Tilbage til indholdsfortegnelsen

Oversigt over sikkerhed

Trådløs sikkerhed

Eftersom trådløse netværksenheder sender oplysninger via radiobølger, er det yderst vigtigt, at du beskytter dine oplysninger ved konfiguration af dine sikkerhedsindstillinger. Der er tre hovedkomponenter, som, når de bruges sammen, kan beskytte dit trådløse netværk:

Sikkerhedsretningslinjer

Følgende kan hjælpe med at opnå maksimal sikkerhed på dit trådløse netværk:

  1. Aktiver WEP på dit trådløse netværk, og ret WEP-nøglen hver dag eller uge.
  2. Beskyt dine drev og mapper med adgangskoder.
  3. Ret standard-SSID.
  4. Ret WEP-nøglen for hver session, hvis det er muligt.
  5. Aktiver MAD-adressefiltrering, hvis det er muligt.
  6. Implementer et Virtual Private Network (VPN)-system for at forøge sikkerheden. En VPN-klient er inkluderet i de fleste operativsystemer.

Beskyttelse af dit netværk

Godkendelsestyper

IEEE 802.1x standarden indeholder en generel godkendelsesramme til 802 LAN’er og angiver en udvidelig godkendelsesprotokol (EAP) til at aktivere LAN-transport til mange forskellige typer godkendelsesprotokoller. 

Krypteringsnøgler

802.11-standarden definerer Wireless Encryption Privacy (WEP) med faste krypteringsnøgler (og tre valgfrie nøglelængder) til at beskytte klienttrafik. Brugen af faste nøgler har gjort det nemt at starte mange typer angreb på WEP. Der henvises til Netværksnøgler, hvor der er flere oplysninger.

WEP-kryptering

Du kan forhindre ikke-autoriseret modtagelse af dine trådløse data med IEEE 802.11 Wired Equivalent Privacy (WEP). Standarden indeholder to sikkerhedsniveauer, der bruger en 64 bit-nøgle (omtales somme tider som 40 bit) eller en 128 bit-nøgle. For at opnå bedre sikkerhed skal du bruge en 128 bit-nøgle. Hvis du bruger kryptering, skal alle trådløse enheder på dit WLAN bruge de samme krypteringsindstillinger. WEP-krypteringsalgoritmen er sårbar overfor passive og aktive netværksangreb.TKIP- ogCKIP-algoritmer indeholder forbedringer til WEP-protokollen, som mildner eksisterende netværksangreb og tager fat på manglerne.

Der henvises til Opsætning af WEP-kryptering, hvor der fås flere oplysninger.

802.1x

En WAN-klient starter en autorisationsanmodning til adgangspunktet, der godkender klienten på en Extensible Authentication Protocol (EAP)-kompatibel RADIUS-server. Denne RADIUS-server kan enten godkende brugeren (med adgangskoder) eller systemet (med MAC-adresse). 802.1x-godkendelse er uafhængig af 802.11-godkendelsesprocessen. 802.1x-standarden indeholder en godkendelsesramme.

Der findes forskellige 802.1x-godkendelsestyper, der hver indeholder en forskellig fremgangsmåde til godkendelse, men de bruger den samme protokol og ramme til kommunikation mellem en klient og et adgangspunkt. I de fleste protokoller vil den søgende ved fuldførelse af 802.1x-godkendelsesprocessen modtage en nøgle, som den bruger til datakryptering.

Der henvises til Opsætning af klienten til WEP- og MD5-godkendelse, hvor der er detaljer om opsætning af en 802.1x-profil.

IPSEC

Softwarebaseret IPSEC-transportsikkerhed.

Wi-Fi-beskyttet adgang (WPA)

Wi-Fi-beskyttet adgang (WPA) er en sikkerhedsforbedring, der forøger databeskyttelsesniveauet og adgangskontrollen til et WLAN betydeligt. WPA-tilstanden fastholder 802.1x-godkendelse og nøgleudveksling. Den fungerer kun med dynamiske krypteringsnøgler.

