Tilbake til Innhold-siden

Oversikt over sikkerhet: Brukerhåndbok for PRO/Wireless LAN Mini PCI-kort


WEP-kryptering og -godkjenning
Krypteringsoversikt
Beskytte nettverket
Godkjenningstyper
802.1x-godkjenning
Hva er en RADIUS
Wi-Fi-beskyttet tilgang (WPA)
PEAP
Cisco LEAP


WEP-kryptering og -godkjenning

WEP-kryptering (Wired Equivalent Privacy) og delt godkjenning beskytter dataene på nettverket. WEP bruker en krypteringsnøkkel til å kryptere dataene før sending. Bare datamaskiner som bruker samme krypteringsnøkkel, får tilgang til nettverket eller kan dekryptere de krypterte dataene som overføres av andre datamaskiner. Godkjenning utgjør en ekstra valideringsprosess fra kortet til tilgangspunktet.

Godkjenningsoppsett som støttes, er åpen og delt nøkkelgodkjenning:

  • Delt nøkkelgodkjenning støttes med 64-biters og 128-biters WEP-krypteringsnøkler.
  • Åpen modus bruker ikke noen godkjenningsmetode for kryptering til å koble til et bestemt tilgangspunkt.

Nettverksnøkler

Når Datakryptering (WEP, CKIP eller TKIP) er aktivert, brukes en nettverksnøkkel til krypteringen. Du kan få en nettverksnøkkel automatisk (for eksempel kan du få den på det trådløse nettverkskortet, eller du kan sette den inn selv, og angi nøkkellengden (64 biter eller 128 biter), nøkkelformat (ASCII-tegn eller hexadesimaltall) og nøkkelindeks (stedet der en bestemt nøkkel er lagret). Desto lenger nøkkellengde, desto sikrere er nøkkelen. Hver gang lengden på en nøkkel økes med én bit, fordobles antallet mulige nøkler. Under 802.11 kan en trådløs stasjon konfigureres med inntil fire nøkler (nøkkelindeksverdiene er 1, 2, 3 og 4). Når et tilgangspunkt eller en trådløs stasjon overfører en kryptert melding ved hjelp av en nøkkel som er lagret i en spesifikk nøkkelindeks, angir den overførte meldingen nøkkelindeksen som ble brukt til å kryptere meldingsinnholdet. Mottakstilgangspunktet eller den trådløse stasjonen kan deretter hente nøkkelen som er lagret i nøkkelindeksen, og bruke den til å dekode det krypterte meldingsinnholdet.

Krypteringsstatiske og -dynamiske nøkkeltyper

802.1x bruker to typer krypteringsnøkler, statiske og dynamiske. Statiske krypteringsnøkler blir endret manuelt og er mer sårbare. MD5-godkjenning bruker bare statiske krypteringsnøkler. Dynamiske krypteringsnøkler fornyes automatisk med jevne mellomrom. Dette gjør krypteringsnøkkelen/-nøklene sikrere. For å aktivere de dynamiske krypteringsnøklene må du bruke 802.1x-godkjenningsmetodene som TLS eller TTLS eller PEAP.


Oversikt over kryptering

Sikkerhet på WLAN kan oppnås ved å aktivere datakryptering ved hjelp av WEP (Wireless Encryption Protocol). Du kan velge mellom 64-biters eller 128-biters kryptering. Dataene kan også krypteres med en nøkkel. En annen parameter som kalles nøkkelindeksen gir mulighet for å opprette flere nøkler for samme profil. Bare én nøkkel kan imidlertid brukes samtidig. Du kan også velge å passordbeskytte profilen for å sikre personvernet. Passordet brukes til å generere en WEP-nøkkel automatisk. Du kan velge om du vil bruke et passord eller skrive inn WEP-nøkkelen manuelt. Ved 64-biters kryptering er passordet på fem tegn, og du kan velge å skrive inn et tilfeldig passord som er enkelt å huske, for eksempel Brus1, eller skrive inn ti heksadesimale tall som tilsvarer nettverket brukeren vil koble til, for WEP-nøkkelen. Ved 128-biters kryptering er passordet på tretten tegn, eller du kan skrive inn 26 heksadesimale tall for WEP-nøkkelen for å koble til riktig nettverk.

