Tillbaka till Innehåll

Ställa in anslutningssäkerhet Intel(R) PRO/trådlös LAN Mini-PCI-kort Användarhandbok


Säkerhet och kryptering

Ställa in datakryptering och verifiering
Kryptering - översikt
Aktivera WEP-kryptering
Systemadministratörsuppgifter
Ställa in klienten för WEP- och MD5-verifiering
Ställa in klienten för WPA-PSK med WEP- eller TKIP-verifiering
Ställa in klienten för WPA med TKIP-kryptering och TLS-verifiering
Ställa in klienten för WPA med TKIP-kryptering och TTLS- eller PEAP-verifiering
Ställa in klienten för CCX med CKIP-kryptering och LEAP-verifiering


Ställa in datakryptering och verifiering

WEP-kryptering (Wired Equivalent Privacy) och delad verifiering hjälper till att tillhandahålla skydd för dina data i nätverket. WEP använder en krypteringsnyckel i syfte att kryptera data innan de överförs. Det är bara datorer som använder samma krypteringsnyckel som kan komma åt nätverket eller avkryptera de krypterade data som överförts av andra datorer. Verifieringen tillhandahåller en ytterligare valideringsprocess mellan adaptern och åtkomstpunkten. WEP-krypteringsalgoritmen är sårbar för passiva och aktiva nätverksattacker. TKIP- och CKIP-algoritmer inkluderar förbättringar i WEP-protokollet som lindrar befintliga nätverksattacker och tar itu med dess nackdelar

Öppen verifiering och verifiering med delad nyckel

802.11 stödjer två metoder för nätverksverifiering: öppet system och delad nyckel som använder 64-bitars och 128-bitars WEP-kryptering. Öppet-läget behöver ingen krypteringsverifieringsmetod för att associera med en specifik åtkomstpunkt. Verifieringsscheman som du kan använda är öppen och delad verifiering:

Nätverksnycklar

När Datakryptering (WEP, CKIP eller TKIP) är aktiverad används en nätverksnyckel för kryptering. En nätverksnyckel kan tillhandahållas till dig automatiskt (den kan t ex tillhandahållas på din trådlösa nätverksadapter eller du kan ange den själv och ange nyckellängden (64-bitars eller 128-bitars), nyckelformatet (ASCII-tecken eller hexadecimala siffror) och nyckelindex (den plats som en specifik nyckel lagras i). Ju längre nyckellängden är ju säkrare är nyckeln. Varje gång längden på en nyckel ökas med en bit fördubblas antalet möjliga nycklar.

Under 802.11 kan en trådlös station konfigureras med upp till fyra nycklar (nyckelindexvärdena är 1, 2, 3 och 4). När en åtkomstpunkt eller en trådlös station överför ett krypterat meddelande genom att använda en nyckel som förvaras i ett specifikt nyckelindex anger det överförda meddelandet det nyckelindex som användes för att kryptera meddelandetexten. Den mottagande åtkomstpunkten eller trådlösa stationen kan sedan hämta nyckeln som förvaras i nyckelindex och använda den för att avkoda den krypterade meddelandetexten.

Kryptering med statiska och dynamiska nyckeltyper

802.1x använder två olika typer av krypteringsnycklar, statiska och dynamiska. Statiska krypteringsnycklar ändras manuellt och är mer sårbara. MD5-verifiering använder bara statiska krypteringsnycklar. Dynamiska krypteringsnycklar förnyas automatiskt på en periodisk basis. Detta gör den eller de krypteringsnycklar mer säkra. För att kunna aktivera dynamiska krypteringsnycklar måste du använda 802.1x-verifieringsmetoder så som TLS, TTLS, PEAP eller LEAP.

Huvudpunkter för 802.1x-verifiering

802.1x-verifieringsmetoder inkluderar lösenord, certifikat och smarta kort (plastkort
för att förvarar data) 802.1x-funktionen för lösenordssynkronisering: Alternativet "Använd Windows-inloggning" i referensdialogrutan för MD5, TLS, TTLS och LEAP för att göra det möjligt att matcha 802.1x-referenserna med ditt användarnamn och lösenord för Windows. 802.1x-verifieringsalternativet kan bara användas med läget Infrastruktur.


