Torna al Sommario

Informazioni generali sulla protezione: Manuale dell'utente per la scheda di rete Intel PRO/Wireless LAN Mini PCI


Crittografia WEP e autenticazione
Panoramica sulla crittografia
Protezione della rete
Tipi di autenticazione
Autenticazione 802.1x
Che cos'è RADIUS?
Accesso protetto Wi-Fi (WPA)
PEAP
Cisco LEAP


Crittografia WEP e autenticazione

La crittografia WEP (Wired Equivalent Privacy) e l'autenticazione condivisa offrono la protezione dei dati sulla rete. Quando si utilizza la crittografia WEP i dati vengono codificati tramite una chiave di crittografia prima di essere trasmessi. Solo i computer che usano la stessa chiave di crittografia possono accedere alla rete o decodificare i dati crittografati trasmessi da altri computer. L'autenticazione offre un ulteriore processo di convalida a partire dalla scheda di rete verso il punto di accesso.

Gli schemi di autenticazione supportati sono l'autenticazione in modalità di apertura e quella a chiave condivisa:

  • L'autenticazione Chiave condivisa è supportata utilizzando le chiavi di crittografia WEP a 64 e 128 bit.
  • La modalità Apri non utilizza un metodo di autenticazione di tipo crittografico per l'associazione a un punto di accesso specifico.

Chiavi di rete

Quando la crittografia dati (WEP, CKIP o TKIP) è attivata, per la crittografia viene usata una chiave di rete. Una chiave di rete può essere fornita all'utente automaticamente (per esempio, potrebbe essere inclusa nella propria scheda di rete wireless) oppure può essere immessa dall'utente che ne specifica la lunghezza (64 o 128 bit), il formato (caratteri ASCII o cifre esadecimali) e l'indice (la posizione in cui è memorizzata la chiave specifica). Maggiore è la lunghezza della chiave e più protetta è la chiave. Ogni volta che la lunghezza di una chiave viene aumentata di un bit, il numero possibile di chiavi raddoppia. In 802.11, una stazione wireless può essere configurata con un massimo di quattro chiavi (i valori di indice delle chiavi sono 1, 2, 3 e 4). Quando un punto di accesso o una stazione wireless trasmette un messaggio crittografato usando la chiave memorizzata in uno specifico indice di chiave, il messaggio trasmesso indica l'indice di chiave che è stato utilizzato per crittografare il testo del messaggio. Il punto di accesso o la stazione wireless ricevente può quindi richiamare la chiave che è memorizzata in corrispondenza dell'indice della chiave e usarla per decodificare il testo crittografato del messaggio.

Chiavi di crittografia di tipo statico e dinamico

802.1x utilizza due tipi di chiavi di crittografia, uno statico e uno dinamico. Le chiavi di crittografia statiche vengono cambiate manualmente e sono più vulnerabili. L'autenticazione MD5 usa solo chiavi di crittografia statiche. Le chiavi di crittografia dinamiche vengono rinnovate automaticamente con scadenza periodica. Per questo motivo le chiavi di crittografia dinamiche sono più sicure. Per attivare le chiavi di crittografia dinamiche è necessario utilizzare i metodi di autenticazione 802.1x basati su certificato, come TLS, TTLS o PEAP.


Panoramica sulla crittografia

La protezione della WLAN può essere aumentata con l'attivazione della crittografia dei dati basata su WEP (Wireless Encryption Protocol). È possibile scegliere tra il livello di crittografia a 64 bit e quello a 128 bit. Anche i dati possono essere crittografati utilizzando una chiave. Un altro parametro, chiamato indice chiavi, consente di creare più chiavi per un profilo. È tuttavia possibile utilizzare solo una chiave alla volta. È inoltre possibile scegliere di utilizzare una password per il profilo per assicurarne la protezione. La frase di accesso è utilizzata per generare automaticamente una chiave WEP. Viene data l’opzione di utilizzare la frase di accesso oppure di immettere manualmente la chiave WEP. Nella crittografia a 64 bit la frase di accesso è lunga 5 caratteri ed è possibile scegliere di immettere una frase arbitraria qualsiasi facile da ricordare, come Ditta, oppure immettere come chiave WEP 10 numeri esadecimali, corrispondenti alla rete a cui l'utente desidera connettersi. Nella crittografia a 128 bit la frase di accesso è lunga 13 caratteri oppure è possibile immettere come chiave WEP 26 numeri esadecimali per connettersi alla rete appropriata.

