Powrót do Spisu treści

Konfigurowanie zabezpieczeń połączeń: Instrukcja obsługi karty Mini PCI Intel(R) PRO/Wireless LAN


Zabezpieczenia i szyfrowanie

Konfigurowanie szyfrowania danych i potwierdzania autentyczności
Szyfrowanie — przegląd
Jak włączyć szyfrowanie WEP
Zadania administratora systemu
Konfigurowanie klienta szyfrowania WEP i potwierdzania autentyczności MD5
Konfigurowanie klienta WPA-PSK z potwierdzaniem autentyczności WEP lub TKIP
Konfigurowanie klienta WPA z szyfrowaniem TKIP i potwierdzaniem autentyczności TLS
Konfigurowanie klienta WPA z szyfrowaniem TKIP i potwierdzaniem autentyczności TTLS lub PEAP
Konfigurowanie klienta do rozszerzenia CCX z szyfrowaniem CKIP i potwierdzaniem autentyczności LEAP


Konfigurowanie szyfrowania danych i potwierdzania autentyczności

Szyfrowanie WEP (ang. Wired Equivalent Privacy) i współużytkowane potwierdzanie autentyczności służy do zabezpieczania danych w sieci. W szyfrowaniu WEP, przed wysłaniem, dane są szyfrowane za pomocą klucza szyfrowania. Uzyskiwanie dostępu do sieci oraz odszyfrowywanie zaszyfrowanych danych jest możliwe tylko w przypadku komputerów z tym samym kluczem szyfrowania. Potwierdzanie autentyczności zapewnia dodatkowy proces weryfikacji karty przez punkt dostępu. Algorytm szyfrowania WEP jest podatny na aktywne i pasywne ataki sieciowe. Algorytmy TKIP i CKIP zawierają ulepszenia protokołu WEP, które zmniejszają niebezpieczeństwo ataków i eliminują niektóre niedociągnięcia.

Potwierdzanie autentyczności kluczy otwartych i współużytkowanych 

W standardzie 802.11 obsługiwane są dwie metody potwierdzania autentyczności sieci: system otwarty i współużytkowany, korzystające z 64-bitowego i 128-bitowego szyfrowania WEP. W trybie otwartym nie są wymagane metody potwierdzania autentyczności przez szyfrowanie, mające na celu kojarzenie z określonym punktem dostępu. Obsługiwane rodzaje potwierdzania autentyczności to potwierdzanie otwarte oraz potwierdzanie współużytkowane:

Klucze sieciowe

Jeśli włączone zostało szyfrowanie danych (WEP, CKIP lub TKIP), do szyfrowania używany jest klucz sieciowy. Klucz sieciowy może być dostarczany automatycznie (np. razem z kartą sieci bezprzewodowej) lub wprowadzany przez użytkownika przez podanie klucza, jego długości (64-bitowy lub 128-bitowy), formatu (znaki ASCII lub cyfry w systemie szesnastkowym) oraz indeksu (miejsca przechowywania). Im klucz jest dłuższy, tym zapewnia wyższy poziom bezpieczeństwa. Z każdym bitem długości klucza podwaja się liczba możliwych kombinacji klucza.

Dla stacji podłączonej do sieci bezprzewodowej w standardzie 802.11 można skonfigurować maksymalnie cztery klucze (wartości indeksów kluczy: 1, 2, 3 i 4). Kiedy z punktu dostępu lub stacji w sieci bezprzewodowej wysyłana jest wiadomość zaszyfrowana za pomocą klucza przechowywanego w określonym indeksie, w wiadomości tej zawarte są informacje o indeksie klucza użytego do szyfrowania treści wiadomości. Klucz przechowywany w indeksie może zostać pobrany przez odbiorczy punkt dostępu lub stację w sieci bezprzewodowej, a następnie użyty do odszyfrowania treści wiadomości.

Statyczne i dynamiczne typy kluczy szyfrowania

W standardzie 802.1x używane są dwa typy kluczy szyfrowania: statyczne i dynamiczne. Statyczne klucze szyfrowania zmieniane są ręcznie i są bardziej narażone na przechwycenie. Do potwierdzania autentyczności MD5 używane są tylko klucze statyczne. Dynamiczne klucze szyfrowania są okresowo odnawiane automatycznie. Dzięki temu są one bezpieczniejsze. Aby włączyć dynamiczne klucze szyfrowania, należy użyć metod potwierdzania autentyczności 802.1x: TLS, TTLS, PEAP lub LEAP.

Kluczowe kwestie związane z potwierdzaniem autentyczności 802.1x

Do metod potwierdzania autentyczności w standardzie
802.1x zaliczają się między innymi hasła, certyfikaty i karty inteligentne (plastikowe karty z zapisanymi danymi). Funkcja synchronizacji hasła dla sieci 802.1x: Opcja Użyj logowania systemu Windows (Use Windows login) w oknie dialogowym Poświadczenia MD5, TLS, TTLS i LEAP (MD5, TLS, TTLS, and LEAP Credentials) umożliwia uzgodnienie poświadczeń sieci 802.1x z nazwą użytkownika i hasłem w systemie Windows. Opcja potwierdzania autentyczności w standardzie 802.1x jest dostępna tylko w trybie działania Infrastruktura.


Szyfrowanie — przegląd

Bezpieczeństwo sieci WLAN można zwiększyć przez włączenie szyfrowania danych przy użyciu protokołu WEP (Wireless Encryption Protocol). Można wybrać jeden z dwóch poziomów szyfrowania: 64-bitowe i 128-bitowe. Dane można wtedy szyfrować również za pomocą klucza. Inny parametr, nazywany indeksem klucza, umożliwia tworzenie kilku kluczy dla danego profilu. W danym momencie można jednak używać tylko jednego klucza. Dodatkowo profil można zabezpieczać hasłem.

