Terug naar inhoudsopgave

Beveiliging instellen voor verbindingen: Gebruikershandleiding Intel(R) PRO/Wireless LAN Mini PCI-adapter


Beveiliging en codering

Gegevenscodering en verificatie instellen
Codering - Overzicht
WEP-codering inschakelen
Taken voor systeembeheerders
De client instellen voor WEP- en MD5-verificatie
De client instellen voor WPA-PSK met WEP- of TKIP-verificatie
De client instellen voor WPA met TKIP-codering en TLS-verificatie
De client instellen voor WPA met TKIP-codering en TTLS- of PEAP-verificatie
De client instellen voor CCX met CKIP-codering en LEAP-verificatie


Gegevenscodering en verificatie instellen

WEP-codering (Wired Equivalent Privacy) en gedeelde verificatie helpen bij de beveiliging van netwerkgegevens. WEP gebruikt een coderingssleutel om gegevens te coderen voor transmissie. Alleen computers met dezelfde coderingssleutel kunnen toegang tot het netwerk krijgen of gecodeerde gegevens van andere computers decoderen. Verificatie voorziet in een aanvullend validatieproces tussen de adapter en het toegangspunt. Het WEP-coderingsalgoritme is kwetsbaar voor passieve en actieve aanvallen op het netwerk. TKIP- en CKIP-algoritmen bevatten uitbreidingen op het WEP-protocol die aanvallen vanaf het netwerk onschadelijk maken en beperkingen oplossen.

Open en gedeelde sleutelverificatie 

802.11 ondersteunt twee soorten verificatiemethoden voor netwerken: Open en Gedeeld, waarvoor 63-bits en 128-bits WEP-codering wordt gebruikt. Bij de open verificatie wordt geen codering toegepast voor het tot stand brengen van een verbinding met een specifiek toegangspunt. De ondersteunde verificatieschema's zijn open verificatie en verificatie middels een gedeelde sleutel:

Netwerksleutels

Wanneer gegevenscodering (WEP, CKIP of TKIP) is ingeschakeld, wordt voor de codering gebruik gemaakt van een netwerksleutel. Deze netwerksleutel kan automatisch worden toegekend (deze kan bijvoorbeeld worden geleverd door de draadloze netwerkadapter) of u kunt deze zelf invoeren en de lengte (64-bits of 128-bits), indeling (ASCII-tekens of hexadecimale cijfers) en index (de locatie waar een specifieke sleutel is opgeslagen) voor de sleutel opgeven. Hoe langer de sleutel, des te veiliger deze is. Elke keer dat u de lengte van een sleutel met een bit uitbreidt, verdubbelt het aantal mogelijke sleutels.

Onder 802.11 kan een draadloos station met maximaal vier sleutels (de waarden voor de sleutelindex zijn 1, 2, 3 en 4) worden geconfigureerd. Wanneer een toegangspunt of een draadloos station een gecodeerd bericht verzendt met een sleutel die in een specifieke sleutelindex is opgeslagen, geeft het verzonden bericht de sleutelindex aan waarmee de berichtinhoud is gecodeerd. Het ontvangende toegangspunt of draadloze station kan vervolgens de sleutel ophalen uit de sleutelindex waarin deze is opgeslagen en de sleutel dan gebruiken om de gecodeerde berichtinhoud te decoderen.

Statische en dynamische sleuteltypen

Met 802.1x worden twee typen coderingssleutels gebruikt, statische en dynamische. Statische coderingssleutels worden handmatig gewijzigd en zijn meer kwetsbaar. MD5-verificatie werkt alleen met statische coderingssleutels. Dynamische coderingssleutels worden op regelmatige basis automatisch vernieuwd. Hierdoor zijn deze coderingssleutels veel veiliger. Als u dynamische coderingssleutels wilt inschakelen, dient u de 802.1x-verificatiemethoden TLS, TTLS, PEAP of LEAP te gebruiken.

Belangrijke punten voor 802.1x-verificatie

802.1x-verificatiemethoden maken gebruik van wachtwoorden, certificaten en smartcards (plastic kaarten waarop u gegevens kunt opslaan) Voorziening voor de synchronisatie van 802.1x-wachtwoorden: Het selectievakje "Aanmeldingsgegevens voor Windows gebruiken" in de dialoogvensters voor referenties voor MD5, TLS, TTLS en LEAP maakt het mogelijk om de 802.1x-referenties te laten overeenkomen met de gebruikersnaam en het wachtwoord waarmee u zich aanmeldt bij Windows. 802.1x-verificatie werkt alleen in de infrastructuurmodus.


