TTLS

Dessa inställningar anger protokoll och den identifierande information som används för att autentisera en användare. I TTLS (Tunneled Transport Layer Security) använder klienten EAP-TLS för att validera servern och för att skapa en TLS-krypterad kanal mellan klient och server. Klienten kan använda ett annat autentiseringsprotokoll, vanligtvis lösenordsbaserade protokoll så som MD5 Challenge, för att aktivera servervalidering över denna krypterade kanal. Fråge- (challenge) och svarspaket skickas över en icke-utsatt TLS-krypterad kanal. Dagens TTLS-implementeringar stödjer alla metoder som definierats av EAP, såväl som flera äldre metoder (PAP, CHAP, MS-CHAP och MS-CHAPv2). TTLS kan lätt utökas så att det fungerar med nya protokoll genom att du definierar nya attribut som stöder nya protokoll.

Autentiseringsprotokoll

  • PAP: Password Authentication Protocol är ett protokoll för tvåvägs handskakning avsett för användning med PPP. PAP är ett lösenord med oformaterad text som används på äldre SLIP-system. Det är inte säkert.
  • CHAP: Challenge Handshake Authentication Protocol är ett protokoll med trevägs handskakning som anses vara säkrare än PAP. Autentiseringsprotokoll.
  • MS-CHAP (MD4): Använder en Microsoft-version av RSA Message Digest 4-protokollet för utmana-och-svara. Detta fungerar bara i Microsoft-system och aktiverar datakryptering. Om vill välja den här autentiseringsmetoden orsakar det att alla data krypteras.
  • MS-CHAP-V2: Introducerar en ytterligare funktion som inte finns tillgänglig med MSCHAPV1- eller standard-CHAP-autentisering, funktionen att ändra lösenord. Denna funktionen ger klienten möjlighet att ändra kontolösenordet om RADIUS-servern rapporterar att lösenordet har upphört.

PEAP

PEAP är en ny EAP (Extensible Authentication Protocol) IEEE 802.1x-autentiseringstyp avsedd att dra fördel av serversidans EAP-TLS (EAP-Transport Layer Security) och för att ge stöd åt olika autentiseringsmetoder, inklusive användares lösenord och engångslösenord, samt generiska token-kort.

Autentiseringsprotokoll

  • GTC (Generic Token Card): Bär användarspecifika token-kort för autentisering. Huvudfunktionen i GTC är Digital Certificate-/Token Card-baserad autentisering. Dessutom innefattar GTC möjligheten att dölja användarnamnsidentitet tills den TLS-krypterade tunneln etablerats, vilket ger ytterligare sekretess eftersom användarnamn inte skickas ut under autentiseringsfasen.
  • MS-CHAP-V2: Se MS-CHAP-V2 ovan.
  • TLS:TLS-protokollet är avsett att skydda och autentisera kommunikationer över ett offentligt nätverk genom datakryptering. TLS-handskakningsprotokollet gör det möjligt för servern och klienten att tillhandahålla gemensam autentisering och att förhandla om en krypteringsalgoritm och kryptografiska nycklar innan data överförs. Se TLS ovan.

Cisco-funktioner

Manuals

Manuals
Säkerhet - översikt

Tillbaka till Innehåll

Säkerhet - översikt: Intel(R) PRO/Trådlös nätverksanslutning Användarhandbok

Intel(R) PRO/Trådlös nätverksanslutning för 3945ABG
Intel(R) PRO/Trådlös nätverksanslutning för 2915ABG
Intel(R) PRO/Trådlös nätverksanslutning för 2200BG.

WEP-kryptering

802.1x-autentisering
WPA och WPA2

MD5
TLS
TTLS
PEAP

Cisco-funktioner

Det här avsnittet beskriver de typer av säkerhet som används vid anslutning till trådlösa nätverk.

WEP-kryptering

Använd IEEE 802.11 WEP-krypteringen (Wired Equivalent Privacy) för att förhindra otillåtet mottagande av trådlösa data. WEP-krypteringen tillhandahåller två säkerhetsnivåer genom att använda en 64-bitarsnyckel (hänvisas ibland till som 40-bitars) eller 128-bitarsnyckel (kallas även för 104-bitars). Använd en 128-bitarsnyckel för bättre säkerhet. Om du använder kryptering måste alla trådlösa enheter i det trådlösa nätverket använda samma krypteringsnycklar.

