Regresar a la página de contenido

Configuración de la seguridad de la conexión: Guía del usuario del adaptador Mini PCI para red local Intel(R) PRO/Wireless


Seguridad y codificación

Configuración de la codificación y autenticación de datos
Descripción de la codificación
Activación de la codificación WEP
Tareas del administrador de sistemas
Configuración del cliente para la autenticación WEP y MD5
Configuración del cliente para WPA-PSK con la autenticación WEP o TKIP
Configuración del cliente para WPA con la codificación TKIP y la autenticación TLS
Configuración del cliente para WPA con la codificación TKIP y la autenticación TTLS o PEAP
Configuración del cliente para CCX con la codificación CKIP y la autenticación LEAP


Configuración de la codificación y autenticación de datos

La codificación y autenticación compartida de la privacidad equivalente a cables (WEP) ayuda a brindar protección a los datos en una red. WEP utiliza una clave de codificación para codificar los datos antes de transmitirlos. Sólo los equipos que utilicen la misma clave de codificación pueden tener acceso a la red o descodificar los datos codificados transmitidos por otros equipos. La autenticación ofrece un proceso de validación adicional desde el adaptador hasta el punto de acceso. El algoritmo de codificación WEP es vulnerable a los ataques de red pasivos y activos. Los algoritmos TKIP y CKIP incluyen mejoras al protocolo WEP que mitigan los ataques de red existentes y fortalecen sus flaquezas.

Autenticación de clave abierta y compartida

802.11 admite dos tipos de métodos de autenticación de red; el sistema abierto y el compartido, los cuales utilizan la codificación WEP de 64 y 128 bits. El modo abierto no requiere un método de autenticación de la codificación asociado a un punto de acceso ad hoc. Los métodos de autenticación admitidos son la autenticación abierta y la compartida:

Claves de red

Cuando está activada la codificación de datos (WEP, CKIP o TKIP), se utiliza una clave de red para la codificación. Se puede proporcionar automáticamente una clave de red para el usuario (por ejemplo, se puede proporcionar en el adaptador de red inalámbrico o el usuario puede escribirla y especificar la longitud (64 bits o 128 bits), el formato (caracteres ASCII o dígitos hexadecimales) y el índice (la ubicación de una clave determinada). Cuanto más larga es la clave, más segura es ésta. Cada vez que se aumenta un bit a la longitud de la clave, el número de claves posibles se duplica.

Bajo 802.11, se puede configurar una estación inalámbrica con un máximo de cuatro claves (los valores del índice de las claves son 1, 2, 3 y 4). Cuando un punto de acceso o una estación inalámbrica transmite un mensaje codificado mediante una clave almacenada en un índice de claves determinado, el mensaje transmitido indica el índice de la clave que se utilizó para codificar el cuerpo del mensaje. El punto de acceso o estación inalámbrica receptora puede, a continuación, recuperar la clave que está en el índice de la clave y utilizarla para descodificar el cuerpo codificado del mensaje.

Tipos de claves de codificación estáticas y dinámicas

802.1x utilice dos tipos de claves de codificación estáticas y dinámicas. Las claves de codificación estáticas se cambian manualmente y son más vulnerables. La autenticación MD5 utiliza sólo claves de codificación estáticas. Las claves de codificación dinámicas se renuevan automáticamente de forma periódica. Esto hace que las claves sean más seguras. Para activar las claves de codificación dinámicas, debe utilizar los métodos de autenticación 802.1x, tales como TLS, TTLS, PEAP o LEAP.

Puntos clave de la autenticación 802.1x

Los métodos de autenticación 802.1x incluyen contraseñas, certificados y tarjetas inteligentes (tarjetas plásticas
que contienen datos) Función de capacidad de sincronización de contraseña 802.1x: La opción "Usar el inicio de sesión de Windows" del diálogo Credenciales de MD5, TLS, TTLS y LEAP permite que las credenciales 802.1x coincidan con en nombre de usuario y la contraseña de Windows. La opción de autenticación 802.1x sólo se puede utilizar con el modo de operación de infraestructura.


Descripción de la codificación

La seguridad de la WLAN se puede complementar activando la codificación de datos mediante WEP (Protocolo de codificación inalámbrico). Se puede elegir un nivel de codificación de 64 ó 128 bits. Además, los datos se pueden codificar a continuación con una clave. Otro parámetro, denominado índice de claves, ofrece la opción de crear varias claves para el perfil de que se trate. No obstante, sólo se puede usar una clave al mismo tiempo. También existe la opción de proteger el perfil mediante contraseña, para asegurar la privacidad.