Codering - Overzicht

U kunt de beveiliging van het WLAN verbeteren door gegevenscodering met behulp van WEP (Wireless Encryption Protocol) in te schakelen. U kunt kiezen uit 64-bits of 128-bits codering. De gegevens kunnen ook worden gecodeerd met een sleutel. Met de parameter voor een sleutelindex beschikt u over een optie om meerdere sleutels voor een profiel te maken. Er kan echter maar één sleutel tegelijk worden gebruikt. Om de privacy te garanderen kunt u een profiel ook nog beveiligen met een wachtwoord.

Met een wachtwoordgroep worden WEP-sleutels automatisch gegenereerd. U kunt een wachtwoordgroep gebruiken of een WEP-sleutel handmatig invoeren. Wanneer u 64-bits codering gebruikt, is de wachtwoordgroep 5 tekens lang. U kunt hiervoor elke willekeurige en makkelijk te onthouden frase kiezen (zoals Acme1). U kunt ook de 10 hexadecimale tekens invoeren voor de WEP-sleutel van het netwerk waarmee de gebruiker verbinding wil maken. Bij 128-bits codering is de wachtwoordgroep 13 tekens lang. U kunt ook de 26 hexadecimale tekens invoeren voor de WEP-sleutel die nodig is om verbinding te maken met het netwerk.

Opmerking: Alle apparaten binnen het draadloze netwerk moeten hetzelfde type codering, hetzelfde sleutelnummer en dezelfde WEP-sleutel gebruiken.


WEP-codering inschakelen

In het volgende voorbeeld wordt duidelijk hoe u een bestaand profiel bewerkt en WEP-codering toepast.

Opmerking: Voordat u begint, neemt u contact op met de systeembeheerder om te vragen naar de wachtwoordgroep of de hexadecimale sleutel voor WEP.
 

Ga als volgt te werk om WEP-codering in te schakelen:

  1. Klik in de pagina Algemeen op de tab Netwerken.
  2. Selecteer het profiel in de profiellijst en klik vervolgens op de knop Bewerken.
  3. Klik op het tabblad Beveiliging.
  4. Selecteer de gewenste netwerkverificatiemodus (Open wordt aanbevolen).
  5. Selecteer WEP voor de gegevenscodering.
  6. Selecteer Handmatige sleutel instellen.
  7. Selecteer indexnummer 1, 2, 3 of 4 (standaardinstelling is 1).
  8. Selecteer 64-bits of 128-bits voor het coderingsniveau.
  9. Selecteer een van de volgende opties:
  1. Klik op OK om de profielinstellingen op te slaan.

Taken voor systeembeheerders

Opmerking: De volgende informatie is bedoeld voor systeembeheerders. Zie Beheerdersrechten en gebruikers met beperkte rechten voor meer informatie.

Een clientcertificaat verkrijgen

Als u geen certificaten heeft voor EAP-TLS of EAP-TTLS, dient u een clientcertificaat te verkrijgen zodat verificatie mogelijk wordt. Gewoonlijk kan uw netwerkbeheerder u meer vertellen over het verkrijgen van een certificaat op uw netwerk. U kunt certificaten beheren via het onderdeel Internet-opties, waartoe u toegang krijgt via Internet Explorer of het Configuratiescherm van Windows. In het dialoogvenster "Internet-opties" gebruikt u het tabblad "Inhoud".

Windows XP en 2000: Wanneer u een clientcertificaat aanvraagt, dient u ervoor te zorgen dat het selectievakje Hoog beveiligingsniveau met een persoonlijke sleutel instellen is uitgeschakeld. Als het selectievakje is ingeschakeld voor een certificaat, dient u elke keer dat het certificaat wordt gebruikt, een wachtwoord op te geven. U dient het selectievakje bovendien uit te schakelen voor het certificaat als u de service configureert voor TLS/TTLS-verificatie. Als u dit niet doet, mislukt de verificatie met de 802.1x-service omdat geen gebruiker is aangemeld waarvoor het promptvenster kan worden weergegeven.

Opmerkingen over smartcards

Wanneer u een smartcard heeft geïnstalleerd, wordt het certificaat automatisch op de computer geïnstalleerd en kunt u dit selecteren in het archief voor persoonlijke certificaten of het archief voor basiscertificaten.

De client instellen voor TLS-verificatie

Stap 1: Een certificaat aanvragen

Als u TLS-verificatie wilt toestaan, is een geldig clientcertificaat vereist in de lokale opslag voor de aangemelde gebruikersaccount.  Bovendien is een certificaat van een vertrouwde certificeringsinstantie vereist in het basisarchief.

