Gast

Support

Security: Encryption Manager - Radio0 - 802.11a/b/g

Hierarchical Navigation
Cisco Aironet Access Points
 
Online-Hilfe zur Wireless-Anwendung (12.2(15)JA)
Express-Setup
Express-Sicherheit
Netzwerkzuordnung
Verknüpfung
Netzwerkschnittstellen
Sicherheit
Encryption Manager
SSID-Manager
Server-Manager
Lokaler RADIUS-Server
Dienste

 

  
Sicherheit: Encryption Manager - Radio0 - 802.11a/b/g
 

Sie verwenden WEP (Wired Equivalent Privacy) zum Verschlüsseln der Funksignale, die vom Gerät gesendet werden, und zum Entschlüsseln der vom Gerät empfangenen Funksignale. Auf dieser Seite können Sie die Authentifizierungstypen für den Access Point auswählen.

Verschlüsselungsmodus

Gibt an, ob die Clients die Daten in der Kommunikation mit dem Gerät verschlüsseln sollen. Folgende drei Optionen sind verfügbar:

  • Keine - Das Gerät kommuniziert nur mit Clientgeräten, die WEP nicht verwenden.

  • WEP-Verschlüsselung - Wählen Sie Optional oder Obligatorisch. Wenn die Einstellung Optional gewählt wurde, können Clientgeräte in der Kommunikation mit diesem Access Point oder dieser Bridge WEP verwenden oder auf die WEP-Verschlüsselung verzichten. Wurde die Einstellung Obligatorisch gewählt, müssen Clientgeräte in der Kommunikation mit diesem Access Point WEP benutzen. Die Kommunikation mit Geräten, die WEP nicht verwenden, wird unterbunden. WEP (Wired Equivalent Privacy) ist ein 802.11-Standardverschlüsselungsalgorithmus, der ursprünglich dafür konzipiert wurde, eine mit der Sicherheit in LANs vergleichbare Sicherheitsstufe bereitzustellen. Der Standard definiert WEP-Basisschlüssel der Größe 40 Bit oder 104 Bit.

    • TKIP-Funktionen, die mit Cisco konform sind – Temporal Key Integrity Protocol (TKIP) ist eine Gruppe von Algorithmen, die ein WEP umgeben, und mit der die höchst mögliche Sicherheit auf älterer Hardware erreicht werden soll, auf der WEP ausgeführt wird. TKIP fügt vier neue Erweiterungen zu WEP hinzu:

      1. Eine Funktion zum Mischen von Schlüsseln pro Paket, um Angriffe über schwache Schlüssel abzuwehren

      2. Eine neue IV-Sequenzierungsdisziplin für die Ermittlung von Replay-Angriffen

      3. Eine Meldungsintegritätsprüfung (Message Integrity Check, MIC) für Verschlüsselungen, um Sicherheitsangriffe, wie Bit-Flipping und die Änderung von Paketquelle und -ziel zu ermitteln

      4. Eine Erweiterung des IV-Raums, um die Anforderung nach einem erneuten Schlüssel virtuell zu eliminieren

    • MIC aktivieren – MIC verhindert Angriffe auf verschlüsselte Pakete, die als Bit-Flip-Angriffe bezeichnet werden. Während eines Bit-Flip-Angriffs fängt ein Eindringling eine verschlüsselte Nachricht ab, nimmt geringfügige Änderungen daran vor und überträgt diese erneut. Der Empfänger akzeptiert dann die erneut übertragene Meldung als rechtmäßig. Die MIC-Prüfung, die sowohl im Access Point als auch in allen verknüpften Clientgeräten implementiert ist, fügt einige wenige Byte zum Paket hinzu, sodass das Paket nicht mehr gefälscht werden kann. Die WEP-Verschlüsselung muss vor der Aktivierung von MIC auf Obligatorisch gesetzt werden.

    • Per Packet Keying aktivieren – Die EAP-Authentifizierung stellt dynamische Unicast-WEP-Schlüssel für Clientgeräte bereit, verwendet jedoch statische Schlüssel. Mit Broadcast oder Multicast und aktivierter WEP-Schlüsselrotation bietet der Access Point einen dynamischen Broadcast-WEP-Schlüssel und ändert diesen in den Intervallen, die Sie im Feld Intervall für Broadcast-Schlüsselrotation ausgewählt haben. Die Broadcast-Schlüsselrotation ist eine hervorragende Alternative zu TKIP, wenn Ihr Wireless-LAN andere Wireless-Clientgeräte als Cisco Geräte unterstützt oder keine Aktualisierung auf die neueste Firmware für Cisco Clientgeräte möglich ist.