La frase de autenticación se utiliza para generar automáticamente una clave WEP. Existe la opción de o bien usar una frase de autenticación o bien introducir manualmente una clave WEP. Usando la codificación de 64 bits, la frase de autenticación consta de 5 caracteres, y se puede optar por o bien introducir una frase cualquiera que sea fácil de recordar, como por ejemplo Acme1, o bien introducir los 10 caracteres hexadecimales de la clave WEP correspondiente a la red a la que se conecta el usuario. En la codificación de 128 bits, la frase de autenticación consta de 13 caracteres, o bien la otra opción es introducir los 26 caracteres hexadecimales correspondientes a la clave WEP de la red adecuada.

Nota: Debe utilizar el mismo tipo de codificación, número de índice de claves y clave WEP que los otros dispositivos en la red inalámbrica.


Activación de la codificación WEP

El ejemplo siguiente describe la edición de un perfil existente y la aplicación de la codificación WEP.

Nota: Antes de empezar, comuníquese con el administrador del sistema para obtener la frase de autenticación o la clave hexadecimal WEP de la red.
 

Para activar la codificación WEP:

  1. Desde la página General, haga clic en la ficha Redes.
  2. Seleccione el perfil en la lista de perfiles y haga clic en el botón Editar.
  3. Haga clic en la ficha Seguridad.
  4. Seleccione cualquier modo de autenticación de red (se recomienda el modo abierto).
  5. Seleccione WEP para la codificación de datos.
  6. Seleccione Establecer clave manual.
  7. Seleccione un número de índice de clave 1, 2, 3 ó 4 (el valor predeterminado es 1)
  8. Seleccione el nivel de codificación de 64 bits o de 128 bits.
  9. Seleccione uno de los siguientes:
  1. Haga clic en Aceptar para guardar la configuración de perfil.

Tareas del administrador de sistemas

Nota: La información siguiente está dirigida a los administradores de sistemas. Consulte Privilegios de administradores y usuarios con restricciones, si desea más información

Obtención de un certificado de cliente

Si no tiene ningún certificado para EAP-TLS o EAP-TTLS, debe obtener un certificado de cliente para permitir la autenticación. Por lo general, debe consultar con el administrador de sistemas para obtener instrucciones sobre la obtención de un certificado en la red. Los certificados se pueden gestionar en "Configuración de Internet", en Internet Explorer o en el Panel de control de Windows. Utilice la página "Contenido" en "Configuración de Internet".

Windows XP y 2000: Cuando se obtiene un certificado de cliente, no debe activarse la protección de clave privada robusta. Si activa la protección de clave privada robusta para un certificado, tendrá que escribir una contraseña de acceso para el certificado cada vez que se utilice éste. Debe desactivar la protección de clave privada robusta para el certificado si está configurando el servicio para la autenticación TLS/TTLS. De lo contrario, el servicio 802.1x fallará en la autenticación debido a que no existe un usuario que haya iniciado la sesión para quien visualizar el diálogo.

Notas sobre las tarjetas inteligentes

Después de instalar una tarjeta inteligente, se instala automáticamente el certificado en el equipo y puede seleccionarse desde el almacenamiento de certificados de la persona y el almacenamiento de certificados raíz.

Configuración del cliente para la autenticación TLS

Paso 1: Obtención de un certificado

Para permitir la autenticación TLS, necesita un certificado de cliente (usuario) válido en el depósito local para la cuenta del usuario que ha iniciado la sesión.  También necesita un certificado de CA de confianza en el almacenamiento raíz.

La información siguiente ofrece dos métodos para la obtención de un certificado;

Obtención de un certificado de una CA de Windows 2000:

  1. Inicie Internet Explorer y vaya al servicio HTTP de autoridad de certificación, (utilice una URL, tal como  http://servidordedominio.dominio/certsrv, donde certsrv es el comando que llama a la autoridad de certificación). También puede utilizar la dirección IP del equipo servidor, tal como "192.0.2.12/certsrv."
  2. Inicie una sesión en la CA con el nombre y contraseña de la cuenta de usuario creada anteriormente en el servidor de autenticación. El nombre y la contraseña no tienen que ser los mismos que se utilizan para el inicio de sesión en Windows del usuario actual.
  3. En la página de bienvenida de la CA, seleccione Request a certificate task (solicitar una tarea de certificado) y envíe el formulario.
  4. En la página Elegir tipo de solicitud, seleccione Avanzada y haga clic en Siguiente.
  5. En la página Solicitudes de certificados avanzadas, seleccione Enviar una solicitud de certificado a esta CA mediante un formulario y haga clic en Enviar.
  6. En la página Solicitud de certificado avanzada elija la plantilla de certificado Usuario. Seleccione Marcar las claves como exportables y haga clic en Siguiente. Utilice los valores predeterminados mostrados.
  7. En la página Certificado emitido seleccione Instalar este certificado.

