Voltar ao índice

Configuração da segurança da conexão: Guia do usuário do mini-adaptador PCI de LAN Intel(R) PRO/Wireless


Segurança e criptografia

Configuração da criptografia de dados e autenticação
Visão geral da criptografia
Como habilitar a criptografia WEP
Tarefas do administrador do sistema
Configuração do cliente para a autenticação WEP e MD5
Configuração do cliente para WPA-PSK usando a autenticação WEP ou TKIP
Configuração do cliente para WPA usando a criptografia TKIP e a autenticação TLS
Configuração do cliente para WPA usando a criptografia TKIP e a autenticação TTLS ou PEAP
Configuração do cliente para CCX usando a criptografia CKIP e autenticação LEAP


Configuração de criptografia de dados e autenticação

A criptografia e autenticação compartilhada WEP (Wired Equivalent Privacy) ajudam a proteger os dados da rede. A WEP usa uma chave de criptografia para codificar os dados antes de transmiti-los. Apenas os computadores que usarem a mesma chave de criptografia podem acessar a rede ou decodificar os dados transmitidos. A autenticação é um processo adicional de validação do adaptador no ponto de acesso. O algoritmo de criptografia WEP é vulnerável a ataques passivos e ativos à rede. Os algoritmos TKIP e CKIP contêm avanços em relação ao protocolo WEP para suprimir os ataques existentes à rede e para resolver os problemas causados por esses ataques.

Autenticação aberta e de chave compartilhada

O 802.11 suporta dois tipos de autenticação à rede: Sistema aberto e Chave compartilhada, que usam a criptografia WEP de 64 e 128 bits. O modo aberto não usa um método de autenticação criptografado para associar-se a um ponto de acesso específico. Os esquemas de autenticação suportados são os de chave aberta e de chave compartilhada:

Chaves de rede

Quando a criptografia de dados (WEP, WEP, CKIP ou TKIP) está ativada, uma chave de rede é usada para criptografia. A chave de rede pode ser fornecida automaticamente (por exemplo, ela pode ser fornecida no adaptador de rede sem fio ou você pode digitá-la e especificar seu comprimento (64 ou 128 bits), seu formato (caracteres ASCII ou algarismos hexadecimais) e seu índice (o local específico onde a chave é armazenada)). Quanto maior o comprimento da chave, maior a sua segurança. Sempre que o comprimento da chave é aumentado em um bit, o número de chaves possíveis dobra.

No 802.11, pode ser configurada uma estação sem fio com até quatro chaves (os valores de índice de chave são 1, 2, 3 e 4). Quando um ponto de acesso ou uma estação sem fio transmite uma mensagem criptografada usando uma chave que está armazenada em um índice específico, o índice que está sendo usado para criptografar o corpo da mensagem é indicado. O ponto de acesso ou estação sem fio receptora pode recuperar a chave armazenada nesse índice de chave e usá-la para decodificar o corpo da mensagem criptografada.

Tipos de chave de criptografia estática e dinâmica

O padrão 802.1x usa dois tipos de chaves de criptografia: estática e dinâmica. As chaves de criptografia estáticas são alteradas manualmente e são mais vulneráveis. A autenticação MD5 usa somente chaves de criptografia estáticas. As chaves de criptografia dinâmicas são renovadas automaticamente a intervalos de tempo. Este recurso torna as chaves mais seguras. Para ativar as chaves de criptografia dinâmicas, você precisa usar os métodos de autenticação 802.1x, como TLS, TTLS, PEAP ou LEAP.

Principais aspectos da autenticação do 802.1x

Os métodos de autenticação do 802.1x abrangem senhas, certificados e smart cards (cartões de plástico
que armazenam dados). Recurso de capacidade de sincronização de senha do 802.1x: A opção "Usar o login do Windows" no diálogo Credenciais de MD5, TLS, TTLS e LEAP permite corresponder as credenciais do 802.1x a seu nome de usuário e senha do Windows. A opção de autenticação 802.1x só pode ser usada com o modo de operação de infra-estrutura.