U kunt een certificaat op twee manieren verkrijgen:

Een certificaat verkrijgen van een Windows 2000-certificeringsinstantie:

  1. Start Internet Explorer en blader naar de HTTP-service van de certificeringsinstantie. Gebruik een URL als http://uwdomeinserver.uwdomein/certsrv, waarbij certsrv de opdracht is die u bij de certificeringsinstantie brengt. U kunt ook het IP-adres van de server, bijvoorbeeld "192.0.2.12/certsrv", gebruiken.
  2. Meld u aan bij de certificeringsinstantie met de gebruikersnaam en het wachtwoord van uw gebruikersaccount die u eerder op de verificatieserver heeft gemaakt. De gebruikersnaam en het wachtwoord hoeven niet identiek te zijn aan de gebruikersnaam en het wachtwoord waarmee u zich bij Windows heeft aangemeld.
  3. Op de welkomstpagina van de certificeringsinstantie selecteert u de taak Een certificaat aanvragen en dient u het formulier in.
  4. Op de pagina Type aanvraag kiezen selecteert u Geavanceerd en vervolgens klikt u op Volgende.
  5. Op de pagina Geavanceerde certificaataanvragen selecteert u Een certificaataanvraag maken en bij deze certificeringsinstantie indienen. Vervolgens klikt u op Indienen.
  6. Op de pagina Geavanceerde certificaataanvraag kiest u de sjabloon Gebruikerscertificaat. Selecteer "Sleutels als certificaat markeren" en klik op Volgende. Maak gebruik van de weergegeven standaardwaarden.
  7. Op de pagina Certificaat is verleend selecteert u Dit certificaat installeren.

Opmerking: Als dit het eerste certificaat is dat u heeft verkregen, wordt u gevraagd of dit certificaat van een vertrouwde certificeringsinstantie moet worden opgeslagen in het basisarchief. Het dialoogvenster geeft niet aan dat het een vertrouwd certificaat is, maar de naam van het certificaat is die van de host van de certificeringsinstantie. Klik op Ja. U heeft dit certificaat nodig voor zowel TLS als TTLS.

  1. Als het certificaat is geïnstalleerd, verschijnt het bericht Het nieuwe certificaat is geïnstalleerd.
  2. Als u de installatie wilt verifiëren, klikt u achtereenvolgens op Internet Explorer > Extra > Internet-opties > Inhoud > Certificaten. Het nieuwe certificaat moet in de persoonlijke map zijn geïnstalleerd.

Een certificaat uit een bestand importeren

  1. Open Eigenschappen voor Internet (klik met de rechtermuisknop op het bureaubladpictogram Internet Explorer en kies Eigenschappen).
  2. Klik op het tabblad Inhoud op de knop Certificaten. De lijst met geïnstalleerde certificaten wordt geopend.
  3. Klik onder de lijst met certificaten op de knop Importeren. De wizard Certificaat importeren wordt geopend. (Opmerking: U kunt stappen 1 tot en met 3 ook uitvoeren door te dubbelklikken op het pictogram van het certificaat.)
  4. Selecteer het gewenste bestand en ga naar de pagina Wachtwoord.
  5. Op deze pagina geeft u het wachtwoord op voor toegang tot het bestand. Schakel het selectievakje Hoog beveiligingsniveau met een persoonlijke sleutel instellen uit.
  6. Op de pagina Certificaatarchief selecteert u de optie "Automatisch het certificaatarchief selecteren op basis van het type certificaat" (het certificaat moet namelijk in het Persoonlijk archief van de gebruikersaccount zijn opgeslagen zodat dit toegankelijk is in het configuratievenster voor de client, wat gebeurt als u Automatisch selecteert).
  7. Klik op Volgende en klik op de pagina "Bezig met het voltooien van de wizard Certificaat importeren" op de knop Voltooien.

Ga als volgt te werk om een WPA-profiel met WEP- of TKIP-codering en TLS-verificatie te configureren:

Stap 2: Het certificaat voor Intel(R) PROSet bepalen

Opmerking: Vraag een clientcertificaat aan en installeer dit. Zie Stap 1 of neem contact op de systeembeheerder.
  1. Klik in de pagina Algemeen op de tab Netwerken.
  2. Klik op de knop Toevoegen.
  3. Geef de profielnaam en netwerknaam (SSID) op.
  4. Selecteer Infrastructuur voor de modus.
  5. Klik op Volgende.
  6. Selecteer WPA voor de netwerkverificatie.
  7. Selecteer WEP of TKIP voor de gegevenscodering.
  8. Klik op het selectievakje 802.1x ingeschakeld.
  9. Stel het verificatietype voor deze verbinding in op TLS.
  10. Klik op de knop Configureren om het dialoogvenster met instellingen te openen.
  11. Typ de gebruikersnaam in het veld Gebruikersnaam.
  12. Selecteer de gewenste Certificaatverlener in de lijst. Selecteer standaard Elke vertrouwde certificeringsinstantie.
  13. Geef de naam van server/certificaat op. Als u de naam van de server of het certificaat kent, geeft u de naam op. Geef op of de servernaam exact moet zijn of deel uitmaakt van het opgegeven domein.