Obs! Du må bruke samme krypteringstype, nøkkelindeksnummer og WEP-nøkkel som de andre enhetene på det trådløse nettverket. Vær også klar over at hvis 802.1x-godkjenning brukes, må WEP-kryptering deaktiveres.


Beskytte nettverket


Godkjenningstyper

Standarden IEEE 802.1x gir en generell godkjenningsramme for 802 LANs og angir en utvidbar godkjenningsprotokoll (EAP) for å aktivere LAN-transport for mange ulike typer godkjenningsprotokoller. En WAN-klient starter en godkjenningsforespørsel til tilgangspunktet, som godkjenner klienten til en EAP-tilpasset (Extensible Authentication Protocol) RADIUS-server. RADIUS-serveren kan godkjenne brukeren (via passord) eller datamaskinen (ved MAC-adressen).  802.1x-godkjenningen er uavhengig av 802.11-godkjenningsprosessen. 802.1x-standarden gir et godkjenningsrammeverk. Det finnes forskjellige 802.1x-godkjenningstyper, og hver gir forskjellige innfallsvinkler til godkjenningen, men alle tar i bruk den samme protokollen og det samme rammeverk for kommunikasjonen mellom en klient og et tilgangspunkt. I de fleste protokollene, når 802.1x-godkjenningsprosessen er ferdig, mottar søkeren en nøkkel som den benytter til datakryptering.

Se Konfigurere klienten for WEP- og MD5-godkjenning for å få detaljer om å sette opp en 802.1x-profil.


802.1x-godkjenning

802.1x-funksjoner

802.1x-godkjenningsmerknader

Oversikt

802.1x-godkjenningen er uavhengig av 802.11-godkjenningsprosessen. 802.1x-standarden gir et rammeverk for flere godkjennings- og nøkkeladministrasjonsprotokoller. Det finnes forskjellige 802.1x-godkjenningstyper, og hver gir forskjellige innfallsvinkler til godkjenningen, men alle tar i bruk den samme 802.1x-protokollen og det samme rammeverk for kommunikasjonen mellom en klient og et tilgangspunkt. I de fleste protokollene, når 802.1x-godkjenningsprosessen er ferdig, mottar søkeren en nøkkel som den benytter til datakryptering. Se 802.1x og datakryptering hvis du vil ha mer informasjon.

Med 802.1x-godkjenning brukes en godkjenningsmetode mellom klienten og en RADIUS-server (Remote Authentication Dial-In User Service) som er koblet til tilgangspunktet. Godkjenningsprosessen benytter legitimasjonsbeskrivelsene, slik som en brukers passord, som ikke sendes over det trådløse nettverket. De fleste 802.1x-typene støtter dynamisk per-bruker, per økt-nøkler for å styrke den statiske nøkkelsikkerheten. 802.1x tjener på bruken av eksisterende godkjenningsprotokoll kjent som EAP (Extensible Authentication Protocol). 802.1x-godkjenning for trådløse LAN har tre hovedkomponenter: Den som godkjenner (tilgangspunktet), søkeren (klientprogramvaren) og godkjenningsserveren (en RADIUS-server (Remote Authentication Dial-In User Service)). 802.1x-godkjenningssikkerhet starter en godkjenningsforespørsel fra WLAN-klienten til tilgangspunktet som godkjenner klienten til en EAP-kompatibel (Extensible Authentication Protocol) RADIUS-server. RADIUS-serveren kan godkjenne brukeren (via passord eller sertifikater) eller systemet (ved MAC-adressen). Teoretisk sett får ikke den trådløse klienten lov til å bli med i nettverkene før transaksjonen er fullført. Det finnes flere godkjenningsalgoritmer for 802.1x; MD5-Challenge, EAP-TLS, EAP-TTLS, PEAP (Protected EAP) og EAP Cisco Wireless LEAP (Light Extensible Authentication Protocol). Dette er alle metoder for WLAN-klienten for å identifisere seg selv overfor RADIUS-serveren. Med Radius-godkjenning kontrolleres brukeridentitetene mot databaser. RADIUS utgjør et sett med standarder som omhandler AAA (Authentication, Authorization, Accounting). Radius inkluderer en proxy-prosess for validering av klienter i et flerservermiljø. Standarden IEEE 802.1x er for å kontrollere og godkjenne tilgang til portbasert, trådløst og koblet 802.11-Ethernet-nettverk. Portbasert nettverkstilgangskontroll er lik en svitsjet LAN-infrastruktur som godkjenner innretninger som er festet til en LAN-port og hindrer tilgang til den porten dersom godkjenningsprosessen mislykkes.