Visão geral sobre a criptografia

A segurança da WLAN pode ser melhorada por meio da criptografia de dados WEP (Wireless Encryption Protocol). É possível escolher uma criptografia de 64 bits ou de 128 bits. Além disso, os dados podem ser criptografados com uma chave. Um outro parâmetro chamado índice de chave permite a opção de criar chaves múltiplas para aquele perfil. Contudo, apenas uma chave pode ser usada de cada vez. Você também pode proteger o perfil com uma senha para assegurar privacidade

A senha é usada para gerar automaticamente uma chave WEP. Você tem a opção de usar uma senha ou inserir manualmente uma chave WEP. Ao usar criptografia de 64 bits, a senha tem 5 caracteres e você poderá escolher entre digitar uma frase qualquer e fácil de lembrar, como Acme1, ou digitar dez números em hexadecimal para a chave WEP correspondentes à rede à qual o usuário deseja se conectar. Para a criptografia de 128 bits, a senha tem 13 caracteres e você pode digitar 26 caracteres hexadecimais para a chave WEP, para se conectar à rede adequada.

Nota: Você precisa usar o mesmo tipo de criptografia, o mesmo número de índice da chave e a mesma chave WEP que os outros dispositivos da rede sem fio.


Como habilitar a criptografia WEP

O exemplo a seguir mostra como editar um perfil existente e aplicar a criptografia WEP.

Nota: Antes de iniciar, entre em contato com o administrador do sistema para obter a senha WEP ou chave hexa da rede.
 

Para ativar a criptografia WEP:

  1. Na página Geral clique na guia Redes.
  2. Selecione o perfil da Lista de perfis e clique no botão Editar.
  3. Clique na guia Segurança.
  4. Selecione qualquer modo de autenticação de rede (Aberta é o modo recomendado).
  5. Selecione a criptografia de dados WEP.
  6. Selecione Configurar chave manual.
  7. Selecione um número de índice de chave: 1, 2, 3 ou 4 (o padrão é 1). 
  8. Selecione 64 bits ou 128 bits como o Nível de criptografia.
  9. Selecione uma das seguintes opções:
  1. Clique em OK para salvar as configurações dos perfis.

Tarefas do administrador do sistema

Nota: As informações a seguir se destinam aos administradores de sistemas. Consulte Privilégios do administrador e Usuários restritos para obter mais informações  

Como obter o certificado de cliente

Se não tiver nenhum certificado para EAP-TLS ou EAP-TTLS, você precisará obter um certificado de cliente para que a autenticação possa ser feita. Geralmente, você precisará consultar o administrador do sistema para obter instruções sobre como obter um certificado na sua rede. Os certificados podem ser gerenciados das "Configurações de Internet" que são acessadas no Internet Explorer ou no Painel de controle do Windows. Use a página "Conteúdo" das "Configurações de Internet".

Windows XP e 2000: Para obter um certificado de cliente, não ative a proteção forte de chave privada. Se ativar a proteção forte de chave privada para o certificado, você precisará digitar uma senha de acesso para esse certificado toda a vez em que ele for usado. Você precisará desativar a proteção forte de chave privada para o certificado se estiver configurando o serviço para autenticação TLS/TTLS. Caso contrário, o serviço do 802.1x falhará na autenticação porque não existe um usuário logado para quem a caixa de diálogo de prompt possa ser exibida.

Notas sobre as Placas inteligentes

Quando a placa inteligente é instalada, o certificado é instalado automaticamente no computador e pode ser selecionado na pasta de certificados da pessoa e na pasta de certificados da raiz.

Configuração do cliente para autenticação TLS

Passo 1: Obter o certificado

Para permitir a autenticação TLS, você precisa de um certificado válido de cliente (usuário) no repositório local para a conta do usuário logado.  Você precisa também de um certificado reconhecido pela CA na pasta raiz.