WEP-kryptering och delad autentisering tillhandahåller skydd för data i nätverket. WEP använder en krypteringsnyckel i syfte att kryptera data innan de överförs. Det är bara datorer som använder samma krypteringsnyckel som kan komma åt nätverket eller dekryptera de krypterade data som överförts av andra datorer. Autentisering tillhandahåller ytterligare en valideringsprocess från kortet till åtkomstpunkten.

WEP-krypteringens algoritm kan vara sårbar för passiva och aktiva nätverksattacker. TKIP- och CKIP-algoritmer inkluderar förbättringar i WEP-protokollet som lindrar befintliga nätverksattacker och tar itu med dess nackdelar
OBS! CKIP stöds endast genom användningen av programmet Intel PROSet för trådlösa anslutningar.

Öppen autentisering och autentisering med delad nyckel

IEEE 802.11-autentiseringen stödjer två typer av nätverksautentiseringsmetoder: Öppet system och Delad nyckel.

  • Öppen autentisering: Alla trådlösa stationer kan begära autentisering. Stationen som behöver autentisera med en annan trådlös station skickar en autentiseringshanteringsbegäran som innehåller identiteten för sändningsstationen. Den mottagande stationen eller åtkomstpunkten beviljar all begäran om autentisering. Öppen autentisering ger valfri enhet nätverksåtkomst. Om ingen kryptering är aktiverad i nätverket kan valfri enhet som känner till SSID (Service Set Identifier) för åtkomstpunkten få åtkomst till nätverket.
  • Delad nyckel-autentisering: Varje trådlös station antas ha mottagit en hemlig delad nyckel över en säker kanal som är oberoende från 802.11-kommunikationskanalen för det trådlösa nätverket. Autentiseringen Delad nyckel kräver att klienten konfigurerar en statisk WEP-nyckel. Klientåtkomst beviljas endast om den godkänns i en frågebaserad autentisering.

802.1x-autentisering

802.1x-autentisering är oberoende av 802.11-autentiseringsprocessen. Standarden 802.1x tillhandahåller en struktur för olika autentiserings- och nyckelhanteringsprotokoll. Det finns olika 802.1x-autentiseringstyper som var och en tillhandahåller olika sätt att autentisera, men alla använder sig av samma 802.1x-protokoll och struktur för kommunikation mellan klient och åtkomstpunkt. I flertalet protokoll gäller att vid slutförandet av 802.1x-autentiseringsprocessen kommer den som anropar att få en nyckel som den använder för datakryptering.  Se Hur 802.1x-autentisering fungerar för mer information. Med 802.1x-autentisering används en autentiseringsmetod mellan klienten och en RADIUS-server (Remote Authentication Dial-In User Service) som är ansluten till åtkomstpunkten. Autentiseringsprocessen använder identifieringsinformation (t.ex. en användares lösenord som inte överförs över det trådlösa nätverket). Flertalet 802.1x-typer stöder dynamiska per-användare-, per-sessionnycklar för att förstärka den statiska nyckelsäkerheten. 802.1x-fördelar från användningen av ett befintligt autentiseringsprotokoll som kallas EAP (Extensible Authentication Protocol).

För 802.1x-autentisering för trådlösa nätverk finns tre huvudkomponenter: Autentiseraren (åtkomstpunkten), anroparen (klientprogrammet) och autentiseringsservern, en RADIUS-server) Remote Authentication Dial-In User Service). 802.1x-autentiseringssäkerhet initierar en auktoriseringsbegäran från den trådlösa klienten till åtkomstpunkten, vilket autentiserar klienten till en EAP-kompatibel (Extensible Authentication Protocol) RADIUS-server. Denna RADIUS-server kan antingen autentisera användaren (via lösenord eller certifikat) eller systemet (med MAC-adress). I teorin har den trådlösa klienten inte tillstånd att gå med i nätverket förrän transaktionen är klar.