  14. Clientcertificaat: Met deze optie selecteert u een clientcertificaat uit het persoonlijke certificaatarchief van de bij Windows aangemelde gebruiker. Dit certificaat wordt gebruikt voor clientverificatie. Klik op de knop Selecteren om de lijst met geïnstalleerde certificaten te openen.

Opmerking over certificaten: De opgegeven identiteit dient overeen te komen met het certificaatveld "Verleend aan" en moet zijn geregistreerd op de verificatieserver (RADIUS-server) die door de verificator wordt gebruikt. Het certificaat moet "geldig" zijn voor de verificatieserver. Dit vereiste is afhankelijk van de verificatieserver en houdt in dat de verificatieserver de uitgever van het certificaat als een certificeringsinstantie moet herkennen. U dient zich aan te melden met de gebruikersnaam waarmee u het certificaat heeft geïnstalleerd.

  1. Selecteer het certificaat uit de lijst en klik op OK. De certificaatgegevens verschijnen onder "Clientcertificaat".
  2. Klik op Sluiten.
  3. Klik op Volgende.
  4. Klik op de knop Voltooien om de profielinstellingen op te slaan.

De client instellen voor WEP en MD5-verificatie 

Ga als volgt te werk om WEP- en MD5-verificatie aan een nieuw profiel toe te voegen:

Opmerking: Voordat u begint, neemt u contact op met de systeembeheerder om te vragen naar de gebruikersnaam en het wachtwoord voor de RADIUS-server.

  1. Klik in de pagina Algemeen op de tab Netwerken.
  2. Klik op de knop Toevoegen.
  3. Geef de profielnaam en netwerknaam (SSID) op.
  4. Selecteer Infrastructuur voor de modus.
  5. Klik op Volgende.
  6. Selecteer Open (aanbevolen) voor de netwerkverificatie.
  7. Selecteer WEP voor de gegevenscodering.
  8. Selecteer de sleutelindex 1, 2, 3 of 4. (Standaardsleutel is 1.)
  9. Selecteer 64-bits of 128-bits voor het coderingsniveau.
  10. Selecteer Wachtwoordgroep gebruiken of Hexadecimale sleutel gebruiken en geef de wachtwoordgroep of sleutel op in het tekstvak.
  11. Klik op het selectievakje 802.1x ingeschakeld.
  12. Selecteer MD5 als het 802.1x-verificatietype.
  13. Selecteer een van de volgende opties:
Opmerking: Als de optie 'Aanmeldingsgegevens voor Windows gebruiken' niet beschikbaar is, is de voorziening Eenmalige aanmelding niet geïnstalleerd. Zie Voorziening voor eenmalige aanmelding installeren en verwijderen voor meer informatie over de optie 'Aanmeldingsgegevens voor Windows gebruiken'.
  1. Klik op Sluiten om de instellingen op te slaan.
  2. Klik op Volgende.
  3. Gemeenschappelijke profielen en Continue verbinding: Als u van een profiel een gemeenschappelijk profiel wilt maken, selecteert u Dit profiel kan worden gebruikt door alle gebruikers (gemeenschappelijk). Als u een profiel wilt gebruiken voor een continue verbinding, selecteert u Dit profiel wordt gebruikt wanneer er geen gebruiker is aangemeld (continu). Deze voorzieningen worden geïnstalleerd bij het installeren van de software. Als deze voorzieningen worden geselecteerd, moet u ook de optie Overschakelen naar beheer gemeenschappelijke profielen en profielen voor continue verbindingen selecteren in Geavanceerde instellingen.
  4. Klik op Voltooien om de profielinstellingen op te slaan.
  5. Selecteer het nieuwe profiel onderaan in de profiellijst. Gebruik de pijlen omhoog/omlaag om de prioriteit van het nieuwe profiel aan te geven in de lijst.
  6. Klik op Verbinden om verbinding te maken met het geselecteerde draadloze netwerk.
  1. Klik op OK om Intel(R) PROSet te sluiten.

De client instellen voor WPA-PSK met WEP- of TKIP-verificatie

Gebruik de modus WPA-PSK (Wi-Fi Protected Access - Pre Shared Key) als u geen verificatieserver gebruikt. Met deze modus wordt geen gebruik gemaakt van een 802.1x-verificatieprotocol. De modus kan worden gebruikt met WEP- of TKIP-gegevenscodering. Voor WPA-PSK is de configuratie van een vooraf gedeelde sleutel (PSK) vereist. U dient een wachtwoordgroep van 64 hexadecimale tekens op te geven voor een vooraf gedeelde sleutel met een lengte van 256 bits. De coderingssleutel wordt afgeleid van de PSK.

