סעיף זה מתאר את סוגי האבטחה המשמשים בהתחברות לרשתות אלחוטיות.
השתמש בהצפנת IEEE 802.11 Wired Equivalent Privacy (WEP) כדי למנוע קבלת נתונים אלחוטיים ללא הרשאה. הצפנת WEP מספקת שתי רמות אבטחה המשתמשות במפתח 64 סיביות (לעתים נקרא גם 40 סיביות) או במפתח 128 סיביות (המוכר גם כ- 104 סיביות). לאבטחה חזקה יותר, השתמש במפתח 128 סיביות. אם אתה משתמש בהצפנה, על כל ההתקנים האלחוטיים ברשת האלחוטית שלך להשתמש באותם מפתחות הצפנה.
הצפנת Wired Equivalent Privacy (WEP) ואימות משותף מספקים הגנה לנתונים ברשת. WEP משתמש במפתח הצפנה כדי להצפין נתונים לפני שידורם. רק מחשבים המשתמשים באותו מפתח הצפנה יכולים לגשת לרשת או לפענח את הנתונים המוצפנים אשר משודרים על-ידי מחשבים אחרים. אימות מספק תהליך נוסף לבדיקת תוקף בין המתאם לנקודת הגישה.
אלגוריתם ההצפנה של WEP פגיע להתקפות רשת פסיביות ופעילות. האלגוריתמים TKIP ו- CKIP כוללים שיפורים בפרוטוקול WEP המקלים התקפות קיימות על הרשת ומטפלים בחסרונותיו.
הערה: CKIP נתמך רק בעת שימוש בתוכנת Intel(R) PROSet/Wireless ב- Windows XP.
IEEE 802.11 תומך בשני סוגים של שיטות אימות רשת: מערכת פתוחה ומפתח משותף.
אופן פעולת אימות 802.1X
תכונות 802.1X
אימות 802.1X אינו תלוי בתהליך האימות 802.11. תקן 802.11 מספק מסגרת עבור פרוטוקולים שונים של אימות וניהול מפתח. ישנם סוגי אימות 802.1X שונים, כאשר כל אחד מהם מספק גישה שונה לאימות, אך כולם משתמשים באותו פרוטוקול 802.11 ומסגרת לתקשורת בין לקוח לנקודת גישה. ברוב הפרוטוקולים, עם השלמת תהליך האימות 802.1X, המבקש מקבל מפתח ומשתמש בו להצפנת נתונים. לקבלת מידע נוסף, ראה אופן פעולת אימות 802.1X. באימות 802.1X, נעשה שימוש בשיטת אימות בין הלקוח לשרת Remote Authentication Dial-In User Service (RADIUS) המחובר לנקודת הגישה. תהליך האימות משתמש בתעודות, כגון סיסמת משתמש, שאינן משודרות ברשת האלחוטית. רוב סוגי 802.1X תומכים במפתחות דינמיים לפי-משתמש ולפי-הפעלה, כדי לחזק את אבטחת המפתח הסטטי. פרוטוקול 802.1X נהנה משימוש בפרוטוקול אימות קיים המוכר כ"פרוטוקול אימות בר-הרחבה" (EAP).
אימות 802.1X עבור רשתות אלחוטיות כולל שלושה רכיבים עיקריים:
אבטחת האימות 802.1X מאתחלת בקשת אישור מהלקוח האלחוטי אל נקודת הגישה, המאמת את הלקוח לשרת RADIUS התואם לפרוטוקול EAP. שרת RADIUS זה עשוי לאמת את המשתמש (באמצעות סיסמאות או אישורים) או את המערכת (באמצעות כתובת MAC). באופן תיאורטי, הלקוח האלחוטי אינו מורשה להצטרף לרשתות עד להשלמת הטרנזקציה.
802.1X משתמש במספר אלגוריתמים לאימות. דוגמאות אחדות הן: EAP-TLS, EAP-TTLS, EAP מוגן (PEAP) ו- EAP Cisco Wireless Light Extensible Authentication Protocol (LEAP). כל אלה הם שיטות המשמשות את הלקוח האלחוטי כדי להזדהות בפני שרת RADIUS. באימות RADIUS, זהויות משתמש נבדקות מול מסדי נתונים. RADIUS יוצר מערכת תקנים המטפלים באימות, הרשאה וניהול חשבונות (AAA). RADIUS כולל תהליך proxy המשמש לאימות לקוחות בסביבה מרובת-שרתים. התקן IEEE 802.1X משמש לבקרה ולאימות גישה של רשתות Ethernet אלחוטיות ומחווטות 802.11 מבוססות-יציאות. בקרת גישה של רשת מבוססת-יציאה דומה לתשתית של רשת מקומית (LAN) ממותגת, המאמתת התקנים שמחוברים ליציאת ה- LAN ומונעת גישה ליציאה זו אם תהליך האימות נכשל.