Kryptering - översikt

Du kan uppnå säkerhet i WLAN genom att aktivera datakryptering med WEP (Wireless Encryption Protocol). Du kan välja kryptering på 64- eller 128-bitarsnivå. Data kan sedan också krypteras med en nyckel. En annan parameter som kallas nyckelindex ger dig möjlighet att skapa flera nycklar för den profilen. Du kan dock bara använda en nyckel åt gången. Du kan också välja att lösenordsskydda profilen i syfte att garantera sekretess.

Lösenordsmeningen används för att generera en WEP-nyckel automatiskt. Du kan välja att antingen använda en lösenordsmening eller ange en WEP-nyckel manuellt. Om du använder 64-bitarskryptering är lösenordsmeningen fem tecken lång och du kan välja att ange en slumpmässig fras som är lätt att komma ihåg såsom Acme1 eller ange 10 hexadecimala siffror för WEP-nyckeln som motsvarar det nätverk som användaren vill ansluta till. För 128-bitarskryptering är lösenordsmeningen 13 tecken lång eller så kan du ange 26 hexadecimala tecken för WEP-nyckeln för att anslutas till lämpligt nätverk.

Obs! Du måste använda samma krypteringstyp, nyckelindexnummer och WEP-nyckel som andra enheter i ditt trådlösa nätverk.


Aktivera WEP-kryptering

Följande exempel beskriver hur du kan redigera en befintlig profil och genomför WEP-kryptering.

Obs! Innan du börjar skall du kontakta systemadministratören för nätverkets WEP-lösenordsmening eller hexnyckel.
 

Aktivera WEP-kryptering:

  1. På sidan Allmänt klickar du på fliken Nätverk.
  2. Markera profilen i profillistan och klicka på knappen Redigera.
  3. Klicka på fliken Säkerhet.
  4. Markera valfritt läge för nätverksverifiering (Öppen rekommenderas).
  5. Markera WEP som datakryptering.
  6. Markera Ange manuell nyckel.
  7. Markera nyckelindexnummer 1, 2, 3 eller 4 (1 är standard)
  8. Välj krypteringsnivån på 64-bitar eller 128-bitar.
  9. Välj ett av följande:
  1. Spara profilinställningarna genom att klicka på OK.

Systemadministratörsuppgifter

Obs! Följande information är avsedd för systemadministratörer. Se Administratörsbehörighet och användare med begränsad behörighet för mer information

Inskaffa klientcertifikat

Om du inte har några certifikat för EAP-TLS eller EAP-TTLS måste du hämta ett klientcertifikat för att möjliggöra verifiering. Vanligtvis behöver du tala med systemnätverksadministratören för att få anvisningar om hur du inskaffar ett certifikat för ditt nätverk. Du kan hantera certifikat från “Internet-inställningar” som nås antingen från Internet Explorer eller Windows Kontrollpanelen-applet. Använd sidan "Innehåll" i "Internet-inställningar".

Windows XP och 2000: När du erhåller ett klientcertifikat ska du inte aktivera starkt skydd av den privata nyckeln. Om du aktiverar starkt skydd av den privata nyckeln för ett certifikat måste du ange ett åtkomstlösenord för certifikatet varje gång detta certifikat används. Du måste inaktivera starkt skydd av den privata nyckeln för certifikatet om du konfigurerar tjänsten för TLS/TTLS-verifiering. Annars klarar inte 802.1x-tjänsten verifieringen eftersom det inte finns någon inloggad användare som den kan visa instruktionsdialogen för.

Anteckningar om Smartkort

När du har installerat ett Smartkort installeras certifikatet automatiskt på datorn och du kan markera det i arkivet med personcertifikat och i rotcertifikatarkivet.

Ställa in klient för TLS-verifiering

Steg 1: Hämta ett certifikat

Innan du kan tillåta TLS-verifiering behöver du ett giltigt klientcertifikat (användarcertifikat) på den lokala förvaringsplatsen för den inloggade användarens konto. Du behöver också ett tillförlitligt CA-certifikat i rotarkivet.

