forskjellige innfallsvinkler til godkjenningen, men alle tar i bruk den samme 802.1x-protokollen og det samme rammeverk for kommunikasjonen mellom en klient og et tilgangspunkt. I de fleste protokollene, når 802.1x-godkjenningsprosessen er ferdig, mottar søkeren en nøkkel som den benytter til datakryptering. Se 802.1x og datakryptering hvis du vil ha mer informasjon. Med 802.1x-godkjenning brukes en godkjenningsmetode mellom klienten og en RADIUS-server (Remote Authentication Dial-In User Service) som er koblet til tilgangspunktet. Godkjenningsprosessen benytter legitimasjonsbeskrivelsene, slik som en brukers passord, som ikke sendes over det trådløse nettverket. De fleste 802.1x-typene støtter dynamisk per-bruker, per økt-nøkler for å styrke den statiske nøkkelsikkerheten. 802.1x tjener på bruken av eksisterende godkjenningsprotokoll kjent som EAP (Extensible Authentication Protocol). 802.1x-godkjenning for trådløse LAN har tre hovedkomponenter: Den som godkjenner (tilgangspunktet), søkeren (klientprogramvaren) og godkjenningsserveren (en RADIUS-server (Remote Authentication Dial-In User Service)). 802.1x-godkjenningssikkerhet starter en godkjenningsforespørsel fra WLAN-klienten til tilgangspunktet som godkjenner klienten til en EAP-kompatibel (Extensible Authentication Protocol) RADIUS-server. RADIUS-serveren kan godkjenne brukeren (via passord eller sertifikater) eller systemet (ved MAC-adressen). Teoretisk sett får ikke den trådløse klienten lov til å bli med i nettverkene før transaksjonen er fullført. Det finnes flere godkjenningsalgoritmer for 802.1x; MD5-Challenge, EAP-TLS, EAP-TTLS, PEAP (Protected EAP) og EAP Cisco Wireless LEAP (Light Extensible Authentication Protocol). Dette er alle metoder for at WLAN-klienten skal identifisere seg selv overfor RADIUS-servereren.  Med RADIUS-autentifisering blir brukeridentitetene sjekket mot databaser. RADIUS utgjør et sett med standarder som omhandler AAA (Authentication, Authorization, Accounting). Radius inkluderer en proxy-prosess for validering av klienter i et flerservermiljø. Standarden IEEE 802.1x er for å kontrollere og godkjenne tilgang til portbasert, trådløst og koblet 802.11-Ethernet-nettverk. Portbasert nettverkstilgangskontroll er lik en svitsjet LAN-infrastruktur som godkjenner innretninger som er festet til en LAN-port og hindrer tilgang til den porten dersom godkjenningsprosessen mislykkes.

Hvordan 802.1x-godkjenningen virker

En forenklet beskrivelse av 802.1x-godkjenningen er:

  1. En klient sender en melding med "forespørsel om tilgang" til et tilgangspunkt. Tilgangspunktet ber om klientens identitet.
  2. Klienten svarer med identitetspakken som er sendt til godkjenningsserveren.
  3. Godkjenningsserveren sender en "godta"-pakke til tilgangspunktet.
  4. Tilgangspunktet plasserer klientporten i godkjent tilstand, og datatrafikken får tillatelse til å bli behandlet.

Hva er en RADIUS?

RADIUS står for Remote Access Dial-In User Service, og er en AAA-klientserverprotokoll (Authorization, Authentication, Accounting) for en ekstern AAA-klient som logger inn på eller ut av en nettverkstilgangsserver. Vanligvis brukes en RADIUS-server av Internett-leverandører (ISP - Internet Service Providers) til å utføre AAA-oppgaver. AAA-fasene beskrives som følger:

  • Godkjenningsfasen: Kontrollerer et brukernavn og passord mot en lokal database. Når legitimasjonsbeskrivelsene er kontrollert, begynner autoriseringsprosessen.

  • Autoriseringsfasen: Fastsetter om en forespørsel får innvilget tilgang til en ressurs. En IP-adresse tilordnes for den eksterne klienten.

  • Regnskapsfasen: Samler informasjon om ressursforbruk med det formål å analysere trender, overvåke, fakturere økttid eller fordele kostnader.


Wi-Fi-beskyttet tilgang* (WPA)

Wi-Fi-beskyttet tilgang (WPA) er en sikkerhetsutvidelse som kraftig øker databeskyttelsesnivået og tilgangskontrollen til et WLAN. WPA-modus håndhever 802.1x-godkjenning og nøkkelutveksling og virker bare med dynamiske krypteringsnøkler. For å styrke datakrypteringen bruker WPA sin midlertidige nøkkelintegritetsprotokoll (TKIP). TKIP sørger for viktig datakrypteringsutvidelser som omfatter en nøkkelblandingsfunksjon per pakke, en meldingsintegritetssjekk (MIC) som heter Michael, en utvidet initialiseringsvektor (IV) med sekvensregler og en omnøklingsmekanisme. Ved hjelp av disse forbedringene beskytter TKIP mot WEPs kjente svakheter.


PEAP

PEAP er en ny Extensible Authentication Protocol (EAP) IEEE 802.1x-godkjenningstype lagd for å trekke fordeler fra serversidens EAP-Transport Layer Security (EAP-TLS) og for å støtte forskjellige godkjenningsmetoder, herunder brukerens passord og engangspassord og Generic Token Cards.


Cisco LEAP

Cisco LEAP (Cisco Light EAP) er en server- og klient-802.1x-godkjenning via brukerlevert påloggingspassord. Når et trådløst tilgangspunkt kommuniserer med en Cisco LEAP-aktivert RADIUS (Cisco-sikker tilgangskontrollserver (ACS)-server), gir Cisco LEAP tilgangskontroll via gjensidig godkjenning mellom klientens trådløskort og det trådløse nettverket og gir dynamiske, individuelle brukerkrypteringsnøkler for å hjelpe til med å beskytte personvernet i de overførte dataene.

Cisco Rogue AP-sikkerhetsfunksjonen

Cisco Rogue AP-funksjonen gir sikkerhetsbeskyttelse fra en innføring av et rogue-tilgangspunkt på et nettverk for å trekke ut informasjon om brukerlegitimasjonsbeskrivelsen og godkjenningsprotokoller som kan bringe sikkerheten i fare. Funksjonen virker bare med Ciscos LEAP-godkjenning. Standard 802.11-teknologi beskytter ikke et nettverk mot innføringen av et rogue-tilgangspunkt.

CKIP

Cisco Key Integrity Protocol (CKIP) er Ciscos egen sikkerhetsprotokoll for kryptering
i 802.11-medier. CKIP bruker følgende funksjoner for å forbedre 802.11-sikkerheten i
infrastrukturmodus:

  • Nøkkelpermutasjon
  • Meldingsintegritetssjekk
  • Meldingssekvensnummer

Tilbake til Innhold-siden


Les alle begrensninger og ansvarsfraskrivelser.