Terug naar inhoudsopgave

Beveiliging - Overzicht

Beveiliging van draadloze apparaten

Omdat draadloze netwerkapparaten digitale gegevens via radiogolven verzenden, is het van essentieel belang dat gegevens beschermd worden door de beveiligingsinstellingen te configureren. Er zijn drie hoofdonderdelen, die gezamenlijk een draadloos netwerk kunnen beschermen:

Richtlijnen voor beveiliging

Het navolgende kan helpen om een maximale beveiliging te bereiken voor een draadloos netwerk:

  1. WEP inschakelen in het draadloze netwerk en de WEP-sleutel dagelijks of wekelijks wijzigen.
  2. Stations en mappen beschermen met wachtwoorden.
  3. De standaard-SSID wijzigen.
  4. De WEP-sleutel bij elke sessie wijzigen, indien mogelijk.
  5. Indien mogelijk, de filtering van MAC-adressen inschakelen.
  6. Een VPN (Virtual Private Network) implementeren voor een verhoogde beveiliging. Een VPN-client maakt deel uit van de meeste besturingssystemen.

Het netwerk beschermen

Verificatietypen

De IEEE 802.1x-standaard geeft een algemeen verificatieraamwerk voor 802-LAN's en de specificaties voor een uitbreidbaar verificatieprotocol (EAP - Extensible Authentication Protocol) om LAN-transport mogelijk te maken voor verschillende typen verificatieprotocols. 

Coderingssleutels

Voor de bescherming van clientverkeer definieert de 802.11-standaard Wireless Encryption Privacy (WEP) met vaste coderingssleutels (en drie optionele sleutellengtes). Het gebruik van vaste sleutels heeft het makkelijk gemaakt om verschillende soorten aanvallen tegen WEP te plegen. Zie Netwerksleutels voor meer informatie.

WEP-codering

U kunt de ontvangst van draadloze gegevens door onbevoegden voorkomen met IEEE 802.11 Wired Equivalent Privacy (WEP). Deze standaard heeft twee niveaus van beveiliging, die een 64-bits (soms 40-bits genoemd) of 128-bits coderingssleutel gebruiken. Voor een betere beveiliging gebruikt u een 128-bits sleutel. Bij het gebruik van codering moeten alle draadloze apparaten in het WLAN dezelfde coderingsinstellingen gebruiken. Het WEP-coderingsalgoritme kan vanaf het netwerk actief of passief worden aangevallen.TKIP- en CKIP-algoritmen bevatten uitbreidingen op het WEP-protocol die aanvallen op het netwerk onschadelijk maken en beperkingen oplossen.

Raadpleeg WEP-codering instellen voor meer informatie.

802.1x

Een WAN-client zendt een verificatieverzoek naar het toegangspunt. Het toegangspunt verifieert de client voor een EAP-compatibele (Extensible Authentication Protocol) RADIUS-server. De RADIUS-server kan de gebruiker verifiëren (via wachtwoorden) of de machine verifiëren (op basis van het MAC-adres). 802.1x-verificatie is onafhankelijk van het 802.11-verificatieproces. De 802.1x-standaard geeft een verificatieraamwerk. 

De verschillende 802.1x-verificatietypen bieden elk een andere benadering van verificatie maar ze maken wel allemaal gebruik van hetzelfde protocol en dezelfde communicatiestructuur tussen een client en een toegangspunt. Bij de meeste protocollen ontvangen aanvragers, wanneer het 802.1x-verificatieproces is voltooid, een sleutel die ze voor gegevenscodering gebruiken.

Zie De client instellen voor WEP- en MD5-verificatie voor meer gedetailleerde informatie over het instellen van een 802.1x-profiel.

IPSEC

Op software gebaseerde IPSEC-transportbeveiliging.

WPA (Wi-Fi Protected Access)

WPA (Wi-Fi Protected Access) is een beveiligingsuitbreiding waarmee het niveau van gegevensbeveiliging en toegangsbeheer van een WLAN aanzienlijk wordt verhoogd. De WPA-modus dwingt 802.1x-verificatie en sleuteluitwisseling af. Deze modus werkt alleen met dynamische coderingssleutels.

