Protokoly pro WiFi

Pro zabezpečení bezdrátových sítí se používají různé algoritmy. Hlavní dvě části, které ošetřují, je autentizace a šifrování.

WEP - Wired Equivalent Privacy

První algoritmus, který byl součástí originální normy IEEE 802.11. Používá šifru RC4 pro utajení a kontrolní součet CRC-32 pro ověření integrity. Standardní 64 bit WEP používá 40 bitový klíč (WEP-40), ke kterému se doplní 24 bitový inicializační vektor IV, aby se vytvořil RC4 klíč. 128 bit WEP verze většinou zadává klíč jako 26 haxadecimalních znaků, to dává 104 bitů doplněno 24 bity inicializačního vektoru.

Autentizace je pouze jednocestná, ověřuje se pouze klient, ale nikoliv AP. Existují dvě metody. Open System autentizace, kdy klient vlastně neprovádí žádnou autentizaci a nezáleží na jeho WEP klíči. Každý klient se autentizuje a může se pokusit o asociaci. WEP klíč se může následně použít pro šifrování dat. Shared Key autentizace používá WEP klíč pro autentizaci a může jej dále použít i pro šifrování. Celý WEP je slabá metoda a neměla by se používat. Při porovnání se však bere Open System jako bezpečnější než Shared Key, protože z úvodního handshaku se dají odvodit WEP klíče.

WPA - Wi-Fi Protected Access

Protože se objevilo mnoho bezpečnostních problémů WEPu, tak vznikl nový protokol označovaný WPA. Ve WPA jsou integrovány hlavní body standardu IEEE 802.11i. Pro šifrování se používá Temporal Key Integrity Protocol (TKIP), který chrání RC4 šifrovací klíče. Aby se dal využít stejný HW jako pro WEP, tak TKIP používá jako šifru RC4, což znamená i podobné bezpečnostní problémy. Používá mechanizmus MIC - Message integrity Check - chrání WiFi před induktivním útokem pro získání WEP klíčů (Cisco verze CMIC).

Pro autentizaci se může použít buď Pre-Shared Key (PSK), který můžeme zadat jako 64 hexadecimálních znaků nebo heslo o 8 až 63 ASCII znacích. Výsledný klíč má 256 bitů. Tato metoda se často označuje jako WPA - Personal, ale nepovažuje se za příliš bezpečnou. Nebo můžeme použít 802.1x autentizaci, pro kterou potřebujeme mít vybudovanou infrastrukturu s autentizačním serverem (třeba RADIUS a MS AD), ale je bezpečnější. Ta se označuje jako WPA - Enterprise.

WPA2 - Wi-Fi Protected Access 2

Z důvodu snahy o využití starého HW se ve WPA nachází řada bezpečnostních problémů. WPA2 implementuje všechny povinné elementy 802.11i. Hlavní rozdíl je v implementaci šifrovacího algoritmu založeném na Advanced Encryption Standard - AES, což je CCMP, který se považuje za plně bezpečný. WPA2 je značně náročnější na HW.

Pro autentizaci můžeme opět použít PSK a 802.1x. V rámci 802.1x (teoreticky i pro WPA) můžeme využít univerzální autentizací framework Extensible Authentication Protocol - EAP. Některé EAP typy jsou:

• EAP-TLS - EAP - Transport Layer Security - používá certifikáty pro autentizaci obou stran, vyžaduje RADIUS nebo jiný autentizací server, je velmi bezpečný, ale vyžaduje certifikát na straně klienta, což je často problém
• PEAP - Protected EAP - navržený Ciscem, Microsoftem a RSA, hodně rozšířený a má dobrou bezpečnost, pomocí certifikátu šifruje výměnu autentizačních údajů, certifikát pouze na serveru, používají se dva podtypy
  • MSCHAPv2 (PEAPv0/EAP-MSCHAPv2) - když se mluví o PEAP, tak se většinou myslí tato verze, nativní podpora u MS a dalších, MS podporuje jako vnější autentizaci pouze PEAPv0 a jako vnitřní EAP-MSCHAPv2 a PEAP-EAP-TLS, což je obdoba EAP-TLS, přidává malinko bezpečnosti šifrováním klientského certifikátu
  • GTC (PEAPv1/EAP-GTC) - vymyslelo Cisco, ale MS nepodporuje, moc se nepoužívá
• LEAP - Lightweight EAP - proprietární protokol Cisco, používá oboustrannou autentizaci, L3 roaming, pro autentizaci jméno a heslo, sice je lepší než WEP, ale není příliš bezpečný a dnes se nedoporučuje používat
• EAP-FAST - EAP - Flexible Authentication via Secure Tunneling - Cisco návrh na nahrazení LEAP, certifikát na serveru je nepovinný, vytvoří TLS tunel a v něm se ověřují klientské údaje

