Impostazione della crittografia dei dati e dell'autenticazione
Panoramica sulla crittografia
Come attivare la crittografia WEP
Operazioni dell'amministratore del sistema
Impostazione del client per l'autenticazione WEP e MD5
Impostazione del client per WPA-PSK con l'autenticazione WEP o TKIP
Impostazione del client per WPA usando la crittografia TKIP e l'autenticazione TLS
Impostazione del client per WPA usando la crittografia TKIP e l'autenticazione TTLS o PEAP
Impostazione del client per CCX usando la crittografia CKIP e l'autenticazione LEAP
La crittografia WEP (Wired Equivalent Privacy) e l'autenticazione condivisa aiutano a proteggere i dati sulla rete. Quando si utilizza la crittografia WEP i dati vengono codificati tramite una chiave di crittografia prima di essere trasmessi. Solo i computer che usano la stessa chiave di crittografia possono accedere alla rete o decodificare i dati crittografati trasmessi da altri computer. L'autenticazione offre un ulteriore processo di convalida a partire dalla scheda di rete verso il punto di accesso. L'algoritmo di crittografia WEP è vulnerabile agli attacchi attivi e passivi della rete. Gli algoritmi TKIP e CKIP includono dei miglioramenti al protocollo WEP che mitigano gli attacchi alla rete esistente cercando di risolverne i punti deboli.
802.11 supporta due metodi di autenticazione di rete, il metodo del sistema aperto e il metodo condiviso, che usano la crittografia WEP a 64 bit e a 128 bit. In modalità aperta l'associazione a un punto di accesso specifico non avviene utilizzando un metodo di autenticazione di tipo crittografico. Gli schemi di autenticazione supportati sono l'autenticazione in modalità aperta e quella a chiave condivisa:
Quando la crittografia dati (WEP, CKIP o TKIP) è attivata, per la crittografia viene usata una chiave di rete. Una chiave di rete può essere fornita all'utente automaticamente (per esempio, potrebbe essere inclusa nella propria scheda di rete wireless) oppure può essere immessa dall'utente che ne specifica la lunghezza (64 o 128 bit), il formato (caratteri ASCII o cifre esadecimali) e l'indice (la posizione in cui è memorizzata la chiave specifica). Maggiore è la lunghezza della chiave e più protetta è la chiave. Ogni volta che la lunghezza di una chiave viene aumentata di un bit, il numero possibile di chiavi raddoppia.
In 802.11, una stazione wireless può essere configurata con un massimo di quattro chiavi (i valori di indice delle chiavi sono 1, 2, 3 e 4). Quando un punto di accesso o una stazione wireless trasmette un messaggio crittografato usando la chiave memorizzata in uno specifico indice di chiave, il messaggio trasmesso indica l'indice di chiave che è stato utilizzato per crittografare il testo del messaggio. Il punto di accesso o la stazione wireless ricevente può quindi richiamare la chiave che è memorizzata in corrispondenza dell'indice della chiave e usarla per decodificare il testo crittografato del messaggio.
802.1x utilizza due tipi di chiavi di crittografia, uno statico e uno dinamico. Le chiavi di crittografia statiche vengono cambiate manualmente e sono più vulnerabili. L'autenticazione MD5 usa solo chiavi di crittografia statiche. Le chiavi di crittografia dinamiche vengono rinnovate automaticamente con scadenza periodica. Per questo motivo le chiavi di crittografia dinamiche sono più sicure. Per attivare le chiavi di crittografia dinamiche è necessario utilizzare i metodi di autenticazione 802.1x, come TLS, TTLS, PEAP o LEAP.
Caratteristiche fondamentali dell'autenticazione 802.1x
I metodi di autenticazione 802.1x sono le password, i certificati e le smart card (schede di plastica
che contengono dati). Funzione di sincronizzazione della password di 802.1x: L'opzione "Usa accesso Windows" della finestra di dialogo Credenziali MD5, TLS, TTLS e LEAP consente di far corrispondere le credenziali 802.1x al nome utente e alla password di Windows. L'opzione di autenticazione 802.1x può essere usata solo con la modalità di funzionamento infrastruttura.