RADIUS (שירות משתמש לאימות מרחוק בחיוג) הוא פרוטוקול לקוח-שרת לאישור, הרשאה וחשבונאות (AAA) שנעשה בו שימוש כאשר לקוח חיוג AAA מתחבר לשרת גישה לרשת או מתנתק ממנו. בדרך כלל, ספקי שירותי אינטרנט (ISP) משתמשים בשרת RADIUS לביצוע משימות AAA. להלן תיאור שלבי AAA:
להלן תיאור מפושט של אימות 802.1X:
גישה מאובטחת Wi-Fi (WPA או WPA2) מהווה שיפור אבטחה המגביר משמעותית את רמת אבטחת הנתונים ובקרת הגישה לרשת אלחוטית. WPA כופה אימות 802.1X וחילופי מפתחות, ופועל רק עם מפתחות הצפנה דינמיים. WPA משתמש ב- Temporal Key Integrity Protocol (TKIP) שלו כדי לחזק את הצפנת הנתונים. TKIP מספק שיפורים חשובים בהצפנת נתונים, הכוללים פונקציית ערבול מפתח לכל-מנה, בדיקת תקינות הודעה (MIC) הנקראת Michael, וקטור אתחול מורחב (IV) עם כללי רצף ומנגנון החלפת מפתחות. עם שיפורים אלה, TKIP מגן על נקודות התורפה הידועות של WEP.
WPA2 הוא הדור השני של WPA התואם למפרט IEEE TGi.
מצב ארגוני: מצב ארגוני מאמת משתמשי רשת דרך שרת RADIUS או שרת אימות אחר. WPA משתמש במפתחות הצפנה של 128 סיביות ובמפתחות הפעלה דינמיים, כדי להבטיח את הפרטיות והאבטחה הארגונית של הרשת האלחוטית. מצב ארגוני מיועד לסביבות תאגידים או ממשלתיות.
מצב אישי: מצב אישי דורש הגדרת תצורה ידנית של מפתח טרום שיתוף (PSK) בנקודות גישה ובלקוחות. PSK מאמת משתמשים באמצעות סיסמה או קוד זיהוי, בתחנת הלקוח ובנקודת הגישה גם יחד. אין צורך בשרת אימות. מצב אישי מיועד לסביבות ביתיות ושל עסקים קטנים.
WPA-ארגוני ו- WPA2-ארגוני: מספק רמת אבטחה זו ברשתות ארגוניות עם שרת 802.1X RADIUS. נבחר סוג אימות נבחר שיתאים לפרוטוקול האימות של שרת 802.1X.
הערה: ל- WPA-ארגוני ול- WPA2-ארגוני יש יכולת לעבוד זה עם זה.
WPA-אישי ו- WPA2-אישי: מספק רמת אבטחה זו ברשת קטנה או בסביבה ביתית. אפשרות זו משתמשת בסיסמה הנקראת גם מפתח טרום-שיתוף (PSK). ככל שהסיסמה ארוכה יותר, כך אבטחה של הרשת האלחוטית חזקה יותר. אם נקודת הגישה האלחוטית או הנתב תומכים ב- WPA-אישי וב- WPA2-אישי, אזי עליך לאפשר אותו בנקודת הגישה ולספק סיסמה ארוכה וחזקה. במחשב זה ובכל שאר ההתקנים האלחוטיים הניגשים לרשת האלחוטית, יש להשתמש באותה סיסמה שהוזנה בנקודת הגישה.
הערה: ל- WPA-אישי ול- WPA2-אישי יש יכולת לעבוד זה עם זה.
AES-CCMP: (Advanced Encryption Standard - Counter CBC-MAC Protocol) השיטה החדשה להגנה על פרטיות שידורים אלחוטיים, המפורטת בתקן IEEE 802.11i. AES-CCMP מספק שיטת הצפנה חזקה יותר מ- TKIP. בחר ב- AES-CCMP כשיטת הצפנת הנתונים כאשר יש צורך בהגנה חזקה על הנתונים.