Fraza hasła używana jest do automatycznego tworzenia klucza WEP. Do wyboru są dwie możliwości: można używać frazy hasła lub wpisywać klucz WEP ręcznie. W przypadku szyfrowania 64-bitowego dla klucza WEP odpowiadającego sieci, z którą następuje łączenie, można wprowadzić frazę hasła o długości pięciu znaków — może być dowolna i łatwa do zapamiętania (np. Cola1) — lub 10 znaków w systemie szesnastkowym. W przypadku szyfrowania 128-bitowego można wprowadzić frazę hasła, składającą się z 13 znaków lub z 26 znaków w systemie szesnastkowym.

Uwaga:W przypadku wszystkich urządzeń danej sieci bezprzewodowej należy używać tego samego typu szyfrowania, numeru indeksu klucza i klucza WEP.


Jak włączyć szyfrowanie WEP

Poniższy przykład przedstawia edytowanie istniejącego profilu i używanie szyfrowania WEP.

Uwaga: Przed rozpoczęciem należy od administratora systemu uzyskać frazę hasła WEP lub klucz szesnastkowy do sieci.
 

Aby włączyć szyfrowanie WEP:

  1. Na stronie Ogólne (General) kliknij kartę Sieci (Networks).
  2. Wybierz profil sieci z listy profili i kliknij przycisk Edytuj (Edit).
  3. Kliknij kartę Zabezpieczenia (Security).
  4. Wybierz dowolny tryb potwierdzania autentyczności w sieci (zalecany tryb Otwarte (Open)).
  5. Wybierz szyfrowanie danych WEP.
  6. Wybierz opcję Ustaw klucz ręczny (Set Manual Key).
  7. Wybierz indeks klucza: 1, 2, 3 lub 4. (Ustawienie domyślne: 1).
  8. Wybierz poziom szyfrowania: 64-bitowe lub 128-bitowe.
  9. Wybierz jedną z opcji:
  1. Kliknij przycisk OK, aby zapisać ustawienia profilu.

Zadania administratora systemu

Uwaga: Podane informacje są przeznaczone dla administratorów systemu. Więcej informacji na ten temat można znaleźć w rozdziale Uprawnienia administratora i użytkownicy z ograniczonymi uprawnieniami.

Jak uzyskać certyfikat klienta

W przypadku braku certyfikatów dla usług EAP-TLS lub EAP-TTLS należy uzyskać certyfikat klienta, umożliwiający potwierdzanie autentyczności. Zwykle o instrukcje dotyczące uzyskania certyfikatu dla sieci należy pytać administratora sieci. Certyfikatami można zarządzać za pomocą ustawień internetowych, dostępnych z poziomu przeglądarki Internet Explorer lub apletu Panelu sterowania systemu Windows. Służy do tego strona Zawartość (Content) okna dialogowego Opcje internetowe (Internet Settings).

W systemach Windows XP i 2000: Podczas uzyskiwania certyfikatu klienta nie należy włączać silnej ochrony klucza prywatnego. Jeśli silna ochrona zostanie włączona, każdorazowo przy korzystaniu z certyfikatu konieczne będzie wprowadzanie hasła dostępu. W przypadku konfiguracji ustawień potwierdzania autentyczności TLS/TTLS należy wyłączyć silną ochronę klucza prywatnego. W przeciwnym razie autentyczność usługi 802.1x nie zostanie potwierdzona z powodu braku zalogowanego użytkownika, który mógłby wprowadzić hasło po wyświetleniu okna dialogowego.

Uwagi dotyczące kart inteligentnych:

Po zainstalowaniu karty inteligentnej certyfikat jest automatycznie zapisywany na komputerze i może być wybierany z osobistego magazynu certyfikatów lub głównego magazynu certyfikatów głównych.

Konfigurowanie klienta do potwierdzania autentyczności TLS

Krok 1: Uzyskiwanie certyfikatu

Aby umożliwić potwierdzanie autentyczności w standardzie TLS, w składzie lokalnym musi znajdować się certyfikat klienta (użytkownika) dla konta zalogowanego użytkownika.  Wymagany jest także certyfikat zaufanego urzędu certyfikacji w magazynie głównym (root store).

Poniższe informacje dotyczą dwóch metod uzyskiwania certyfikatu:

Uzyskiwanie certyfikatu z urzędu certyfikacji Windows 2000:

  1. Uruchom program Internet Explorer i przejdź do usługi HTTP urzędu certyfikacji (przy użyciu adresu URL, np. http://MójSerwerDomeny.MojaDomena/certsrv, gdzie certsrv oznacza polecenie odwołujące się do urzędu certyfikacji). Można również użyć adresu IP serwera (np. 192.0.2.12/certsrv).
  2. Zaloguj się w urzędzie certyfikacji, używając nazwy i hasła użytkownika utworzonych na serwerze potwierdzania autentyczności. Nazwa użytkownika i hasło nie muszą być takie same, jak nazwa i hasło aktualnie zalogowanego użytkownika systemu Windows.
  3. Na stronie powitalnej urzędu certyfikacji wybierz zadanie Żądaj certyfikatu (Request a certificate) i wyślij formularz.
  4. Na stronie Wybór typu żądania (Choose Request Type) zaznacz Żądanie zaawansowane (Advanced request), a następnie kliknij przycisk Dalej (Next).
  5. Na stronie Żądania zaawansowane certyfikatów (Advanced Certificate Requests) wybierz opcję Prześlij żądanie certyfikatu do tego urzędu certyfikacji za pomocą formularza (Submit a certificate request to this CA using a form), a następnie kliknij przycisk Prześlij (Submit).
  6. Na stronie Żądanie zaawansowane certyfikatu (Advanced Certificate Request) wybierz szablon Certyfikat użytkownika (User certificate). Zaznacz pole wyboru Oznacz klucz prywatny jako możliwy do eksportu (Mark keys as exportable) i kliknij przycisk Dalej (Next). Skorzystaj z ustawień domyślnych.
  7. Na stronie Wystawiony certyfikat (Certificate Issued) zaznacz Instaluj ten certyfikat (Install this certificate).