Följande information ger dig två sätt att skaffa ett certifikat:

Hämta ett certifikat från Windows 2000-certifikatutfärdare:

  1. Starta Internet Explorer och gå till certifikatutfärdarens HTTP-tjänst (använd en URL såsom http://dindomänserver.dindomän/certsrv där certsrv är det kommando som tar dig till certifikatutfärdaren. Du kan också använda servermaskinens IP-adress t.ex. "192.0.2.12/certsrv."
  2. Inloggning till certifikatutfärdare med namnet och lösenordet för det användarkonto som du skapat (ovan) på verifieringsservern. Namnet och lösenordet behöver inte vara desamma som Windows inloggningsnamn och lösenord för din aktuella användare.
  3. På certifikatutfärdarens välkomstsida väljer du att begära en certifikatuppgift och skickar in formuläret.
  4. På sidan där du väljer typ av begäran väljer du Avancerad begäran och klickar sedan på Nästa.
  5. På sidan för begäran av avancerat certifikat markerar du alternativet att skicka en certifikatbegäran till denna certifikatutfärdare genom att använda ett formulär och klickar sedan på Skicka.
  6. På sidan Avancerad certifikatbegäran väljer du användarcertifikatmall. Välj Markera att nycklarna kan exporteras och klicka på Nästa. Använd de standardvärden som visas.
  7. På sidan Certifikatet har utfärdats markerar du Installera det här certifikatet.

Obs! Om detta är det första certifikatet som du har fått kommer certifikatutfärdaren att först fråga dig om den ska installera ett tillförlitligt certifikatutfärdarcertifikat i rotarkivet. Dialogrutan talar inte om att detta är ett tillförlitligt certifikatutfärdarcertifikat men namnet på certifikatet som visas kommer att vara certifikatutfärdarens värdnamn. Klicka på ja, att du behöver detta certifikat för både TLS och TTLS.

  1. Om certifikatet installerades utan problem visas meddelandet: “Det nya certifikatet har installerats”.
  2. Verifiera installationen genom att klicka på Internet Explorer > Verktyg > Internet-alternativ > Innehåll > Certifikat. Det nya certifikatet bör installeras i den personliga mappen.

Importera certifikat från en fil

  1. Öppna Internet-egenskaper (högerklicka på Internet Explorer-ikonen på skrivbordet och välj Egenskaper).
  2. Klicka på knappen Certifikat på innehållssidan. Detta öppnar listan med installerade certifikat.
  3. Klicka på knappen Importera under listan med certifikat. Detta startar Guiden Importera certifikat. (Obs! Steg 1 t.o.m. 3 kan också utföras genom att dubbelklicka på certifikatikonen.
  4. Markera filen och fortsätt till sidan Lösenord.
  5. På sidan Lösenord anger du åtkomstlösenordet för filen. Avmarkera alternativet Aktivera starkt skydd av den privata nyckeln.
  6. På sidan Certifikatarkiv markerar du Välj certifikatarkiv automatiskt utifrån certifikattyp (certifikatet måste användas i det personliga arkivet med användarkonton som ska finnas tillgängligt i klientdialogrutan Konfigurera. Detta händer om "automatiskt" markeras).
  7. Fortsätt till Slutföra certifikatimporten och klicka på knappen Slutför.

Hur du konfigurerar en profil genom att använda WPA-verifiering med WEP- eller TKIP-kryptering och TLS-verifiering.

Steg 2: Ange vilket certifikat som används av Intel(R) PROSet

Obs!Inskaffa och installera ett klientcertifikat, se Steg 1 eller tala med systemadministratören.
  1. På sidan Allmänt klickar du på fliken Nätverk.
  2. Klicka på Lägg till-knappen.
  3. Ange profilnamnet och nätverksnamnet (SSID).
  4. Välj Infrastruktur som driftsläge.
  5. Klicka på Nästa.
  6. Markera WPA som Nätverksverifiering.
  7. Markera WEP eller TKIP som datakryptering. 
  8. Markera kryssrutan 802.1x-aktiverad.
  9. Ställ in verifieringstypen till TLS som ska användas med denna anslutning.
  10. Klicka på knappen Konfigurera för inställningsdialogrutan.
  11. Ange ditt användarnamn i fältet Användarnamn.
  12. Markera "Certifikatutfärdare" i listan. Markera valfri tillförlitlig certifikatutfärdare som standard.
  13. Ange server-/certifikatnamnet. Ange server-/certifikatnamnet om du känner till det. Markera tillämpligt alternativ för at matcha servernamnet exakt eller ange domännamnet.

