Ez a rész leírja a vezeték nélküli hálózatok biztonságos összekapcsolásának módszereit.
Az IEEE 802.11 Wired Equivalent Privacy (WEP) segítségével megakadályozható a vezeték nélküli hálózatok adatainak illetéktelen vétele. A szabvány két biztonsági szintet tartalmaz, amelyek egyike 64 bites kulcsot használ (ezt néha 40 bitesnek is nevezik), a másik pedig 128 (más néven 104) bites kulcsot. A 128 bites kulcs magasabb szintű biztonságot nyújt. Titkosítás alkalmazásakor a vezeték nélküli hálózaton lévő valamennyi vezeték nélküli eszköznek ugyanazokat a titkosítási kulcsokat kell használnia.
A WEP jelentése Wired Equivalent Privacy, azaz "a vezetékessel egyenértékű adatvédelem". A WEP alapú titkosítás és a közös kulcsos hitelesítés védi az adatátvitelt a hálózaton. A WEP az adatokat elküldésük előtt titkosító kulccsal titkosítja. Csak azok a számítógépek férhetnek hozzá a hálózathoz és fejthetik vissza a többi számítógép által küldött titkosított adatokat, amelyek ugyanazt a titkosító kulcsot használják. A hitelesítés egy további ellenőrzési eljárást iktat be az adapter és a hozzáférési pont közé.
A WEP titkosítási algoritmus sebezhető passzív és aktív hálózati támadásokkal. A TKIP és a CKIP algoritmus ellenállóbbá teszi a WEP protokollt a hálózati támadásokkal szemben, és kiküszöböli néhány hiányosságát.
MEGJEGYZÉS: A CKIP algoritmust Windows XP alatt csak az Intel(R) PROSet/Wireless szoftver támogatja.
Az IEEE 802.11 hitelesítésnél kétféle hálózati hitelesítési mód támogatott: a Nyílt rendszerű és a Közös kulcsos módszert.
A 802.1X hitelesítés működése
A 802.1X funkciói
A 802.1X alapú hitelesítés független a 802.11 szerinti hitelesítési folyamattól. A 802.11 szabvány hitelesítési keretrendszert biztosít különböző hitelesítési és kulcskezelési protokollokhoz. Több különböző 802.1X alapú hitelesítési típus van, amelyek mindegyike más megközelítéssel oldja meg a hitelesítést, de az ügyfélgép és a hozzáférési pont közötti kommunikációhoz ugyanazt a 802.11 protokollt és keretrendszert használják. A legtöbb protokollban a 802.1X alapú hitelesítés végeztével a kérelmező egy kulcsot kap az adatok titkosításához. További információk A 802.1X hitelesítés működése című részben találhatók. A 802.1X alapú hitelesítés hitelesítést végez az ügyfélgép és a hozzáférési ponthoz kapcsolódó RADIUS kiszolgáló között. A hitelesítés olyan felhasználói azonosító adatokat használ – például felhasználói jelszó –, amelyek nem kerülnek továbbításra a vezeték nélküli hálózaton. A legtöbb 802.1X alapú hitelesítés támogatja a dinamikus, felhasználónként és munkamenetenként változó kulcsokat, ezzel erősítve a biztonságot a statikus kulcsokhoz képest. A 802.1X kihasználja az EAP (Extensible Authentication Protocol) hitelesítő protokoll lehetőségeit is.
A vezeték nélküli hálózatok 802.1X alapú hitelesítésének három fő összetevője van:
A 802.1X szerinti hitelesítésnél a vezeték nélküli ügyfélgép egy hitelesítési kérelmet kezdeményez a hozzáférési ponton, amely egy EAP-kompatibilis RADIUS kiszolgálón hitelesíti az ügyfélgépet. A RADIUS kiszolgáló hitelesítheti a felhasználót (annak jelszavával vagy tanúsítványával) vagy a gépet (annak MAC-címével). A vezeték nélküli ügyfél elvileg addig nem csatlakozhat a hálózatra, amíg ez a tranzakció végbe nem ment.
A 802.1X többféle hitelesítő algoritmust használhat. Néhány példa: EAP-TLS, EAP-TTLS, Protected EAP (PEAP) és LEAP (EAP Cisco Wireless Light Extensible Authentication Protocol). A vezeték nélküli ügyfél ezek bármelyikével azonosíthatja magát a RADIUS kiszolgáló felé. A RADIUS alapú hitelesítés a felhasználók identitását adatbázisok alapján ellenőrzi. A RADIUS egy sor szabványt valósít meg, amelyek a hitelesítés, az engedélyezés és a használatkövetés (Authentication, Authorization és Accounting, azaz AAA) területét fedik le. A RADIUS több kiszolgálós környezetben proxy útján hitelesíti az ügyfeleket. Az IEEE 802.1X szabvány szabályozza a 802.11 szerinti port alapú, vezeték nélküli és vezetékes Ethernet hálózatok elérését, és gondoskodik a hitelesítésről. A port alapú hálózati hozzáférés-szabályozás hasonlít a kapcsolt helyi hálózatos (LAN) infrastruktúrára, amely a LAN-portokra csatlakozó eszközöket hitelesíti, és sikertelen hitelesítés esetén letiltja az illető port elérését.