Hvordan 802.1x-godkjenningen virker

En forenklet beskrivelse av 802.1x-godkjenningen er:

  1. En klient sender en melding med "forespørsel om tilgang" til et tilgangspunkt. Tilgangspunktet ber om klientens identitet.
  2. Klienten svarer med identitetspakken som er sendt til godkjenningsserveren.
  3. Godkjenningsserveren sender en "godta"-pakke til tilgangspunktet.
  4. Tilgangspunktet plasserer klientporten i godkjent tilstand, og datatrafikken får tillatelse til å bli behandlet.

Hva er en RADIUS?

RADIUS står for Remote Access Dial-In User Service, og er en AAA-klientserverprotokoll (Authorization, Authentication, Accounting) for en ekstern AAA-klient som logger inn på eller ut av en nettverkstilgangsserver. Vanligvis brukes en RADIUS-server av Internett-leverandører (ISP - Internet Service Providers) til å utføre AAA-oppgaver. AAA-fasene beskrives som følger:


Wi-Fi-beskyttet tilgang* (WPA)

Wi-Fi-beskyttet tilgang (WPA) er en sikkerhetsutvidelse som kraftig øker databeskyttelsesnivået og tilgangskontrollen til et WLAN. WPA-modus håndhever 802.1x-godkjenning og nøkkelutveksling og virker bare med dynamiske krypteringsnøkler. For å styrke datakrypteringen bruker WPA sin midlertidige nøkkelintegritetsprotokoll (TKIP). TKIP sørger for viktig datakrypteringsutvidelser som omfatter en nøkkelblandingsfunksjon per pakke, en meldingsintegritetssjekk (MIC) som heter Michael, en utvidet initialiseringsvektor (IV) med sekvensregler og en omnøklingsmekanisme. Ved hjelp av disse forbedringene beskytter TKIP mot WEPs kjente svakheter.


PEAP

PEAP er en ny Extensible Authentication Protocol (EAP) IEEE 802.1x-godkjenningstype lagd for å trekke fordeler fra serversidens EAP-Transport Layer Security (EAP-TLS) og for å støtte forskjellige godkjenningsmetoder, herunder brukerens passord og engangspassord og Generic Token Cards.


Cisco LEAP

Cisco LEAP (Cisco Light EAP) er en server- og klient-802.1x-godkjenning via brukerlevert påloggingspassord. Når et trådløst tilgangspunkt kommuniserer med en Cisco LEAP-aktivert RADIUS (Cisco-sikker tilgangskontrollserver (ACS)-server), gir Cisco LEAP tilgangskontroll via gjensidig godkjenning mellom klientens trådløse kort og det trådløse nettverket og gir dynamiske, individuelle brukerkrypteringsnøkler for å hjelpe til med å beskytte personvernet i de overførte data.

Cisco Rogue AP-sikkerhetsfunksjonen

Cisco Rogue AP-funksjonen gir sikkerhetsbeskyttelse fra en innføring av et rogue-tilgangspunkt på et nettverk for å trekke ut informasjon om brukerlegitimasjonsbeskrivelsen og godkjenningsprotokoller som kan bringe sikkerheten i fare. Funksjonen virker bare med Ciscos LEAP-godkjenning. Standard 802.11-teknologi beskytter ikke et nettverk mot innføringen av et rogue-tilgangspunkt.

CKIP

Cisco Key Integrity Protocol (CKIP) er Ciscos egen sikkerhetsprotokoll for kryptering
i 802.11-medier. CKIP bruker følgende funksjoner for å forbedre 802.11-sikkerheten i
infrastrukturmodus:

  • Nøkkelpermutasjon
  • Meldingsintegritetssjekk
  • Meldingssekvensnummer

Tilbake til Innhold-siden


Les alle begrensninger og ansvarsfraskrivelser.