Torna al Sommario
Poiché le periferiche wireless di connessione remota trasmettono informazioni su onde radio, è estremamente importante proteggere tali informazioni attraverso la configurazione delle impostazioni di protezione. Esistono tre componenti principali che, se utilizzati congiuntamente, c L'adozione delle misure descritte qui di seguito può aiutare a raggiungere un livello di protezione massimo per la propria rete wireless:
Informazioni generali sulla protezione
Protezione wireless
Linee guida per la protezione
Protezione della rete
Lo standard IEEE 802.1x offre una struttura di autenticazione generale per le LAN 802 e specifica un protocollo EAP (Extensible Authentication Protocol) che consente di attivare il trasporto LAN per molti tipi diversi di protocolli di autenticazione.
Per proteggere il traffico dei client lo standard 802.11 offre la crittografia WEP (Wireless Encryption Privacy) basata su chiavi di crittografia fisse (e tre lunghezze di chiave facoltative). L'utilizzo di chiavi fisse espone tuttavia questo sistema di crittografia a un rischio maggiore di subire svariati tipi di attacchi. Chiavi di crittografia
La crittografia WEP (Wired Equivalent Privacy) di IEEE 802.11 aiuta
a impedire la ricezione non autorizzata di dati wireless. Lo standard offre due livelli di protezione, uno che utilizza una chiave a 64 bit (talvolta chiamata a 40 bit) e l'altro che usa una chiave a 128 bit. Per ottenere un livello di protezione maggiore, utilizzare la chiave a 128 bit. Quando si usa la crittografia, tutte le periferiche wireless della rete WLAN devono utilizzare le stesse impostazioni di crittografia. L'algoritmo di crittografia WEP è vulnerabile agli attacchi attivi e passivi della rete. Gli algoritmi TKIP e CKIP includono dei miglioramenti al protocollo WEP che mitigano gli attacchi alla rete esistente cercando di risolverne i punti deboli.Per ulteriori informazioni, fare riferimento a Impostazione della crittografia WEP.
Un client WAN dà inizio a una richiesta di autenticazione presso un punto di accesso, il quale esegue l'autenticazione del client a un server RADIUS compatibile con EAP. Il server RADIUS può autenticare l'utente (tramite la password) o il computer (tramite l'indirizzo MAC). 802.1x
Esistono autenticazioni 802.1x di tipo diverso; ciascuna offre un approccio differente all'autenticazione, impiegando lo stesso protocollo e la stessa struttura per la comunicazione tra un client e un punto di accesso. Nella maggior parte dei protocolli, al completamento del processo di autenticazione 802.1x il richiedente riceve una chiave che utilizza per crittografare i dati.
Per dettagli sull'impostazione di un profilo 802.1x, fare riferimento a Impostazione del client per l'autenticazione WEP e MD5.
Protezione del trasporto IPSEC basata su software.IPSEC
L'accesso protetto Wi-Fi (WPA) rappresenta una funzione di protezione potenziata che aumenta significativamente il livello di protezione dei dati e il controllo dell'accesso alla WLAN. La modalità WPA impone l'autenticazione 802.1x e lo scambio di chiavi. Funziona solo con le chiavi di crittografia dinamiche.
Utilizza un metodo di crittografia chiamato "fast-packet rekeying", che si basa sulla modifica della frequenza delle chiavi di crittografia.
PEAP è un nuovo tipo di autenticazione IEEE 802.1x EAP (Extensible Authentication Protocol) che utilizza il livello di trasporto EAP-TLS sul lato del server e supporta svariati metodi di autenticazione, incluse le password di accesso, le password per una singola sessione e Generic Token Card.
Il software di client VPN riportato qui di seguito è supportato da Intel(R) PROSet. Per ulteriori informazioni, fare riferimento a Reti VPN.
La protezione VPN può proteggere i servizi basati su TCP/IP. I protocolli di tunneling VPN IPSec e PPTP offrono una crittografia potente per i dati inviati su una rete LAN wireless. VPN è utile quando l'amministratore della rete richiede a tutti gli utenti di autenticarsi tramite un server VPN esistente, condividendo un database esistente di utenti autorizzati. In presenza sia di client VPN che di client non VPN, tutto il traffico della WLAN potrebbe essere diretto a un gateway in modo che i client non abbiano accesso a risorse predefinite della rete. Per esempio, agli utenti guest potrebbe venire dato l'accesso a Internet, mentre agli utenti trusted con client VPN autenticati, oltre all'accesso a Internet, potrebbe venire dato anche l'accesso alla rete Intranet. Questo tipo di soluzione può essere adottato per la protezione delle applicazioni ad accesso pubblico, indirizzando gli utenti in base a metodi specifici di autenticazione.
Nota: 802.11a e 802.11b possono essere potenziati con la protezione VPN per aiutare a proteggere i servizi basati su TCP/IP.
Cisco LEAP (Cisco Light EAP) è un metodo di autenticazione 802.1x per server e client realizzata tramite una password di accesso fornita dall'utente. Quando un punto di accesso wireless comunica con un server Cisco RADIUS compatibile con LEAP (server Cisco Secure Access Control Server (ACS)), Cisco LEAP offre il controllo dell'accesso tramite l'autenticazione reciproca delle schede di rete wireless dei client e della rete wireless, realizzata con chiavi di crittografia per utente singolo che facilitano la salvaguardia della privacy dei dati trasmessi.
Funzione di protezione Cisco dai punti di accesso non autorizzati CKIP
Cisco Key Integrity Protocol (CKIP) è il protocollo di protezione proprietario di Cisco per la crittografia
La funzione di protezione Cisco per i punti di accesso non autorizzati consente di proteggersi dall'introduzione sulla rete di punti di accesso non autorizzati che, presentandosi come punti di accesso legittimi, potrebbero estrarre le informazioni riguardanti le credenziali degli utenti e i protocolli di autenticazione, compromettendo la sicurezza. Questa funzione è operativa solo con l'autenticazione LEAP di Cisco. La tecnologia dello standard 802.11 non protegge la rete dall'introduzione di punti di accesso non autorizzati.
su supporti 802.11. CKIP usa le seguenti funzioni per migliorare la protezione di 802.11 nella modalità
infrastruttura:
Sommario
Copyright (c) 2003 Intel Corporation.