Nota: è necessario usare lo stesso tipo di crittografia, numero di indice chiavi e chiave WEP delle altre periferiche della rete wireless. Se si usa l'autenticazione 802.1x è inoltre necessario disattivare la crittografia WEP.


Protezione della rete


Tipi di autenticazione

Lo standard IEEE 802.1x offre una struttura di autenticazione generale per le LAN 802 e specifica un protocollo EAP (Extensible Authentication Protocol) che consente di attivare il trasporto LAN per molti tipi diversi di protocolli di autenticazione. Un client WAN dà inizio a una richiesta di autorizzazione presso un punto di accesso, il quale esegue l'autenticazione del client a un server RADIUS compatibile con EAP. Il server RADIUS può autenticare l'utente (tramite la password) o il computer (tramite l'indirizzo MAC).  L'autenticazione 802.1x è indipendente dal processo di autenticazione 802.11. Lo standard 802.1x offre una struttura di autenticazione. Esistono autenticazioni 802.1x di tipo diverso; ciascuna offre un approccio differente all'autenticazione, impiegando lo stesso protocollo e la stessa struttura per la comunicazione tra un client e un punto di accesso. Nella maggior parte dei protocolli, al completamento del processo di autenticazione 802.1x il richiedente riceve una chiave che utilizza per crittografare i dati.

Per dettagli sull'impostazione di un profilo 802.1x, fare riferimento a Impostazione del client per l'autenticazione WEP e MD5.


Autenticazione 802.1x:

Funzioni 802.1x

Note sull'autenticazione 802.1x

Panoramica

L'autenticazione 802.1x è indipendente dal processo di autenticazione 802.11. Lo standard 802.1x offre una struttura per vari protocolli di autenticazione e di gestione delle chiavi. Esistono autenticazioni 802.1x di tipo diverso; ciascuna offre un approccio differente all'autenticazione ma tutte impiegano lo stesso protocollo 802.1x e struttura per la comunicazione tra un client e un punto di accesso. Nella maggior parte dei protocolli, al completamento del processo di autenticazione 802.1x il richiedente riceve una chiave che utilizza per crittografare i dati. Per ulteriori informazioni, fare riferimento a Impostazione della protezione dei dati.

L'autenticazione 802.1x prevede l'uso di un metodo di autenticazione tra il client e un server RADIUS (Remote Authentication Dial-In User Service) connesso al punto di accesso. Il processo di autenticazione usa credenziali, come una password dell'utente che non sono trasmesse sulla rete wireless. La maggior parte dei tipi 802.1x supportano chiavi dinamiche per utente e per sessione, che rafforzano la protezione della chiave statica. 802.1x si avvantaggia dell'utilizzo di un protocollo di autenticazione esistente conosciuto come l'Extensible Authentication Protocol (EAP). L'autenticazione 802.1x per le LAN wireless è costituita da tre maggiori componenti: l'autenticatore (il punto di accesso), il richiedente (il software del client) e il server di autenticazione (un server RADIUS). Un client WAN dà inizio a una richiesta di autenticazione 802.1x presso un punto di accesso, il quale esegue l'autenticazione del client a un server RADIUS compatibile con EAP. Il server RADIUS può autenticare l'utente (tramite password o certificati) o il sistema (tramite l'indirizzo MAC).  In teoria, al client wireless non è consentito far parte della rete finché la transazione non è completata. Per 802.1x sono usati svariati algoritmi di autenticazione; MD5-Challenge, EAP-TLS, EAP-TTLS, EAP protetto (PEAP), e EAP Cisco Wireless Light Extensible Authentication Protocol (LEAP). Sono tutti metodi utilizzati dai client WLAN per identificare se stessi presso il server RADIUS. Con l'autenticazione RADIUS, le identità degli utenti sono controllate confrontandole con i dati contenuti nei database. RADIUS è costituito da un insieme di standard di autenticazione, autorizzazione e accounting (AAA). Radius dispone di un processo proxy per convalidare i client in un ambiente multiserver. Lo standard IEEE 802.1x serve per controllare e autenticare l'accesso alle reti Ethernet basate su cavo e a quelle wireless 802.11 basate su porta. Il controllo dell'accesso alle reti basate su porta è simile a un'infrastruttura LAN con tecnologia switch che autentica le periferiche collegate a una porta LAN e impedisce l'accesso a tale porta se il processo di autenticazione non riesce.