  14. Klientcertifikat: Detta alternativ väljer ett klientcertifikat från det personliga certifikatarkivet för Windows inloggade användare. Detta certifikat kommer att användas för klientverifiering. Klicka på knappen Välj för att öppna en lista med installerade certifikat.

Anmärkning om certifikat: Den angivna identiteten bör matcha fältet Utfärdat till i certifikatet och bör registreras på verifieringsservern (dvs. RADIUS-servern) som används av verifieraren. Ditt certifikat måste vara "giltigt" vad gäller verifieringsservern. Detta krav beror på verifieringsservern och innebär i allmänhet att verifieringsservern måste känna till certifikatutfärdaren som en Certifikatutfärdare (CA). Du bör vara inloggad med samma användarnamn som du använde när certifikatet installerades.

  1. Markera certifikatet i listan och klicka på OK. Klientcertifikatinformationen visas under Klientcertifikat.
  2. Klicka på Stäng.
  3. Klicka på Nästa.
  4. Spara profilinställningarna genom att klicka på knappen Slutför.

Ställa in klienten för WEP- och MD5-verifiering

Lägg till WEP- och MD5-verifiering i en ny profil så här: 

Obs! Innan du börjar skall du kontakta systemadministratören för RADIUS-serverns användarnamn och lösenord.

  1. På sidan Allmänt klickar du på fliken Nätverk.
  2. Klicka på Lägg till-knappen i profillistan.
  3. Ange profilnamnet och nätverksnamnet (SSID).
  4. Välj Infrastruktur som driftsläge.
  5. Klicka på Nästa.
  6. Välj Öppna (rekommenderas) som nätverksverifiering.
  7. Markera WEP som datakryptering.
  8. Markera nyckelindex 1, 2, 3 eller 4. (1 är standard)
  9. Markera antingen 64- eller 128-bitars som krypteringsnivå.
  10. Markera antingen Använd lösenordsmening eller Använd hexnyckel och skriv lösenordsmeningen eller nyckeln i textrutan.
  11. Markera kryssrutan 802.1x-aktiverad.
  12. Markera MD5 som 802.1x-verifieringstypen.
  13. Välj ett av följande alternativ:
Obs! Om Använd Windows-inloggning är nedtonat (inte valbart) är funktionen Engångsinloggning inte installerad. Avsnittet Installera eller avinstallera funktionen Engångsinloggning beskriver hur du installerar funktionen "Använd Windows-inloggning".
  1. Spara inställningarna genom att klicka på Stäng
  2. Klicka på Nästa.
  3. Gemensamma profiler och Bestående anslutning: Om du behöver aktivera en gemensam profil väljer du Den här profilen kan användas av alla användare (gemensam). Om du vill aktivera funktionen Beständig anslutning väljer du Den här profilen används när ingen användare är inloggad (beständig). Den här funktionen installeras under programvarans installationsprocess. Om du väljer dessa funktioner måste du också aktivera Växla till vanlig och bestående profilhantering i Avancerade inställningar.
  4. Spara profilinställningarna genom att klicka på Slutför.
  5. Markera den nya profilen längst ner i profillistan. Använd pil upp och pil ner för att ange prioritet för den nya profilen i prioritetslistan.
  6. Klicka på Anslut för att ansluta till det markerade trådlösa nätverket.
  1. Stäng Intel(R) PROSet genom att klicka på OK.

Ställa in klienten för WPA-PSK med WEP- eller TKIP-verifiering

Använd Wi-Fi-skyddad åtkomst Läget för nyckel som delats i förväg (WPA-PSK eller Pre Shared Key) om det inte används någon verifieringsserver. Detta läge använder inte något 802.1x-verifieringsprotokoll. Det kan användas med WEP- eller TKIP-datakryptering. WPA-PSK kräver konfiguration av en nyckel som delats i förväg (PSK). Du måste ange en lösenordsmening eller 64 hexadecimala tecken för en nyckel som delats i förväg med 256-bitars längd. Datakrypteringsnyckeln härleds från PSK.