È possibile proteggere ulteriormente la WLAN tramite l'attivazione della crittografia dei dati basata su WEP (Wireless Encryption Protocol). È possibile scegliere tra il livello di crittografia a 64 bit e quello a 128 bit. I dati possono essere inoltre crittografati utilizzando una chiave. Un altro parametro, chiamato indice chiavi, consente di creare più chiavi per un profilo. È tuttavia possibile utilizzare solo una chiave alla volta. È inoltre possibile scegliere di utilizzare una password per il profilo per assicurarne la protezione.
La frase di accesso è utilizzata per generare automaticamente una chiave WEP. Viene data l'opzione di utilizzare la frase di accesso oppure di immettere manualmente la chiave WEP. Nella crittografia a 64 bit la frase di accesso è lunga 5 caratteri ed è possibile scegliere di immettere una frase arbitraria qualsiasi facile da ricordare, come Ditta1, oppure immettere come chiave WEP 10 caratteri esadecimali corrispondenti alla rete a cui l'utente desidera connettersi. Nella crittografia a 128 bit la frase di accesso è lunga 13 caratteri oppure è possibile immettere come chiave WEP 26 caratteri esadecimali per connettersi alla rete appropriata.
Nota: è necessario usare lo stesso tipo di crittografia, numero di indice chiavi e chiave WEP delle altre periferiche della rete wireless.
Nell'esempio seguente è descritto come modificare un profilo esistente e applicare la crittografia WEP.
Nota: prima di iniziare, richiedere all'amministratore del sistema la frase di accesso WEP o la chiave esadecimale.
Per attivare la crittografia WEP:
- Usare una frase di accesso: selezionare l'opzione per attivarla. Nel campo della frase di accesso, immettere una frase di testo, composta da un massimo di cinque (se si usano 64 bit) oppure tredici (se si usano 128 bit) caratteri alfanumerici (0-9, a-z o A-Z).
- Usare chiavi esadecimali: selezionare l'opzione per attivarla. Nel campo della chiave esadecimale, immettere fino a un massimo di dieci (se si usano 64 bit) oppure ventisei (se si usano 128 bit) caratteri alfanumerici (0-9, A-F).
![]() |
Nota: le informazioni seguenti sono destinate agli amministratori dei sistemi. Per ulteriori informazioni, fare riferimento a Privilegi di amministratore e utenti con restrizioni. |
Se non si dispone di alcun certificato per EAP-TLS o EAP-TTLS, per concedere l'autenticazione è necessario ottenere un certificato del client. È in genere necessario rivolgersi all'amministratore della propria rete per avere istruzioni su come è possibile ottenere un certificato sulla rete. I certificati possono essere gestiti in "Impostazioni Internet", accessibili da Internet Explorer o dall'applet del Pannello di controllo di Windows. Usare la pagina “Contenuto” di “Impostazioni Internet”.
Windows XP e 2000: quando si ottiene il certificato di un client non attivare la protezione avanzata della chiave privata. Se in un certificato si attiva la protezione avanzata della chiave privata, sarà necessario immettere una password di accesso per il certificato ogni volta che questo certificato viene usato. Se si sta configurando il servizio per l'autenticazione TLS/TTLS è necessario disattivare la protezione avanzata della chiave privata per il certificato. In caso contrario, il servizio 802.1x non riuscirà a effettuare l'autenticazione poiché non vi è un utente collegato che può leggere la finestra di dialogo della richiesta.
Note sulle smart card
Dopo aver installato una smart card il certificato viene automaticamente installato sul computer e può essere selezionato dall'archivio dei certificati personale e dall'archivio principale dei certificati.
Passo 1: Ottenere un certificato
Per permettere l'autenticazione TLS è necessario che un certificato client (utente) valido si trovi nell'archivio locale relativo all'account dell'utente connesso. È necessario inoltre che nell'archivio principale ci sia un certificato di CA più attendibile.
Le informazioni seguenti descrivono due metodi per ottenere un certificato:
Nota: se questo è il primo certificato che si è ottenuto, la CA chiederà dapprima se installare un certificato di CA più attendibile nell'archivio principale. La finestra di dialogo non indicherà se si tratta di un certificato CA più attendibile, ma il nome che comparirà sul certificato sarà quello dell'host dell'autorità di certificazione (CA). Fare clic su Sì se è necessario avere questo certificato sia per TLS che per TTLS.