Há dois métodos de obtenção de um certificado:

Obtenção do certificado de uma autoridade de certificação do Windows 2000:

  1. Inicie o Internet Explorer e procure um Serviço HTTP de autoridade de certificação (use um URL, como http://seuservidordedomínio.seudomínio/certsrv, sendo certsrv o comando que acessa a autoridade de certificação). Também é possível usar o endereço IP da máquina do servidor, como "192.0.2.12/certsrv."
  2. Faça login na CA com o nome e senha da conta de usuário que você criou (acima) no servidor de autenticação. Este nome e senha não precisam ser iguais ao seu nome e senha de login no Windows.
  3. Na página de abertura da CA selecione a tarefa Solicitar certificado e envie o formulário.
  4. Na página "Escolher o tipo de solicitação", selecione Avançado e clique em Continuar.
  5. Na página "Solicitações avançadas de certificado", selecione a opção de submeter a solicitação de certificado usando formulário e depois clique em Submeter.
  6. Na página Solicitação avançada de certificado, escolha o gabarito de certificado de usuário. Selecione "Marcar chaves como exportáveis" e clique em Próximo. Use as configurações padrão mostradas.
  7. Na página Certificado emitido, selecione Instalar este certificado.

Nota: Se este for o primeiro certificado que você obtém, a autoridade de certificação perguntará se você quer instalar um certificado reconhecido pela CA na raiz. A caixa de diálogo não dirá que este é um certificado reconhecido pela autoridade de certificação, mas o nome do certificado mostrado será o mesmo do host da CA. Clique em Sim, você precisará deste certificado para o TLS e para o TTLS.

  1. Se seu certificado tiver sido instalado corretamente, você verá a mensagem "Seu certificado foi instalado com sucesso".
  2. Para verificar a instalação, clique em Internet Explorer > Ferramentas > Opções de Internet > Conteúdo > Certificados. O novo certificado deve ser instalado na pasta "Particular".

Importar um certificado de um arquivo

  1. Abra as Propriedades de Internet (clique com o botão direito no ícone do Internet Explorer na área de trabalho e selecione Propriedades).
  2. Clique no botão Certificados na página Conteúdo. A lista de certificados instalados será exibida.
  3. Clique no botão Importar sob a lista de certificados. O Assistente de Importação de certificados será aberto. (Nota: As etapas de 1 a 3 podem também ser executadas clicando duas vezes no ícone do certificado.)
  4. Selecione o arquivo e vá para a página Senha.
  5. Na página Senha, especifique a senha de acesso ao arquivo. Desmarque a opção Ativar a proteção forte de chave particular.
  6. Na página armazenamento de certificados selecione "Selecionar automaticamente o armazenamento de certificados com base no tipo de certificado" (o certificado precisa estar na pasta Pessoal de contas de usuários para ser acessado pelo diálogo Configurar do cliente; isto acontecerá se for selecionada a opção ‘automático’).
  7. Vá para o 'Finalizar a importação do certificado' e clique no botão Concluir.

Configurar um perfil usando autenticação WPA com criptografia WEP ou TKIP usando a autenticação TLS.

Passo 2: Especificação do certificado usado pelo Intel(R) PROSet

Nota: Obtenha e instale um certificado de cliente; consulte a Etapa 1 ou consulte o administrador do sistema.
  1. Na página Geral clique na guia Redes.
  2. Clique no botão Adicionar.
  3. Digite o perfil e o nome de rede (SSID).
  4. Selecione Infra-estrutura como o modo de operação.
  5. Clique em Avançar.
  6. Selecione WPA para a Autenticação de rede.
  7. Selecione WEP ou TKIP para a Criptografia de dados.
  8. Clique na caixa de seleção 802.1x ativado.
  9. Defina o tipo de autenticação a ser usado com esta conexão como TLS.
  10. Clique no botão Configurar para abrir o diálogo de configurações.
  11. Digite seu nome de usuário no campo Nome do usuário.
  12. Selecione o "Emissor do certificado" na lista. Selecione Qualquer AC acreditada como padrão.
  13. Digite o nome do servidor/certificado. Se você souber o nome do servidor/certificado, digite-o. Selecione a opção adequada, correspondente exatamente ao nome do servidor, ou especifique um nome de domínio.

  14. Certificado do cliente:Esta opção seleciona um certificado de cliente no armazenamento de certificados pessoais do usuário logado do Windows. O certificado será usado para autenticação do cliente. Clique no botão Selecionar para abrir uma lista de certificados instalados.

