Powrót do Spisu treści

Przegląd zabezpieczeń: Instrukcja obsługi karty Mini PCI Intel(R) PRO/Wireless LAN


Szyfrowanie — przegląd
Szyfrowanie WEP i potwierdzanie autentyczności
Potwierdzanie autentyczności w standardzie 802.1x
Co to jest RADIUS
Dostęp zabezpieczony Wi-Fi (WPA)
Protokół potwierdzania autentyczności PEAP
Protokół potwierdzania autentyczności LEAP (Cisco)


Szyfrowanie — przegląd

Bezpieczeństwo sieci WLAN, można zwiększyć przez włączenie szyfrowania danych, przy użyciu protokołu WEP (Wireless Encryption Protocol). Można wybrać jeden z dwóch poziomów szyfrowania: 64-bitowe i 128-bitowe. Dane można wtedy szyfrować również za pomocą klucza. Inny parametr, nazywany indeksem klucza, umożliwia tworzenie kilku kluczy dla danego profilu. W danym momencie, można jednak używać tylko jednego klucza. Dodatkowo profil Intel(R) PROSet for Wireless, można zabezpieczać hasłem. Fraza hasła używana jest do automatycznego tworzenia klucza WEP. Do wyboru są dwie możliwości: można używać frazy hasła lub wpisywać klucz WEP ręcznie. W przypadku szyfrowania 64-bitowego dla klucza WEP odpowiadającego sieci, z którą następuje łączenie, można wprowadzić frazę hasła o długości pięciu znaków — może być dowolna i łatwa do zapamiętania (np. Cola1) — lub 10 liczb w systemie szesnastkowym. W przypadku szyfrowania 128-bitowego, można wprowadzić frazę hasła, składającą się z 13 znaków lub wprowadzić 26 liczb w systemie szesnastkowym.


Szyfrowanie WEP i potwierdzanie autentyczności

Szyfrowanie WEP (Wired Equivalent Privacy) i współużytkowane potwierdzanie autentyczności służy do zabezpieczania danych w sieci. W szyfrowaniu WEP, przed wysłaniem, dane są szyfrowane za pomocą klucza szyfrowania. Uzyskiwanie dostępu do sieci oraz odszyfrowywanie zaszyfrowanych danych jest możliwe tylko w przypadku komputerów z tym samym kluczem szyfrowania. Potwierdzanie autentyczności jest dodatkowym procesem sprawdzania połączenia między kartą i punktem dostępu.

Obsługiwane rodzaje potwierdzania autentyczności to potwierdzanie otwarte oraz potwierdzanie za pomocą klucza współużytkowanego:

Klucze sieciowe

Jeśli włączone zostało szyfrowanie danych (WEP, CKIP lub TKIP), do szyfrowania używany jest klucz sieciowy. Klucz sieciowy może być dostarczany automatycznie (np. razem z kartą sieci bezprzewodowej) lub wprowadzany przez użytkownika poprzez podanie klucza, jego długości (64-bitowy lub 128-bitowy), formatu (znaki ASCII lub cyfry w systemie szesnastkowym) oraz indeksu (miejsca przechowywania). Im klucz jest dłuższy, tym zapewnia wyższy poziom bezpieczeństwa. Z każdym bitem długości klucza podwaja się liczba możliwych kombinacji klucza. Dla stacji podłączonej do sieci bezprzewodowej w standardzie 802.11, można skonfigurować maksymalnie cztery klucze (wartości indeksów kluczy: 1, 2, 3 i 4). Kiedy z punktu dostępu lub stacji w sieci bezprzewodowej wysyłana jest wiadomość zaszyfrowana za pomocą klucza przechowywanego w określonym indeksie, w wiadomości tej zawarte są informacje o indeksie klucza użytego do szyfrowania treści wiadomości. Klucz przechowywany w indeksie może zostać pobrany przez odbiorczy punkt dostępu lub stację w sieci bezprzewodowej, a następnie użyty do odszyfrowania treści wiadomości.