A RADIUS a felhasználók távoli behívásos bejelentkezését kezelő engedélyezési, hitelesítési és használatkövető (AAA) ügyfél-kiszolgáló protokoll, amely akkor lép működésbe, amikor egy AAA-ügyfél bejelentkezik a hálózati hozzáférést kezelő kiszolgálóra vagy kijelentkezik onnan. A RADIUS kiszolgálókat az internet-szolgáltatók általában az AAA-feladatok ellátására használják. Az AAA a következő fázisokra bontható:
A 802.1X alapú hitelesítés leegyszerűsítve a következőképpen működik:
A Wi-Fi Protected Access (WPA és WPA2) olyan továbbfejlesztett biztonsági megoldás, amely jelentős mértékben erősíti a vezeték nélküli hálózatok adatvédelmét és hozzáférés-szabályozását. A WPA megvalósítja a 802.1X szerinti hitelesítést és kulcscserét, és csak dinamikus titkosító kulcsokkal működik. A WPA az adattitkosítás erősítése céljából saját TKIP (Temporal Key Integrity Protocol, időváltozós kulcsvédő protokoll) protokollját alkalmazza. A TKIP fontos továbbfejlesztéseket valósít meg az adattikosításban, köztük a csomagonkénti kulcskeverést, egy "Michael" elnevezésű üzenetintegritás-ellenőrzést (MIC), egy kibővített inicializációs vektort (IV) szekvenciaszabályokkal, valamint egy kulcsváltó mechanizmust. Ezekkel a továbbfejlesztésekkel a TKIP véd a WEP ismert gyenge pontjai ellen.
A WPA második generációja a WPA2, amely megfelel az IEEE TGi specifikáció előírásainak.
Vállalati üzemmód: A vállalati üzemmód RADIUS vagy más hitelesítő kiszolgálóval hitelesíti a hálózati felhasználókat. A WPA 128 bites titkosító kulcsokkal és dinamikus munkamenet-kulcsokkal gondoskodik a vezeték nélküli hálózat titkosságáról és a vállalat informatikai biztonságáról. A vállalati üzemmód a nagyvállalatok és az állami szervezetek igényeit elégíti ki.
Személyes üzemmód: A személyes üzemmódhoz kézzel kell beállítani egy előre közölt (PSK) kulcsot a hozzáférési pontokon és az ügyfeleken. A PSK jelszóval vagy azonosító kóddal hitelesíti a felhasználókat mind az ügyfélgépen, mind a hozzáférési ponton. Hitelesítő kiszolgálót nem igényel. A Személyes üzemmód otthoni és kisvállalati felhasználók esetén célszerű.
WPA-Enterprise és WPA2-Enterprise: 802.1X RADIUS kiszolgálóval rendelkező vállalati hálózatokon használatos. A hitelesítési fajtáját a 802.1X kiszolgáló hitelesítési protokolljának megfelelően kell megválasztani.
MEGJEGYZÉS: A WPA-Enterprise és a WPA2-Enterprise együtt is használható ugyanazon a hálózaton.
WPA-Personal és WPA2-Personal: Kis hálózatokon és otthoni környezetben használandó. Ez a védelem jelszót, más néven PSK kulcsot használ (Pre-Shared Key, előre közölt kulcs). Minél hosszabb ez a jelszó, annál biztonságosabb a vezeték nélküli hálózat. Ha a vezeték nélküli hozzáférési pont vagy útválasztó támogatja a WPA-Personal és WPA2-Personal titkosítást, akkor célszerű bekapcsolni a hozzáférési ponton, és hosszú, erős jelszót kell választani. A hozzáférési ponton beírt jelszót kell használni ezen a számítógépen és a vezeték nélküli hálózatra kapcsolódó összes többi eszközön is.
MEGJEGYZÉS: A WPA-Personal és a WPA2-Personal együtt is használható ugyanazon a hálózaton.
