Takaisin Sisältö-sivulle

Yleistietoja suojauksesta

Langattoman käytön suojaaminen

Koska langattomat verkkolaitteet lähettävät tietoja radioaaltoja käyttämällä, tiedot on ehdottomasti suojattava määrittämällä suojausasetukset. Käytettävissä on kolme pääkomponenttia, joita yhdessä käyttämällä langaton verkko voidaan suojata.

Suojauksen perusohjeet

Seuraavien toimien avulla voidaan langaton verkko suojata tehokkaasti:

  1. WEP:n ottaminen käyttöön langattomassa verkossa ja WEP-avaimen vaihtaminen päivittäin tai viikoittain.
  2. Levyasemien ja kansioiden suojaaminen salasanoilla.
  3. SSID-oletustunnuksen vaihtaminen.
  4. WEP-avaimen vaihtaminen kunkin istunnon yhteydessä, jos mahdollista.
  5. MAC-osoitteiden suodatuksen ottaminen käyttöön, jos mahdollista.
  6. Suojauksen lisääminen ottamalla käyttöön VPN-verkko. Useimmat käyttöjärjestelmät sisältävät VPN-asiakkaan.

Verkon suojaaminen

Laillisuustarkistustyypit

IEEE 802.1x -standardi muodostaa 802-lähiverkkojen laillisuustarkistuksen yleisen perustan ja se määrittää EAP-yhteyskäytännön ottamaan käyttöön lähiverkkosiirron monia laillisuustarkistuksen yhteyskäytäntöjä varten. 

Salausavaimet

Asiakasliikenteen suojaamiseksi 802.11-standardi määrittää WEP-suojauksen käyttämällä kiinteitä salausavaimia (ja avaimen kolmea valinnaista pituutta). Kiinteiden avainten käyttäminen helpottaa erilaisten WEP-suojaukseen kohdistuvien hyökkäysten torjumisen. Lisätietoja on kohdassa Verkkoavaimet.

WEP-salaus

Langattomasti siirrettyjen tietojen luvaton käyttäminen voidaan ehkäistä IEEE 802.11 WEP -salauksen avulla. Standardi käsittää kaksi suojaustasoa, joista toisessa käytetään 64-bittistä avainta (tähän viitataan joskus 40-bittisenä avaimena) ja toisessa 128-bittistä avainta. Suojaus on tehokkaampi käytettäessä 128-bittistä avainta. Salausta käytettäessä langattoman lähiverkon kaikkien langattomien laitteiden on käytettävä samoja suojausasetuksia. WEP-salausalgoritmin on altis passiivisille ja aktiivisille verkkohyökkäyksille.TKIP- ja CKIP-algoritmit sisältävät WEP-yhteyskäytännön parannuksia, jotka ehkäisevät verkkohyökkäyksiä ja täydentävät WEP:n puutteita.

Lisätietoja on kohdassa WEP-salauksen määrittäminen.

802.1x

Suuralueverkkoasiakas käynnistää laillisuustarkistuspyynnön tukiasemassa, joka tarkistaa asiakkaan laillisuuden EAP-yhteensopivaan RADIUS-palvelimeen. RADIUS-palvelin voi tarkistaa joko käyttäjän (salasanojen kautta) tai laitteen (MAC-osoitteen kautta) laillisuuden.  802.1x-laillisuustarkistus on riippumaton 802.11-laillisuustarkistusprosessista. 802.1x-standardi muodostaa laillisuustarkistuksen perusrakenteen. 

On olemassa erilaisia 802.1x-laillisuustarkistustyyppejä, joista kukin muodostaa erilaisen lähestymistavan laillisuustarkistukseen käyttämällä samaa yhteyskäytäntöä ja tietoliikennekehystä asiakkaan ja tukiaseman välillä. Useimmissa yhteyskäytännöissä 802.1x-laillisuustarkistuksen suorittamisen jälkeen anoja vastaanottaa avaimen, jota se käyttää tiedon salaamiseen.

Lisätietoja 802.1x-profiilin määrittämisestä on kohdassa Asiakkaan WEP- ja MD5-laillisuustarkistusasetusten määrittäminen.

IPSEC

Ohjelmistopohjainen IPSEC-suojaus.

Wi-Fi Protected Access (WPA) -käyttö

Wi-Fi Protected Access (WPA) on suojauslaajennus, joka vahvistaa huomattavasti langattoman verkon tietojen suojausta ja käytönhallintaa. WPA-tilassa käytetään 802.1x-laillisuustarkistusta ja avainvaihtoa. Se toimii ainoastaan dynaamisten salausavainten kanssa.

