Torna al Sommario

Informazioni generali sulla protezione

Protezione wireless

Poiché le periferiche wireless di connessione remota trasmettono informazioni su onde radio, è estremamente importante proteggere tali informazioni attraverso la configurazione delle impostazioni di protezione. Esistono tre componenti principali che, se utilizzati congiuntamente, consentono di proteggere la rete wireless:

Linee guida per la protezione

L'adozione delle misure descritte qui di seguito può aiutare a raggiungere un livello di protezione massimo per la propria rete wireless:

  1. Attivare WEP sulla rete wireless e cambiare la chiave WEP ogni giorno o ogni settimana.
  2. Proteggere con password le unità e le cartelle.
  3. Cambiare l'SSID predefinito.
  4. Cambiare la chiave WEP ad ogni sessione, se possibile.
  5. Attivare il filtro degli indirizzi MAC, se possibile.
  6. Implementare un sistema VPN per aumentare la protezione. La maggior parte dei sistemi operativi include un client VPN.

Protezione della rete

Tipi di autenticazione

Lo standard IEEE 802.1x offre una struttura di autenticazione generale per le LAN 802 e specifica un protocollo EAP (Extensible Authentication Protocol) che consente di attivare il trasporto LAN per molti tipi diversi di protocolli di autenticazione. 

Chiavi di crittografia

Per proteggere il traffico dei client lo standard 802.11 offre la crittografia WEP (Wireless Encryption Privacy) basata su chiavi di crittografia fisse (e tre lunghezze di chiave facoltative). L'utilizzo di chiavi fisse espone tuttavia questo sistema di crittografia a un rischio maggiore di subire svariati tipi di attacchi. Per ulteriori informazioni, fare riferimento a Chiavi di rete.

Crittografia WEP

La crittografia WEP (Wired Equivalent Privacy) di IEEE 802.11 aiuta a impedire la ricezione non autorizzata di dati wireless. Lo standard offre due livelli di protezione, uno che utilizza una chiave a 64 bit (talvolta chiamata a 40 bit) e l'altro che usa una chiave a 128 bit. Per ottenere un livello di protezione maggiore, utilizzare la chiave a 128 bit. Quando si usa la crittografia, tutte le periferiche wireless della rete WLAN devono utilizzare le stesse impostazioni di crittografia. L'algoritmo di crittografia WEP è vulnerabile agli attacchi attivi e passivi della rete. Gli algoritmi TKIP e CKIP includono dei miglioramenti al protocollo WEP che mitigano gli attacchi alla rete esistente cercando di risolverne i punti deboli.

Per ulteriori informazioni, fare riferimento a Impostazione della crittografia WEP.

802.1x

Un client WAN dà inizio a una richiesta di autenticazione presso un punto di accesso, il quale esegue l'autenticazione del client a un server RADIUS compatibile con EAP. Il server RADIUS può autenticare l'utente (tramite la password) o il computer (tramite l'indirizzo MAC).  L'autenticazione 802.1x è indipendente dal processo di autenticazione 802.11. Lo standard 802.1x offre una struttura di autenticazione

Esistono autenticazioni 802.1x di tipo diverso; ciascuna offre un approccio differente all'autenticazione, impiegando lo stesso protocollo e la stessa struttura per la comunicazione tra un client e un punto di accesso. Nella maggior parte dei protocolli, al completamento del processo di autenticazione 802.1x il richiedente riceve una chiave che utilizza per crittografare i dati.

Per dettagli sull'impostazione di un profilo 802.1x, fare riferimento a Impostazione del client per l'autenticazione WEP e MD5.

IPSEC

Protezione del trasporto IPSEC basata su software.

Accesso protetto Wi-Fi (WPA)

L'accesso protetto Wi-Fi (WPA) rappresenta una funzione di protezione potenziata che aumenta significativamente il livello di protezione dei dati e il controllo dell'accesso alla WLAN. La modalità WPA impone l'autenticazione 802.1x e lo scambio di chiavi. Funziona solo con le chiavi di crittografia dinamiche.