AES-CCMP: Az Advanced Encryption Standard - Counter CBC-MAC Protocol rövidítésneve. Ez a vezeték nélküli adatátvitel védelmének új, az IEEE 802.11i szabvány szerinti módszere. Az AES-CCMP erősebb titkosítást biztosít, mint a TKIP. Akkor válassza az AES-CCMP adattitkosítást, ha erős adatvédelemre van szüksége.
MEGJEGYZÉS: Előfordulhat, hogy egyes biztonsági megoldásokat nem támogat a számítógép operációs rendszere, és ezekhez további szoftverekre és/vagy bizonyos hardverekre, továbbá a vezeték nélküli LAN infrastruktúra támogatására van szükség. A részleteket kérdezze meg a számítógép gyártójától.
TKIP: (Temporal Key Integrity Protocol, időváltozós kulcsvédő protokoll) a WEP biztonsági protokoll továbbfejlesztett változata. A TKIP csomagonkénti kulcskeverést, üzenetintegritás-ellenőrzést és kulcsváltó mechanizmust alkalmaz, ami kiküszöböli a WEP hiányosságait.
Olyan hitelesítési módszer, amely az EAP hitelesítési protokollt, valamint a Transport Layer Security (TLS) biztonsági protokollt alkalmazza. Az EAP-TLS jelszavakkal kombinált tanúsítványokat használ. Az EAP-TLS hitelesítés támogatja a dinamikus WEP-kulcsok kezelését. A TLS protokoll a nyilvános hálózatokon zajló kommunikáció védelmére és hitelesítésére szolgál, és ehhez adattitkosítást használ. A TLS handshake protokoll lehetővé teszi, hogy a kiszolgáló és az ügyfél kölcsönösen hitelesítse egymást, és az adatcsere előtt megegyezzenek a titkosító algoritmusban és a titkosító kulcsokban.
Az EAP-SIM egy olyan mechanizmus, amely a hitelesítést és a munkamenet-kulcsok szétosztását támogatja. A GSM-SIM – Global System for Mobile Communications (GSM) Subscriber Identity Module (SIM) – módszert használja. Az EAP-SIM egy az ügyféladapter és a RADIUS kiszolgáló adataiból származtatott dinamikus, munkamenet alapú WEP kulccsal titkosítja az adatokat. Az EAP-SIM felhasználó-hitelesítő kódot (PIN-kódot) igényel a SIM (Subscriber Identity Module) kártyával való kommunikációhoz. A SIM a GSM (Global System for Mobile Communications) mobilhálózatokban használatos speciális chipkártya. Az EAP-SIM mechanizmust az RFC 4186 írja le.
Ezek a beállítások meghatározzák a felhasználó hitelesítésénél alkalmazott protokollt és azonosító adatokat. A TTLS (Tunneled Transport Layer Security) alkalmazásakor az ügyfél az EAP-TLS használatával hitelesíti a kiszolgálót és egy TLS titkosítású csatornát hoz létre az ügyfél és a kiszolgáló között. Az ügyfélgép más hitelesítési protokollt is használhat. A jelszót használó protokollok általában védett, TLS titkosítású csatornán keresztül viszik át a kérdést és a választ (challenge/response). A TTLS megvalósítások ma az EAP által definiált összes módszert támogatják, továbbá számos régi módszert is (PAP, CHAP, MS-CHAP és MS-CHAP-V2). A TTLS könnyen kiterjeszthető úgy, hogy együttműködjön az új protokollokkal. Ehhez új attribútumokat kell definiálni.
A PEAP egy új EAP alapú IEEE 802.1X szerinti hitelesítéstípus, amely kihasználja a kiszolgáló oldali EAP-Transport Layer Security (EAP-TLS) lehetőségeit, és több különböző hitelesítési módszert támogat, köztük a felhasználói jelszavakat, az egyszer használatos jelszavakat és a Generic Token Card azonosítókártyákat.
MEGJEGYZÉS: A CKIP algoritmust Windows XP alatt csak az Intel(R) PROSet/Wireless szoftver támogatja.
A Cisco LEAP (Cisco Light EAP) funkció a felhasználó által megadott bejelentkezési jelszó alapján a 802.1X szerint hitelesíti a kiszolgálókat és az ügyfeleket. Amikor egy vezeték nélküli hozzáférési pont egy a Cisco LEAP-et támogató RADIUS kiszolgálóval (Cisco Secure Access Control Server, ACS) kommunikál, a Cisco LEAP gondoskodik a hozzáférés szabályozásáról. Ehhez kölcsönös hitelesítést végez az ügyfél vezeték nélküli adaptere és a vezeték nélküli hálózat között, és dinamikus, egyedi felhasználói titkosító kulcsokkal védi az átvitt adatokat.