TKIP (Temporal Key Integrity Protocol)

Gebruikt een coderingsmethode die fast-packet rekeying wordt genoemd en die de coderingssleutel regelmatig verandert.

PEAP

PEAP is een nieuw EAP IEEE 802.1x-verificatietype (Extensible Authentication Protocol) dat is ontworpen om optimaal gebruik te maken van EAP-TLS (EAP-Transport Layer Security) aan serverzijde en meerdere verificatiemethoden, zoals aanmeldwachtwoorden en eenmalige wachtwoorden, en Generic Token Cards ondersteunt.

VPN (Virtual Private Network)

De volgende VPN-clients worden ondersteund door Intel(R) PROSet: Zie VPN (Virtual Private Networks) voor meer informatie.

  • Netstructure VPN (SST)
  • Netstructure VPN (IPsec-IKE)
  • Cisco VPN Gateway - Cisco VPN Gateway 3005s, Cisco Client V3.51B of hoger
  • Checkpoint VPN (Non office transparent mode, connect office mode en connect non-office mode)
  • Microsoft* VPN Cisco VPN Gateway - (L2TP over IPsec-transport, L2TP voor configuratie
    met ESP-in-UDP)

VPN-beveiliging kan op TCP/IP gebaseerde services beveiligen. IPSec en PPTP VPN-tunnelprotocols bieden sterke codering voor gegevens die over een draadloos LAN worden verzonden. VPN is handig als de netwerkbeheerder eist dat alle gebruikers worden geverifieerd door een bestaande VPN-server, waarbij een bestaande database met geautoriseerde gebruikers wordt gedeeld. Om zowel niet-VPN- als VPN-clients te ondersteunen, kan al het WLAN-verkeer naar een gateway worden geleid zodat clients kunnen worden beperkt tot vooraf gedefinieerde netwerkbronnen. Zo kan gastgebruikers toegang tot het Internet worden gegeven, terwijl gemachtigde VPN-clients zowel toegang tot het Internet als het Intranet krijgen. Een soortgelijke oplossing kan in openbaar toegankelijke toepassingen bescherming bieden, waarbij gebruikers volgens specifieke verificatiemethoden worden omgeleid.

Opmerking: 802.11a en 802.11b kunnen versterkt worden met VPN-beveiliging om de beveiliging van op TCP/IP gebaseerde services te verbeteren. 

Cisco LEAP

Cisco LEAP (Cisco Light EAP) is een 802.1x-verificatie voor client en server op basis van een door de gebruiker opgegeven aanmeldingswachtwoord. Wanneer een draadloos toegangspunt communiceert met een Cisco LEAP-enabled RADIUS-server (Cisco Secure Access Control Server (ACS)), beheert Cisco LEAP toegang door de wederzijdse verificatie van de draadloze clientadapters en het draadloze netwerk en biedt LEAP dynamische, individuele gebruikerssleutels waarmee de privacy van verzonden gegevens wordt beveiligd.

De beveiligingsvoorziening Cisco Rogue AP

De voorziening Cisco Rogue AP biedt beveiliging tegen bedrieglijke toegangspunten die zich op netwerken kunnen voordoen als geldige toegangspunten zodat onrechtmatige toegang tot informatie over gebruikersreferenties en verificatieprotocollen wordt verkregen en de beveiliging nog verder wordt ondermijnd. Deze voorziening werkt alleen met LEAP-verificatie van Cisco. Standaard 802.11-technologie beveiligt een netwerk niet tegen bedrieglijke toegangspunten.

CKIP

CKIP (Cisco Key Integrity Protocol) is een beveiligingsprotocol van Cisco voor codering
in 802.11-media. CKIP maakt gebruik van de volgende voorzieningen om de 802.11-beveiliging
in de infrastructuurmodus te verbeteren:

  • Key Permutation (KP)
  • Message Integrity Check (MIC)
  • Message Sequence Number

Terug naar inhoudsopgave


Copyright (c) 2003 Intel Corporation.