Come funziona l'autenticazione 802.1x

La procedura di autenticazione 802.1x può essere semplicemente descritta nel modo seguente:

  1. Un client invia a un punto di accesso un messaggio di "richiesta di accesso". Il punto di accesso richiede l'identità del client.
  2. Il client risponde inviando il pacchetto contenente la propria identità, che viene quindi trasmesso al server di autenticazione.
  3. Il server di autenticazione invia al punto di accesso un pacchetto di "accettazione".
  4. Il punto di accesso cambia lo stato della portadel client che viene autorizzata a far passare il traffico di dati.

Che cos'è RADIUS?

RADIUS (Remote Access Dial-In User Service) è un protocollo client-server AAA (Authorization, Authentication, Accounting) utilizzato quando un client AAA remoto esegue la procedura di accesso o di chiusura della sessione da un server di accesso alla rete (NAS). I server RADIUS sono in genere utilizzati dai provider di servizi Internet (ISP) per eseguire operazioni di tipo AAA. Le fasi AAA sono le seguenti:


Accesso protetto Wi-Fi (Wi-Fi Protected Access*; WPA)

L'accesso protetto Wi-Fi (WPA) rappresenta una funzione di protezione potenziata che aumenta significativamente il livello di protezione dei dati e il controllo dell'accesso alla WLAN. La modalità WPA impone l'autenticazione 802.1x e lo scambio di chiavi e funziona solo con le chiavi di crittografia dinamiche. Per rendere ancora più sicura la crittografia dei dati, WPA utilizza TKIP (Temporal Key Integrity Protocol). TKIP offre importanti miglioramenti per la crittografia dei dati, che includono una funzione di utilizzo misto di chiavi per pacchetto, il controllo dell'integrità dei messaggi (MIC) chiamato Michael, un vettore di inizializzazione (IV) esteso con regole di sequenza e un meccanismo di rigenerazione delle chiavi. Questi miglioramenti di TKIP offrono una protezione maggiore dai punti deboli di WEP.


PEAP

PEAP è un nuovo tipo di autenticazione IEEE 802.1x EAP (Extensible Authentication Protocol) che utilizza il livello di trasporto EAP-TLS sul lato del server e supporta svariati metodi di autenticazione, incluse le password dell'utente, le password per una singola sessione e le Generic Token Card.


Cisco LEAP

Cisco LEAP (EAP Cisco Wireless) è un metodo di autenticazione 802.1x per server e client realizzata tramite una password di accesso fornita dall'utente. Quando un punto di accesso wireless comunica con un server Cisco RADIUS compatibile con LEAP (server Cisco Secure Access Control Server (ACS)), Cisco LEAP offre il controllo dell'accesso tramite l'autenticazione reciproca delle schede di rete wireless dei client e della rete wireless, realizzata con chiavi di crittografia per utente singolo che facilitano la salvaguardia della privacy dei dati trasmessi.

Funzione di protezione Cisco dai punti di accesso non autorizzati

La funzione di protezione Cisco per i punti di accesso non autorizzati consente di proteggersi dall'introduzione sulla rete di punti di accesso non autorizzati che, presentandosi come punti di accesso legittimi, potrebbero estrarre le informazioni riguardanti le credenziali degli utenti e i protocolli di autenticazione, compromettendo la sicurezza. Questa funzione è operativa solo con l'autenticazione LEAP di Cisco. La tecnologia dello standard 802.11 non protegge la rete dall'introduzione di punti di accesso non autorizzati.

CKIP

Cisco Key Integrity Protocol (CKIP) è il protocollo di protezione proprietario di Cisco per la crittografia
su supporti 802.11. CKIP usa le seguenti funzioni per migliorare la protezione di 802.11 nella modalità
infrastruttura:

  • La permutazione delle chiavi
  • Il controllo dell'integrità dei messaggi
  • Il numero di sequenza dei messaggi

Torna al Sommario


Leggere le sezioni relative alle limitazioni e declinazioni di responsabilità.