Per configurare un profilo usando l'autenticazione WPA con la crittografia WEP o TKIP usando l'autenticazione TLS.
Passo 2: Specificare il certificato usato da Intel(R) PROSet
Nota: ottenere e installare un certificato del client (fare riferimento al Passo 1) o rivolgersi all'amministratore del sistema.Selezionare la casella di controllo "Consenti certificati intermedi" per consentire l'emissione di un numero di certificati non specificati lungo la catena che va dal certificato del server alla autorità di certificazione (CA) specificata. Se la casella non viene selezionata, il certificato deve essere emesso direttamente all'autorità di certificazione specificata.
Immettere il nome del server/certificato. Se si conosce il nome del server/certificato, immetterlo. Selezionare l'opzione appropriata, cioè se il nome del server deve corrispondere esattamente al nome immesso oppure se specificare il nome del dominio.
Certificato client: questa opzione seleziona un certificato client dell'archivio certificati personali dell'utente Windows connesso. Questo certificato verrà usato per l'autenticazione del client. Fare clic sul pulsante Seleziona per aprire l'elenco dei certificati installati.
Nota sui certificati: l'identità specificata deve corrispondere al nome che compare nel campo "Autorità di certificazione" del certificato e deve essere registrata sul server di autenticazione (es. il server RADIUS) che è usato dall'autenticatore. Il certificato deve essere "valido" rispetto al server di autenticazione. Questo requisito dipende dal server di autenticazione e generalmente significa che il server di autenticazione deve riconoscere l'emittente del certificato come l'Autorità di certificazione. È necessario effettuare la connessione usando lo stesso nome utente utilizzato al momento dell'installazione del certificato.
Per aggiungere l'autenticazione WEP e MD5 a un nuovo profilo:
Nota: prima di iniziare, richiedere all'amministratore del sistema il nome utente e la password del server RADIUS.
- Richiedi le credenziali alla connessione: richiede il nome utente e la password ogni volta che si accede alla rete.
- Usa accesso Windows: questa opzione consente di far corrispondere le credenziali 802.1x al nome utente e alla password di Windows. Prima della connessione viene visualizzata la finestra di dialogo Credenziali che richiede le credenziali di accesso di Windows.
- Salva credenziali utente: consente di accedere alla rete usando le credenziali salvate. Fare clic su Configura per aprire la finestra di dialogo delle credenziali. Immettere il nome utente, il dominio e la password dell'account utente che è stato creato sul server di autenticazione. Le credenziali vengono salvate per usarle in futuro con il profilo 802.1x. Il nome utente e la password non devono coincidere con il nome utente e la password usati per l'accesso a Windows. Fare clic su OK per salvare le credenziali.
Nota: se la funzione 'Usa accesso Windows' è disattivata (non accessibile), significa che la funzione Accesso singolo non è stata installata. Per installare la funzione 'Usa accesso Windows' fare riferimento alle istruzioni di installazione in Installazione e disinstallazione della funzione Accesso singolo.
- Se non è stato selezionato Usa accesso Windows (passaggio 13) nella finestra di dialogo Impostazioni protezione e non sono state configurate le credenziali dell'utente, quando si tenta la connessione usando questo profilo verrà visualizzata la finestra di dialogo Immettere le credenziali. Immettere il proprio nome utente e password di Windows. Selezionare la casella di controllo Salva credenziali utente per salvare le credenziali per usarle in futuro con questo profilo 802.1x.
Usare la modalità di accesso protetto Wi-Fi WPA-PSK (Pre Shared Key) se non viene utilizzato un server di autenticazione. Questa modalità non usa alcun protocollo di autenticazione 802.1x. Può essere usata con la crittografia dei dati WEP o TKIP. WPA-PSK richiede la configurazione di una chiave precondivisa (PSK). Per una chiave PSK da 256 bit è necessario immettere una frase di accesso o 64 caratteri esadecimali. La chiave di crittografia dei dati è derivata dalla chiave PSK.