Det finns flera autentiseringsalgoritmer för 802.1x. Några exempel är: MD5-Challenge, EAP-TLS, EAP-TTLS, PEAP (Protected EAP), samt EAP Cisco LEAP (Light Extensible Authentication Protocol) för trådlösa anslutningar. Dessa är alla metoder för den trådlösa klienten att identifiera sig för RADIUS-servern. Med RADIUS-autentisering verifieras användaridentiteter mot databaser. RADIUS utgör en uppsättning med standarder som avser autentisering, auktorisering och bokföring eller AAA (Authentication, Authorization, and Accounting). RADIUS inkluderar en proxyprocess som validerar klienter i en flerservermiljö. IEEE 802.1x-standarden används för att styra och autentisera åtkomst till portbaserade 802.11 trådlösa och kabelanslutna Ethernet-nätverk. Portbaserad nätverksåtkomstkontroll liknar en växlad LAN-infrastruktur som autentiserar enheter som är anslutna till en LAN-port och förhindrar åtkomst till den porten om autentiseringsprocessen misslyckas.

Vad är RADIUS?

RADIUS (Remote Access Dial-In User Service) är en tjänst för fjärråtkomstanvändare, ett AAA-klientserverprotokoll (Authorization, Authentication och Accounting) som används när en AAA-fjärranslutningsklient loggar in till eller ut från en nätverksåtkomstserver. Vanligtvis används en RADIUS-server av Internet-leverantörer (ISP) för att utföra AAA-uppgifter. AAA-faser beskrivs enligt följande:

  • Autentiseringsfas: Verifierar ett användarnamn och lösenord mot en lokal databas. När referenserna bekräftats påbörjas auktoriseringsprocessen.
  • Auktoriseringsfas: Avgör om en begäran tillåts åtkomst till en resurs. En IP-adress tilldelas för fjärranslutningsklienten.
  • Bokföringsfas: Samlar ihop information om resursanvändning med avsikt att använda den för trendanalys, granskning, fakturering för sessionstid eller kostnadsallokering.

Hur 802.1x-autentisering fungerar

En förenklad beskrivning av 802.1x-autentiseringen följer:

  1. En klient skickar en "begäran att komma åt" ett meddelande till en åtkomstpunkt. Åtkomstpunkten begär klientens identitet.
  2. Klienten svarar med sitt identitetspaket som skickas till autentiseringsservern.
  3. Autentiseringsservern skickar ett "acceptera"-paket till åtkomstpunkten.
  4. Åtkomstpunkten placerar klientporten i auktoriserat läge och datatrafiken kan fortsätta.

802.1x-funktioner

  • 802.1x-anropningsprotokollstöd
  • Stöd för EAP (Extensible Authentication Protocol) - RFC 2284
  • Autentiseringsmetoder som stöds:
    • MD5 - RFC 2284
    • EAP TLS-autentiseringsprotokoll - RFC 2716 och RFC 2246
    • EAP tunnel TLS (TTLS)
    • Cisco LEAP
    • EPA-SIM
    • PEAP
    • EAP-FAST
  • Stödjer Microsoft Windows XP, Microsoft Windows 2000

WPA och WPA2

Wi-Fi Protected Access (WPA eller WPA2) innebär avsevärt förbättrad säkerhet med ökat dataskydd och kontroll över åtkomst till trådlösa nätverk. WPA-läget påtvingar 802.1x-autentisering och nyckelutbyte och fungerar enbart med dynamiska krypteringsnycklar. I syfte att förbättra datakryptering använder WPA TKIP (Temporal Key Integrity Protocol). TKIP tillhandahåller viktiga förbättringar avseende datakryptering. Dessa förbättringar inkluderar en blandningsfunktion med per-paket-nyckel, en MIC (Message Integrity Check) som kallas "Michael" och som är en förlängd initieringsvektor (IV) med sekvensregler och en mekanism för nya nycklar. Med dessa förbättringar skyddas TKIP mot WEP:s kända svagheter.

Den andra generationens WPA uppfyller IEEE TGi-specifikationen (även kallad WPA2).

Företagsläge: Företagsläge verifierar nätverksanvändare via RADIUS eller annan autentiseringsserver. WPA använder 128-bitars krypteringsnycklar och dynamiska sessionsnycklar för att säkra ditt trådlösa nätverks sekretess och företagssäkerhet. Företagsläge är avsett för företagsmiljöer och offentliga sektorn.

Personligt läge: Personligt läge kräver manuell konfiguration av en PSK (Pre-Shared Key) på åtkomstpunkterna och klienterna. PSK autentiserar användare med lösenord eller identifierande kod, på både klientstationen och åtkomstpunkten. Ingen autentiseringsserver behövs. Personligt läge är avsett för hemmiljöer och mindre kontor.

