Tillbaka till Innehåll

Säkerhet - översikt

Trådlös säkerhet

Eftersom enheter för trådlösa nätverk överför information genom radiovågor är det mycket viktigt att du skyddar din information genom att konfigurera säkerhetsinställningarna. Det finns tre huvudkomponenter som, när de används tillsammans, kan hjälpa till att skydda ditt trådlösa nätverk:

Säkerhetsriktlinjer

Det följande kan hjälpa till att uppnå maximal säkerhet för ditt trådlösa nätverk:

  1. Aktivera WEP på ditt trådlösa nätverk och ändra WEP-nyckeln dagligen eller varje vecka.
  2. Skydda dina enheter och mappar med lösenord.
  3. Ändra standard-SSID.
  4. Ändra WEP-nyckel med varje session om det är möjligt.
  5. Aktivera MAC-adressfiltrering, om det är möjligt.
  6. Öka säkerheten genom att implementera ett system med virtuellt privat nätverk (VPN eller Virtual Private Network). En VPN-klient ingår i flertalet operativsystem.

Skydda ditt nätverk

Verifieringstyper

IEEE 802.1x-standarden tillhandahåller en allmän verifieringsstruktur för 802-LAN och anger ett verifieringsprotokoll som kan utökas (EAP eller Extensible Authentication Protocol) för att aktivera LAN-transport för många olika typer av verifieringsprotokoll. 

Krypteringsnycklar

I syfte att skydda klienttrafik definierar 802.11-standarden WEP (Wireless Encryption Privacy) med fasta krypteringsnycklar (och tre valfria nyckellängder). Användningen av fasta nycklar har gjort det enkelt att sätta ihop flera typer av attack mot WEP. Se Nätverksnycklar för mer information.

WEP-kryptering

Du kan hjälpa till att förhindra ej auktoriserat mottagande av dina trådlösa data genom att använda IEEE 802.11 WEP (Wired Equivalent Privacy). I standarden ingår två säkerhetsnivåer, en 64-bitarsnyckel (hänvisas ibland till som 40-bitarsnyckel) eller 128-bitarsnyckel. För bättre säkerhet använder du en 128-bitarsnyckel. Om du använder kryptering måste alla trådlösa enheter i ditt WLAN använda samma krypteringsinställningar. WEP-krypteringsalgoritmen är sårbar för passiva och aktiva nätverksattacker.TKIP- och CKIP-algoritmer inkluderar förbättringar i WEP-protokollet som lindrar befintliga nätverksattacker och hanterar dess nackdelar.

Se Installera WEP-kryptering för mer information.

802.1x

En WAN-klient initierar en auktoriseringsbegäran till åtkomstpunkten som verifierar klienten till en EAP-kompatibel (Extensible Authentication Protocol) RADIUS-server. Denna RADIUS-server kan verifiera antingen användaren (via lösenord) eller maskinen (med MAC-adress).  802.1x-verifieringen är oberoende av 802.11-verifieringsprocessen. 802.1x-standarden tillhandahåller en verifieringsstruktur. 

Det finns olika 802.1x-verifieringstyper som var och en tillhandahåller ett annat tillvägagångssätt till verifiering med samma protokoll och struktur för kommunikation mellan en klient och en åtkomstpunkt. I flertalet protokoll gäller att vid slutförandet av 802.1x-verifieringsprocessen kommer den som anropar att få en nyckel som den använder för datakryptering. 

Se Ställa in klienten för WEP- och MD5-verifiering för information om hur du ställer in en 802.1x-profil.

IPSEC

Programvarubaserad IPSEC-transportsäkerhet.

WPA (Wi-Fi Protected Access)

WPA (Wi-Fi Protected Access) är en säkerhetsförbättring som avsevärt ökar dataskyddsnivån och åtkomstkontrollen till ett WLAN. WPA-läget upprätthåller 802.1x-verifiering och nyckelutbyte. Det fungerar bara med dynamiska krypteringsnycklar.