Per configurare un nuovo profilo usando la crittografia WEP o TKIP con l'autenticazione di rete WPA-PSK:
La modalità di accesso protetto (WPA) può essere usata con TLS, TTLS o PEAP. Questo protocollo di autenticazione 802.1x usa le opzioni di crittografia dei dati WEP o TKIP. La modalità di accesso protetto Wi-Fi (WPA) è associata con l'autenticazione 802.1x. La chiave di crittografia dei dati viene ricevuta con lo scambio di chiavi 802.1x. Per migliorare la crittografia dei dati, l'accesso protetto Wi-Fi utilizza TKIP (Temporal Key Integrity Protocol). TKIP offre importanti miglioramenti per la crittografia dei dati, inclusa la modalità di rigenerazione delle chiavi.
Immettere il proprio nome utente nel campo Nome utente.
Selezionare l'"Autorità di certificazione" dall'elenco. Selezionare come impostazione predefinita Qualunque CA attendibile.
Selezionare la casella di controllo "Consenti certificati intermedi" per consentire l'emissione di un numero di certificati non specificati lungo la catena che va dal certificato del server alla autorità di certificazione (CA) specificata. Se la casella non viene selezionata, il certificato deve essere emesso direttamente all'autorità di certificazione specificata.
Immettere il nome del server. Se si conosce il nome del server, immetterlo. Selezionare l'opzione appropriata, cioè se il nome del server deve corrispondere esattamente al nome immesso oppure se specificare il nome del dominio.
Nota sui certificati: l'identità specificata deve corrispondere al nome che compare nel campo "Autorità di certificazione" del certificato e deve essere registrata sul server di autenticazione (es. il server RADIUS) che è usato dall'autenticatore. Il certificato deve essere "valido" rispetto al server di autenticazione. Questo requisito dipende dal server di autenticazione e generalmente significa che il server di autenticazione deve riconoscere l'emittente del certificato come l'Autorità di certificazione. È necessario effettuare la connessione usando lo stesso nome utente utilizzato al momento dell'installazione del certificato.
Autenticazione TTLS: queste impostazioni definiscono il protocollo e le credenziali usate per autenticare un utente. In TTLS, il client usa EAP-TLS per convalidare il server e creare un canale crittografato TLS tra il client e il server. Su questo canale crittografato il client può utilizzare un altro protocollo di autenticazione, in genere un protocollo basato su password quale una richiesta MD5, per abilitare la convalida del server. I pacchetti di richiesta e di risposta sono inviati su un canale TLS crittografato e non esposto.
Autenticazione PEAP: le impostazioni PEAP sono richieste per l'autenticazione del client presso il server di autenticazione. In PEAP, il client usa EAP-TLS per convalidare il server e creare un canale crittografato TLS tra il client e il server. Su questo canale crittografato il client può utilizzare un altro meccanismo EAP, quale Microsoft Challenge Authentication Protocol (MSCHAP) versione 2, per abilitare la convalida del server. I pacchetti di richiesta e di risposta sono inviati su un canale TLS crittografato e non esposto.
Nell'esempio seguente è descritto come usare WPA con la crittografia WEP o TKIP usando l'autenticazione TTLS o PEAP.
Immettere il nome del server.
- Se si conosce il nome del server, immetterlo.
- Selezionare l'opzione appropriata, cioè se il nome del server deve corrispondere esattamente al nome immesso oppure se specificare il nome del dominio.
- Richiedi le credenziali alla connessione: richiede il nome utente e la password ogni volta che si accede alla rete.
- Usa accesso Windows: questa opzione consente di far corrispondere le credenziali 802.1x al nome utente e alla password di Windows. Prima della connessione viene visualizzata la finestra di dialogo Credenziali che richiede le credenziali di accesso di Windows.
- Salva credenziali utente: selezionare questa casella per salvare il proprio nome utente e password per usi futuri quando si usa il profilo di autenticazione 802.1x. Fare clic su Configura e immettere il nome utente, il dominio e la password. Reimmettere la password nella casella di testo Conferma password e fare clic su OK per salvare le impostazioni e chiudere la finestra di dialogo. Il nome utente e il dominio devono corrispondere al nome utente che è impostato nel server di autenticazione dall'amministratore del sistema prima che avvenga l'autenticazione del client. Il nome utente distingue tra maiuscole e minuscole. Questo nome indica l'identità fornita all'autenticatore dal protocollo di autenticazione che opera sul tunnel TLS. L'identità di questo utente è trasmessa in modo protetto al server solo dopo che è stato verificato e stabilito un canale crittografato. Reimmettere la password dell'utente. Se è confermata, vengono visualizzati gli stessi caratteri della password immessi nel campo Password.