Så här konfigurerar du en ny profil med WEP- eller TKIP-kryptering med WPA-PSK-nätverksverifiering:

  1. På sidan Allmänt klickar du på fliken Nätverk.
  2. Klicka på Lägg till-knappen.
  3. Ange profilnamnet och nätverksnamnet (SSID).
  4. Välj Infrastruktur som driftsläge.
  5. Klicka på Nästa.
  6. Markera WPA-PSK som Nätverksverifiering.
  7. Markera WEP eller TKIP som datakryptering. 
  8. Välj ett av följande:
  9. Klicka på Nästa.
  10. Spara profilinställningarna genom att klicka på Slutför.
  11. Markera den nya profilen längst ner i profillistan. Använd pil upp och pil ner för att ange prioritet för den nya profilen i prioritetslistan.
  12. Klicka på Anslut för att ansluta till det markerade trådlösa nätverket.
  13. Stäng Intel(R) PROSet genom att klicka på OK.

Ställa in klienten för WPA med WEP- eller TKIP-kryptering och TLS-verifiering

Läget Wi-Fi Protected Access (WPA) kan användas med TLS, TTLS eller PEAP. Detta 802.1x-verifieringsprotokoll med datakrypteringsalternativ: WEP eller TKIP. WPA-läget (Wi-Fi Protected Access) binds med 802.1x-verifiering. Datakrypteringsnyckeln mottages från 802.1x-nyckelutbytet. I syfte att förbättra datakryptering använder Wi-Fi Protected Access sin TKIP (Temporal Key Integrity Protocol). TKIP tillhandahåller viktiga datakrypteringsförbättringar inklusive en metod för nyckeluppdatering.

  1. Inskaffa och installera ett klientcertifikat, se Ställa in klient för TLS-verifiering eller tala med systemadministratören.
  2. På sidan Allmänt klickar du på fliken Nätverk.
  3. Klicka på Lägg till-knappen.
  4. Ange profilnamnet och nätverksnamnet (SSID).
  5. Välj Infrastruktur som driftsläge.
  6. Klicka på Nästa.
  7. Markera WPA som Nätverksverifiering.
  8. Markera WEP- eller TKIP-datakryptering. 
  9. Ställ in verifieringstypen till TLS som ska användas med denna anslutning.
  10. Klicka på knappen Konfigurera för inställningsdialogrutan.
  11. Ange ditt användarnamn i fältet Användarnamn.

  12. Markera Certifikatutfärdare i listan. Markera valfri tillförlitlig certifikatutfärdare som standard.

  13. Klicka på kryssrutan tillåta mellanliggande certifikat för att låta ett antal ej angivna certifikat att finnas i servercertifikatkedjan mellan servercertifikatet och angiven certifikatutfärdare. Om certifikatutfärdaren avmarkeras måste certifikatutfärdaren ha utfärdat servercertifikatet direkt.

  14. Ange servernamnet. Om du känner till servernamnet anger du detta namn. Markera tillämpligt alternativ för at matcha servernamnet exakt eller ange domännamnet.

  15. Under alternativet "Klientcertifikat" klickar du på knappen Välj.

Anmärkning om certifikat: Den angivna identiteten bör matcha fältet Utfärdat till i certifikatet och bör registreras på verifieringsservern (dvs. RADIUS-servern) som används av verifieraren. Ditt certifikat måste vara "giltigt" vad gäller verifieringsservern. Detta krav beror på verifieringsservern och innebär i allmänhet att verifieringsservern måste känna till certifikatutfärdaren som en Certifikatutfärdare (CA). Du bör vara inloggad med samma användarnamn som du använde när certifikatet installerades.

  1. Markera certifikatet i listan och klicka på OK. Klientcertifikatinformationen visas under Klientcertifikat.
  2. Klicka på Stäng.
  3. Klicka på Nästa.
  4. Spara profilinställningarna genom att klicka på Slutför.
  5. Markera den nya profilen längst ner i profillistan. Använd pil upp och pil ner för att ange prioritet för den nya profilen i prioritetslistan.
  6. Klicka på Anslut för att ansluta till det markerade trådlösa nätverket.
  7. Stäng Intel(R) PROSet genom att klicka på OK.