Centralizované WLAN řešení

Když potřebujeme spravovat větší množství AP, tak nemůžeme konfigurovat každé samostatně, navíc se nám hodí využít spolupráci jednotlivých AP pro dosažení různých vlastností. Cisco má dva způsoby, jak toto řešit, záleží na tom, jaký typ AP budeme používat.

• autonomní AP - každé AP má IOS, který pracuje nezávisle, centralizovaná správa se provádí přes WLSE pomocí WDS
• LWAP - všechny data z AP jdou přes LWAP tunel na WLC, které vše řídí

Centralizované řešení s autonomními AP

AP - Access Point - přístupový bod (správně bezdrátový přístupový bod) je zařízení, které dovoluje bezdrátovým klientům přístup do bezdrátové sítě WLAN (Wireless LAN), v tomto kontextu uvažujeme samostatné AP, tedy  Autonomous  AP

WDS - Wireless Domain Services - jedná se o funkci v IOSu u AP, která umožňuje odesílat agregované RF informace na WLSE a další

WLSE - CiscoWorks WLAN Solution Engine - software, který dokáže konfigurovat, spravovat a upgradovat AP, poskytuje reporty, může detekovat rogue (pirátská) AP, pokud přestane fungovat nějaké AP, tak se pokusí upravit vysílací výkon sousedních, vyžaduje CDP a SNMP

WLSE-Express - verze pro menší prostředí (do 1500 klientů), má integrovaný AAA server

Centralizované řešení s lehkými AP

LWAP - Lightweight Access Point - AP řízené z WLC, nemůže pracovat samostatně, má speciální verzi IOSu

LWAPP - Lightweight Access Point Protocol - protokol pro řízení LWAP

WLC - WLAN Controller - řídí LWAP, mezi AP a WLC se vytvoří tunel, kterým se posílají veškerá data, může detekovat rogue AP, pokud přestane fungovat nějaké AP, tak se pokusí upravit vysílací výkon sousedních

WCS - Wireless Control System - běží na Win2000/2003, Red Hat 3 a dnes i VMware ESXi, řídí více WLC a spravovaných AP a poskytuje dodatečné funkce, jako částečné funkce pro lokalizaci klientů v reálném čase, s kontrolery komunikuje pomocí SNMP

Wireless Location Appliance - zlepšuje možnosti WCS pro lokalizaci WiFi zařízení a ukládá historii, výpočet je založený na RSSI, které získá z WLC pomocí SNMP, to je získá z AP pomocí LWAPP, model 2700 může sledovat až 1500 zařízení po 30 dní, prvotní konfigurace se dělá přes CLI, může získávat data z RFID

WLAN a QoS

Cisco LWAP AP používá Split-MAC architekturu, kde se QoS implementuje mezi AP a WLC pomocí LWAPP.

802.11e je doplněk standardu 802.11, který definuje skupinu QoS rozšíření bezdrátové LAN.

WMM - WiFi Multimedia - specifikace, která je podmnožinou 802.11e. Prioritizuje provoz podle čtyř kategorií - hlas, video, best effort, pozadí (background). Negarantuje propustnost, vhodné pro VoIP. WMM používá pro přístup k médiu metodu EDCA. AP mapuje 802.11e priority na DSCP a kontroluje je proti možnému nastavení.