Nota: Si éste es el primer certificado que obtiene, la CA primero le preguntará si debe instalar un certificado de CA de confianza en el almacenamiento raíz. El diálogo no indica que se trata de un certificado de CA de confianza, pero el nombre que se muestra en el certificado es el del host de la CA. Haga clic en , necesita este certificado tanto para TLS como para TTLS.

  1. Si se ha instalado el certificado de forma satisfactoria, verá el mensaje "El certificado nuevo se ha instalado de forma satisfactoria".
  2. Para verificar la instalación, haga clic en Internet Explorer > Herramientas > Configuración de Internet > Contenido > Certificados. El certificado nuevo debe estar instalado en la carpeta "Personal".

Importación de un certificado de un archivo

  1. Abra Propiedades de Internet (haga clic con el botón secundario del ratón en el icono Internet Explorer en el escritorio y seleccione Propiedades).
  2. Haga clic en el botón Certificados en la página Contenido. Se abre la lista de los certificados instalados.
  3. Haga clic en el botón Importar bajo la lista de certificados. Se inicia el asistente de importación de certificados. (Nota: Los pasos del 1 al 3 también pueden efectuarse haciendo doble clic en el icono del certificado).
  4. Seleccione el archivo y vaya a la página Contraseña.
  5. En la página Contraseña especifique la contraseña de acceso para el archivo. Desmarque la opción Enable strong private key protection (activar la protección de clave privada robusta).
  6. En la página Almacenamiento de certificado seleccione "Seleccionar automáticamente el almacenamiento de certificado en base al tipo de certificado" (el certificado debe encontrarse en el almacenamiento personal de cuentas de usuario para que esté accesible en el diálogo de configuración del cliente, lo cual sucede si se selecciona ‘automatico’).
  7. Vaya a "Completar la importación del certificado" y haga clic en el botón Finalizar.

Para configurar perfiles haciendo uso de la autenticación WPA con la codificación WEP o TKIP, y la autenticación TLS.

Paso 2: Especificación del certificado utilizado por Intel(R) PROSet

Nota: Obtenga e instale un certificado de cliente, vea el paso 1 o consulte con el administrador de sistemas.
  1. Desde la página General, haga clic en la ficha Redes.
  2. Haga clic en el botón Agregar.
  3. Escriba el nombre de perfil y red (SSID).
  4. Seleccione Infraestructura como el modo de operación.
  5. Haga clic en Siguiente.
  6. Seleccione WPA para la autenticación de red.
  7. Seleccione WEP o TKIP para la codificación de datos.
  8. Haga clic en la casilla Activado para 802.1x.
  9. Defina el tipo de autenticación en TLS para utilizarlo con esta conexión.
  10. Haga clic en el botón Configurar para abrir el diálogo de configuración.
  11. Escriba el nombre de usuario en el campo Nombre de usuario.
  12. Seleccione el "Emisor del certificado" en la lista. Seleccione cualquier CA de confianza como la opción predeterminada.
  13. Escriba el nombre del servidor o certificado. Si sabe el nombre del servidor o certificado, escríbalo. Seleccione la opción adecuada para el nombre del servidor o especifique el nombre del dominio.

  14. Certificado de cliente: Esta opción selecciona un certificado de cliente en el almacén de certificados personales del usuario que inició la sesión en Windows. Este certificado se utilizará para la autenticación de clientes. Haga clic en el botón Seleccionar para abrir una lista de certificados instalados.

Nota sobre los certificados: La identidad especificada debe coincidir con el campo "Emitido para" en el certificado y debe registrarse en el servidor de autenticación (por ejemplo, el servidor RADIUS) que utiliza el autenticador. El certificado debe ser "válido" con respecto al servidor de autenticación. Este requisito depende del servidor de autenticación y por lo general significa que el servidor de autenticación debe conocer al emisor del certificado como autoridad de certificación. Debe iniciar la sesión con el nombre de usuario que utilizó cuando se instaló el certificado.