TKIP (Temporal key Integrity Protocol)

Utilizza un metodo di crittografia chiamato "fast-packet rekeying", che si basa sulla modifica della frequenza delle chiavi di crittografia.

PEAP

PEAP è un nuovo tipo di autenticazione IEEE 802.1x EAP (Extensible Authentication Protocol) che utilizza il livello di trasporto EAP-TLS sul lato del server e supporta svariati metodi di autenticazione, incluse le password di accesso, le password per una singola sessione e Generic Token Card.

Reti VPN

Il software di client VPN riportato qui di seguito è supportato da Intel(R) PROSet. Per ulteriori informazioni, fare riferimento a Reti VPN.

  • Netstructure VPN (SST)
  • Netstructure VPN (IPsec-IKE)
  • Cisco VPN Gateway - Cisco VPN Gateway 3005s, Cisco Client V3.51B o versione successiva
  • Checkpoint VPN (modalità trasparente "non office", connessione modalità "office" e connessione modalità "non-office")
  • Microsoft* VPN Cisco VPN Gateway - (L2TP su trasporto IPsec, L2TP per configurazione
    con ESP-in-UDP)

La protezione VPN può proteggere i servizi basati su TCP/IP. I protocolli di tunneling VPN IPSec e PPTP offrono una crittografia potente per i dati inviati su una rete LAN wireless. VPN è utile quando l'amministratore della rete richiede a tutti gli utenti di autenticarsi tramite un server VPN esistente, condividendo un database esistente di utenti autorizzati. In presenza sia di client VPN che di client non VPN, tutto il traffico della WLAN potrebbe essere diretto a un gateway in modo che i client non abbiano accesso a risorse predefinite della rete. Per esempio, agli utenti guest potrebbe venire dato l'accesso a Internet, mentre agli utenti trusted con client VPN autenticati, oltre all'accesso a Internet, potrebbe venire dato anche l'accesso alla rete Intranet. Questo tipo di soluzione può essere adottato per la protezione delle applicazioni ad accesso pubblico, indirizzando gli utenti in base a metodi specifici di autenticazione.

Nota: 802.11a e 802.11b possono essere potenziati con la protezione VPN per aiutare a proteggere i servizi basati su TCP/IP. 

Cisco LEAP

Cisco LEAP (Cisco Light EAP) è un metodo di autenticazione 802.1x per server e client realizzata tramite una password di accesso fornita dall'utente. Quando un punto di accesso wireless comunica con un server Cisco RADIUS compatibile con LEAP (server Cisco Secure Access Control Server (ACS)), Cisco LEAP offre il controllo dell'accesso tramite l'autenticazione reciproca delle schede di rete wireless dei client e della rete wireless, realizzata con chiavi di crittografia per utente singolo che facilitano la salvaguardia della privacy dei dati trasmessi.

Funzione di protezione Cisco dai punti di accesso non autorizzati

La funzione di protezione Cisco per i punti di accesso non autorizzati consente di proteggersi dall'introduzione sulla rete di punti di accesso non autorizzati che, presentandosi come punti di accesso legittimi, potrebbero estrarre le informazioni riguardanti le credenziali degli utenti e i protocolli di autenticazione, compromettendo la sicurezza. Questa funzione è operativa solo con l'autenticazione LEAP di Cisco. La tecnologia dello standard 802.11 non protegge la rete dall'introduzione di punti di accesso non autorizzati.

CKIP

Cisco Key Integrity Protocol (CKIP) è il protocollo di protezione proprietario di Cisco per la crittografia
su supporti 802.11. CKIP usa le seguenti funzioni per migliorare la protezione di 802.11 nella modalità
infrastruttura:

  • La permutazione delle chiavi (KP)
  • Il controllo dell'integrità dei messaggi (MIC)
  • Il numero di sequenza dei messaggi

Torna al Sommario


Copyright (c) 2003 Intel Corporation.