Nota sobre Certificados: A identidade especificada precisa ser igual ao conteúdo do campo "Emitido para" no certificado e deve estar registrada no servidor de autenticação (por exemplo, servidor RADIUS) usado pelo autenticador. Seu certificado precisa ser "válido" em relação ao servidor de autenticação. Este requisito depende do servidor de autenticação e geralmente significa que este servidor de autenticação precisa conhecer o emissor do certificado como a Autoridade de certificação. Você deve estar logado com o nome de usuário usado quando o certificado foi instalado.

  1. Selecione o certificado na lista e clique em OK. As informações sobre o certificado do cliente aparecerão em "Certificado do cliente".
  2. Clique em Fechar.
  3. Clique em Avançar.
  4. Clique no botão Concluir para salvar as configurações do perfil.

Configuração do cliente para autenticação WEP e MD5 

Para adicionar a autenticação WEP e MD5 a um novo perfil: 

Nota: Antes de iniciar, entre em contato com o administrador do sistema para obter o nome do usuário e a senha no servidor RADIUS.

  1. Na página Geral clique na guia Redes.
  2. Clique no botão Adicionar na Lista de perfis.
  3. Digite o perfil e o nome de rede (SSID).
  4. Selecione Infra-estrutura como o modo de operação.
  5. Clique em Avançar.
  6. Selecione Aberta (recomendado) para a Autenticação de rede.
  7. Selecione a criptografia de dados WEP.
  8. Selecione o índice de chave 1, 2, 3 ou 4. (A chave padrão é 1)
  9. Selecione 64 ou 128 bits como Nível de criptografia.
  10. Selecione Usar senha ou Usar chave hexa e digite a Senha ou a Chave no campo de texto.
  11. Clique na caixa de seleção 802.1x ativado.
  12. Selecione MD5 como o Tipo de autenticação 802.1x.
  13. Selecione uma das seguintes opções:
Nota: Se o recurso 'Usar o login do Windows' estiver esmaecido (inacessível), o recurso Sign-on único não foi instalado. Para instalar o recurso 'Usar o login do Windows' consulte Instalação e desinstalação do recurso Sign-on único para obter as instruções de instalação.
  1. Clique em Fechar para salvar as configurações.
  2. Clique em Avançar.
  3. Perfis comuns e Conexão persistente: Se necessário, para ativar o recurso Perfil comum, selecione Este perfil pode ser usado por todos os usuários (Comum). Para ativar o recurso Conexão persistente, selecione Este perfil será usado quando nenhum usuário estiver logado (Persistente). Esses recursos são instalados durante o processo de instalação do software. Se esses recursos forem selecionados, ative também a opção Alternar para o gerenciamento de perfis comuns e persistentes, em Configurações avançadas.
  4. Clique em Concluir para salvar as configurações do perfil.
  5. Selecione um novo perfil na parte inferior da lista de perfis. Use as setas para cima e para baixo para posicionar o novo perfil na lista e estabelecer a sua prioridade.
  6. Clique em Conectar para conectar-se à rede sem fio selecionada.
  1. Clique em OK para fechar o Intel(R) PROSet.

Configuração do cliente para WPA-PSK com autenticação WEP ou TKIP

Use o modo WPA-PSK (Wi-Fi Protected Access - Pre Shared Key) se não houver um servidor de autenticação sendo usado. Este modo não usa qualquer protocolo de autenticação 802.1x. Pode ser usado com a criptografia de dados WEP ou TKIP: O WPA-PSK precisa da configuração de uma chave pré-compartilhada (PSK). Digite uma senha ou 64 caracteres hexadecimais para uma chave pré-compartilhada de 256 bits. A chave de criptografia de dados é derivada do PSK.