Ga als volgt te werk om een profiel met WEP- of TKIP-codering en WPA-PSK-netwerkverificatie te configureren:

  1. Klik in de pagina Algemeen op de tab Netwerken.
  2. Klik op de knop Toevoegen.
  3. Geef de profielnaam en netwerknaam (SSID) op.
  4. Selecteer Infrastructuur voor de modus.
  5. Klik op Volgende.
  6. Selecteer WPA-PSK voor de netwerkverificatie.
  7. Selecteer WEP of TKIP voor de gegevenscodering.
  8. Selecteer een van de volgende opties:
  9. Klik op Volgende.
  10. Klik op Voltooien om de profielinstellingen op te slaan.
  11. Selecteer het nieuwe profiel onderaan in de profiellijst. Gebruik de pijlen omhoog/omlaag om de prioriteit van het nieuwe profiel aan te geven in de lijst.
  12. Klik op Verbinden om verbinding te maken met het geselecteerde draadloze netwerk.
  13. Klik op OK om Intel(R) PROSet te sluiten.

De client instellen voor WPA met WEP- of TKIP-codering en TLS-verificatie

U kunt de modus WPA (Wi-Fi Protected Access) met TLS, TTLS of PEAP gebruiken. Dit 802.1x-verificatieprotocol maakt gebruik van gegevenscoderingsopties: WEP of TKIP. De modus WPA (Wi-Fi Protected Access) werkt samen met 802.1x-verificatie. De coderingssleutel wordt ontvangen van de 802.1x-sleuteluitwisseling. Wi-Fi Protected Access maakt voor verbetering van de gegevenscodering gebruik van TKIP (Temporal Key Integrity Protocol). TKIP biedt belangrijke uitbreidingen voor gegevenscodering waaronder een re-keyingmethode.

  1. Vraag een clientcertificaat aan en installeer dit. Zie De client instellen voor TLS-verificatie of neem contact op met de systeembeheerder.
  2. Klik in de pagina Algemeen op de tab Netwerken.
  3. Klik op de knop Toevoegen.
  4. Geef de profielnaam en netwerknaam (SSID) op.
  5. Selecteer Infrastructuur voor de modus.
  6. Klik op Volgende.
  7. Selecteer WPA voor de netwerkverificatie.
  8. Selecteer WEP of TKIP voor de gegevenscodering.
  9. Stel het verificatietype voor deze verbinding in op TLS.
  10. Klik op de knop Configureren om het dialoogvenster met instellingen te openen.
  11. Typ de gebruikersnaam in het veld Gebruikersnaam.

  12. Selecteer de gewenste Certificaatverlener in de lijst. Selecteer standaard Elke vertrouwde certificeringsinstantie.

  13. Schakel het selectievakje Tussentijdse certificaten toestaan in als u een aantal niet-gespecificeerde certificaten wilt toestaan in de certificaatketen tussen het servercertificaat en de opgegeven certificeringsinstantie. Als het selectievakje is uitgeschakeld, worden alleen rechtstreeks door de opgegeven certificeringsinstantie verleende servercertificaten ondersteund.

  14. Geef de servernaam op. Als u de naam van de server kent, geeft u de naam op. Geef op of de servernaam exact moet zijn of deel uitmaakt van het opgegeven domein.

  15. Klik onder "Clientcertificaat" op de knop Selecteren.

Opmerking over certificaten: De opgegeven identiteit dient overeen te komen met het certificaatveld "Verleend aan" en moet zijn geregistreerd op de verificatieserver (RADIUS-server) die door de verificator wordt gebruikt. Het certificaat moet "geldig" zijn voor de verificatieserver. Dit vereiste is afhankelijk van de verificatieserver en houdt in dat de verificatieserver de uitgever van het certificaat als een certificeringsinstantie moet herkennen. U dient zich aan te melden met de gebruikersnaam waarmee u het certificaat heeft geïnstalleerd.

  1. Selecteer het certificaat uit de lijst en klik op OK. De certificaatgegevens verschijnen onder "Clientcertificaat".
  2. Klik op Sluiten.
  3. Klik op Volgende.
  4. Klik op Voltooien om de profielinstellingen op te slaan.
  5. Selecteer het nieuwe profiel onderaan in de profiellijst. Gebruik de pijlen omhoog/omlaag om de prioriteit van het nieuwe profiel aan te geven in de lijst.
  6. Klik op Verbinden om verbinding te maken met het geselecteerde draadloze netwerk.
  7. Klik op OK om Intel(R) PROSet te sluiten.