  • Cipher- Cipher-Suites sind Gruppen von Verschlüsselungs- und Integrity-Algorithmen, die den Funkverkehr im Wireless-LAN schützen sollen. Sie müssen eine Cipher-Suite verwenden, um WPA (Wi-Fi Protected Access) oder CCKM (Cisco Centralized Key Management) aktivieren zu können. Weil Cipher-Suites sowohl die Kommunikation schützen als auch den Einsatz einer authentifizierten Schlüsselverwaltung zulassen, wird empfohlen, die Verwendung der Verschlüsselung mit der Option Cipher als Verschlüsselungsmodus zu aktivieren. Wählen Sie im Dropdown-Menü TKIP, CKIP, CMIC oder WEP aus. TKIP ist die sicherste und WEP ist die am wenigsten sichere Cipher-Suite.

    • CKIP (Cisco Key Integrity Protocol) – Die WEP-Schlüsselpermutationstechnik von Cisco basiert auf einem frühen Algorithmus, der in der 802.11i-Security Task Group vorgestellt wurde.

    • CMIC (Cisco Message Integrity Check) – CMIC ist der Mechanismus von Cisco zur Überprüfung der Nachrichtenintegrität, der auf die Erkennung von Sicherheitsangriffen ausgelegt ist.

VLANs definieren

Klicken Sie auf diesen Link, um zur Seite Dienste: VLAN zu wechseln. Jegliche Konfigurationsänderungen, die vor der Auswahl dieses Links nicht übernommen wurden, gehen verloren. Sie legen auf dieser Seite Standard-VLANs fest und weisen die aktuellen VLANS und deren IDs sowie Daten zu. Beispielsweise können Unternehmen verschiedene VLANs verwenden, um den Datenverkehr von Mitarbeitern vom Datenverkehr von Gästen zu trennen und um den Datenverkehr dieser Gruppen wiederum von Datenverkehr mit hoher Priorität (z. B. High-Priority VoIP-Pakete) zu trennen. Datenverkehr von und zu Wireless-Clients mit unterschiedlichen Sicherheitsfähigkeiten kann in VLANs mit unterschiedlichen Sicherheitsrichtlinien unterteilt werden.

Verschlüsselungsmodi

Gibt an, ob die Clients die Daten in der Kommunikation mit dem Gerät verschlüsseln sollen. Folgende drei Optionen sind verfügbar:

  • Keine – Das Gerät kommuniziert nur mit Clientgeräten, die WEP nicht verwenden.

  • WEP-Verschlüsselung – Wählen Sie Optional oder Obligatorisch. Wenn die Einstellung Optional gewählt wurde, können Clientgeräte in der Kommunikation mit diesem Access Point oder dieser Bridge WEP verwenden oder auf die WEP-Verschlüsselung verzichten. Wurde die Einstellung Obligatorisch gewählt, müssen Clientgeräte in der Kommunikation mit diesem Access Point WEP benutzen. Die Kommunikation mit Geräten, die WEP nicht verwenden, wird unterbunden. WEP (Wired Equivalent Privacy) ist ein 802.11-Standardverschlüsselungsalgorithmus, der ursprünglich dafür konzipiert wurde, eine mit der Sicherheit in LANs vergleichbare Sicherheitsstufe bereitzustellen. Der Standard definiert WEP-Basisschlüssel der Größe 40 Bit oder 104 Bit.

  • Cipher- Cipher-Suites sind Gruppen von Verschlüsselungs- und Integrity-Algorithmen, die den Funkverkehr im Wireless-LAN schützen sollen. Sie müssen eine Cipher-Suite verwenden, um WPA (Wi-Fi Protected Access) oder CCKM (Cisco Centralized Key Management) aktivieren zu können. Weil Cipher-Suites sowohl die Kommunikation schützen als auch den Einsatz einer authentifizierten Schlüsselverwaltung zulassen, wird empfohlen, die Verwendung der Verschlüsselung mit der Option Cipher als Verschlüsselungsmodus zu aktivieren. Wählen Sie im Dropdown-Menü TKIP, CKIP, CMIC oder WEP aus. TKIP ist die sicherste und WEP ist die am wenigsten sichere Cipher-Suite.

    • CKIP (auch als Cisco Key Integrity Protocol bezeichnet) – Die WEP-Schlüsselpermuationstechnik von Cisco basiert auf einem frühen Algorithmus, der in der 802.11i-Security Task Group vorgestellt wurde.

    • CMIC (Cisco Message Integrity Check) – CMIC ist der Mechanismus zur Überprüfung der Nachrichtenintegrität von Cisco, der auf die Erkennung von Sicherheitsangriffen ausgelegt ist.

Verschlüsselungsschlüssel

Übertragungsschlüssel

Klicken Sie auf Übertragungsschlüssel, und wählen Sie den WEP-Schlüssel für dieses Gerät aus. Sie können jeweils nur einen Schlüssel auswählen. Alle festgelegten Schlüssel können für den Empfang von Daten verwendet werden.