Statyczne i dynamiczne typy kluczy szyfrowania

W standardzie 802.1x używane są dwa typy kluczy szyfrowania: statyczne i dynamiczne. Statyczne klucze szyfrowania zmieniane są ręcznie i są bardziej narażone na przechwycenie. Do potwierdzania autentyczności MD5 używane są tylko klucze statyczne. Dynamiczne klucze szyfrowania są okresowo odnawiane automatycznie. Dzięki temu są one bezpieczniejsze. Aby włączyć opcję dynamicznych kluczy szyfrowania, należy używać metod potwierdzania autentyczności w standardzie 802.1x opartych na certyfikatach (np. TLS, TTLS lub PEAP).


Potwierdzanie autentyczności 802.1x (802.1x Authentication)

Funkcje 802.1x

Potwierdzanie autentyczności 802.1x — uwagi

Przegląd

Potwierdzanie autentyczności w standardzie 802.1x jest niezależne od procesu potwierdzania autentyczności w standardzie 802.11. Standard 802.1x zapewnia strukturę dla różnych protokołów potwierdzania autentyczności i zarządzania kluczami. Istnieją różne typy potwierdzania autentyczności w standardzie 802.1x, a każdy z nich zapewnia inny sposób potwierdzania autentyczności przy zastosowaniu tego samego protokołu 802.1x i struktury komunikacji między klientem i punktem dostępu. W przypadku większości protokołów bezpośrednio po zakończeniu procesu potwierdzania autentyczności w standardzie 802.1x komputer, którego autentyczność jest potwierdzana, otrzymuje klucz szyfrowania danych.

W przypadku potwierdzania autentyczności w standardzie 802.1x stosuje się metodę potwierdzania autentyczności między klientem i serwerem RADIUS (Remote Authentication Dial-In User Service) podłączonym do punktu dostępu. W procesie potwierdzania autentyczności używane są poświadczenia (np. hasło użytkownika), które nie są przesyłane w sieci bezprzewodowej. Większość typów sieci w standardzie 802.1x obsługuje dynamiczne klucze przydzielane określonym użytkownikom dla określonych sesji, dzięki czemu klucze statyczne zapewniają wyższy poziom zabezpieczeń. W protokole 802.1x stosowany jest istniejący protokół potwierdzania autentyczności EAP (Extensible Authentication Protocol). Potwierdzanie autentyczności w standardzie 802.1x dla bezprzewodowych sieci LAN odbywa się z udziałem trzech elementów: potwierdzającego (punkt dostępu), potwierdzanego (oprogramowanie klienta) i serwera potwierdzania autentyczności (serwer RADIUS). Żądanie potwierdzenia autentyczności jest inicjowane przez funkcję potwierdzania autentyczności 802.1x w punkcie dostępu, w którym następnie autentyczność klienta jest potwierdzana na serwerze RADIUS (zgodnym z protokołem EAP). Na serwerze RADIUS może być potwierdzana autentyczność użytkownika (za pomocą haseł lub certyfikatów) lub komputera (za pomocą adresu MAC). Teoretycznie klient sieci bezprzewodowej nie może uzyskać połączenia z siecią przed zakończeniem transakcji. W standardzie 802.1x stosowanych jest kilka algorytmów potwierdzania autentyczności: MD5-Challenge, EAP-TLS, EAP-TTLS, Protected EAP (PEAP) i EAP Cisco Wireless Light Extensible Authentication Protocol (LEAP). Wszystkie te metody służą do identyfikacji klienta sieci WLAN na serwerze RADIUS. W przypadku potwierdzania autentyczności na serwerze RADIUS tożsamość użytkowników jest sprawdzana w oparciu o bazy danych. RADIUS stanowi zestaw standardów dotyczących potwierdzania autentyczności, autoryzacji i obsługi kont (AAA). W skład usługi RADIUS wchodzi proces pośredni stosowany do sprawdzania klientów w środowisku wielu serwerów. Standard IEEE 802.1x jest używany do kontroli dostępu i potwierdzania autentyczności podczas uzyskiwania dostępu do sieci bezprzewodowych korzystających z portów 802.11 oraz sieci przewodowych Ethernet. Kontrola dostępu do sieci w oparciu o porty jest podobna do infrastruktury sieci lokalnej (LAN), gdzie potwierdzana jest autentyczność urządzeń przyłączanych do portów LAN, a jeśli potwierdzanie nie powiedzie się, dostęp do portów jest blokowany.