TKIP (Temporal Key Integrity Protocol)

Använder en krypteringsmetod som kallas "fast-packet rekeying" som ändrar krypteringsnycklarnas frekvens.

PEAP

PEAP är en ny EAP (Extensible Authentication Protocol) IEEE 802.1x-verifieringstyp avsedd att dra fördel av serversidans EAP-TLS (EAP-Transport Layer Security) och stödja olika verifieringsmetoder, inklusive inloggningslösenord, engångslösenord och generiskt token-kort.

VPN (virtuellt privat nätverk)

Intel(R) PROSet kan använda följande VPN-klientprogramvara. Se VPN (virtuellt privat nätverk) för mer information.

  • Nätstruktur VPN (SST)
  • Nätstruktur VPN (IPsec-IKE)
  • Cisco VPN Gateway - Cisco VPN Gateway 3005s, Cisco Client V3.51B eller senare
  • Checkpoint VPN (icke-kontor transparent läge, anslut kontorsläge och anslut icke-kontorsläge)
  • Microsoft* VPN Cisco VPN Gateway - (L2TP över IPsec-transport, L2TP för konfiguration
    med ESP-i-UDP)

VPN-säkerhet kan skydda TCP/IP-baserade tjänster. IPSec- och PPTP VPN-tunnelprotokoll tillhandahåller stark kryptering för data som skickas över ett trådlöst LAN. VPN är användbart om nätverksadministratören kräver att alla användare verifieras genom en befintlig VPN-server samtidigt som det delar en befintlig databas med auktoriserade användare. Du kan ha både icke-VPN- och VPN-klienter genom att dirigera all WLAN-trafik till en gateway så att klienter kan begränsas till fördefinierade nätverksresurser. Gästanvändare kan t ex ges Internet-åtkomst samtidigt som betrodda användare med verifierade VPN-klienter ges intranät- såväl som Internet-åtkomst. Denna samma typ av lösning kan tillhandahålla säkerhet i applikationer med offentlig åtkomst och dirigera användare enligt specifika verifieringsmetoder.

Obs!802.11a och 802.11b kan höjas med VPN-säkerhet för att hjälpa till att skydda TCP/IP-baserade tjänster. 

Cisco LEAP

Cisco LEAP (Cisco Light EAP) är en server och klient 802.1x-verifiering via användarangivet inloggningslösenord. När en trådlös åtkomstpunkt kommunicerar med en Cisco LEAP-aktiverad RADIUS-server (Cisco Secure Access Control Server (ACS)), tillhandahåller Cisco LEAP åtkomstkontroll genom gemensam verifiering mellan klientens trådlösa adaptrar och det trådlösa nätverket och tillhandahåller dynamiska, individuella användarkrypteringsnycklar för att hjälpa till att skydda sekretessen för överförda data. 

Cisco Rogue AP-säkerhetsfunktion

Funktionen Cisco Rogue AP tillhandahåller säkerhetsskydd mot en introduktion av en s k rogue eller otillåten åtkomstpunkt som skulle kunna imitera en legitim åtkomstpunkt i ett nätverk för att extrahera information om användarreferenser och verifieringsprotokoll vilket skulle kunna kompromissa säkerheten. Denna funktion kan bara användas med Ciscos LEAP-verifiering. Standard-802.11-teknologi skyddar inte ett nätverk från att en otillåten åtkomstpunkt introduceras. 

CKIP

CKIP (Cisco Key Integrity Protocol) är Ciscos egna säkerhetsprotokoll för kryptering
i 802.11-media. CKIP använder följande funktioner för att förbättra 802.11-säkerhet i infrastrukturläge:

  • KP (Key Permutation)
  • MIC (Message Integrity Check)
  • Meddelandesekvensnummer

Tillbaka till Innehåll


Copyright (c) 2003, Intel Corporation.