De client instellen voor WPA met WEP- of TKIP-codering en TTLS- of PEAP-verificatie

TTLS-verificatie: Met deze instellingen worden het protocol en de referenties gedefinieerd voor de verificatie van gebruikers. Onder TTLS gebruikt de client EAP-TLS voor validatie van de server en wordt een met TLS gecodeerd kanaal tussen client en server gemaakt. De client kan gebruik maken van een ander verificatieprotocol, in het bijzonder op wachtwoord gebaseerde protocollen, zoals MD5 Challenge, over het gecodeerde kanaal om servervalidatie mogelijk te maken. De controle- en antwoordpakketten worden over een onzichtbaar met TLS gecodeerd kanaal verzonden.

PEAP-verificatie: PEAP-instellingen zijn vereist voor verificatie van de client bij de verificatieserver. Onder PEAP gebruikt de client EAP-TLS voor validatie van de server en wordt een met TLS gecodeerd kanaal tussen client en server gemaakt. De client kan een bijkomend EAP-mechanisme, zoals MSCHAP v2 (Microsoft Challenge Authentication Protocol), over het gecodeerde kanaal gebruiken voor servervalidatie. De controle- en antwoordpakketten worden over een onzichtbaar met TLS gecodeerd kanaal verzonden.

In het volgende voorbeeld wordt beschreven hoe u WPA gebruikt met WEP- of TKIP-codering en TTLS- of PEAP-verificatie.

  1. Vraag een clientcertificaat aan en installeer dit. Zie De client instellen voor TLS-verificatie of neem contact op met de systeembeheerder.
  2. Klik in de pagina Algemeen op de tab Netwerken.
  3. Klik op de knop Toevoegen.
  4. Geef de profielnaam en netwerknaam (SSID) op.
  5. Selecteer Infrastructuur voor de modus.
  6. Klik op Volgende.
  7. Selecteer WPA voor de netwerkverificatie.
  8. Selecteer WPA of TKIP voor de gegevenscodering.
  9. Selecteer 802.1x ingeschakeld.
  10. Stel het verificatietype voor deze verbinding in op TTLS of PEAP.
  11. Klik op de knop Configureren om het dialoogvenster met instellingen te openen.
  12. Gebruikersnaam referenties gebruiken als EAP-identiteit: als het selectievakje uitgeschakeld is, wordt een vooraf gedefinieerde tekenreeks (anonymous) verzonden als verificatieprotocol. Met deze optie wordt een minder veilige verificatiemethode gebruikt, aangezien de werkelijke gebruikersnaam ongecodeerd wordt verzonden. Deze methode is geldig voor alle verificatieservers en met name voor Microsoft IAS RADIUS, die alleen een geldige gebruikersnaam accepteert.
  13. Selecteer de gewenste Certificaatverlener in de lijst. Selecteer standaard Elke vertrouwde certificeringsinstantie. Schakel het selectievakje Tussentijdse certificaten toestaan in als u een aantal niet-gespecificeerde certificaten wilt toestaan in de certificaatketen tussen het servercertificaat en de opgegeven certificeringsinstantie. Als het selectievakje is uitgeschakeld, worden alleen rechtstreeks door de opgegeven certificeringsinstantie verleende servercertificaten ondersteund.
  14. Geef de servernaam op.

  1. Verificatieprotocol:
  2. Selecteer een van de volgende opties:
Opmerking: Als de optie 'Aanmeldingsgegevens voor Windows gebruiken' niet beschikbaar is, is de voorziening Eenmalige aanmelding niet geïnstalleerd. Zie Voorziening voor eenmalige aanmelding installeren en verwijderen voor meer informatie over de optie 'Aanmeldingsgegevens voor Windows gebruiken'.
  1. Clientcertificaat gebruiken: Met deze optie selecteert u een clientcertificaat uit het persoonlijke certificaatarchief van de bij Windows aangemelde gebruiker. Dit certificaat wordt gebruikt voor clientverificatie. Klik op de knop Selecteren om de lijst met geïnstalleerde certificaten te openen.

Opmerking over certificaten: De opgegeven identiteit dient overeen te komen met het certificaatveld "Verleend aan" en moet zijn geregistreerd op de verificatieserver (RADIUS-server) die door de verificator wordt gebruikt. Het certificaat moet "geldig" zijn voor de verificatieserver. Dit vereiste is afhankelijk van de verificatieserver en houdt in dat de verificatieserver de uitgever van het certificaat als een certificeringsinstantie moet herkennen. U dient zich aan te melden met de gebruikersnaam waarmee u het certificaat heeft geïnstalleerd.

  1. Selecteer het certificaat in de lijst en klik op OK. De certificaatgegevens verschijnen onder "Clientcertificaat".
  2. Klik op Sluiten.
  3. Klik op Volgende.
  4. Selecteer het nieuwe profiel onderaan in de profiellijst. Gebruik de pijlen omhoog/omlaag om de prioriteit van het nieuwe profiel aan te geven in de lijst.
  5. Klik op Verbinden om verbinding te maken met het geselecteerde draadloze netwerk.
  1. Klik op OK om Intel(R) PROSet te sluiten.