Para configurar um novo perfil usando a criptografia WEP ou TKIP com a autenticação de rede WPA-PSK:

  1. Na página Geral clique na guia Redes.
  2. Clique no botão Adicionar.
  3. Digite o perfil e o nome de rede (SSID).
  4. Selecione Infra-estrutura como o modo de operação.
  5. Clique em Avançar.
  6. Selecione WPA-PSK para a autenticação de rede.
  7. Selecione WEP ou TKIP para a Criptografia de dados.
  8. Selecione uma das seguintes opções:
  9. Clique em Avançar.
  10. Clique em Concluir para salvar as configurações do perfil.
  11. Selecione um novo perfil na parte inferior da lista de perfis. Use as setas para cima e para baixo para posicionar o novo perfil na lista e estabelecer a sua prioridade.
  12. Clique em Conectar para conectar-se à rede sem fio selecionada.
  13. Clique em OK para fechar o Intel(R) PROSet.

Configuração do cliente para WPA usando a criptografia WEP ou TKIP e autenticação TLS

O modo WPA (Wi-Fi Protected Access) pode ser usado com TLS, TTLS ou PEAP. Este protocolo de autenticação 802.1x usa as opções de criptografia de dados WEP ou TKIP. O modo WPA (Wi-Fi Protected Access) está vinculado com a autenticação 802.1x. A chave de criptografia de dados é recebida da troca de chaves 802.1x. Para melhorar a criptografia de dados, o acesso Wi-Fi protegido usa seu TKIP (Temporal Key Integrity Protocol). O TKIP oferece otimizações importantes de criptografia de dados, incluindo o método de rechaveamento.

  1. Obtenha e instale um certificado de cliente, consulte Configuração do cliente para a autenticação TLS ou consulte o administrador do sistema.
  2. Na página Geral clique na guia Redes.
  3. Clique no botão Adicionar.
  4. Digite o perfil e o nome de rede (SSID).
  5. Selecione Infra-estrutura como o modo de operação.
  6. Clique em Avançar.
  7. Selecione WPA para a autenticação de rede.
  8. Selecione a criptografia de dados WEP ou TKIP.
  9. Defina o tipo de autenticação a ser usado com esta conexão como TLS.
  10. Clique no botão Configurar para abrir o diálogo de configurações.
  11. Digite seu nome de usuário no campo Nome do usuário.

  12. Selecione o "Emissor do certificado" na lista. Selecione Qualquer AC acreditada como padrão.

  13. Marque a caixa de seleção "permitir certificados intermediários" para permitir que alguns certificados não especificados estejam na cadeia de certificados do servidor, entre o certificado do servidor e a autoridade de certificação especificada. Se esta caixa estiver desmarcada, a autoridade de certificação especificada precisa ter emitido diretamente o certificado do servidor.

  14. Digite o nome do servidor. Se você souber o nome do servidor, digite-o. Selecione a opção adequada, correspondente exatamente ao nome do servidor, ou especifique um nome de domínio.

  15. Na opção "Certificado do cliente" clique no botão Selecionar.

Nota sobre Certificados: A identidade especificada precisa ser igual ao conteúdo do campo "Emitido para" no certificado e deve estar registrada no servidor de autenticação (por exemplo, servidor RADIUS) usado pelo autenticador. Seu certificado precisa ser "válido" em relação ao servidor de autenticação. Este requisito depende do servidor de autenticação e geralmente significa que este servidor de autenticação precisa conhecer o emissor do certificado como a Autoridade de certificação. Você deve estar logado com o nome de usuário usado quando o certificado foi instalado.

  1. Selecione o certificado na lista e clique em OK. As informações sobre o certificado do cliente aparecerão em "Certificado do cliente".
  2. Clique em Fechar.
  3. Clique em Avançar.
  4. Clique em Concluir para salvar as configurações do perfil.
  5. Selecione um novo perfil na parte inferior da lista de perfis. Use as setas para cima e para baixo para posicionar o novo perfil na lista e estabelecer a sua prioridade.
  6. Clique em Conectar para conectar-se à rede sem fio selecionada.
  7. Clique em OK para fechar o Intel(R) PROSet.

Configuração do cliente para WPA usando a criptografia WEP ou TKIP ou a autenticação PEAP

Autenticação TTLS: Estas configurações definem o protocolo e as credenciais a serem usados para autenticar um usuário. No TTLS, o cliente usa EAP-TLS para validar o servidor e criar um canal criptografado por TLS entre o cliente e o servidor. O cliente pode usar outro protocolo de autenticação, tipicamente controles baseados em senha, como o desafio MD5 neste canal criptografado para ativar a validação de servidor. Os pacotes de desafio e resposta são enviados por um canal TLS não exposto e criptografado.