Ställa in klienten för WPA med WEP- eller TKIP-kryptering och TTLS- eller PEAP-verifiering

TTLS-verifiering: Dessa inställningar anger protokoll och den identifierande information som används för att verifiera en användare. I TTLS använder klienten EAP-TLS för att validera servern och för att skapa en TLS-krypterad kanal mellan klient och server. Klienten kan använda ett annat verifieringsprotokoll, vanligtvis lösenordsbaserade protokoll såsom MD5 Challenge över denna krypterade kanal för att aktivera servervalidering. Fråge- (challenge) och svarspaket skickas över en icke-utsatt TLS-krypterad kanal.

PEAP-verifiering: PEAP-inställningar krävs för verifiering av klienten till verifieringsservern. I PEAP använder klienten EAP-TLS för att validera servern och för att skapa en TLS-krypterad kanal mellan klient och server. Klienten kan använda en annan EAP-mekanism såsom MSCHAP (Microsoft Challenge Authentication Protocol) Version 2, över denna krypterade kanal för att aktivera servervalidering. Fråge- (challenge) och svarspaket skickas över en icke-utsatt TLS-krypterad kanal.

Följande exempel beskriver hur du använder WPA med WEP- eller TKIP-kryptering och TTLS- eller PEAP-verifiering.

  1. Inskaffa och installera ett klientcertifikat, se Ställa in klient för TLS-verifiering eller tala med systemadministratören.
  2. På sidan Allmänt klickar du på fliken Nätverk.
  3. Klicka på Lägg till-knappen.
  4. Ange profilnamnet och nätverksnamnet (SSID).
  5. Välj Infrastruktur som driftsläge.
  6. Klicka på Nästa.
  7. Markera WPA som Nätverksverifiering.
  8. Markera WPA eller TKIP som datakryptering. 
  9. Markera 802.1x-aktiverad.
  10. Ställ in verifieringstypen till TTLS eller PEAP som ska användas med denna anslutning.
  11. Klicka på knappen Konfigurera för att öppna inställningsdialogrutan.
  12. Använda referensanvändarnamn som EAP-identitet:Om kryssrutan är avmarkerad skickas en fördefinierad sträng, “anonymous”, som verifieringsprotokoll.Denna funktion använder en mindre säker verifieringsmetod som skickar det verkliga användarnamnet utan kryptering. Denna metod är giltig för alla verifieringsservrar, specifikt för Microsoft IAS RADIUS som endast accepterar giltigt användarnamn.
  13. Markera Certifikatutfärdare i listan. Markera valfri tillförlitlig certifikatutfärdare som standard. Klicka på kryssrutan tillåta mellanliggande certifikat för att låta ett antal ej angivna certifikat att finnas i servercertifikatkedjan mellan servercertifikatet och angiven certifikatutfärdare. Om certifikatutfärdaren avmarkeras måste certifikatutfärdaren ha utfärdat servercertifikatet direkt.
  14. Ange servernamnet.

  1. Verifieringsprotokoll:
  2. Välj ett av följande alternativ:
Obs! Om Använd Windows-inloggning är nedtonat (inte valbart) är funktionen Engångsinloggning inte installerad. Avsnittet Installera eller avinstallera funktionen Engångsinloggning beskriver hur du installerar funktionen "Använd Windows-inloggning".
  1. Använd klientcertifikat: Detta alternativ väljer ett klientcertifikat från det personliga certifikatarkivet för Windows inloggade användare. Detta certifikat kommer att användas för klientverifiering. Klicka på knappen Välj för att öppna en lista med installerade certifikat.

Anmärkning om certifikat: Den angivna identiteten bör matcha fältet Utfärdat till i certifikatet och bör registreras på verifieringsservern (dvs. RADIUS-servern) som används av verifieraren. Ditt certifikat måste vara "giltigt" vad gäller verifieringsservern. Detta krav beror på verifieringsservern och innebär i allmänhet att verifieringsservern måste känna till certifikatutfärdaren som en Certifikatutfärdare (CA). Du bör vara inloggad med samma användarnamn som du använde när certifikatet installerades.

  1. Markera certifikatet i listan och klicka på OK. Klientcertifikatinformationen visas under Klientcertifikat.
  2. Klicka på Stäng.
  3. Klicka på Nästa.
  4. Markera den nya profilen längst ner i profillistan. Använd pil upp och pil ner för att ange prioritet för den nya profilen i prioritetslistan.
  5. Klicka på Anslut för att ansluta till det markerade trådlösa nätverket.
  1. Stäng Intel(R) PROSet genom att klicka på OK.