Uwaga: Jeśli jest to pierwszy uzyskany certyfikat, użytkownik zostanie zapytany, czy w magazynie głównym ma zostać zainstalowany certyfikat zaufanego urzędu certyfikacji. W oknie dialogowym nie będzie potwierdzenia, że jest to certyfikat zaufanego urzędu certyfikacji, ale przedstawiona nazwa certyfikatu będzie zawierała nazwę hosta urzędu certyfikacji. Wybierz opcję Tak (Yes), jeśli certyfikat ma być używany zarówno w usłudze TLS, jak i TTLS.

  1. Po poprawnym zainstalowaniu certyfikatu zostanie wyświetlony komunikat „Nowy certyfikat został zainstalowany pomyślnie” (Your new certificate has been successfully installed).
  2. Aby sprawdzić instalacje, kliknij polecenia Internet Explorer > Narzędzia > Opcje internetowe > Zawartość > Certyfikaty. Nowy certyfikat powinien zostać zainstalowany w folderze Osobisty (Personal).

Importowanie certyfikatu z pliku

  1. Otwórz okno Właściwości: Internet (kliknij prawym klawiszem myszy ikonę Internet Explorer na pulpicie i wybierz polecenie Właściwości).
  2. Na stronie Zawartość kliknij przycisk Certyfikaty. Otwarta zostanie lista zainstalowanych certyfikatów.
  3. Kliknij przycisk Importuj, znajdujący się pod listą. Uruchomiony zostanie Kreator importu certyfikatów. (Uwaga: Kroki od 1 do 3 można także wykonać przez dwukrotne kliknięcie ikony certyfikatu).
  4. Wybierz plik i przejdź do strony Hasło.
  5. Na stronie Hasło podaj hasło dostępu dla pliku. Usuń zaznaczenie pola wyboru Włącz silną ochronę klucza prywatnego.
  6. Na stronie Magazyn certyfikatów zaznacz pole opcję Automatycznie wybierz magazyn certyfikatów na podstawie typu certyfikatu (certyfikat musi zostać umieszczony w magazynie osobistym kont użytkownika, aby był dostępny w oknie dialogowym Konfiguracja klienta, jest to możliwe wtedy, kiedy wybrany został tryb "automatyczny").
  7. Przejdź do strony Kończenie pracy Kreatora importu certyfikatów i kliknij przycisk Zakończ.

Aby skonfigurować profil przy użyciu potwierdzania autentyczności WPA z szyfrowaniem WEP lub TKIP i potwierdzaniem autentyczności TLS:

Krok 2: Określanie certyfikatu używanego przez program Intel(R) PROSet

Uwaga: Uzyskaj i zainstaluj certyfikat klienta (w tym celu można zapoznać się z sekcją Krok 1 lub skontaktować się z administratorem systemu).
  1. Na stronie Ogólne (General) kliknij kartę Sieci (Networks).
  2. Kliknij przycisk Dodaj (Add).
  3. Wprowadź nazwę profilu i nazwę sieciową (identyfikator SSID).
  4. Jako Tryb działania (Operating mode) wybierz Infrastruktura (Infrastructure).
  5. Kliknij przycisk Dalej (Next)
  6. Jako Potwierdzanie autentyczności w sieci (Network Authentication) wybierz WPA.
  7. Wybierz szyfrowanie danych WEP lub TKIP.
  8. Kliknij pole wyboru 802.1x włączone (802.1x Enabled).
  9. Ustaw typ potwierdzania autentyczności tego połączenia na TLS.
  10. Kliknij przycisk Konfiguruj (Configure), aby otworzyć okno dialogowe ustawień.
  11. Wprowadź nazwę użytkownika w polu Nazwa użytkownika (User Name).
  12. Wybierz z listy opcję Wystawca certyfikatu (Certificate Issuer). Jako domyślną opcję wybierz Dowolny zaufany urząd certyfikacji (Any Trusted CA).
  13. Wprowadź nazwę serwera/certyfikatu. Jeśli znana jest nazwa serwera/certyfikatu, wprowadź ją. Wybierz odpowiednią opcję, aby dopasować dokładnie nazwę serwera lub określić nazwę domeny.

  14. Certyfikat klienta (Client Certificate):Wybranie tej opcji powoduje, że certyfikat klienta zostaje wybrany z osobistego magazynu certyfikatów zalogowanego użytkownika systemu Windows. Ten certyfikat będzie używany do potwierdzania autentyczności klienta. Kliknij przycisk Wybierz (Select), aby otworzyć listę zainstalowanych certyfikatów.

Uwaga dotycząca certyfikatów: Określona tożsamość powinna odpowiadać tożsamości podanej w polu Wystawiony dla (Issued to) w certyfikacie i powinna zostać zarejestrowana na serwerze potwierdzania autentyczności (tj. na serwerze RADIUS) używanym przez potwierdzającego. Certyfikat musi być poprawny na serwerze potwierdzania autentyczności. To wymaganie jest zależne od danego serwera potwierdzania autentyczności i oznacza, że serwer musi uznawać wystawcę certyfikatu za urząd certyfikacji. Użytkownik powinien być zalogowany pod nazwą, która została użyta podczas instalowania certyfikatu.