Jak działa potwierdzanie autentyczności 802.1x

Uproszczony opis potwierdzania autentyczności w standardzie 802.1x:

  1. Klient wysyła żądanie dostępu do punktu dostępu. Punkt dostępu żąda od klienta podania tożsamości.
  2. Klient odpowiada, podając pakiet określający tożsamość, który zostaje następnie przekazany do serwera potwierdzania autentyczności.
  3. Serwer potwierdzania autentyczności wysyła pakiet akceptacji do punktu dostępu.
  4. Autentyczność portu klienta zostaje potwierdzona w punkcie dostępu i przepływ danych zostaje udostępniony.

Więcej informacji o konfigurowaniu profilu 802.1x w programie Intel(R) PROSet for Wireless, można znaleźć w sekcji Konfigurowanie klienta do szyfrowania WEP i potwierdzania autentyczności MD5


Co to jest RADIUS?

Usługa RADIUS to protokół klient-serwer używany do autoryzacji, potwierdzania autentyczności i zarządzania kontami (AAA) podczas logowania i wylogowywania klientów dial-up z serwera dostępu do sieci. Zwykle serwer RADIUS stosowany jest przez dostawców usług internetowych do zadań związanych z autoryzacją, potwierdzaniem autentyczności i zarządzaniem kontami. Fazy potwierdzania autentyczności, autoryzacji i zarządzania kontem wyglądają następująco:


Dostęp zabezpieczony Wi-Fi* (WPA)

Dostęp zabezpieczony Wi-Fi (WPA) to udoskonalenie zabezpieczeń, znacznie zwiększające poziom ochrony danych i kontrolę dostępu do sieci WLAN. Tryb WPA wymusza potwierdzanie autentyczności i wymianę kluczy w standardzie 802.1x oraz działa tylko z użyciem dynamicznych kluczy szyfrowania. Aby podnieść poziom szyfrowania danych, w trybie WPA używany jest protokół TKIP (Temporal Key Integrity Protocol). W protokole TKIP zastosowano ważne ulepszenia dotyczące szyfrowania danych — na przykład funkcję mieszania kluczy dla poszczególnych pakietów, kontrolę integralności wiadomości (ang. message integrity check, MIC) nazywaną Michael, rozszerzony wektor inicjujący (IV) z regułami sekwencji oraz mechanizm ponownego wprowadzania klucza. Dzięki tym ulepszeniom, protokół TKIP zabezpiecza znane, słabe punkty szyfrowania WEP.


Protokół potwierdzania autentyczności PEAP

PEAP to nowy typ potwierdzania autentyczności, przy użyciu protokołu EAP IEEE 802.1x, zaprojektowany w celu wykorzystania usługi EAP-TLS po stronie serwera i obsługi różnych metod potwierdzania autentyczności (np. przy użyciu haseł użytkownika, haseł jednorazowych lub kart GTC).


Protokół potwierdzania autentyczności LEAP (Cisco)

Protokół LEAP (Cisco) umożliwia potwierdzanie autentyczności serwera i klienta w standardzie 802.1x za pomocą podawanego przez użytkownika hasła logowania. Kiedy punkt dostępu do sieci bezprzewodowej łączy się z serwerem RADIUS z włączoną obsługą protokołu LEAP (Cisco), protokół ten zapewnia kontrolę dostępu przez wzajemne potwierdzanie autentyczności między kartami sieci bezprzewodowej klienta i siecią bezprzewodową, a także indywidualne dynamiczne klucze szyfrowania, umożliwiające zachowanie prywatności przesyłanych danych. 

Funkcja zabezpieczająca Cisco Rogue AP

Funkcja Cisco Rogue AP zapewnia zabezpieczenie przeciwko wprowadzeniu nielegalnego punktu dostępu, imitującego działanie punktu uprawnionego w celu złamania zabezpieczeń przez przejęcie informacji dotyczących poświadczeń użytkownika i protokołów potwierdzania autentyczności. Funkcja ta działa tylko wtedy, gdy używany jest protokół LEAP (Cisco). Standardowa technologia 802.11 nie zabezpiecza sieci przed wprowadzeniem nielegalnego punktu dostępu. 

CKIP

Protokół Cisco Key Integrity Protocol (CKIP) to własny protokół zabezpieczeń firmy Cisco, stosowany do szyfrowania
w standardzie 802.11. W protokole CKIP używane są następujące funkcje zwiększające bezpieczeństwo sieci 802.11, w trybie Infrastruktura:


Powrót do Spisu treści