Ställa in klienten för CCX med CKIP-kryptering och LEAP-verifiering

Konfigurera LEAP med Intel(R) PROSet
Obs! En LEAP-profil kan endast konfigureras med Intel(R) PROSet.  

En Intel(R) PROSet CCX (v1.0)-profil måste konfigureras för att ansluta till ett visst ESS- eller trådlöst LAN-nätverk. Profilinställningarna inkluderar LEAP, CKIP och Rogue AP-avkänning.

Konfigurera en profil för CCX-säkerhetsinställningar:

  1. På sidan Allmänt klickar du på fliken Nätverk.
  2. Klicka på Lägg till-knappen.
  3. Ange profilnamnet och nätverksnamnet (SSID).
  4. Välj Infrastruktur som driftsläge.
  5. Markera kryssrutan Aktivera Cisco Compatible Extensions för att aktivera CCX-säkerhet. Om du har markerat Cisco-rutan "Blandad cell" i Avancerade inställningar måste du markera det här alternativet också. Obs! Nätverksverifiering och Datakryptering inkluderar nu följande alternativ för CCX-säkerhet: Öppen, Delad för 802.11-verifiering och ingen, WEP, CKIP för datakryptering.
  6. Klicka på Nästa.
  7. Välj Öppna i alternativen för nätverksverifiering.
  8. Markera CKIP som datakryptering.
  9. Klicka på kryssrutan 802.1x-aktiverad för att aktivera säkerhetsalternativet 802.1x.
  10. Markera 802.1x-verifieringstypen LEAP.
  11. Klicka på Konfigurera för att öppna dialogrutan LEAP-inställningar.
  12. Välj ett av följande alternativ:
Obs! Om Använd Windows-inloggning är nedtonat (inte valbart) är funktionen Engångsinloggning inte installerad. Avsnittet Installera eller avinstallera funktionen Engångsinloggning beskriver hur du installerar funktionen "Använd Windows-inloggning".
  1. Klicka på Stäng för att spara och stänga dialogrutan för LEAP-inställningar.
  2. Klicka på NästaSidan Avancerat öppnas.
  3. Gemensamma profiler och Bestående anslutning: Om du behöver aktivera en gemensam profil väljer du Den här profilen kan användas av alla användare (gemensam). Om du vill aktivera funktionen Beständig anslutning väljer du Den här profilen används när ingen användare är inloggad (beständig). Den här funktionen installeras under programvarans installationsprocess. Om du väljer dessa funktioner måste du också aktivera Växla till vanlig och bestående profilhantering i Avancerade inställningar.
  4. Om du markerar kryssrutan Aktivera Cisco Compatible Extensions på sidan Allmänna inställningar för att aktivera CCX-säkerhet, ska du kontrollera att Cisco-kryssrutan "Aktivera Ciscos Blandad cell" är markerad.
  5. Spara profilinställningarna genom att klicka på Slutför.
  6. Markera den nya profilen längst ner i profillistan. Använd pil upp och pil ner för att ange prioritet för den nya profilen i prioritetslistan.
  7. Klicka på Anslut för att ansluta till det markerade trådlösa nätverket.
  8. Ange dina LEAP-referenser. Markera kryssrutan Spara användarreferenser om du vill spara referenserna för framtida användning med denna 802.1x-profil.
  9. Stäng Intel(R) PROSet genom att klicka på OK.

CCX: konfigurationer för åtkomstpunkt och klient

Åtkomstpunkten tillhandahåller inställningar med vars hjälp du kan välja olika verifieringstyper beroende på WLAN-miljön. Klienten skickar ett verifieringsalgoritmfält under 802.11-verifieringshandskakningen som sker mellan klienten och åtkomstpunkten när anslutningen etableras. Verifieringsalgoritmvärdena som erkänns av en CCX-aktiverad åtkomstpunkt är olika för de olika verifieringstyperna. Network-EAP som exempelvis betecknar LEAP har ett värde som är 0x80 medan Öppen, som är den 802.11-angivna Öppen-verifieringen, och Required EAP, som kräver ett utbyte av EAP-handskakning, har värden som är 0x0.