De client instellen voor CCX met CKIP-codering en LEAP-verificatie

LEAP configureren met Intel(R) PROSet.
Opmerking: Een LEAP-profiel kan alleen worden geconfigureerd met Intel(R) PROSet.

Er moet een Intel(R) PROSet CCX (v1.0) profiel zijn geconfigureerd voor de verbinding met een specifiek ESS of draadloos LAN. De profielinstellingen omvatten instellingen voor LEAP, CKIP en de detectie van bedrieglijke toegangspunten.

Ga als volgt te werk om een profiel met CCX-beveiligingsinstellingen te configureren:

  1. Klik in de pagina Algemeen op de tab Netwerken.
  2. Klik op de knop Toevoegen.
  3. Geef de profielnaam en netwerknaam (SSID) op.
  4. Selecteer Infrastructuur voor de modus.
  5. Klik op het selectievakje Cisco Compatible Extensions inschakelen om de CCX-beveiliging in te schakelen. Als u de optie Gemengde cel in de Geavanceerde instellingen heeft ingeschakeld, moet deze optie ook worden ingeschakeld. Opmerking: Voor de netwerkverificatie en de Gegevenscodering kunnen nu ook de volgende CCX-beveiligingsopties worden gekozen: Open, Gedeeld voor 802.11-verificatie en geen, WEP, CKIP voor de gegevenscodering.
  6. Klik op Volgende.
  7. Selecteer Open als optie voor netwerkverificatie.
  8. Selecteer CKIP voor de gegevenscodering.
  9. Schakel het selectievakje 802.1x ingeschakeld in om de 802.1x-beveiligingsoptie in te schakelen.
  10. Selecteer LEAP als het 802.1x-verificatietype.
  11. Klik op Configureren om het dialoogvenster LEAP-instellingen te openen.
  12. Selecteer een van de volgende opties:
Opmerking: Als de optie 'Aanmeldingsgegevens voor Windows gebruiken' niet beschikbaar is, is de voorziening Eenmalige aanmelding niet geïnstalleerd. Zie Voorziening voor eenmalige aanmelding installeren en verwijderen voor meer informatie over de optie 'Aanmeldingsgegevens voor Windows gebruiken'.
  1. Klik op Sluiten om de instellingen op te slaan en het dialoogvenster LEAP-instellingen te sluiten.
  2. Klik op Volgende. De pagina Geavanceerd verschijnt.
  3. Gemeenschappelijke profielen en Continue verbinding: Als u van een profiel een gemeenschappelijk profiel wilt maken, selecteert u Dit profiel kan worden gebruikt door alle gebruikers (gemeenschappelijk). Als u een profiel wilt gebruiken voor een continue verbinding, selecteert u Dit profiel wordt gebruikt wanneer er geen gebruiker is aangemeld (continu). Deze voorzieningen worden geïnstalleerd bij het installeren van de software. Als deze voorzieningen worden geselecteerd, moet u ook de optie Overschakelen naar beheer gemeenschappelijke profielen en profielen voor continue verbindingen selecteren in Geavanceerde instellingen.
  4. Als u op de pagina Algemene instellingen het selectievakje Cisco Compatible Extensions inschakelen heeft ingeschakeld om CCX-beveiliging te activeren, moet ook "Gemengde cel inschakelen" zijn geselecteerd.
  5. Klik op Voltooien om de profielinstellingen op te slaan.
  6. Selecteer het nieuwe profiel onderaan in de profiellijst. Gebruik de pijlen omhoog/omlaag om de prioriteit van het nieuwe profiel aan te geven in de lijst.
  7. Klik op Verbinden om verbinding te maken met het geselecteerde draadloze netwerk.
  8. Geef uw LEAP-referenties op. Schakel het selectievakje Gebruikersreferenties opslaan in om de referenties op te slaan voor toekomstig gebruik met dit 802.1x-profiel.
  9. Klik op OK om Intel(R) PROSet te sluiten.

Configuratie van CCX-toegangspunt en client

Voor het toegangspunt kunnen instellingen worden opgegeven waarmee op grond van de WLAN-omgeving verschillende verificatietypen kunnen worden geselecteerd. De client verzendt tijdens de 802.11-verificatie die bij het tot stand brengen van de verbinding plaatsvindt tussen de client en het toegangspunt, een verificatiealgoritme. Welke waarden voor het verificatiealgoritme worden herkend door een toegangspunt waarop CCX is ingeschakeld, is afhankelijk van het verificatietype. Zo heeft “Network-EAP” (hetgeen duidt op LEAP) een waarde van 0x80, terwijl “Open” (de in 802.11 gespecificeerde open verificatie) en “Required EAP” (waarvoor de uitwisseling van een EAP-handshake vereist is) de waarde 0x0 hebben.