  1. Wybierz certyfikat z listy i kliknij przycisk OK. Informacja o certyfikacie klienta zostanie wyświetlona w obszarze Certyfikat klienta (Client Certificate).
  2. Kliknij przycisk Zamknij (Close).
  3. Kliknij przycisk Dalej (Next)
  4. Kliknij przycisk Zakończ (Finish), aby zapisać ustawienia profilu.

Ustawienia klienta w przypadku potwierdzania autentyczności WEP lub MD5 

Aby dodać potwierdzanie autentyczności WEP i MD5 do nowego profilu:

Uwaga: Przed rozpoczęciem należy od administratora systemu uzyskać nazwę użytkownika i hasło serwera RADIUS.

  1. Na stronie Ogólne (General) kliknij kartę Sieci (Networks).
  2. W oknie Lista profili (Profile list) kliknij przycisk Dodaj (Add).
  3. Wprowadź nazwę profilu i nazwę sieciową (identyfikator SSID).
  4. Jako Tryb działania (Operating mode) wybierz Infrastruktura (Infrastructure).
  5. Kliknij przycisk Dalej (Next)
  6. Wybierz potwierdzanie autentyczności w sieci Otwarte (Open) (zalecane).
  7. Wybierz szyfrowanie danych WEP.
  8. Wybierz indeks klucza: 1, 2, 3 lub 4. (Wartość domyślna: 1).
  9. Wybierz poziom szyfrowania: 64-bitowe lub 128-bitowe.
  10. Wybierz opcję Użyj frazy hasła (Use pass phrase) lub Użyj klucza szesnastkowego (Use hex key) i w polu tekstowym wprowadź frazę hasła lub klucz.
  11. Kliknij pole wyboru 802.1x włączone (802.1x Enabled).
  12. Wybierz Typ potwierdzania autentyczności 802.1x (802.1x Authentication Type) MD5.
  13. Wybierz jedną z opcji:
Uwaga: Jeśli funkcja Użyj logowania systemu Windows (Use Windows Logon) jest wyszarzona (niedostępna), oznacza to, że jej nie zainstalowano. Instrukcje dotyczące instalacji funkcji Użyj logowania systemu Windows (Use Windows logon) można znaleźć w rozdziale Instalowanie i odinstalowywanie funkcji logowania pojedynczego.
  1. Kliknij przycisk Zamknij (Close), aby zapisać ustawienia. 
  2. Kliknij przycisk Dalej (Next)
  3. Profile wspólne (Common Profiles) i Łączenie trwałe (Persistent Connect): Aby w razie potrzeby włączyć profil wspólny, zaznacz pole wyboru Tym profilem mogą zarządzać wszyscy użytkownicy (wspólny) (This profile can be used by all users [Common]). Aby włączyć funkcję profili trwałych, zaznacz opcję Ten profil jest używany, kiedy żaden użytkownik nie jest zalogowany (trwały) (This profile will be used when no user is logged on [Persistent]). Te funkcje są instalowane w trakcie instalacji oprogramowania. Jeśli te funkcje są zaznaczone, należy również włączyć opcję Przełączanie na wspólne i trwałe zarządzanie profilami (Switch to common and persistent profile management) w oknie dialogowym Ustawienia zaawansowane (Advanced Settings).
  4. Kliknij przycisk Zakończ (Finish), aby zapisać ustawienia profilu.
  5. Zaznacz nowy profil umieszczony na dole listy profili. Za pomocą strzałki w górę lub w dół ustaw priorytet nowego profilu na liście priorytetów profili.
  6. Kliknij przycisk Połącz (Connect), aby połączyć się z wybraną siecią bezprzewodową.
  1. Kliknij przycisk OK, aby zamknąć program Intel(R) PROSet.

Konfigurowanie klienta potwierdzania autentyczności WPA-PSK z szyfrowaniem WEP lub TKIP

Tryb WPA-PSK stosuje się w przypadku braku serwera potwierdzania autentyczności. W tym trybie nie jest używany żaden protokół potwierdzania autentyczności 802.1x. Można go używać z szyfrowaniem danych WEP lub TKIP. Dla trybu WPA-PSK wymagane jest skonfigurowanie klucza wstępnego (PSK). Dla klucza wstępnego o długości 256 bitów należy wprowadzić frazę hasła lub 64 znaki w systemie szesnastkowym. Klucz szyfrowania danych jest pobierany z klucza PSK.

Aby skonfigurować nowy profil z szyfrowaniem WEP lub TKIP i potwierdzaniem autentyczności sieci WPA-PSK

  1. Na stronie Ogólne (General) kliknij kartę Sieci (Networks).
  2. Kliknij przycisk Dodaj (Add).
  3. Wprowadź nazwę profilu i nazwę sieciową (identyfikator SSID).
  4. Jako Tryb działania (Operating mode) wybierz Infrastruktura (Infrastructure).
  5. Kliknij przycisk Dalej (Next)
  6. Wybierz Potwierdzanie autentyczności w sieci (Network Authentication) WPA-PSK.
  7. Wybierz szyfrowanie danych WEP lub TKIP.
  8. Wybierz jedną z opcji:
  9. Kliknij przycisk Dalej (Next)
  10. Kliknij przycisk Zakończ (Finish), aby zapisać ustawienia profilu.
  11. Zaznacz nowy profil umieszczony na dole listy profili. Za pomocą strzałki w górę lub w dół ustaw priorytet nowego profilu na liście priorytetów profili.
  12. Kliknij przycisk Połącz (Connect), aby połączyć się z wybraną siecią bezprzewodową.
  13. Kliknij przycisk OK, aby zamknąć program Intel(R) PROSet.

