Обзор возможностей шифрования
WEP-шифрование и аутентификация
Аутентификация стандарта 802.1x
Что такое RADIUS?
Стандарт Wi-Fi Protected Access* (WPA)
PEAP
Cisco LEAP
Защита в беспроводных локальных сетях может быть организована с помощью разрешения использования WEP-шифрования данных (протокол шифрования в беспроводных сетях - Wireless Encryption Protocol). Вы можете выбрать 64- или 128-битный уровень шифрования. Данные также могут быть зашифрованы с помощью ключа. Другой параметр, называемый индексом ключа, обеспечивает возможность создания нескольких ключей для этого профиля. Однако единовременно может быть использован только один ключ. Для обеспечения конфиденциальности Вы также можете защитить паролем профиль Intel(R) PROSet for Wireless. Для автоматического генерирования ключа WEP-шифрования используется контрольная фраза. Вы можете либо ввести контрольную фразу, либо ввести ключ WEP-шифрования вручную. Для 64-битного шифрования необходима контрольная фраза длинной 5 символов, которые Вы можете ввести произвольно, например, "Volga", или можно ввести 10 шестнадцатиричных цифр для ключа WEP-шифрования, соответствующего сети, к которой нужно подключить пользователей. Для 128-битного шифрования необходима фраза длиной 13 символов или 26 шестнадцатиричных цифр для создания ключа WEP-шифрования и подключения к соответствующей сети.
WEP-шифрование (Wired Equivalent Privacy) и общая аутентификация обеспечивают защиту Ваших данных в сети. WEP-шифрование использует ключ шифрования для кодирования данных перед их отправкой. Только компьютеры, использующие этот же ключ, могут получить доступ к сети и расшифровать переданные другими компьютерами данные. Аутентификация обеспечивает дополнительную проверку на стадии коммуникаций между адаптером и точкой доступа.
Поддерживаемые схемы аутентификации представляют собой открытую и общую аутентификацию:
Если включено шифрование данных (WEP, CKIP или TKIP), для этой цели используется сетевой ключ. Сетевой ключ может быть получен автоматически (например, он может быть предоставлен Вашим адаптером беспроводной сети, или Вы можете ввести его самостоятельно, указав длину ключа (64- или 128-бит), формат ключа (ASCII-символы или шестнадцатиричные цифры) и индекс ключа (место хранения ключа). Ключ, имеющий большую длину, наиболее защищен. Каждый раз, при увеличении длины ключа на один бит количество возможных ключей удваивается. При использовании стандарта 802.11 станция беспроводной сети может иметь в конфигурации до четырех ключей (значения индекса ключа: 1, 2, 3 и 4). Когда точка доступа или станция беспроводной сети передает шифрованное сообщение, использующее ключ, хранящийся в указанном индексе ключа, переданное сообщение будет указывать на индекс ключа, использованного для шифрования сообщения. Принимающая точка доступа или станция беспроводной сети может найти ключ, хранящийся в индексе и использовать его для дешифрования сообщения.
В стандарте 802.1x используется два типа ключей шифрования, статический и динамический. Статические ключи шифрования изменяются вручную и более уязвимы. Аутентификация MD5 использует только статические ключи шифрования. Динамические ключи шифрования автоматически и периодически обновляются. Это делает их более защищенными. Для разрешения использования динамических ключей шифрования Вы должны использовать методы аутентификации, основанные на сертификате стандарта 802.1x, например, TLS, TTLS или PEAP.
Особенности 802.1x
Поддержка протокола 802.1x
Поддержка протокола (EAP) - RFC 2284
Поддерживаемые методы аутентификации:
MD5 - RFC 2284
Протокол аутентификации EAP TLS - RFC 2716 и RFC 2246
EAP Tunneled TLS (TTLS)
Cisco LEAP
PEAP
Поддержка Windows XP, 2000
Замечания к аутентификации стандарта 802.1x
Методы аутентификации стандарта 802.1x включают пароли, сертификаты и смарт-карты (пластиковые карты, содержащие данные).
Выбор аутентификации по стандарту 802.1x может быть возможен только в режиме "Infrastructure".
Режимы сетевой аутентификации: EAP-TLS, EAP-TTLS, MD5 Challenge, LEAP (только для Cisco Compatible eXtentions) и PEAP (только для режимов WPA).
Обзор
Аутентификация по стандарту 802.1x - это процесс, независимый от аутентификации по стандарту 802.11. Стандарт 802.1x обеспечивает основы для различных видов аутентификации и протоколов манипулирования ключами. В стандарте 802.1x присутствуют различные типы аутентификации, каждый из которых обеспечивает свой подход к установлению подлинности, но все они используют один протокол 802.1x и структуру для взаимодействия между клиентом и точкой доступа. В большинстве протоколов, после выполнения процесса аутентификации по стандарту 802.1x, приемная сторона получает ключ, который она использует для шифрования данных.