Alleen network-EAP

TP: Voor netwerken waarin CCX is ingeschakeld en alleen LEAP-verificatie wordt gebruikt, wordt het verificatietype ingesteld door het selectievakje “Network-EAP” in te schakelen en de vakjes “Open” en “Required EAP” uit te schakelen. Het toegangspunt wordt zo geconfigureerd dat het LEAP-clients ALLEEN is toegestaan om te verifiëren en een verbinding tot stand te brengen. Het toegangspunt verwacht in dit geval dat het 802.11-verificatiealgoritme is ingesteld op 0x80 (LEAP) en wijst clients af die proberen te verifiëren met een waarde 0x0 voor het verificatiealgoritme.

Client: In dit geval moet de client een verificatiealgoritme met een waarde van 0x80 verzenden. Is dat niet het geval, dan zal de handshake voor de 802.11-verificatie mislukken. Tijdens het opstarten, op het moment dat het stuurprogramma voor het draadloze LAN al is geladen, maar de Intel(R) PROSet-aanvrager nog niet, verzendt de client een 802.11-verificatiealgoritme met een waarde van 0x0. Wanneer de Intel(R) PROSet-aanvrager en het LEAP-profiel eenmaal zijn geladen, wordt een 802.11-verificatiealgoritme met een waarde van 0x80 verzonden.

Network-EAP, Open en Required EAP

TP: Als de selectievakjes Network-EAP, Open en Required EAP allemaal zijn ingeschakeld, accepteert het toegangspunt de waarden 0x0 en 0x80 voor het 802.11-verificatiealgoritme. Wanneer de client echter eenmaal is gekoppeld aan het toegangspunt en is geverifieerd, verwacht het toegangspunt een EAP-handshake. Als de EAP-handshake, om welke reden dan ook, niet snel plaatsvindt, reageert het toegangspunt niet meer op de client gedurende ongeveer 60 seconden.

Client: In dit geval moet de client een verificatiealgoritme met als waarde 0x80 of 0x0 verzenden. Beide waarden worden aanvaard en de 802.11-verificatie zal dus slagen. Tijdens het opstarten, op het moment dat het stuurprogramma voor het draadloze LAN al is geladen, verzendt de client een 802.11-verificatiealgoritme met een waarde van 0x0. Dit is voldoende om te worden geverifieerd, maar om een verbinding tot stand te brengen, moeten de corresponderende EAP- of LEAP-referenties worden meegedeeld aan het toegangspunt.

Alleen Open en Required EAP

TP: Als voor het toegangspunt het selectievakje Network-EAP is uitgeschakeld, maar Open en Required EAP zijn ingeschakeld, zal het toegangspunt alle clients afwijzen die een 802.11-verificatiealgoritme met een waarde van 0x80 verzenden. Het toegangspunt aanvaardt clients die een verificatiealgoritme met een waarde van 0x0 verzenden en verwacht dat de EAP-handshake snel daarna begint. In dit geval gebruikt de client MD5, TLS, LEAP of een andere EAP-methode die geschikt is voor de specifieke netwerkconfiguratie.

Client: In dit geval moet de client een verificatiealgoritme met een waarde van 0x0 verzenden. Zoals al eerder gezegd, moet daarna de handshake voor de 802.11-verificatie plaatsvinden. Eerst start het stuurprogramma voor het draadloze LAN de verificatie met een waarde van 0x0 en daarna herhaalt de aanvrager het proces. De client verzendt een 802.11-verificatiealgoritme met de waarde 0x0, zelfs nadat de aanvrager en het LEAP-profiel zijn geladen.

Bedrieglijke toegangspunten

Een LEAP-profiel zorgt ervoor dat de client de voorziening voor de detectie van bedrieglijke toegangspunten implementeert in overeenstemming met CCX. De client registreert bij welke toegangspunten de verificatie mislukt en verzendt deze informatie naar het toegangspunt waarbij verificatie en verbinding wel zijn geslaagd. Tevens stelt de aanvrager het verificatiealgoritme in op type 0x80. Het is mogelijk dat in sommige netwerkconfiguraties de optie alleen Open en Required EAP is geïmplementeerd, zoals boven beschreven. Deze configuratie werkt alleen als de client een verificatiealgoritme met een waarde van 0x0 gebruikt, en niet 0x80 zoals hierboven wordt beschreven voor alleen Network-EAP. Een LEAP-profiel maakt het voor de client dus ook mogelijk om de opties Alleen Network-EAP en Alleen Open en Required EAP te ondersteunen.

Opmerking: Raadpleeg het document over versie 2.0 van Cisco Client Extensions, beschikbaar op www.cisco.com, voor meer informatie.


Terug naar inhoudsopgave