TKIP (Temporal key Integrity Protocol)

Käyttää nopeiden pakettien uudelleenavainnukseksi kutsuttua salausmenetelmää, joka vaihtaa salausavainten taajuutta.

PEAP

PEAP on uusi EAP (Extensible Authentication Protocol) IEEE 802.1x -laillisuustarkistustyyppi, joka on suunniteltu hyödyntämään palvelinpuolen EAP-TLS:ää (EAP-Transport Layer Security) ja tukemaan eri laillisuustarkistusmenetelmiä, mukaan lukien sisäänkirjautumissalasanat, kertakäyttöiset salasanat ja Generic Token Card -tunnukset.

Näennäiset yksityisverkot (VPN)

Intel(R) PROSet tukee seuraavia VPN-asiakasohjelmistoja: Lisätietoja on kohdassa Näennäinen yksityisverkko (VPN).

  • Netstructure VPN (SST)
  • Netstructure VPN (IPsec-IKE)
  • Cisco VPN Gateway - Cisco VPN Gateway 3005s, Cisco Client V3.51B tai uudempi
  • Checkpoint VPN (Non office transparent -tila, Connect office -tila ja Connect non-office -tila)
  • Microsoft* VPN Cisco VPN Gateway - (L2TP IPsec-tiedonsiirrossa, L2TP määritettäessä
    ESP-in-UDP:n kanssa)

VPN-salauksella voidaan suojata TCP/IP-pohjaiset palvelut. VPN-tunneloinnin IPSec ja PPTP-yhteyskäytännöt suojaavat tehokkaasti langattomassa lähiverkossa lähetetyt tiedot. Näennäinen yksityisverkko (VPN) on käytännöllinen silloin, kun verkonvalvoja edellyttää kaikkien käyttäjien todentamista olemassa olevan VPN-palvelimen kautta jakamalla samalla olemassa olevan valtuutettujen käyttäjien tietokannan. Sekä paikallisten asiakkaiden että VPN-asiakkaiden sovittamiseksi järjestelmään kaikki langaton verkkoliikenne voidaan suunnata yhdyskäytävään niin, että asiakkaat voidaan rajoittaa käyttämään ainoastaan ennalta määritettyjä verkkoresursseja. Esimerkiksi vieraskäyttäjille voidaan sallia Internet-käyttö, kun taas laillisuustarkistettujen VPN-asiakkaiden luotettaville käyttäjille voidaan myöntää oikeus käyttää sekä intranetiä että Internetiä. Samantyyppisellä ratkaisulla voidaan suojata julkiskäyttösovelluksia ohjaamalla käyttäjiä tiettyjen laillisuustarkistusmenetelmien mukaan.

Huomautus: TCP/IP-pohjaiset palvelut voidaan suojata täydentämällä VPN-suojausta 802.11a- ja 802.11b-menetelmillä. 

Cisco LEAP

Cisco LEAP (Cisco Light EAP) on palvelimen ja asiakkaan 802.1x-laillisuustarkistus käyttäjän toimittaman kirjautumissalasanan avulla. Kun langaton tukiasema viestii Cisco LEAP -yhteensopivan RADIUS-palvelimen (Cisco Secure Access Control Server (ACS) -palvelimen) kanssa, Cisco LEAP mahdollistaa käytönhallinnan langattomien asiakassovittimien ja langattoman verkon keskinäisen laillisuustarkistuksen kautta ja antaa käyttöön dynaamiset, käyttäjäkohtaiset salausavaimet, jotka helpottavat lähetettävien tietojen salaamista.

Cisco Rogue AP -ominaisuus

antaa käyttöön suojan epäluotettavilta tukiasemilta, jotka voivat jäljitellä verkon laillisia tukiasemia saadakseen tietoonsa käyttäjätietoja ja laillisuustarkistuksen yhteyskäytäntöjä, mikä voi vaarantaa tietoturvan. Tämä ominaisuus on käytettävissä vain Ciscon LEAP-laillisuustarkistuksen kanssa. 802.11-vakiotekniikka ei suojaa verkkoa epäluotettavilta tukiasemilta.

CKIP

Cisco Key Integrity Protocol (CKIP) on Ciscon oma suojausyhteyskäytäntö tietojen
salaamiseksi 802.11-tietovälineissä. CKIP parantaa 802.11-suojausta perusrakennetilassa hyödyntämällä seuraavia
ominaisuuksia:

  • Avainten vaihtaminen (KP)
  • Sanoman eheyden tarkistaminen (MIC)
  • Sanoman järjestysnumero

Takaisin Sisältö-sivulle


Copyright (c) 2003 Intel Corporation.