Nota: se la funzione 'Usa accesso Windows' è disattivata (non accessibile), significa che la funzione Accesso singolo non è stata installata. Per installare la funzione 'Usa accesso Windows' fare riferimento alle istruzioni di installazione in Installazione e disinstallazione della funzione Accesso singolo.
Nota sui certificati: l'identità specificata deve corrispondere al nome che compare nel campo "Autorità di certificazione" del certificato e deve essere registrata sul server di autenticazione (es. il server RADIUS) che è usato dall'autenticatore. Il certificato deve essere "valido" rispetto al server di autenticazione. Questo requisito dipende dal server di autenticazione e generalmente significa che il server di autenticazione deve riconoscere l'emittente del certificato come l'Autorità di certificazione. È necessario effettuare la connessione usando lo stesso nome utente utilizzato al momento dell'installazione del certificato.
- Se non è stato selezionato Usa accesso Windows (passaggio 15) nella finestra di dialogo Impostazioni protezione e non sono state configurate le credenziali dell'utente, quando si tenta la connessione usando questo profilo verrà visualizzata la finestra di dialogo Immettere le credenziali. Immettere il proprio nome utente e password di Windows. Selezionare la casella di controllo Salva credenziali utente per salvare le credenziali per usarle in futuro con questo profilo 802.1x.
![]() |
Nota: è possibile configurare un profilo LEAP solo usando Intel(R) PROSet. |
Per collegarsi a una specifica rete LAN wireless o ESS è necessario configurare un profilo Intel(R) PROSet CCX (v1.0). Le impostazioni dei profili comprendono le impostazioni di rilevamento LEAP, CKIP e Rogue AP.
Per configurare un profilo per le impostazioni della protezione CCX:
- Richiedi le credenziali alla connessione: selezionare questa casella se si desidera immettere il proprio nome utente e password ogni volta che ci si connette alla rete wireless. Il nome utente e la password devono prima essere impostati nel server di autenticazione dall'amministratore del sistema. Procedere con il passo 13.
- Usa accesso Windows: questa opzione consente di far corrispondere le credenziali 802.1x al nome utente e alla password di Windows. I campi del nome utente e della password non sono richiesti. Procedere con il passo 13.
- Salva credenziali utente: selezionare questa casella d controllo per salvare il proprio nome utente e password per usi futuri quando si usa il profilo di autenticazione 802.1x. Fare clic su Configura e immettere il nome utente, il dominio e la password. Reimmettere la password nella casella di testo Conferma password e fare clic su OK per salvare le impostazioni e chiudere la finestra di dialogo. Il nome utente e il dominio devono corrispondere al nome utente che è impostato nel server di autenticazione dall'amministratore del sistema prima che avvenga l'autenticazione del client. Il nome utente distingue tra maiuscole e minuscole. Questo nome indica l'identità fornita all'autenticatore dal protocollo di autenticazione che opera sul tunnel TLS. L'identità di questo utente è trasmessa in modo protetto al server solo dopo che è stato verificato e stabilito un canale crittografato. Reimmettere la password dell'utente. Se è confermata, vengono visualizzati gli stessi caratteri della password immessi nel campo Password.
Nota: se la funzione 'Usa accesso Windows' è disattivata (non accessibile), significa che la funzione Accesso singolo non è stata installata. Per installare la funzione 'Usa accesso Windows' fare riferimento alle istruzioni di installazione in Installazione e disinstallazione della funzione Accesso singolo.
Le impostazioni offerte dal punto di accesso consentono di selezionare tipi diversi di autenticazione a seconda dell'ambiente WLAN. Durante l'handshake di autenticazione 802.11 che avviene tra il client e il punto di accesso quando stabiliscono una connessione, il client invia un campo per l'algoritmo di autenticazione. I valori dell'algoritmo di autenticazione riconosciuti da un punto di accesso compatibile con CCX sono diversi a seconda dei diversi tipi di autenticazione. Ad esempio, “Network-EAP” (specifico di LEAP) ha il valore di 0x80, mentre “Open” (relativo all'autenticazione aperta specifica di 802.11) e “Required EAP” (ovvero la richiesta di uno scambio di handshake EAP) hanno il valore di 0x0.
