Tilbake til Innhold-siden

Oversikt over sikkerhet

Trådløssikkerhet

Ettersom enheter for trådløse nettverk overfører informasjon gjennom radiobølger, er det helt nødvendig at du beskytter informasjonen ved å konfigurere sikkerhetsinnstillingene. Det finnes tre hovedkomponenter som, når de brukes sammen, kan beskytte det trådløse nettverket:

Retningslinjer for sikkerhet

Det følgende kan hjelpe med å oppnå maksimal sikkerhet for det trådløse nettverket:

  1. Aktiver WEP på det trådløse nettverket og endre WEP-nøkkelen daglig eller ukentlig.
  2. Beskytt stasjonene og mappene med passord.
  3. Endre standard SSID.
  4. Endre WEP-nøkkelen for hver økt hvis det er mulig.
  5. Aktiver MAC-adressefiltrering hvis det er mulig.
  6. Implementer et VPN-system (Virtual Private Network) for å øke sikkerheten. Nesten alle operativsystemer inneholder en VPN-klient.

Beskytte nettverket

Godkjenningstyper

IEEE 802.1x-standarden gir et generelt rammeverk for godkjenning av 802-lokalnett og angir en utvidbar godkjenningsprotokoll (EAP) for å aktivere LAN-transport for mange ulike typer godkjenningsprotokoller. 

Krypteringsnøkler:

Med det formål å beskytte klienttrafikken definerer 802.11-standarden WEP (Wireless Encryption Privacy) med faste krypteringsnøkler (og tre valgfrie nøkkellengder). Bruken av faste nøkler har gjort det lett å sette i verkt flere typer angrep mot WEP. Se Nettverksnøkler for å få mer informasjon.

WEP-kryptering

Du kan forhindre uautorisert mottak av de trådløse dataene ved hjelp av IEEE 802.11 WEP Wired Equivalent Privacy. Standarden inneholder to sikkerhetsnivåer som bruker en 64-biters nøkkel (også omtalt som 40-biters) eller en 128-biters nøkkel. Den beste sikkerheten får du ved bruk av en 128-biters nøkkel. Hvis du bruker kryptering, må alle trådløse enheter på lokalnettet bruke de samme krypteringsinnstillingene. WEP-krypteringsalgoritmen er sårbar overfor passive og aktive nettverksangrep.TKIP- og CKIP-algoritmer innebæer utvidelser av WEP-protokollen som demper eksisterende nettverksangrep og tar for seg manglende ved dette.

Se i Konfigurere WEP-kryptering hvis du vil ha mer informasjon.

802.1x

En WAN-klient starter en godkjenningsforespørsel til tilgangspunktet som godkjenner klienten til en EAP-kompatibel (Extensible Authentication Protocol) RADIUS-server. RADIUS-serveren kan godkjenne brukeren (via passord) eller datamaskinen (ved MAC-adressen).  802.1x-autentifikasjonen er uavhengig av 802.11-autentifikasjonsprosessen. 802.1x-standarden gir et autentifikasjonsrammeverk.

Det finnes forskjellige 802.1x-autentifikasjonstyper, og hver gir forskjellige innfallsvinkler til autentifikasjonen, men alle tar i bruk den samme protokollen og det samme rammeverk for kommunikasjonen mellom en klient og et tilgangspunkt. I de fleste protokollene, når 802.1x-autentifikasjonsprosessen er ferdig, mottar søkeren en nøkkel som den benytter til datakryptering.

Se på Innstille klienten for WEP- og MD5-autentifikasjon for å få detaljer om å innstile en 802.1x-profil.

IPSEC

Programvarebasert IPSEC transporterer sikkerhet.

Wi-Fi-beskyttet tilgang (WPA)

Wi-Fi-beskyttet tilgang (WPA) er en sikkerhetsutvidelse som kraftig øker databeskyttelsesnivået og tilgangskontrollen til et WLAN. WPA-modus håndhever 802.1x-autentifikasjon og nøkkelutveksling. Den virker bare sammen med krypteringsnøkler.