Endast Network-EAP

AP (åtkomstpunkt): För CCX-aktiverade nätverk som använder LEAP-verifieringen är det bara verifieringstypen som anges med kryssrutan Network-EAP markerad och kryssrutorna Open och Required EAP avmarkerade. Åtkomstpunkten konfigureras sedan för att BARA låta LEAP-klienter verifiera och ansluta. I det här fallet förväntar sig åtkomstpunkten att 802.11-verifieringsalgoritmen ställs in till 0x80 (LEAP) och avvisar klienter som provar verifiering med ett verifieringsalgoritmvärde som är 0x0.

Klient: I det här fallet måste klienten skicka ut ett verifieringsalgoritmvärde som är 0x80 för annars skulle 802.11-verifieringshandskakningen misslyckas. Under start, när drivrutinen för trådlöst LAN redan laddats, men Intel(R) PROSet-anropningen fortfarande inte är laddad, så skickar klienten 802.11-verifiering med ett verifieringsalgoritmvärde som är 0x0. När Intel(R) PROSet-anropningen laddas och engagerar LEAP-profilen skickar den 802.11-verifiering med ett verifieringsalgoritmvärde som är 0x80.

Network-EAP, Open och Required EAP

AP (åtkomstpunkt): Om rutorna Network-EAP, Open och Required EAP är markerade så skulle den acceptera båda typer av 802.11-verifieringsalgoritmvärdena 0x0 och 0x80. Men när klienten associerats och verifierats förväntar sig åtkomstpunkten att en EAP-handskakning ska ske. Om EAP-handskakningen inte sker snabbt nog så skulle åtkomstpunkten inte svara klienten i ungefär 60 sekunder.

Klient: Här skulle klienten kunna skicka ut ett verifieringsalgoritmvärde som är 0x80 eller 0x0. Båda värden är acceptabla och 802.11-verifieringshandskakningen skulle följa. Under start, när drivrutinen för trådlöst LAN redan laddats och klienten skickar 802.11-verifiering med ett verifieringsalgoritmvärde som är 0x0. Detta är tillräckligt för att verifieras men motsvarande EAP- eller LEAP-referenser måste kommuniceras till åtkomstpunkten för att etablera en anslutning.

Endast Open och Required EAP

AP (åtkomstpunkt): I det fall där åtkomstpunkten konfigureras med Network-EAP avmarkerat, men Open och Required EAP är markerade, kommer åtkomstpunkten att avvisa alla klienter som försöker 802.11-verifiera genom att använda ett verifieringsalgoritmvärde som är 0x80. Åtkomstpunkten skulle acceptera valfri klient som använder ett verifieringsalgoritmvärde som är 0x0 och förväntar sig att en EAP-handskakning påbörjas snart därefter. I det här fallet använder klienten MD5, TLS, LEAP eller någon annan lämplig EAP-metod som passar för den specifika nätverkskonfigurationen.

Klient: Klienten i det här fallet måste skicka ut ett verifieringsalgoritmvärde som är 0x0. Som vi nämnt innan involverar sekvensen en upprepning av den initiala 802.11-verifieringshandskakningen. Först initierar drivrutinen för det trådlösa LAN verifiering med ett värde som är 0x0 och senare skulle anropningen upprepa processen. Klienten sänder en 802.11-verifiering med verifieringsalgoritmvärdet 0x0 efter det att anroparen laddas och engagerar LEAP-profilen.

Rogue AP

En LEAP-profil garanterar klientimplementationer av Rogue AP-funktionen eftersom den behövs för CCX. Klienten tar notis om åtkomstpunkter där verifieringen misslyckades och skickar denna information till åtkomstpunkten som tillåter verifiering och att den ansluter. Anroparen ställer dessutom in verifieringsalgoritmtypen till 0x80. Det kan finnas vissa nätverkskonfigurationer som implementerar och använder endast Open och Required EAP som det beskrivs ovan. För att denna installation ska gälla måste klienten använda ett verifieringsalgoritmvärde som är 0x0, i motsats till behovet att använda 0x80 för endast Network-EAP som beskrivs ovan. En LEAP-profil aktiverar klienten så att enbart Network-EAP och Open och Required EAP stöds.

Obs! Se Cisco Client Extensions Version 2.0-dokumentet på www.cisco.com för mer information.


Tillbaka till Innehåll