Punto di accesso: nelle reti compatibili con CCX che usano solo l'autenticazione LEAP, il tipo di autenticazione è impostato con la casella di controllo “Network-EAP” selezionata e con le caselle di controllo “Open” e “Required EAP” deselezionate. Il punto di accesso è quindi configurato per consentire che SOLO i client LEAP eseguano l'autenticazione e la connessione. In questo caso il punto di accesso si aspetta che l'algoritmo di autenticazione 802.11 sia impostato a 0x80 (LEAP) e rifiuta i client che tentano di effettuare l'autenticazione usando un algoritmo del valore di 0x0.
Client: in questo caso il client deve inviare un algoritmo di autenticazione del valore di 0x80, altrimenti l'handshake di autenticazione 802.11 non riesce. Durante l'avvio, quando il driver della LAN wireless è già caricato ma il richiedente di Intel(R) PROSet non lo è ancora, il client invia l'autenticazione 802.11 usando un algoritmo di autenticazione del valore di 0x0. Il richiedente di Intel(R) PROSet, quando viene caricato e il profilo LEAP è avviato, invia l'autenticazione 802.11 con un algoritmo di autenticazione del valore di 0x80.
Network-EAP, Open e Required EAP
Punto di accesso: se le caselle Network-EAP, Open e Required EAP sono selezionate accetta entrambi i valori, 0x0 e 0x80, dell'algoritmo di autenticazione 802.11. Il punto di accesso, una volta che il client si è associato e autenticato, si aspetta tuttavia che avvenga un handshake EAP. Se qualunque motivo la procedura di handshake non avviene rapidamente, il punto di accesso non risponderà al client per 60 secondi.
Client: il client può inviare un algoritmo di autenticazione usando entrambi i valori, 0x80 o 0x0. Poiché sono entrambi valori accettabili l'handshake di autenticazione 802.11 verrà completata correttamente. Durante l'avvio, quando il driver della LAN wireless è già caricato, il client invia l'autenticazione 802.11 usando un algoritmo di autenticazione del valore di 0x0. Questo basta a ottenere l'autenticazione ma, per stabilire una connessione, è necessario che le corrispondenti credenziali EAP o LEAP siano comunicate al punto di accesso.
Punto di accesso: nel caso in cui il punto di accesso sia configurato con Network-EAP deselezionato, ma Open e Required EAP selezionati, il punto di accesso rifiuta i client che tentano di effettuare l'autenticazione 802.11 usando un algoritmo del valore di 0x80. Il punto di accesso accetta i client che usano un algoritmo di autenticazione del valore di 0x0 e si aspetta che l'handshake EAP inizi subito dopo. In questo caso, il client usa MD5, TLS, LEAP o altri metodi EAP appropriati per la specifica configurazione della rete.
Client: al client in questo caso è richiesto di inviare un algoritmo di autenticazione del valore di 0x0. Come descritto in precedenza, la sequenza comporta una ripetizione dell'handshake di autenticazione 802.11 iniziale. Dapprima il driver LAN wireless inizia l'autenticazione con un valore di 0x0 e in seguito il richiedente ripete il processo. Il client invia un'autenticazione 802.11 con un algoritmo di autenticazione del valore di 0x0 anche dopo che il richiedente ha caricato e attivato il profilo LEAP.
Il profilo LEAP assicura che il client implementi la funzione Rogue AP come richiesto da CCX. Il client registra quali sono i punti di accesso con cui non è riuscito ad effettuare l'autenticazione e invia questa informazione al punto di accesso che gli consente di effettuare l'autenticazione e la connessione. Il richiedente inoltre imposta a 0x80 il tipo di algoritmo di autenticazione. Come descritto in precedenza, vi possono essere alcune configurazioni di rete che implementano solo Open e Required EAP. Affinché queste configurazioni funzionino, il client deve usare per l'algoritmo di autenticazione il valore di 0x0, invece che il valore di 0x80 richiesto, come descritto in precedenza, nel caso di solo Network-EAP. Il profilo LEAP consente al client di supportare solo Network-EAP e solo Open e Required EAP.
Nota: per ulteriori informazioni, fare riferimento al documento Cisco Client extensions versione 2,0 sul sito www.cisco.com.