TKIP (Temporal key Integrity Protocol)

Bruker en krypteringsmetode som heter "fast-packet rekeying" som endrer frekvens for krypteringsnøklene.

PEAP

PEAP er en ny Extensible Authentication Protocol (EAP) IEEE 802.1x-autentifikasjonstype lagd for å trekke fordeler fra serversidens EAP-Transport Layer Security (EAP-TLS) og for å støtte forskjellige autentifikasjonsmetoder, herunder brukerens passord og engangspassord og Generic Token Cards.

Virtuelle private nettverk (VPN)

Følgende VPN-klientprogramvare støttes av Intel(R) PROSet. Se i Virtuelt privat nettverk (VPN) hvis du vil ha mer informasjon.

  • Netstructure VPN (SST)
  • Netstructure VPN (IPsec-IKE)
  • Cisco VPN Gateway - Cisco VPN Gateway 3005s, Cisco Client V3.51B eller senere
  • Checkpoint VPN (privat, gjennomsiktig modus, kontortilkoblingsmodus og privattilkoblingsmodus)
  • Microsoft* VPN Cisco VPN Gateway - (L2TP over IPsec transport, L2TP for konfigurasjon
    med ESP-in-UDP)

VPN-sikkerhet kan beskytte TCP/IP-baserte tjenester. IPSec- og PPTP VPN-tunneleringsprotokoller gir sterk kryptering for data som sendes over et trådløst LAN. VPN er nyttig hvis nettverksansvarlig krever at alle brukerne godkjennes gjennom en eksisterende VPN-server og samtidig deler en eksisterende database med godkjente brukere. For å ha plass til både ikke-VPN- og VPN-klienter kan all WLAN-trafikk bli styrt til en gateway slik at klienter kan begrenses til forhåndsdefinerte nettverksressurser. Gjestebrukere kan for eksempel få Internett-tilgang mens klarerte brukere med godkjente VPN-klienter får både Intranett- og Internett-tilgang. Samme type løsning kan gi sikkerhet i offentlige tilgangsprogrammer og styre brukere i henhold til bestemte godkjenningsmetoder

Obs!802.11a og 802.11b kan forsterkes med VPN-sikkerhet for å beskytte TCP/IP-baserte tjenester. 

Cisco LEAP

Cisco LEAP (Cisco Light EAP) er en server- og klient-802.1x-autentifikasjon via brukerlevert logon-passord. Når et trådløst tilgangspunkt kommuniserer med en Cisco LEAP-aktivert RADIUS (Cisco-sikker tilgangskontrollserver (ACS)-erver), gir Cisco LEAP tilgangskontroll via gjensidig autentifikasjon mellom klientens trådløse kort og det tråadløse nettverket og gir dynamiske, individuelle brukerkrypteringsnøkler for å hjelpe til med å beskytte fortroligheten i de overførte data.

Cisco Rogue AP-egenskapen

Cisco Rogue AP gir sikkerhetsbeskyttelse fra en innføring av et rogue-tilgangspunkt på et nettverk for å trekke ut informasjon om brukerlegitimasjonsbeskrivelsen og autentifikasjonsprotokoller som kan bringe sikkerheten i fare. Denne egenskapen virker bare med Ciscos LEAP-autentifikasjon. Standard 802.11-teknologi beskytter ikke et nettverk mot innføringen av et rogue-tilgangspunkt.

CKIP

Cisco Key Integrity Protocol (CKIP) er en Cisco-egen sikkerhetsprotokoll for kryptering
i 802.11-medier. CKIP benytter de følgende egenskapene for å forbedre 802.11-sikkerheten i infrastruktur
modus:

  • Nøkkel-permutasjon (KP)
  • Beskjedintegritetssjekk (MIC)
  • Beskjedsekvensnummer

Tilbake til Innhold-siden


Copyright (c) 2003 Intel Corporation.