Konfigurowanie klienta potwierdzania autentyczności WPA z szyfrowaniem WEP lub TKIP i potwierdzaniem autentyczności TLS

Trybu WPA można używać z protokołami TLS, TTLS i PEAP. Opcje szyfrowania danych używane w protokole potwierdzania autentyczności w standardzie 802.1x to: WEP lub TKIP. Tryb WPA wiąże się z potwierdzaniem autentyczności w standardzie 802.1x. Klucz szyfrowania danych jest uzyskiwany przez wymianę kluczy w standardzie 802.1x. Aby usprawnić szyfrowanie danych, w trybie WPA używany jest protokół TKIP (Temporal Key Integrity Protocol). W protokole TKIP zastosowano ważne ulepszenia, włącznie z metodą ponownego wprowadzania klucza.

  1. Uzyskaj i zainstaluj certyfikat klienta. W tym celu zapoznaj się z rozdziałem Konfigurowanie klienta do potwierdzania autentyczności TLS lub skontaktuj się z administratorem systemu.
  2. Na stronie Ogólne (General) kliknij kartę Sieci (Networks).
  3. Kliknij przycisk Dodaj (Add).
  4. Wprowadź nazwę profilu i nazwę sieciową (identyfikator SSID).
  5. Jako Tryb działania (Operating mode) wybierz Infrastruktura (Infrastructure).
  6. Kliknij przycisk Dalej (Next)
  7. Jako Potwierdzanie autentyczności w sieci (Network Authentication) wybierz WPA.
  8. Wybierz szyfrowanie danych WEP lub TKIP.
  9. Ustaw typ potwierdzania autentyczności tego połączenia na TLS.
  10. Kliknij przycisk Konfiguruj (Configure), aby otworzyć okno dialogowe ustawień.
  11. Wprowadź nazwę użytkownika w polu Nazwa użytkownika (User Name).

  12. Wybierz z listy opcję Wystawca certyfikatu (Certificate Issuer). Jako domyślną opcję wybierz Dowolny zaufany urząd certyfikacji (Any Trusted CA).

  13. Kliknij pole wyboru Zezwalaj na certyfikaty pośrednie (Allow intermediate certificates), aby dopuścić możliwość używania nieokreślonych certyfikatów w łańcuchu certyfikatów serwera między certyfikatem serwera a określonym urzędem certyfikacji. Jeśli to pole wyboru nie jest zaznaczone, oznacza to, że wskazany urząd certyfikacji musiał wydać certyfikat serwera bezpośrednio.

  14. Podaj nazwę serwera. Jeśli znana jest nazwa serwera, wprowadź ją. Wybierz odpowiednią opcję, aby dopasować dokładnie nazwę serwera lub określić nazwę domeny.

  15. Kliknij przycisk Wybierz (Select) dla opcji Certyfikat klienta (Client Certificate).

Uwaga dotycząca certyfikatów: Określona tożsamość powinna odpowiadać tożsamości podanej w polu Wystawiony dla (Issued to) w certyfikacie i powinna zostać zarejestrowana na serwerze potwierdzania autentyczności (tj. na serwerze RADIUS) używanym przez potwierdzającego. Certyfikat musi być poprawny na serwerze potwierdzania autentyczności. To wymaganie jest zależne od danego serwera potwierdzania autentyczności i oznacza, że serwer musi uznawać wystawcę certyfikatu za urząd certyfikacji. Użytkownik powinien być zalogowany pod nazwą, która została użyta podczas instalowania certyfikatu.

  1. Wybierz certyfikat z listy i kliknij przycisk OK. Informacja o certyfikacie klienta zostanie wyświetlona w obszarze Certyfikat klienta (Client Certificate).
  2. Kliknij przycisk Zamknij (Close).
  3. Kliknij przycisk Dalej (Next)
  4. Kliknij przycisk Zakończ (Finish), aby zapisać ustawienia profilu.
  5. Zaznacz nowy profil umieszczony na dole listy profili. Za pomocą strzałki w górę lub w dół ustaw priorytet nowego profilu na liście priorytetów profili.
  6. Kliknij przycisk Połącz (Connect), aby połączyć się z wybraną siecią bezprzewodową.
  7. Kliknij przycisk OK, aby zamknąć program Intel(R) PROSet.

Konfigurowanie klienta potwierdzania autentyczności WPA z szyfrowaniem WEP lub TKIP i potwierdzania autentyczności TTLS lub PEAP

Potwierdzanie autentyczności TTLS (TTLS authentication):Te ustawienia określają protokół i poświadczenia używane do potwierdzania autentyczności użytkownika. W przypadku usługi TTLS klient korzysta z usługi EAP-TLS w celu sprawdzenia serwera i utworzenia między klientem a serwerem kanału zaszyfrowanego metodą TLS. Aby możliwe było sprawdzanie serwera, klient może w odniesieniu do tego kanału korzystać z innych protokołów potwierdzania autentyczności (zwykle protokołów obsługujących hasła, np. MD5 Challenge). Pakiety żądania i odpowiedzi wysyłane są przez ukryty kanał zaszyfrowany metodą TLS.