WPA-Företag och WPA2-Företag: Tillhandahåll den här skyddsnivån i företagsnätverk med en 802.1x RADIUS-server. En autentiseringstyp väljs för att matcha autentiseringsprotokollet på 802.1x-servern.
OBS! WPA-Företag och WPA2-Företag fungerar inte ihop.

WPA-Personligt och WPA2-Personligt: Tillhandahåller den här skyddsnivån i mindre nätverk och i hemmamiljö. Det använder ett lösenord, en PSK-nyckel (Pre-Shared Key) Ju längre lösenord ju starkare säkerhet i det trådlösa nätverket. Om en trådlös åtkomstpunkt eller router stödjer WPA-Personligt och WPA2-Personligt ska du aktivera den vid åtkomstpunkten och ange ett långt och starkt lösenord. Samma lösenord som anges för åtkomstpunkten måste användas på den här datorn och alla andra trådlösa enheter som ska användas i det trådlösa nätverket.
OBS! WPA-Personligt och WPA2-Personligt kan inte fungera ihop.

AES-CCMP - (Advanced Encryption Standard - Counter CBC-MAC Protocol) Detta är den nya metoden för sekretesskydd för trådlösa överföringar som anges i IEEE 802.11i-standarden. AES-CCMP är en starkare krypteringsmetod än TKIP. Välj AES-CCMP som datakrypteringsmetod när det är viktigt med starkt dataskydd.
OBS! Vissa säkerhetslösningar kanske inte stöds av din dators operativsystem och kan kräva ytterligare programvara eller maskinvara såväl som infrastrukturstöd för trådlöst LAN. Tala med datortillverkaren för information.

TKIP (Temporal Key Integrity Protocol) är en förbättring av WEP-säkerheten (Wired Equivalent Privacy). TKIP tillhandahåller blandning med per-paket-nyckel, en meddelandeintegritetskontroll och en mekanism för nya nycklar, som åtgärdar bristerna i WEP.

MD5

MD5-autentiseringen (Message Digest 5) är en enkelriktad autentiseringsmetod som använder användarnamn och lösenord. Denna metod stöder inte nyckelhantering men kräver en förkonfigurerad nyckel om datakryptering används. Den kan säkert användas för trådlös autentisering inuti EAP-tunnelmetoder.

TLS

En typ av autentiseringsmetod som använder EAP (Extensible Authentication Protocol) och ett säkerhetsprotokoll som heter TLS (Transport Layer Security). EAP-TLS använder certifikat som använder lösenord. EAP-TLS-autentisering stöder dynamisk WEP-nyckelhantering. TLS-protokollet är avsett att skydda och autentisera kommunikationer över ett offentligt nätverk genom datakryptering. TLS-handskakningsprotokollet gör det möjligt för servern och klienten att tillhandahålla gemensam autentisering och att förhandla om en krypteringsalgoritm och kryptografiska nycklar innan data överförs.

OBS! CKIP stöds endast genom användningen av programmet Intel(R) PROSet för trådlösa anslutningar.

Cisco LEAP

LEAP (Light Extensible Authentication Protocol) är en autentiseringsimplementering av 802.1x från Cisco, den har en autentiseringsmekanism baserat på fråga och svar och dynamisk WEP-nyckeltilldelning.

Cisco LEAP (Light EAP) är en 802.1x-autentisering för server och klient via användarangivet inloggningslösenord. När en trådlös åtkomstpunkt kommunicerar med en Cisco LEAP-aktiverad RADIUS-server (Cisco Secure Access Control Server (ACS)), tillhandahåller Cisco LEAP åtkomstkontroll genom att göra en gemensam autentisering av klientens trådlösa kort och de trådlösa nätverken. Dessutom tilldelas enskilda användarkrypteringsnycklar dynamiskt för att hjälpa till att sekretesskydda överförda data.

Säkerhetsfunktion för Cisco otillåten åtkomstpunkt

Funktionen Cisco otillåten åtkomstpunkt (Rogue AP) tillhandahåller säkerhetsskydd från ett besök av en otillåten åtkomstpunkt som skulle kunna imitera en legitim åtkomstpunkt i ett nätverk för att kunna extrahera information om användarens identifieringsinformation och autentiseringsprotokoll vilket skulle kunna kompromissa säkerheten. Denna funktion kan bara användas med Ciscos LEAP-autentisering. Standardteknologin i 802.11 skyddar inte ett nätverk från att en otillåten åtkomstpunkt introduceras. Se LEAP-autentisering för mer information.