Autenticação PEAP: As configurações do PEAP são necessárias para a autenticação do cliente para o servidor de autenticação. No PEAP, o cliente usa EAP-TLS para validar o servidor e criar um canal criptografado por TLS com o servidor. O cliente pode usar outro mecanismo EAP, como o MSCHAP (Protocolo de autenticação de desafios da Microsoft) Versão 2, neste canal criptografado para ativar a validação de servidor. Os pacotes de desafio e resposta são enviados por um canal TLS não exposto e criptografado.

O exemplo a seguir descreve como usar o WPA com a criptografia WEP ou TKIP usando a autenticação TTLS ou PEAP.

  1. Obtenha e instale um certificado de cliente, consulte Configuração do cliente para a autenticação TLS ou consulte o administrador do sistema.
  2. Na página Geral clique na guia Redes.
  3. Clique no botão Adicionar.
  4. Digite o perfil e o nome de rede (SSID).
  5. Selecione Infra-estrutura como o modo de operação.
  6. Clique em Avançar.
  7. Selecione WPA para a Autenticação de rede.
  8. Selecione WPA ou TKIP como criptografia de dados.
  9. Selecione 802.1x ativado.
  10. Defina o tipo de autenticação TTLS ou PEAP para ser usado com esta conexão.
  11. Clique em Configurar para abrir o quadro de diálogo de configurações.
  12. Usar o nome de usuário das credenciais como identidade EAP: Se a caixa de seleção estiver desmarcada, será enviada uma string predefinida "anônimo" como protocolo de autenticação.Este recurso usa um método de autenticação menos seguro, que envia o verdadeiro nome do usuário criptografado. Este método é válido para todos os servidores de autenticação, principalmente para o Microsoft IAS RADIUS, que aceita somente nome de usuário válido.
  13. Selecione o Emissor do certificado na lista. Selecione Qualquer AC acreditada como padrão. Marque a caixa de seleção permitir certificados intermediários para permitir que alguns certificados não especificados estejam na cadeia de certificados do servidor, entre o certificado do servidor e a autoridade de certificação especificada. Se esta caixa estiver desmarcada, a autoridade de certificação especificada precisa ter emitido diretamente o certificado do servidor.
  14. Digite o nome do servidor.

  1. Protocolo de autenticação:
  2. Selecione uma das seguintes opções:
Nota: Se o recurso 'Usar o login do Windows' estiver esmaecido (inacessível), o recurso Sign-on único não foi instalado. Para instalar o recurso 'Usar o login do Windows' consulte Instalação e desinstalação do recurso Sign-on único para obter as instruções de instalação.
  1. Usar certificado de cliente: Esta opção seleciona um certificado de cliente no armazenamento de certificados pessoais do usuário logado do Windows. O certificado será usado para autenticação do cliente. Clique no botão Selecionar para abrir uma lista de certificados instalados.

Nota sobre Certificados: A identidade especificada precisa ser igual ao conteúdo do campo "Emitido para" no certificado e deve estar registrada no servidor de autenticação (servidor RADIUS) usado pelo autenticador. Seu certificado precisa ser "válido" em relação ao servidor de autenticação. Este requisito depende do servidor de autenticação e geralmente significa que este servidor de autenticação precisa conhecer o emissor do certificado como a Autoridade de certificação. Você deve estar logado com o nome de usuário usado quando o certificado foi instalado.

  1. Selecione o certificado na lista e clique em OK. As informações sobre o certificado do cliente aparecerão em "Certificado do cliente".
  2. Clique em Fechar.
  3. Clique em Avançar.
  4. Selecione um novo perfil na parte inferior da lista de perfis. Use as setas para cima e para baixo para posicionar o novo perfil na lista e estabelecer a sua prioridade.
  5. Clique em Conectar para conectar-se à rede sem fio selecionada.
  1. Clique em OK para fechar o Intel(R) PROSet.