При аутентификации по стандарту 802.1x используется метод установления подлинности между клиентом и сервером удаленной аутентификации RADIUS (Remote Authentication Dial-In User Service), к которому подключена точка доступа. Процесс аутентификации использует идентификационную информацию, например, пароль пользователя, который не передается через беспроводную сеть. Большинство видов аутентификации 802.1x поддерживают динамические ключи для пользователя и сеанса для усиления защиты статического ключа. Стандарт 802.1x имеет преимущества перед использованием существующего протокола аутентификации EAP (Extensible Authentication Protocol). Аутентификация по стандарту 802.1x для беспроводных локальных сетей имеет три главных компонента: Аутентификатор (точка доступа), запросчик (программное обеспечение клиента) и сервер аутентификации (Remote Authentication Dial-In User Service server - RADIUS). Защита аутентификации стандарта 802.1x инициирует запрос на аутентификацию от клиента беспроводной сети в точку доступа, которая устанавливает его подлинность через протокол EAP в соответствующем сервере RADIUS. Этот сервер RADIUS может выполнить аутентификацию пользователя (с помощью пароля или сертификата) или компьютера (с помощью адреса MAC). Теоретически, клиент беспроводной сети не может войти в сеть до завершения транзакции. Существует несколько алгоритмов аутентификации, используемых для 802.1x; MD5-Challenge, EAP-TLS, EAP-TTLS, защищенный протокол EAP (PEAP) и EAP Cisco Wireless Light Extensible Authentication Protocol (LEAP). Эти методы используются при идентификации клиента беспроводной локальной сети в сервере RADIUS. Во время аутентификации в сервере RADIUS пользователи проходят проверку в специализированных базах данных. Аутентификация RADIUS основана на наборе стандартов, предназначенных для аутентификации, авторизации и ведения учетных записей (Authentication, Authorization and Accounting - AAA). Сервер Radius содержит прокси-процесс для проверки клиентов в многосерверной среде. Стандарт IEEE 802.1x предназначен для управления и аутентифицированного доступа к беспроводным сетям на основе портов 802.11 и проводных сетей Ethernet. Управление сетевым доступом, основанным на использовании портов, подобно инфраструктуре локальной сети, управляемой с помощью коммутаторов, которая идентифицирует устройство, подключенное к порту ЛС, и запрещает доступ к этому порту, если процесс аутентификации был неудачен.
Как работает аутентификация по стандарту 802.1x
Упрощенное определение аутентификации стандарта 802.1x:
См. "Настройка клиента для WEP- и MD5-аутентификации" для получения подробной информации о настройке профиля стандарта 802.1x с помощью программы Intel(R) PROSet for Wireless.
RADIUS (Remote Access Dial-In User Service) - это сервис протокола клиент-сервер для авторизации, аутентификации и ведения учетных записей (Authorization, Authentication, and Accounting - AAA) для регистрации клиентов в сервере сетевого доступа по коммутируемой линии. Обычно сервер RADIUS используется поставщиками услуг доступа в Интернет (Internet Service Providers - ISP) для выполнения задач AAA. Далее описаны фазы AAA:
Фаза аутентификации (Authentication). Проверяет имя пользователя и пароль в базе данных. После проверки идентификационной информации начинается процесс авторизации.
Фаза авторизации (Authorization). Определяется, было ли дано разрешение на запрос доступа к ресурсам. Назначается IP-адрес для клиента, выполняющего доступ по коммутируемой линии (Dial-Up).
Фаза ведения учетной записи (Accounting). Выполняется сбор информации об используемых ресурсах для оценки, аудита, учета времени сеанса или учета стоимости затрат.
Стандарт Wi-Fi Protected Access (WPA) - усовершенствованный стандарт безопасности, который значительно поднимает уровень защищенности и управления доступом к данным беспроводных локальных сетей (WLAN). Режим WPA активизирует аутентификацию по стандарту 802.1x, обмен ключами и может работать только с динамическими ключами шифрования. Для усиления шифрования данных WPA использует протокол целостности временного ключа (Temporal Key Integrity Protocol - TKIP). Протокол TKIP обеспечивает важные усовершенствования шифрования данных, которые включают функцию смешения содержимого ключа для каждого пакета, проверку целостности сообщений (message integrity check - MIC), имеющую название "Michael", расширенный вектор инициализации (initialization vector - IV) с последовательными правилами и механизм манипуляций с ключом. С помощью этих усовершенствований протокол TKIP обеспечивает защиту уязвимых мест WEP-шифрования.
PEAP - это новый аутентификационный протокол EAP (Extensible Authentication Protocol - EAP) стандарта IEEE 802.1x, разработанный для улучшения системы защиты EAP-Transport Layer Security (EAP-TLS) и поддержки различных методов аутентификации, включающих пароли пользователей, одноразовые пароли и карты доступа (Generic Token Cards).
Cisco LEAP (EAP Cisco Wireless) - это аутентификация сервера и клиента 802.1x через пароль, предоставляемый пользователем. Когда точка доступа беспроводной сети взаимодействует с LEAP-совместимым сервером Cisco RADIUS (сервер Cisco Secure Access Control Server (ACS)), Cisco LEAP осуществляет управление доступом через взаимную аутентификацию между беспроводными адаптерами клиентов и предоставляет динамические, индивидуальные кличи шифрования пользователей для защиты конфиденциальности передаваемых данных.
Функция защиты Cisco Rogue AP
Функция Cisco Rogue AP обеспечивает защиту от попытки доступа фальшивой или недопустимой точки доступа, которая может имитировать реальную точку доступа в сети для получения идентификационной информации пользователей и протоколов аутентификации, нарушая тем самым целостность защиты сети. Эта функция работает только в среде аутентификации Cisco LEAP. Технология стандарта 802.11 не защищает сеть от несанкционированного доступа фальшивых точек доступа.
CKIP
Cisco Key Integrity Protocol (CKIP) - это собственный протокол защиты Cisco для шифрования
в среде 802.11. Протокол CKIP использует следующие особенности для усовершенствования защиты 802.11 в режиме "infrastructure":