Hinweis: Der Schlüssel, den Sie als Übertragungsschlüssel auswählen, muss auf Clientgeräten, die eine Verbindung mit dem Access Point oder der Bridge herstellen, in dasselbe Feld eingegeben werden. Er muss auf den Clientgeräten jedoch nicht als Übertragungsschlüssel ausgewählt werden.

Verschlüsselungsschlüssel (hexadezimal) 1-4

Geben Sie in eines der Felder für Verschlüsselungsschlüssel einen WEP-Schlüssel ein. Geben Sie bei einer 40-Bit-Verschlüsselung 10 Hexadezimalziffern ein; geben Sie bei einer 128-Bit-Verschlüsselung 26 Hexadezimalziffern ein. Hexadezimalziffern sind Zeichengruppen bestehend aus den Zahlen 0 bis 9, den Kleinbuchstaben a bis f und den Großbuchstaben A bis F. Die WEP-Schlüssel können Kombinationen dieser Zeichen enthalten. Bei WEP-Schlüsseln wird nicht zwischen Groß- und Kleinschreibung unterschieden.

Sie können bis zu vier WEP-Schlüssel eingeben. Der Schlüssel, den Sie als Übertragungsschlüssel auswählen, muss auf Clientgeräten, die eine Verbindung mit dem Access Point oder der Bridge herstellen, in dasselbe Feld eingegeben werden. Er muss auf den Clientgeräten jedoch nicht als Übertragungsschlüssel ausgewählt werden.

Wenn Sie vier WEP-Schlüssel konfiguriert haben und WEP-Schlüssel 2 als Übertragungsschlüssel auswählen, muss der WEP-Schlüssel 2 auf dem Clientgerät mit diesem übereinstimmen. Wenn WEP-Schlüssel 4 auf dem Clientgerät festgelegt, jedoch nicht als Übertragungsschlüssel ausgewählt ist, muss WEP-Schlüssel 4 auf dem Access Point gar nicht festgelegt werden.

Schlüsselgröße

Wählen Sie für jeden Schlüssel eine 40-Bit- oder 128-Bit-Verschlüsselung.

Globale Eigenschaften

Intervall für Broadcast-Schlüsselrotation

Ermöglicht es dem Access Point, den bestmöglichen zufälligen Gruppenschlüssel zu generieren und alle Stationen mit Schlüsselverwaltungsfunktionen in regelmäßigen Abständen zu aktualisieren. Broadcast-Schlüsselrotation ist für statische WEP-Clients nicht geeignet. Bei Verwendung dieser Funktion ist der Gruppenschlüssel nur für die aktuell aktiven Mitglieder sichtbar. Sie kann jedoch mit etwas Zusatzaufwand verbunden sein, wenn Clients des Netzwerks häufig das Roaming nutzen.

WPA-Gruppenschlüssel-Update

Markieren Sie das entsprechende Kontrollkästchen, um festzulegen, wie oft der Access Point den Gruppenschlüssel für WPA-fähige Clientgeräte ändern und verteilen soll.

Update bei Beendigung der Mitgliedschaft -

Der Access Point erzeugt und verteilt einen neuen Gruppenschlüssel, wenn eine authentifizierte Station ihre Verknüpfung mit dem Access Point aufhebt. Bei Verwendung dieser Funktion ist der Gruppenschlüssel nur für die aktuell aktiven Mitglieder sichtbar. Sie kann jedoch mit etwas Zusatzaufwand verbunden sein, wenn Clients des Netzwerks häufig das Roaming nutzen. Sie sollten diese Funktion nicht aktivieren, wenn Clients häufig zwischen Access Points wechseln.

Update bei Leistungsänderung des Mitglieds -

Der Access Point erzeugt und verteilt einen dynamischen Gruppenschlüssel, wenn der letzte Client, der die Schlüsselverwaltung nicht unterstützt und statische WEP-Verschlüsselung verwendet, seine Verknüpfung mit dem Access Point aufhebt. Er verteilt den statisch konfigurierten WEP-Schlüssel, wenn der erste Client, der die Schlüsselverwaltung nicht unterstützt und statische WEP-Verschlüsselung verwendet, authentifiziert wird. Im WPA-Migrationsmodus wird durch diese Funktion die Sicherheit von Clients mit Schlüsselverwaltungsfunktionen erheblich erhöht, wenn keine Legacy-Clients mit dem Access Point verknüpft sind.

 

 

 
   
Copyright (c) 2004-2007 Cisco Systems, Inc.

 

 

 

 

 

 

 

 

 

Lösungen für

Branchenlösungen

Neuigkeiten und Hinweise

Technologietrends

Starten Sie den Dialog

Communities

Unternehmensinfo