Configuração do cliente para CCX usando a criptografia CKIP e autenticação LEAP

Configuração do LEAP usando o Intel(R) PROSet
Nota: Um perfil LEAP só pode ser configurado usando o Intel(R) PROSet.  

Um perfil do Intel(R) PROSet CCX (v1.0) deve ser configurado para permitir a conexão com uma LAN sem ou rede ESS específica. As configurações de perfis são LEAP, CKIP e Detecção de Rogue AP.

Para configurar um perfil para configurações de segurança CCX:

  1. Na página Geral clique na guia Redes.
  2. Clique no botão Adicionar.
  3. Digite o perfil e o nome de rede (SSID).
  4. Selecione Infra-estrutura como o modo de operação.
  5. Clique na caixa de seleção Ativar Cisco Compatible Extensions para ativar a segurança CCX. Se você marcou a caixa "Célula mista" Cisco em Configurações avançadas, esta opção também deverá ser marcada. Nota: A Autenticação de rede e Criptografia de dados agora englobam as opções de segurança do CCX: Aberta, Compartilhada para a autenticação do 802.11 e nenhuma, WEP, CKIP para a Criptografia de dados.
  6. Clique em Avançar.
  7. Selecione Aberta nas opções de Autenticação de rede.
  8. Selecione CKIP como Criptografia de dados.
  9. Clique na caixa de seleção 802.1x ativado para ativar a opção de segurança 802.1x.
  10. Selecione LEAP como o tipo de autenticação 802.1x.
  11. Clique em Configurar para abrir diálogo Configurações de LEAP.
  12. Selecione uma das seguintes opções:
Nota: Se o recurso 'Usar o login do Windows' estiver esmaecido (inacessível), o recurso Sign-on único não foi instalado. Para instalar o recurso 'Usar o login do Windows' consulte Instalação e desinstalação do recurso Sign-on único para obter as instruções de instalação.
  1. Clique em Fechar para salvar as configurações e fechar o diálogo Configurações LEAP.
  2. Clique em AvançarA página avançado aparece.
  3. Perfis comuns e Conexão persistente: Se necessário, para ativar o recurso Perfil comum, selecione Este perfil pode ser usado por todos os usuários (Comum). Para ativar o recurso Conexão persistente, selecione Este perfil será usado quando nenhum usuário estiver logado (Persistente). Esses recursos são instalados durante o processo de instalação do software. Se esses recursos forem selecionados, ative também a opção Alternar para o gerenciamento de perfis comuns e persistentes, em Configurações avançadas.
  4. Se tiver selecionado a caixa de seleção Ativar Cisco Compatible Extensions na página Configurações gerais para ativar a segurança CCS, verifique se a caixa de seleção "Ativar célula mista Cisco" está selecionada.
  5. Clique em Concluir para salvar as configurações do perfil.
  6. Selecione um novo perfil na parte inferior da lista de perfis. Use as setas para cima e para baixo para posicionar o novo perfil na lista e estabelecer a sua prioridade.
  7. Clique em Conectar para conectar-se à rede sem fio selecionada.
  8. Digite suas credenciais LEAP. Marque a caixa de seleção Salvar as credenciais do usuário para salvar as credenciais para uso futuro com este perfil do 802.1x.
  9. Clique em OK para fechar o Intel(R) PROSet.

Configurações de cliente e ponto de acesso do CCX

O ponto de acesso dispõe de configurações para selecionar tipos diferentes de autenticação, dependendo do ambiente da WLAN. O cliente envia um campo Algoritmo de autenticação durante o entrosamento de sincronismo (handshake) de autenticação do 802.11 que ocorre entre o cliente e o PA, durante o estabelecimento da conexão. Os valores do Algoritmo de autenticação reconhecidos por um PA ativado por CCX são diferentes para os diversos tipos de autenticação. Por exemplo, o “EAP de Rede”, que destaca o LEAP, tem um valor de 0x80 enquanto o tipo “Aberto”, que é a autenticação aberta especificada pelo 802.11, e o “EAP Obrigatório”, que exige uma troca de entrosamento de sincronismo do EAP, têm valores de 0x0.

