Zurück zum Inhaltsverzeichnis

Sicherheit - Überblick

Sicherheit für drahtlose Systeme

Da drahtlose Netzwerkgeräte Informationen über Radiowellen übertragen, ist es zwingend erforderlich, dass Sie Ihre Informationen schützen und Sicherheitseinstellungen konfigurieren. Es gibt drei Hauptkomponenten, die, gemeinsam verwendet, Ihr drahtloses Netzwerk schützen können:

Richtlinien für die Sicherheit

Folgendes kann Sie darin unterstützen, maximale Sicherheit für Ihr drahtloses Netzwerk zu erzielen:

  1. Aktivieren Sie WEP auf Ihrem drahtlosen Netzwerk und ändern Sie den WEP-Code täglich oder wöchentlich.
  2. Schützen Sie Ihre Laufwerke und Ordner mit Kennwörtern.
  3. Ändern Sie die Standard-SSID.
  4. Ändern Sie, wenn möglich, bei jeder Sitzung den WEP-Schlüssel.
  5. Aktivieren Sie, wenn möglich, die MAC-Adressenfilterung.
  6. Integrieren Sie ein VPN-System (virtuelles Privatnetzwerk), um die Sicherheit zu erhöhen. Ein VPN-Client ist in den meisten Betriebssystemen enthalten.

Schutz Ihres Netzwerkes

Authentifizierungsarten

Die IEEE-Standardnorm 802.1x bietet einen allgemeinen Berechtigungsrahmen für 802 LANs und legt ein erweiterbares EAP (extensible authentication protocol - erweiterbares Berechtigungsprotokoll) zur Aktivierung von LAN-Transport für viele unterschiedliche Berechtigungsprotokolltypen fest.

Verschlüsselungscodes

Um Client-Verkehr zu schützen, definiert die 802.11-Norm WEP (Wireless Encryption Privacy - drahtlose Verschlüsselungssicherheit) mit festgelegten Verschlüsselungscodes (und drei optionalen Codelängen). Die Verwendung von festgelegten Codes hat es leicht gemacht, WEP auf verschiedene Arten anzugreifen.Weitere Informationen finden Sie unter Netzwerkschlüssel.

WEP-Verschlüsselung

Sie können den unbefugten Empfang Ihrer drahtlosen Daten verhindern, indem Sie das IEEE 802.11 WEP verwenden. Der Standard enthält zwei Sicherheitsebenen und verwendet einen 64-Bit-Code (mitunter auch als 40-Bit bezeichnet) oder einen 128-Bit-Code. Verwenden Sie einen 128-Bit-Code für erhöhte Sicherheit. Wenn Sie Verschlüsselung verwenden, müssen alle drahtlosen Geräte auf Ihrem WLAN dieselben Verschlüsselungseinstellungen benutzen. Der WEP-Verschlüsselungsalgorithmus wird durch passive und aktive Angriffe über das Netzwerk gefährdet. Die TKIP- und CKIP-Algorithmen weisen Verbesserungen des WEP-Protokolls auf, die vorhandene Angriffe über das Netzwerk mildern und seine Schwächen konkret angehen.

Weitere Informationen dazu finden Sie unter Einrichten der WEP-Verschlüsselung.

802.1x

Ein WAN-Client initiiert eine Berechtigungsanfrage an den Zugriffspunkt, wodurch der Client für einen EAP- (Extensible Authentication Protocol - erweiterbares Bestätigungsprotokoll) fähigen RADIUS-Server autorisiert wird. Der RADIUS-Server kann entweder den Anwender (über Kennwörter) oder das Gerät (über die MAC-Adresse) autorisieren. Die 802.1x Authentifizierung erfolgt unabhängig vom 802.11 Authentifizierungsprozess. Der 802.1x Standard bietet eine Authentifizierungsgrundstruktur.

Es gibt verschiedene 802.1x Authentifizierungsarten, die unterschiedliche Authentifizierungsansätze verwenden, sich jedoch alle desselben 802.1x Protokolls und Kommunikationsrahmens zwischen Client und Zugriffspunkt bedienen. Bei den meisten Protokollen erhält der anfragende Teilnehmer nach Beendigung der 802.1x Authentifizierung einen Schlüssel zum Einsatz in der Datenverschlüsselung.

Weitere Informationen zum Einrichten eines 802.1x Profils finden Sie unter Den Client für WEP- und MD5-Authentifizierung einrichten.

IPSEC

Auf Software basierende IPSEC-Transportsicherheit.

WPA (Wi-Fi Protected Access)

Wi-Fi Protected Access (WPA) oder Wi-Fi geschützter Zugriff ist eine Sicherheitsverbesserung, die eine erhebliche Steigerung für den Datenschutz und die Zugriffssteuerung auf ein WLAN bedeutet. Der WPA-Modus erzwingt die 802.1x Authentifizierung und den Schlüsselaustausch. Er funktioniert nur mit dynamischen Verschlüsselungscodes.

