Manualsbrain.com
  1. Manuales
  2. Marcas
  3. Cisco
  4. Cisco Aironet 1200 Access Point
  5. Folleto

Cisco Cisco Aironet 1200 Access Point Folleto

Descargar
Página de 15
 
 
© 2005 Cisco Systems, Inc. All rights reserved. 
Important notices, privacy statements, and trademarks of Cisco Systems, Inc. can be found on cisco.com. 
Page 11 of 15 
 
 
Per-Packet Key Hashing to Mitigate “Weak IV” Attacks 
When a WEP key is used to encrypt and decrypt transmitted data, each packet includes an initialization vector (IV), which is a 24-bit field that 
changes with each packet. The TKIP RC4 key-scheduling algorithm creates the IV from the base WEP key. A flaw in the WEP implementation 
of RC4 allows the creation of “weak” IVs that give insight into the base key. Using a tool such as AirSnort, an intruder can exploit this flaw by 
gathering packets encrypted with the same key and using the weak IVs to calculate the base key. 
TKIP includes key hashing, or per-packet keying, to mitigate weak IV attacks. When key-hashing support is implemented on both the access point 
and all associated client devices, the transmitter of data hashes the base key with the IV to create a new key for each packet. By helping to ensure 
that every packet is encrypted with a different key, key hashing removes the predictability that an intruder relies on to determine the WEP key by 
exploiting IVs. (Figure 4) 
Figure 4.  Attack Mitigation Roles for WPA—802.1X EAP/TKIP WLAN Design 
 
Message Integrity Check Protection from Active Network Attacks 
The use of a MIC thwarts an active network attack designed to determine the encryption key used to encrypt intercepted packets. This active attack 
is a combination of a bit-flipping attack and a replay attack. When MIC support is implemented on both the access point and all associated client 
devices, the transmitter of a packet adds a few bytes (the MIC) to the packet before encrypting and transmitting it. Upon receiving the packet, the 
recipient decrypts it and checks the MIC. If the MIC in the frame matches the calculated value (derived from the MIC function), the recipient accepts 
the packet; otherwise, the recipient discards the packet. 
Using MIC, packets that have been maliciously modified in transit are dropped. Attackers cannot use bit-flipping or active replay attacks to fool the 
network into authenticating them, because Cisco Aironet products, which are MIC-enabled, identify and reject altered packets. 
Broadcast-Key Rotation 
TKIP allows network managers to rotate both the unicast keys and the broadcast encryption keys used to encrypt broadcasts and multicasts. Network 
managers configure broadcast-key rotation policies on the access points. Since a static broadcast key is susceptible to the same attacks as unicast or 
static WEP keys, a key rotation value for broadcast keys is provided, which eliminates this susceptibility. 
WPA2 Encryption—Advanced Encryption Standard 
The Cisco Unified Wireless Network supports WPA2 which uses the AES encryption scheme for confidentiality and integrity. AES is an alternative 
encryption scheme to the RC4 encryption used in TKIP and WEP. AES has no known attacks and offers stronger encryption than TKIP and WEP. 
AES is an extremely secure cryptographic algorithm with current analysis indicating that it takes 2^120 operations to break an AES key—a feat not 
yet accomplished.