הערה: מערכת ההפעלה של המחשב עשויה שלא לתמוך בפתרונות אבטחה מסוימים ויהיה צורך בתוכנות או בחומרה נוספים, בנוסף לתמיכה בתשתית של ה- LAN האלחוטי. לקבלת פרטים, פנה אל יצרן המחשב.
TKIP: (Temporal Key Integrity Protocol) שיפור לאבטחת WEP (Wired Equivalent Privacy). TKIP מספק ערבול מפתח לכל-מנה, בדיקת תקינות הודעה ומנגנון החלפת מפתחות, המתקן את הפגמים של WEP.
סוג של שיטת אימות המשתמשת ב- Extensible Authentication Protocol (EAP) ובפרוטוקול אבטחה הנקרא Transport Layer Security (TLS). EAP-TLS משתמש באישורים (הרשאות) המשתמשים בסיסמאות. אימות EAP-TLS תומך בניהול מפתחות WEP דינמי. פרוטוקול TLS מיועד לאבטח ולאמת תקשורת ברשת ציבורית באמצעות הצפנת נתונים. פרוטוקול לחיצת ידיים TLS מאפשר לשרת וללקוח לספק אימות הדדי ולבצע אלגוריתם הצפנה ומפתחות מוצפנים לפני שידור נתונים.
שיטת פרוטוקול אימות בר-הרחבה לזיהוי מנוי GSM (EAP-SIM) היא מנגנון המשמש לאימות ולהפצה של מפתחות הפעלה. שיטה זו משתמשת במודול זהות המנוי (SIM) של Global System for Mobile Communications (GSM). EAP-SIM משתמש במפתח WEP דינמי מבוסס-הפעלה, אשר נגזר ממתאם הלקוח ומשרת RADIUS, כדי להצפין נתונים. ב- EAP-SIM נדרש ממך להזין קוד אימות משתמש, או מספר זיהוי אישי (PIN), למטרת תקשורת עם כרטיס מודול זהות המנוי (SIM). כרטיס SIM הוא כרטיס חכם מיוחד המשמש רשתות סלולריות דיגיטליות המבוססות על Global System for Mobile Communications (GSM). RFC 4186 מתאר את EAP-SIM.
הגדרות אלה מגדירות את הפרוטוקול ואת התעודות המשמשות לאימות משתמש. ב- TTLS (Tunneled Transport Layer Security), הלקוח משתמש ב- EAP-TLS כדי לאמת את השרת וליצור ערוץ מוצפן-TLS בין הלקוח לשרת. באפשרות הלקוח להשתמש בפרוטוקול אימות אחר. בדרך כלל, פרוטוקולים מבוססי סיסמה מזדהים דרך ערוץ מוצפן TLS שאינו חשוף. כיום, יישומי TTLS תומכים בכל השיטות המוגדרות על-ידי EAP, כמו גם במספר שיטות ישנות יותר (PAP, CHAP, MS-CHAP ו- MS-CHAP-V2). ניתן להרחיב בקלות את TTLS כך שיפעל עם פרוטוקול חדשים, על-ידי הגדרת תכונות חדשות לתמיכה בפרוטוקולים חדשים.
PEAP הוא סוג אימות Extensible Authentication Protocol (EAP) IEEE 802.1X חדש המיועד לנצל את EAP-Transport Layer Security (EAP-TLS) של צד השרת ולתמוך בשיטות אימות מגוונות, כולל סיסמאות משתמש, סיסמאות חד-פעמיות וכרטיסי אסימון גנרי.
הערה: CKIP נתמך רק בעת שימוש בתוכנת Intel(R) PROSet/Wireless ב- Windows XP.
Cisco LEAP (Cisco Light EAP) הוא אימות 802.1X של שרת ולקוח, באמצעות סיסמת התחברות המסופקת על-ידי המשתמש. כאשר נקודת גישה אלחוטית מתקשרת עם שרת RADIUS מאופשר Cisco LEAP (Cisco Secure Access Control Server [ACS]), Cisco LEAP מספק בקרת גישה באמצעות אימות הדדי בין מתאמי לקוחות אלחוטיים והרשתות האלחוטיות ומספק מפתחות הצפנה דינמיים אישיים כדי לסייע בהגנה על הפרטיות של נתונים משודרים.