Potwierdzanie autentyczności PEAP (PEAP authentication): Ustawienia protokołu PEAP są wymagane do potwierdzania autentyczności klienta przez serwer. W przypadku PEAP klient korzysta z usługi EAP-TLS w celu sprawdzenia serwera i utworzenia między klientem i serwerem kanału zaszyfrowanego metodą TLS. Aby możliwe było sprawdzanie serwera, klient może w odniesieniu do tego kanału korzystać z innych mechanizmów EAP (np. Microsoft Challenge Authentication Protocol, MSCHAP, w wersji 2). Pakiety żądania i odpowiedzi wysyłane są przez ukryty kanał zaszyfrowany metodą TLS.

W poniższym przykładzie opisano korzystanie z dostępu zabezpieczonego WPA z szyfrowaniem WEP lub TKIP przy użyciu potwierdzania autentyczności TTLS lub PEAP.

  1. Uzyskaj i zainstaluj certyfikat klienta. W tym celu zapoznaj się z rozdziałem Konfigurowanie klienta do potwierdzania autentyczności TLS lub skontaktuj się z administratorem systemu.
  2. Na stronie Ogólne (General) kliknij kartę Sieci (Networks).
  3. Kliknij przycisk Dodaj (Add).
  4. Wprowadź nazwę profilu i nazwę sieciową (identyfikator SSID).
  5. Jako Tryb działania (Operating mode) wybierz Infrastruktura (Infrastructure).
  6. Kliknij przycisk Dalej (Next)
  7. Jako Potwierdzanie autentyczności w sieci (Network Authentication) wybierz WPA.
  8. Wybierz Szyfrowanie danych (Data Encryption): WPA lub TKIP.
  9. Zaznacz pole wyboru 802.1x włączone (802.1x Enabled).
  10. Ustaw typ potwierdzania autentyczności dla tego połączenia na TTLS lub PEAP.
  11. Kliknij przycisk Konfiguruj (Configure), aby otworzyć okno dialogowe ustawień.
  12. Użyj nazwy użytkownika z poświadczeń jako tożsamości EAP (Use credentials username as EAP identity):Jeśli zaznaczenie tego pola wyboru zostało usunięte, jako protokół potwierdzania autentyczności wysyłany będzie predefiniowany łańcuch “anonimowy”.W przypadku tej funkcji używana jest mniej bezpieczna metoda potwierdzania autentyczności, w której jest wysyłana niezaszyfrowana nazwa użytkownika. Metoda ta jest odpowiednia dla wszystkich serwerów potwierdzania autentyczności, a zwłaszcza dla serwera Microsoft IAS RADIUS, akceptującego tylko poprawne nazwy użytkownika.
  13. Wybierz z listy Wystawcę certyfikatu (Certificate Issuer). Jako domyślną opcję wybierz Dowolny zaufany urząd certyfikacji (Any Trusted CA). Kliknij pole wyboru Zezwalaj na certyfikaty pośrednie (Allow intermediate certificates), aby dopuścić możliwość używania nieokreślonych certyfikatów w łańcuchu certyfikatów serwera między certyfikatem serwera a określonym urzędem certyfikacji. Jeśli to pole wyboru nie jest zaznaczone, oznacza to, że wskazany urząd certyfikacji musiał wydać certyfikat serwera bezpośrednio.
  14. Podaj nazwę serwera.

  1. Protokół potwierdzania &autentyczności:
  2. Wybierz jedną z opcji:
Uwaga: Jeśli funkcja Użyj logowania systemu Windows (Use Windows Logon) jest wyszarzona (niedostępna), oznacza to, że jej nie zainstalowano. Instrukcje dotyczące instalacji funkcji Użyj logowania systemu Windows (Use Windows logon) można znaleźć w rozdziale Instalowanie i odinstalowywanie funkcji logowania pojedynczego.
  1. Użyj certyfikatu klienta (Use Client Certificate): Przy użyciu tej opcji certyfikat klienta zostaje wybrany z osobistego magazynu certyfikatów aktualnie zalogowanego użytkownika systemu Windows. Ten certyfikat będzie używany do potwierdzania autentyczności klienta. Kliknij przycisk Wybierz (Select), aby otworzyć listę zainstalowanych certyfikatów.

Uwaga dotycząca certyfikatów: Określona tożsamość powinna odpowiadać tożsamości podanej w polu Wystawiony dla (Issued to) w certyfikacie i powinna zostać zarejestrowana na serwerze potwierdzania autentyczności (tj. na serwerze RADIUS) używanym przez potwierdzającego. Certyfikat musi być poprawny na serwerze potwierdzania autentyczności. To wymaganie jest zależne od danego serwera potwierdzania autentyczności i oznacza, że serwer musi uznawać wystawcę certyfikatu za urząd certyfikacji. Użytkownik powinien być zalogowany pod nazwą, która została użyta podczas instalowania certyfikatu.

  1. Wybierz certyfikat z listy i kliknij przycisk OK. Informacja o certyfikacie klienta zostanie wyświetlona w obszarze Certyfikat klienta (Client Certificate).
  2. Kliknij przycisk Zamknij (Close).
  3. Kliknij przycisk Dalej (Next).
  4. Zaznacz nowy profil umieszczony na dole listy profili. Za pomocą strzałki w górę lub w dół ustaw priorytet nowego profilu na liście priorytetów profili.
  5. Kliknij przycisk Połącz (Connect), aby połączyć się z wybraną siecią bezprzewodową.
  1. Kliknij przycisk OK, aby zamknąć program Intel(R) PROSet.

Konfigurowanie klienta do rozszerzenia CCX z szyfrowaniem CKIP i potwierdzaniem autentyczności LEAP

Konfigurowanie potwierdzania autentyczności LEAP w programie Intel(R) PROSet
Uwaga: Profil LEAP można konfigurować tylko w programie Intel(R) PROSet.  