TKIP (Temporal key Integrity Protocol)

Bruger en krypteringsmetode, der kaldes ‘fast-packet rekeying’, der ændrer krypteringsnøglefrekvensen.

PEAP

PEAP er en ny Extensible Authentication Protocol (EAP) IEEE 802.1x-godkendelsestype, der er designet til at drage fordele af EAP-Transport Layer Security (EAP-TLS) på serversiden og til at understøtte forskellige godkendelsesmetoder, herunder pålogningsadgangskoder og Generic Token Card.

Virtuelle private netværk (VPN)

Følgende VPN-klientsoftware understøttes af Intel(R) PROSet Der henvises til Virtuelle private netværk (VPN), hvor der findes flere oplysninger.

  • Netstruktur VPN (SST)
  • Netstruktur VPN (Ipsec-IKE)
  • Cisco VPN Gateway - Cisco VPN Gateway 3005s, Cisco Client V3.51B eller senere
  • Checkpoint VPN (Ikke-kontor gennemsigtig tilstand, tilslut kontortilstand og tilslut ikke-kontortilstand)
  • Microsoft VPN Cisco VPN Gateway - (L2TP over IPsec transport, L2TP for konfiguration
    med ESP-in-UDP)

VPN-sikkerhed kan beskytte TCP/IP-baserede servicer. IPSec og PPTP VPN-tunnelingprotokoller giver kraftig kryptering af data, der sendes på tværs af et trådløst LAN. VPN er nyttig, hvis netværksadministratoren kræver, at alle bruger godkendes via en eksisterende VPN-server, mens de deler en eksisterende database af autoriserede brugere. For at tilpasse sig både ikke-VPN- og VPN-klienter, skal al WLAN-trafik ledes til en gateway, så at klienterne kan begrænses til foruddefinerede netværksressoucer. F.eks. kan gæstebrugere gives internetadgang, mens brugere, der stoles på med godkendte VPN-klienter, gives intranet- samt internetadgang. Denne samme type løsning kan give sikkerhed i offentlige applikationer, og leder brugere i overensstemmelse med bestemte godkendelsesmetoder

Bemærk:802.11a og 802.11b kan forøges med VPN-sikkerhed til at beskytte TCP/IP-baserede services. 

Cisco LEAP

Cisco LEAP (Cisco Light EAP) er en server- og klient 802.1x-godkendelse via en brugerangivet pålogningsadgangskode. Når et trådløst adgangspunkt kommunikerer med en Cisco LEAP-aktiveret RADIUS (Cisco Secure Access Control Server (ACS) server), indeholder Cisco LEAP adgangskontrol via fælles godkendelse mellem klientens trådløse adaptere og de trådløse netværk og indeholder dynamiske, individuelle brugerkrypteringsnøgler til hjælp til beskyttelse af det private i transmitterede data.

Cisco Rogue AP-sikkerhedsfunktion

Ciscos Rogue AP-funktion indeholder sikkerhedsbeskyttelse fra rogue-adgangspunktet, der kunne efterligne et lovligt adgangspunkt på et netværk for at trække oplysninger om brugerreferencer og godkendelsesprotokoller ud, der kunne sætte sikkerheden i fare. Denne funktion fungerer kun med Ciscos LEAP-godkendelse. Standard 802.11-teknologi beskytter ikke et netværk med introduktion af et rogue-adgangspunkt.

CKIP

Cisco Key Integrity Protocol (CKIP) er Ciscos egen sikkerhedsprotokol til kryptering
i 802.11-medier. CKIP bruger følgende funktioner til at forbedre 802.11-sikkerhed i infrastruktur
tilstand:

  • Nøgleombytning (KP)
  • Meddelelsesintegritetskontrol (MIC)
  • Meddelelsessekvensnummer

Tilbage til indholdsfortegnelsen


Copyright (c) 2003 Intel Corporation.