תכונת אבטחה של נקודת גישה חריגה של Cisco מספקת הגנת אבטחה מפני חדירה של נקודת גישה עוינת, אשר עשויה לחקות נקודת גישה לגיטימית ברשת כדי לשלוף מידע אודות תעודות משתמש ופרוטוקולי אימות, אשר עלול לסכן את האבטחה. תכונה זו פועלת רק עם אימות LEAP של Cisco. טכנולוגיית 802.11 סטנדרטית אינה מגינה על רשת מפני חדירה של נקודת גישה עוינת. לקבלת מידע נוסף, ראה אימות LEAP.
נקודות גישה מסוימות, לדוגמה Cisco 350 או Cisco 1200, תומכות בסביבות שבהן לא כל תחנות הלקוח תומכות בהצפנת WEP; מצב זה נקרא מצב תאים משולבים. כאשר רשתות אלחוטיות אלה פועלות במצב "הצפנה אופציונלית", תחנות לקוח המצטרפות במצב WEP שולחות את כל ההודעות מוצפנות, ואילו תחנות המשתמשות במצב רגיל שולחות את כל ההודעות ללא הצפנה. נקודות גישה אלה משדרות שהרשת אינה משתמשת בהצפנה, אך מאפשרת ללקוחות המשתמשים במצב WEP להצטרף. כאשר מצב "תאים משולבים" מאופשר בפרופיל, הוא מאפשר להתחבר לנקודות גישה המוגדרות ל"הצפנה אופציונלית".
Cisco Key Integrity Protocol (CKIP) הוא פרוטוקול אבטחה קנייני של Cisco להצפנה במדיה של 802.11. CKIP משתמש בתכונות הבאות כדי לשפר את אבטחת 802.11 במצב תשתית:
כאשר רשת LAN אלחוטית מוגדרת לחיבור-מחדש מהיר, התקן לקוח מאופשר LEAP יכול לנדוד מנקודת גישה אחת לאחרת, מבלי לערב את השרת הראשי. באמצעות Cisco Centralized Key Management (CCKM), נקודת גישה שהוגדרה לספק שירותי תחום אלחוטיים (WDS) תופסת את מקומו של שרת ה- RADIUS ומאמתת את הלקוח ללא השהייה מורגשת ביישומי קול או ביישומים אחרים הרגישים לזמן.
נקודות גישה מסוימות, לדוגמה Cisco 350 או Cisco 1200, תומכות בסביבות שבהן לא כל תחנות הלקוח תומכות בהצפנת WEP; מצב זה נקרא מצב תאים משולבים. כאשר רשתות אלחוטיות אלה פועלות במצב "הצפנה אופציונלית", תחנות לקוח המצטרפות במצב WEP שולחות את כל ההודעות מוצפנות, ואילו תחנות המשתמשות במצב רגיל שולחות את כל ההודעות ללא הצפנה. נקודות גישה אלה משדרות שהרשת אינה משתמשת בהצפנה, אך מאפשרת ללקוחות המשתמשים במצב WEP להצטרף. כאשר מצב תאים משולבים מאופשר בפרופיל, הוא מאפשר להתחבר לנקודות גישה המוגדרות ל"הצפנה אופציונלית".
כאשר מאפיין זה מאופשר, המתאם האלחוטי מספק מידע של ניהול רדיו לתשתית Cisco. אם בתשתית נעשה שימוש בכלי העזר לניהול רדיו של Cisco, כלי העזר יגדיר פרמטרים של רדיו ויאתר הפרעות ונקודות גישה עוינות.
EAP-FAST, בדומה ל- EAP-TTLS ו- PEAP, משתמש במינהור להגנה על תעבורה. ההבדל העיקרי הוא ש- EAP-FAST אינו משתמש באישורים (הרשאות) כדי לבצע אימות. משא ומתן על אספקה ב- EAP-FAST מבוצע תחילה רק על-ידי הלקוח, כחילוף תקשורת ראשון, כאשר EAP-FAST מתבקש מהשרת. אם ללקוח אין תעודות גישה מאובטחות (PAC) של טרום-שיתוף, באפשרותו ליזום חילוף אספקת EAP-FAST כדי לקבל אחת באופן דינמי מהשרת.
ב- EAP-FAST מתועדות שתי שיטות לאספקת ה- PAC: אספקה ידנית באמצעות מנגנון מאובטח מחוץ לפס ואספקה אוטומטית.
שיטת ה- EAP-FAST מתחלקת לשני חלקים: אספקה ואימות. שלב האספקה כרוך באספקה הראשונית של ה- PAC ללקוח. יש לבצע שלב זה רק פעם אחת עבור כל לקוח וכל משתמש.