Aby możliwe było połączenie z określoną siecią ESS lub siecią bezprzewodową LAN, skonfigurowany musi zostać profil Intel(R) PROSet CCX (v1.0). Ustawienia profili uwzględniają szyfrowanie LEAP, CKIP i wykrywanie nielegalnego punktu.

Aby skonfigurować profil ustawień zabezpieczeń CCX:

  1. Na stronie Ogólne (General) kliknij kartę Sieci (Networks).
  2. Kliknij przycisk Dodaj (Add).
  3. Wprowadź nazwę profilu i nazwę sieciową (identyfikator SSID).
  4. Jako Tryb działania (Operating mode) wybierz Infrastruktura (Infrastructure).
  5. Kliknij pole Włącz rozszerzenia Cisco (Enable Cisco Compatible eXtentions), aby włączyć zabezpieczenia CCX. Jeśli w ustawieniach zaawansowanych zaznaczono pole Mieszana sieć komórkowa (Mixed-Cell), tę opcję również należy włączyć. Uwaga: Potwierdzanie autentyczności w sieci (Network authentication) i Szyfrowanie danych (Data Encryption) uwzględniają teraz następujące opcje zabezpieczeń CCX: Otwarte , Współużytkowane dla potwierdzania autentyczności 802.11 i brak, WEP, CKIP dla szyfrowania danych.
  6. Kliknij przycisk Dalej (Next)
  7. Jako Potwierdzanie autentyczności w sieci (Network Authentication) wybierz Otwarte (Open).
  8. Jako Szyfrowanie danych (Data encryption) wybierz CKIP.
  9. Kliknij pole wyboru Włącz 802.1x (802.1x Enabled), aby włączyć opcję zabezpieczeń standardu 802.1x.
  10. Wybierz Typ potwierdzania autentyczności 802.1x (802.1x Authentication Type) LEAP.
  11. Kliknij przycisk Konfiguruj (Configure), aby otworzyć okno dialogowe Ustawienia LEAP (LEAP Settings).
  12. Wybierz jedną z opcji:
Uwaga: Jeśli funkcja Użyj logowania systemu Windows (Use Windows Logon) jest wyszarzona (niedostępna), oznacza to, że jej nie zainstalowano. Instrukcje dotyczące instalacji funkcji Użyj logowania systemu Windows (Use Windows logon) można znaleźć w rozdziale Instalowanie i odinstalowywanie funkcji logowania pojedynczego.
  1. Kliknij przycisk Zamknij (Close), aby zapisać ustawienia i zamknąć okno dialogowe Ustawienia LEAP (LEAP Settings).
  2. Kliknij przycisk Dalej (Next). Wyświetlona zostanie strona Zaawansowane (Advanced).
  3. Profile wspólne (Common Profiles) i Łączenie trwałe (Persistent Connect): Aby w razie potrzeby włączyć profil wspólny, zaznacz pole wyboru Tym profilem mogą zarządzać wszyscy użytkownicy (wspólny) (This profile can be used by all users [Common]). Aby włączyć funkcję profili trwałych, zaznacz opcję Ten profil jest używany, kiedy żaden użytkownik nie jest zalogowany (trwały) (This profile will be used when no user is logged on [Persistent]). Te funkcje są instalowane w trakcie instalacji oprogramowania. Jeśli te funkcje są zaznaczone, należy również włączyć opcję Przełączanie na wspólne i trwałe zarządzanie profilami (Switch to common and persistent profile management) w oknie dialogowym Ustawienia zaawansowane (Advanced Settings).
  4. Jeśli na stronie Ustawienia ogólne (General Settings) zaznaczono pole wyboru Włącz rozszerzenia Cisco (Enable Cisco Compatible Extensions) w celu włączenia zabezpieczeń CCX, upewnij się, że zaznaczone zostało pole wyboru Włącz mieszaną sieć komórkową Cisco (Enable Cisco Mixed Cell).
  5. Kliknij przycisk Zakończ (Finish), aby zapisać ustawienia profilu.
  6. Zaznacz nowy profil umieszczony na dole listy profili. Za pomocą strzałki w górę lub w dół ustaw priorytet nowego profilu na liście priorytetów profili.
  7. Kliknij przycisk Połącz (Connect), aby połączyć się z wybraną siecią bezprzewodową.
  8. Wprowadź poświadczenia LEAP. Zaznacz pole wyboru Zapisz poświadczenia użytkownika (Save User Credentials), aby poświadczenia zostały zapisane i były używane w przyszłości z tym profilem 802.1x.
  9. Kliknij przycisk OK, aby zamknąć program Intel(R) PROSet.

Punkt dostępu CCX i konfiguracje klientów

Istnieją ustawienia dla punktu dostępu, umożliwiające wybór różnych typów potwierdzania autentyczności, w zależności od środowiska sieci WLAN. Podczas uzgadniania potwierdzania autentyczności 802.11 między klientem i punktem dostępu w celu nawiązania połączenia klient wysyła pole algorytmu potwierdzania autentyczności. Wartości algorytmu potwierdzania autentyczności, rozpoznawane przez punkt dostępu z włączoną obsługą CCX, różnią się, w zależności od typu potwierdzania autentyczności. Na przykład wartość opcji Sieć — EAP (Network-EAP), oznaczającej potwierdzanie autentyczności LEAP, wynosi 0x80, podczas gdy wartości opcji Otwarte (Open) dla określonego potwierdzania autentyczności 802.11 i Wymagane EAP (Required EAP), dla którego wymagane jest uzgadnianie EAP, wynoszą 0x0.

