Terug naar inhoudsopgave
Omdat draadloze netwerkapparaten digitale gegevens via radiogolven verzenden, is het van essentieel belang dat gegevens beschermd worden door de beveiligingsinstellingen te configureren. Er zijn drie hoofdonderdelen, die gezamenlijk een draadloos netwerk k Het navolgende kan helpen om een maximale beveiliging te bereiken voor een draadloos netwerk:
Beveiliging - Overzicht
Beveiliging van draadloze apparaten
Richtlijnen voor beveiliging
Het netwerk beschermen
De IEEE 802.1x-standaard geeft een algemeen verificatieraamwerk voor 802-LAN's en de specificaties voor een uitbreidbaar verificatieprotocol (EAP - Extensible Authentication Protocol) om LAN-transport mogelijk te maken voor verschillende typen verificatieprotocols.
Voor de bescherming van clientverkeer definieert de 802.11-standaard Wireless Encryption Privacy (WEP) met vaste coderingssleutels (en drie optionele sleutellengtes). Het gebruik van vaste sleutels heeft het makkelijk gemaakt om verschillende soorten aanvallen tegen WEP te plegen. Coderingssleutels
U kunt
de ontvangst van draadloze gegevens door onbevoegden voorkomen met IEEE 802.11 Wired Equivalent Privacy (WEP). Deze standaard heeft twee niveaus van beveiliging, die een 64-bits (soms 40-bits genoemd) of 128-bits coderingssleutel gebruiken. Voor een betere beveiliging gebruikt u een 128-bits sleutel. Bij het gebruik van codering moeten alle draadloze apparaten in het WLAN dezelfde coderingsinstellingen gebruiken. Het WEP-coderingsalgoritme kan vanaf het netwerk actief of passief worden aangevallen.TKIP- en CKIP-algoritmen bevatten uitbreidingen op het WEP-protocol die aanvallen op het netwerk onschadelijk maken en beperkingen oplossen.Raadpleeg WEP-codering instellen voor meer informatie.
Een WAN-client zendt een verificatieverzoek naar het toegangspunt. Het toegangspunt verifieert de client voor een EAP-compatibele (Extensible Authentication Protocol) RADIUS-server. De RADIUS-server kan de gebruiker verifiëren (via wachtwoorden) of de machine verifiëren (op basis van het MAC-adres).802.1x
De verschillende 802.1x-verificatietypen bieden elk een andere benadering van verificatie maar ze maken wel allemaal gebruik van hetzelfde protocol en dezelfde communicatiestructuur tussen een client en een toegangspunt. Bij de meeste protocollen ontvangen aanvragers, wanneer het 802.1x-verificatieproces is voltooid, een sleutel die ze voor gegevenscodering gebruiken.
Zie De client instellen voor WEP- en MD5-verificatie voor meer gedetailleerde informatie over het instellen van een 802.1x-profiel.
Op software gebaseerde IPSEC-transportbeveiliging.IPSEC
WPA (Wi-Fi Protected Access) is een beveiligingsuitbreiding waarmee het niveau van gegevensbeveiliging en toegangsbeheer van een WLAN aanzienlijk wordt verhoogd. De WPA-modus dwingt 802.1x-verificatie en sleuteluitwisseling af. Deze modus werkt alleen met dynamische coderingssleutels.
Gebruikt een coderingsmethode die fast-packet rekeying wordt genoemd en die de coderingssleutel regelmatig verandert.
PEAP is een nieuw EAP IEEE 802.1x-verificatietype (Extensible Authentication Protocol) dat is ontworpen om optimaal gebruik te maken van EAP-TLS (EAP-Transport Layer Security) aan serverzijde en meerdere verificatiemethoden, zoals aanmeldwachtwoorden en eenmalige wachtwoorden, en Generic Token Cards ondersteunt.
De volgende VPN-clients worden ondersteund door Intel(R) PROSet: Zie VPN (Virtual Private Networks) voor meer informatie.
VPN-beveiliging kan op TCP/IP gebaseerde services beveiligen. IPSec en PPTP VPN-tunnelprotocols bieden sterke codering voor gegevens die over een draadloos LAN worden verzonden. VPN is handig als de netwerkbeheerder eist dat alle gebruikers worden geverifieerd door een bestaande VPN-server, waarbij een bestaande database met geautoriseerde gebruikers wordt gedeeld. Om zowel niet-VPN- als VPN-clients te ondersteunen, kan al het WLAN-verkeer naar een gateway worden geleid zodat clients kunnen worden beperkt tot vooraf gedefinieerde netwerkbronnen. Zo kan gastgebruikers toegang tot het Internet worden gegeven, terwijl gemachtigde VPN-clients zowel toegang tot het Internet als het Intranet krijgen. Een soortgelijke oplossing kan in openbaar toegankelijke toepassingen bescherming bieden, waarbij gebruikers volgens specifieke verificatiemethoden worden omgeleid.
Opmerking: 802.11a en 802.11b kunnen versterkt worden met VPN-beveiliging om de beveiliging van op TCP/IP gebaseerde services te verbeteren.
Cisco LEAP (Cisco Light EAP) is een 802.1x-verificatie voor client en server op basis van een door de gebruiker opgegeven aanmeldingswachtwoord. Wanneer een draadloos toegangspunt communiceert met een Cisco LEAP-enabled RADIUS-server (Cisco Secure Access Control Server (ACS)), beheert Cisco LEAP toegang door de wederzijdse verificatie van de draadloze clientadapters en het draadloze netwerk en biedt LEAP dynamische, individuele gebruikerssleutels waarmee de privacy van verzonden gegevens wordt beveiligd.
De beveiligingsvoorziening Cisco Rogue AP CKIP
CKIP (Cisco Key Integrity Protocol) is een beveiligingsprotocol van Cisco voor codering
De voorziening Cisco Rogue AP biedt beveiliging tegen bedrieglijke toegangspunten die zich op netwerken kunnen voordoen als geldige toegangspunten zodat onrechtmatige toegang tot informatie over gebruikersreferenties en verificatieprotocollen wordt verkregen en de beveiliging nog verder wordt ondermijnd. Deze voorziening werkt alleen met LEAP-verificatie van Cisco. Standaard 802.11-technologie beveiligt een netwerk niet tegen bedrieglijke toegangspunten.
in 802.11-media. CKIP maakt gebruik van de volgende voorzieningen om de 802.11-beveiliging
in de infrastructuurmodus te verbeteren:
inhoudsopgave
Copyright (c) 2003 Intel Corporation.