EAP de rede somente

PA: Para as redes ativadas pelo CCX usando a autenticação LEAP somente o tipo de autenticação é definido com a marcação da caixa de seleção “EAP de rede” e com as caixas “Aberto” e “EAP obrigatório” desmarcadas. O PA é, então, configurado para permitir que SOMENTE os clientes LEAP se autentiquem e se conectem. Nesse caso, o PA pressupõe que o algoritmo de autenticação do 802.11 esteja definido como 0x80 (LEAP) e recusa os clientes que tentarem a autenticação com um valor 0x0 de algoritmo de autenticação.

Cliente: Nesse caso, o cliente deve emitir um valor 0x80 de algoritmo de autenticação, a despeito de que o entrosamento de sincronismo (handshake) da autenticação do 802.11 venha a falhar. No processo de inicialização, quando o driver da rede sem fio já estiver carregado  mas não o requerente do Intel(R) PROSet, o cliente envia a autenticação do 802.11 com um valor de 0x0 de algoritmo de autenticação. Assim que o requerente do Intel(R) PROSet estiver carregado e incorporar o perfil LEAP, enviará a autenticação do 802.11 com um valor de 0x80 de algoritmo de autenticação.

EAP de rede, Aberto e EAP obrigatório

PA: Se as caixas EAP de rede, Aberto e EAP obrigatório estiverem marcadas, serão aceitos os dois tipos de valores (0x0 e 0x80) de algoritmo de autenticação do 802.11. Contudo, assim que o cliente estiver associado e autenticado, o PA espera a ocorrência de um entrosamento de sincronismo (handshake) de EAP. Se por algum motivo esse handshake de EAP não acontecer rapidamente, o PA não responderá ao cliente durante cerca de 60 segundos.

Cliente: Aqui, o cliente pode enviar um valor 0x80 ou 0x0 de algoritmo de autenticação. Ambos os valores são aceitáveis e o handshake da autenticação do 802.11 seria bem-sucedido. No processo de inicialização, quando o driver da rede sem fio já estiver carregado, o cliente enviará a autenticação do 802.11 com um valor de 0x0 de algoritmo de autenticação. Basta isso para se autenticar mas as respectivas credenciais do EAP e LEAP devem ser informadas ao PA para estabelecer a conexão.

Aberto e EAP obrigatório somente

PA: Se o PA estiver configurado com a caixa EAP de rede desmarcada, mas com as caixas Aberto e EAP obrigatório marcadas, o PA  recusará qualquer cliente que tentar a autenticação do 802.11 usando um valor 0x80 de algoritmo de autenticação. O PA aceitaria qualquer cliente usando o valor 0x0 de algoritmo de autenticação e pressupõe que o handshake do EAP iniciará logo depois. Nesse caso, o cliente usa o MD5, TLS, LEAP ou qualquer outro método do EAP adequado para a configuração da rede específica.

Cliente: Nesse caso, o cliente é obrigado a enviar um valor 0x0 de algoritmo de autenticação. Como mencionado anteriormente, a seqüência abrange uma repetição do handshake inicial da autenticação do 802.11. Primeiro, o driver da rede sem fio inicia a autenticação com um valor 0x0 e depois o requerente repete o processo. O cliente enviará uma autenticação do 802.11 com um valor 0x0 de algoritmo de autenticação mesmo depois de o requerente carregar e incorporar o perfil LEAP.

Rogue AP

O perfil LEAP assegurará que o cliente implemente o recurso Rogue AP exigido pelo CCX. O cliente registra os PAs cujas autenticações falharam e envia essa informação para o PA, que permite a sua autenticação e conexão. Além disso, o requerente define o tipo de algoritmo de autenticação com 0x80. Podem existir algumas configurações de rede implementando as opções Aberto e EAP obrigatório somente, como descrito anteriormente. Para que essa configuração funcione, o cliente deve usar um valor 0x0 para o algoritmo de autenticação, em vez de usar 0x80 para EAP de rede somente descrito anteriormente. Um perfil LEAP permite que o cliente suporte o EAP de rede somente e o Aberto e EAP obrigatório somente.

Nota: Consulte a documentação do Cisco Client extensions versão 2,0, disponível em www.cisco.com para obter mais detalhes.


Voltar ao índice