CKIP

CKIP (Cisco Key Integrity Protocol) är Ciscos egna säkerhetsprotokoll för kryptering i 802.11-media. CKIP använder följande funktioner för att förbättra 802.11-säkerhet i infrastrukturläge:

  • KP (Key Permutation)
  • MIC (Message Integrity Check)
  • Meddelandesekvensnummer

Snabb Roaming (CCKM)

När ett trådlöst nätverk konfigureras för snabb återanslutning kan en LEAP-aktiverad klientenhet utföra roaming från en åtkomstpunkt till en annan utan att involvera huvudservern. Med Cisco Centralized Key Management (CCKM) kommer en åtkomstpunkt konfigurerad för Wireless Domain Services (WDS) att ersätta RADIUS-servern och autentisera klienten utan märkbar fördröjning i rösttillämpningar eller andra tidskänsliga tillämpningar.

Läge med blandade celler

Vissa åtkomstpunkter t.ex. Cisco 350 eller Cisco 1200 stödjer miljöer i vilka inte alla klientstationer stödjer WEP-kryptering. Detta kallas även blandat cell-läge. När dessa trådlösa nätverk används i läget för "valfri kryptering", skickar klientstationer som ansluter i WEP-läge alla meddelanden krypterade. Stationer som kommer med genom att använda standardläge skickar alla meddelanden okrypterade. Dessa åtkomstpunkter sänder ut att dessa nätverk inte använder kryptering utan tillåter klienter som använder WEP-läge att gå med. När "Blandad-cell" är aktiverat i en profil kan du ansluta till åtkomstpunkter som är konfigurerade för "valfri kryptering".

Radiohantering

När den här funktionen är markerad tillhandahåller det trådlösa kortet radiohantering för Ciscos infrastruktur. Om verktyget Cisco Radio Management används i infrastrukturen kommer radioparametrar, störningsidentifiering och otillåtna åtkomstpunkter att konfigureras.

EAP-FAST

EAP-FAST, så som EAP-TTLS och PEAP, använder tunnel för att skydda trafik. Den största skillnaden är att EAP-FAST inte använder certifikat för autentisering. Tillhandahållande i EAP-FAST förhandlas endast av klienten vid det första kommunikationsutbytet när EAP-FAST begärs från servern. Om klienten inte har en hemlig PAC som delats i förväg, kan den begära att initiera ett tillhandahållande av EAP-FAST-utbyte för att dynamiskt erhålla en från servern.

EAP-FAST-dokument har två sätt att leverera PAC: manuell leverans genom en säker mekanism utanför bandet och automatiskt tillhandahållande.

  • Mekanismer för manuell leverans kan vara alla leveransmekanismer som nätverksadministratören anser vara tillräckligt säkra för deras nätverk.
  • Vid automatiskt tillhandahållande etableras en krypterad tunnel för att skydda autentiseringen av klienten och leveransen av PAC till klienten. Denna metod, trots att den inte är lika säker som en manuell metod kan vara, är säkrare än autentiseringsmetoden som används i LEAP.

EAP-FAST-metoden kan delas in i två delar: tillhandahållande och autentisering. Tillhandahållandefasen innebär den första leveransen av PAC till klienten. Denna fas behöver bara utföras en gång per klient och användare.

Tillbaka till början

Tillbaka till Innehåll

Shop
Solutions
Services
Systems
Software & Peripherals
Support
Home Users
Small Businesses
Enterprise IT
Community
Join the Discussion
Share Your Ideas
Read our Blog
Ratings & Reviews
Community Home
Company Information
About Dell
Corporate Responsibility
Careers
Investors
Newsroom
My Account
Sign-in / Register
Order Status

Laptops | Desktops | Business Laptops | Business Desktops | Workstations | Servers | Storage | Services | Monitors | Printers | LCD TVs | Electronics
© 2012 Dell | About Dell | Terms & Conditions | Unresolved Issues | Privacy Statement | Ads and Emails | Dell Recycling | Contact | Site Map | Feedback
AT | AU | BE | BR | CA | CH | CL | CN | CO | DE | DK | ES | FR | HK | IE | IN | IT | JP | KR | ME | MX | MY | NL | NO | PA | PR | RU | SE | SG | UK | VE | ALL

Large Text
snEB12