A Cisco szabálysértő hozzáférési pontok elleni biztonsági funkciója véd a rendszert veszélyeztető olyan szabálysértő hozzáférési pontok ellen, amelyek jogosult hozzáférési pontot imitálva próbálják kicsalogatni a felhasználók hitelesítő adatait és a hitelesítő protokollok adatait. Ez a funkció csak a Cisco saját LEAP hitelesítési módjával működik. A szokásos 802.11 technológia nem védi meg a hálózatot a szabálysértő hozzáférési pontok ellen. További információk a LEAP hitelesítés című részben találhatók.
Egyes hozzáférési pontok – például a Cisco 350 és a Cisco 1200 – alkalmazhatóak olyan környezetekben, ahol nem minden ügyfélállomás támogatja a WEP titkosítást; ezt hívják vegyes cellás üzemmódnak. Amikor az ilyen vezeték nélküli hálózatok "opcionális titkosítás" üzemmódban működnek, a WEP üzemmódban csatlakozó ügyfélállomások minden üzenetet titkosítva küldenek, míg a szokásos üzemmódban csatlakozók minden üzenetet titkosítatlanul küldenek. Ezek a hozzáférési pontok közzéteszik, hogy a hálózat nem használ titkosítást, de megengedi, hogy az ügyfelek WEP üzemmódban csatlakozzanak. Ha egy profilban engedélyezve van a "Vegyes cellás" beállítás, csatlakozni lehet vele "opcionális titkosítást" használó hozzáférési pontokra.
A Cisco Key Integrity Protocol (CKIP) a Cisco saját fejlesztésű biztonsági protokollja a 802.11 szerinti adatátvitel titkosításához. A CKIP a következő funkciókkal javítja az infrastruktúra üzemmódban működő 802.11 biztonságát:
Ha a vezeték nélküli LAN gyors visszacsatlakozásra van konfigurálva, a LEAP-et használó ügyfélgép a fő kiszolgáló közreműködése nélkül tud barangolni a hozzáférési pontok között. A CCKM (Cisco Centralized Key Management) használatakor a WDS szolgáltatások (Wireless Domain Services) nyújtására konfigurált hozzáférési pont átveszi a RADIUS kiszolgáló szerepét, és a beszéd- vagy más időérzékeny alkalmazások észrevehető késleltetése nélkül hitelesíti az ügyfelet.
Egyes hozzáférési pontok – például a Cisco 350 és a Cisco 1200 – alkalmazhatóak olyan környezetekben, ahol nem minden ügyfélállomás támogatja a WEP titkosítást; ezt hívják vegyes cellás üzemmódnak. Amikor az ilyen vezeték nélküli hálózatok "opcionális titkosítás" üzemmódban működnek, a WEP üzemmódban csatlakozó ügyfélállomások minden üzenetet titkosítva küldenek, míg a szokásos módon csatlakozók minden üzenetet titkosítatlanul küldenek. Ezek a hozzáférési pontok közzéteszik, hogy a hálózat nem használ titkosítást, de megengedik, hogy az ügyfelek WEP üzemmódban csatlakozzanak. Ha egy profilban engedélyezve van a "Vegyes cellás" beállítás, csatlakozni lehet vele "opcionális titkosítást" használó hozzáférési pontokra.
Ha ez a funkció engedélyezett, a vezeték nélküli adapter rádiókezelési adatokat szolgáltat a Cisco infrastruktúrának. Ha az infrastruktúra a Cisco Radio Management segédprogramot használja, akkor ez a beállítás konfigurálja a rádió paramétereit, valamint észleli az interferenciát és a szabálysértő hozzáférési pontokat.
Az EAP-FAST az EAP-TTLS és a PEAP mechanizmushoz hasonlóan alagutakat használ a forgalom védelmére. A fő különbség az, hogy az EAP-FAST nem tanúsítvánnyal hitelesít. EAP-FAST protokoll esetén az eljuttatást kizárólag az ügyfél egyezteti az első üzenetcsere során, amikor a kiszolgálótól EAP-FAST kiszolgálást kér. Ha az ügyfélnek nincs előre közölt PAC (Protected Access Credential) kulcsa, EAP-FAST üzenetcserét kérhet a kulcs eljuttatásához, amelynek során dinamikusan kap egy kulcsot a kiszolgálótól.
Az EAP-FAST protokollban két módszerrel lehet eljuttatni a PAC-ot: kézileg egy sávon kívüli biztonságos mechanizmussal, vagy automatikusan.
Az EAP-FAST módszer két részre osztható: az eljuttatásra és a hitelesítésre. Az eljuttatási fázisban kapja meg az ügyfél az első PAC-ot. Ezt ügyfelenként és felhasználónként csak egyszer kell elvégezni.