TKIP (Temporal key Integrity Protocol - temporäres Code-Integritätsprotokoll)

Verwendet eine Verschlüsselungsmethode, Fast-Packet-Rekeying genannt, die die Verschlüsselungscodefrequenz ändert.

PEAP

PEAP ist ein neues EAP (Extensible Authentication Protocol oder erweiterbares Authentifizierungsprotokoll) vom IEEE 802.1x Authentifizierungstyp, der entwickelt wurde, um die Vorteile der EAP-Transport Layer Security (EAP-TLS oder EAP-Transportebenensicherheit) auf Serverebene zu nutzen und verschiedene Authentifizierungsmethoden zu unterstützen, einschließlich Anmeldekennwörtern, einmaligen Kennwörtern sowie Generic Token Cards.

VPN (Virtual Private Networking)

Die folgende VPN-Client-Software wird von Intel(R) PROSet unterstützt. Weitere Informationen dazu finden Sie unter VPN (Virtual Private Network).

  • Netstructure VPN (SST)
  • Netstructure VPN (IPsec-IKE)
  • Cisco VPN Gateway - Cisco VPN Gateway 3005s, Cisco Client V3.51B oder neuer
  • Checkpoint VPN (im transparenten Nicht-Office-Modus, verbundenen Office-Modus und verbundenen Nicht-Office-Modus)
  • Microsoft* VPN Cisco VPN Gateway - (L2TP über IPsec transport, L2TP zur Konfiguration
    mit ESP-in-UDP)

VPN-Sicherheit kann auf TCP/IP aufbauende Services schützen. IPSec und PPTP VPN-Tunnelprotokolle bieten eine starke Verschlüsselung von Daten, die über ein drathloses LAN gesendet werden. VPN ist nützlich, wenn der Netzwerkadministrator von allen Benutzern verlangt, dass sie sich über einen vorhandenen VPN-Server authentifizieren und eine Datenbank mit autorisierten Benutzern gemeinsam verwendet wird. Um sowohl nicht-VPN-Clients als auch VPN-Clients einsatzfähig zu gestalten, könnte der gesamte WLAN-Verkehr an einen Gateway geleitet werden, damit Clients auf vordefinierte Netzwerk-Ressourcen eingeschränkt werden können. Damit kann beispielsweise einem Gastbenutzer Internetzugriff gewährt werden, während verifizierte Benutzer mit authentifizierten VPN-Clients Zugriff auf das Intranet und Internet haben. Dieselbe Lösung kann Anwendungen mit öffentlichem Zugriff Sicherheit bieten, indem Benutzer aufgrund spezifischer Authentifizierungsmethoden weitergeleitet werden.

Hinweis: 802.11a und 802.11b können mit VPN-Sicherheit erweitert werden, um auf TCP/IP basierende Dienste zu schützen. 

Cisco LEAP

Cisco LEAP (Cisco Light EAP) ist eine 802.1x Server- und Client-Authentifizierung, die ein vom Benutzer bereitgestelltes Anmeldekennwort verwendet. Wenn ein drahtloser Zugriffspunkt mit einem Cisco LEAP-aktivierten RADIUS (Cisco Secure Access Control Server (ACS)- Server) kommuniziert, bietet Cisco LEAP Zugriffssteuerung über gegenseitige Authentifizierung zwischen den drahtlosen Adaptern auf Client-Ebene und dem drahtlosen Netzwerk, und stellt dynamische Verschlüsselungscodes für die einzelnen Anwender bereit, um die Datensicherheit bei der Übertragung zu gewährleisten.

Cisco Rogue AP-Funktion

Die Cisco Rogue AP-Funktion bietet Schutz vor Zugriff durch einen "rogue" (illegitimen) Zugriffspunkt, der möglicherweise vorgibt, ein legitimer Zugriffspunkt in einem Netzwerk zu sein, um auf diese Weise Informationen über die Benutzerberechtigungen und Authentifizierungsprotokolle abzurufen, was die Sicherheit beeinträchtigen könnte. Diese Funktion ist nur einsatzfähig mit LEAP-Authentifizierung von Cisco. Die standardmäßige 802.11 Technologie schützt ein Netzwerk nicht vor Eindringen durch einen illegitimen Zugriffspunkt.

CKIP

Cisco Key Integrity Protocol (CKIP) ist das proprietäre Sicherheitsprotokoll von Cisco zur Verschlüsselung
von 802.11 Medien. CKIP verwendet die folgenden Funktionen zur Erhöhung der 802.11 Sicherheit im Infrastrukturmodus:

  • KP (Key Permutation oder Schlüsselpermutation, systematische Vertauschung)
  • MIC (Message Integrity Check) oder Meldungsintegritätsprüfung
  • Message Sequence Number oder Meldungssequenznummer

Zurück zum Inhaltsverzeichnis


Copyright (c) 2003 Intel Corporation.