Tylko Sieć — EAP (Network-EAP)

Punkt dostępu: W przypadku sieci z włączoną obsługą CCX i korzystających tylko z potwierdzania autentyczności LEAP typ potwierdzania autentyczności ustawia się, zaznaczając pole wyboru Sieć — EAP (Network-EAP) i usuwając zaznaczenie pól Otwarte (Open) oraz Wymagane EAP (Required EAP). Punkt dostępu zostaje wtedy skonfigurowany do umożliwiania klientom LEAP TYLKO potwierdzania autentyczności i łączenia. W takim przypadku punkt dostępu oczekuje wartości algorytmu potwierdzania autentyczności 802.11 wynoszącej 0x80 (LEAP) i odrzuca klientów, którzy próbują potwierdzić autentyczność przy użyciu wartości algorytmu 0x0.

Klient: W tym przypadku klient musi wysłać wartość algorytmu potwierdzania autentyczności 0x80 lub uzgadnianie potwierdzania autentyczności 802.11 zakończy się niepowodzeniem. Podczas rozruchu, gdy sterownik sieci bezprzewodowej LAN został już załadowany, a program Intel(R) PROSet jeszcze nie, klient wysyła wartość algorytmu potwierdzania autentyczności 802.11 wynoszącą 0x0. Po załadowaniu programu Intel(R) PROSet i profilu LEAP wysyłana jest wartość algorytmu potwierdzania autentyczności 802.11 wynosząca 0x80.

Sieć — EAP (Network-EAP), Otwarte (Open) i Wymagane EAP (Required EAP)

Punkt dostępu: Jeśli pola Sieć — EAP (Network-EAP), Otwarte (Open) i Wymagane EAP (Required EAP) zostały zaznaczone, punkt dostępu będzie akceptował zarówno wartości algorytmu potwierdzania autentyczności 802.11 wynoszące 0x0, jak i wynoszące 0x80. Jednak po skojarzeniu i potwierdzeniu autentyczności klienta punkt dostępu oczekuje uzgodnienia EAP. Jeśli uzgodnienie EAP nie nastąpi w krótkim odstępie czasu, punkt dostępu nie będzie odpowiadał klientowi przez ok. 60 sekund.

Klient: W tym przypadku klient może wysyłać wartości algorytmu potwierdzania autentyczności wynoszące 0x80 lub 0x0. Obie wartości są akceptowane i uzgadnianie potwierdzania autentyczności 802.11 zakończy się powodzeniem. Podczas rozruchu, gdy sterownik sieci bezprzewodowej LAN został już załadowany, klient wysyła wartość algorytmu potwierdzania autentyczności 802.11 wynoszącą 0x0. Jest to wystarczające do potwierdzenia autentyczności, jednak aby nawiązane zostało połączenie, do punktu dostępu muszą zostać wysłane odpowiednie poświadczenia EAP lub LEAP.

Tylko Otwarte (Open) i Wymagane EAP (Required EAP)

Punkt dostępu: W przypadku, gdy punkt dostępu został skonfigurowany przez usunięcie zaznaczenia pola wyboru Sieć — EAP (Network-EAP) i zaznaczenie pól Otwarte (Open) i Wymagane EAP (Required EAP), wszyscy klienci wysyłający wartość algorytmu potwierdzania autentyczności 802.11 wynoszącą 0x80 będą odrzucani. Punkt dostępu będzie akceptował wszystkich klientów wysyłających wartość algorytmu potwierdzania autentyczności wynoszącą 0x0 i będzie oczekiwał na szybkie rozpoczęcie uzgadniania EAP. W takim przypadku używana jest metoda MD5, TLS, LEAP lub inna metoda EAP, odpowiednia dla danej konfiguracji sieci.

Klient: W tym przypadku klient powinien wysyłać wartość algorytmu potwierdzania autentyczności wynoszącą 0x0. W procesie uwzględniane jest powtórzenie uzgadniania potwierdzania autentyczności 802.11. Najpierw sterownik sieci bezprzewodowej LAN inicjuje potwierdzanie autentyczności z wartością 0x0, a następnie proces ten jest powtarzany przez komputer, którego autentyczność jest potwierdzana. Klient wysyła potwierdzanie autentyczności 802.11 z wartością algorytmu 0x0 nawet po załadowaniu i zastosowaniu profilu LEAP przez komputer, którego autentyczność jest potwierdzana.

Nielegalny punkt dostępu

Profil LEAP zapewnia używanie przez klienta funkcji Nielegalny punkt dostępu (Rogue AP) (zgodnie z wymaganiami rozszerzenia CCX). Klient notuje punkty dostępu, z którymi nie nastąpiło potwierdzanie autentyczności i wysyła te informacje do punktu dostępu, który umożliwia potwierdzanie autentyczności i połączenie z klientem. Strona, której autentyczność jest potwierdzana ustawia typ algorytmu potwierdzania autentyczności na 0x80. W niektórych konfiguracjach sieci może być używana kombinacja tylko Otwarte (Open) i Wymagane EAP (Required EAP), opisana powyżej. Aby taka konfiguracja działała, klient musi wysyłać wartość algorytmu potwierdzania autentyczności wynoszącą 0x0 (w przeciwieństwie do wartości 0x80 dla opcji tylko Sieć — EAP (Network-EAP)). Profil LEAP umożliwia więc klientowi zarówno obsługę trybu tylko Sieć — EAP (Network-EAP), jak i tylko Otwarte (Open) i Wymagane EAP (Required EAP).

Uwaga:Więcej szczegółowych informacji na temat rozszerzenia klienta Cisco w wersji 2,0 można znaleźć w odpowiednim dokumencie pod adresem www.cisco.com.


Powrót do Spisu treści