  1. Seleccione el certificado de la lista y haga clic en Aceptar. La información del certificado cliente se muestra bajo "Certificado de cliente".
  2. Haga clic en Cerrar.
  3. Haga clic en Siguiente.
  4. Haga clic en el botón Finalizar para guardar las opciones de perfil.

Configuración del cliente para la autenticación WEP y MD5

Para agregar la autenticación WEP y MD5 a un perfil nuevo:

Nota: Antes de empezar, comuníquese con el administrador de sistemas para obtener el nombre de usuario y la contraseña del servidor RADIUS.

  1. Desde la página General, haga clic en la ficha Redes.
  2. Haga clic en el botón Agregar en la Lista de perfiles.
  3. Escriba el nombre de perfil y red (SSID).
  4. Seleccione Infraestructura como el modo de operación.
  5. Haga clic en Siguiente.
  6. Seleccione Abierta (valor recomendado) para la autenticación de red.
  7. Seleccione WEP para la codificación de datos.
  8. Seleccione el índice de claves 1, 2, 3 ó 4. (la clave predeterminada es 1)
  9. Seleccione 64 bits o 128 bits para el nivel de codificación.
  10. Seleccione Utilizar una frase de autenticación o Utilizar una clave hexadecimal y escriba la frase de autenticación o la clave en el cuadro de texto.
  11. Haga clic en la casilla Activado para 802.1x.
  12. Seleccione MD5 para el tipo de autenticación 802.1x.
  13. Seleccione una de la opciones siguientes:
Nota: Si la función 'Usar el inicio de sesión de Windows' está atenuada (no disponible), quiere decir que no se ha instalado la función de Inicio único de sesión. Para instalar la función 'Usar el inicio de sesión de Windows', consulte Instalación o desinstalación de la función de Inicio único de sesión, para obtener instrucciones de instalación.
  1. Haga clic en Cerrar para guardar las opciones.
  2. Haga clic en Siguiente.
  3. Perfiles comunes y Conexión persistente: De ser necesaria la activación del perfil común, seleccione Todos los usuarios pueden utilizar el perfil (común). Para activar la función de Conexión persistente, seleccione Utilizar el perfil cuando ningún usuario haya iniciado una sesión (persistente). Estas funciones se instalan durante el proceso de instalación del software. Si selecciona estas funciones, también debe activar Cambiar a la gestión de perfiles persistentes y comunes en las Opciones avanzadas.
  4. Haga clic en el botón Finalizar para guardar las opciones de perfil.
  5. Seleccione el perfil nuevo en la parte inferior de la lista de perfiles. Utilice las flechas de arriba y abajo para colocar el perfil nuevo en la prioridad deseada en la lista de prioridades.
  6. Haga clic en Conectar para establecer conexión con la red inalámbrica seleccionada.
  1. Haga clic en Aceptar para cerrar Intel(R) PROSet.

Configuración del cliente para WPA-PSK con la autenticación WEP o TKIP

Utilice el modo de Acceso protegido Wi-Fi y Clave precompartida (WPA-PSK) si no se está utilizando un servidor de autenticación. Este modo no utiliza ningún protocolo de autenticación 802.1x. Se puede utilizar con la codificación de datos WEP o TKIP. WPA-PSK requiere la configuración de una clave precompartida (PSK). Debe escribir una frase de autenticación o 64 caracteres hexadecimales para una clave precompartida de 256 bits de longitud. La clave de codificación de datos se deriva de PSK.

Para configura un perfil nuevo con la codificación WEP o TKIP y la autenticación de red WPA-PSK:

  1. Desde la página General, haga clic en la ficha Redes.
  2. Haga clic en el botón Agregar.
  3. Escriba el nombre de perfil y red (SSID).
  4. Seleccione Infraestructura como el modo de operación.
  5. Haga clic en Siguiente.
  6. Seleccione WPA-PSK para la autenticación de red.
  7. Seleccione WEP o TKIP para la codificación de datos.
  8. Seleccione uno de los siguientes:
  9. Haga clic en Siguiente.
  10. Haga clic en el botón Finalizar para guardar las opciones de perfil.
  11. Seleccione el perfil nuevo en la parte inferior de la lista de perfiles. Utilice las flechas de arriba y abajo para colocar el perfil nuevo en la prioridad deseada en la lista de prioridades.
  12. Haga clic en Conectar para establecer conexión con la red inalámbrica seleccionada.
  13. Haga clic en Aceptar para cerrar Intel(R) PROSet.

Configuración del cliente para WPA con la codificación WEP o TKIP y la autenticación TLS

Se puede utilizar el Acceso protegido Wi-Fi (WPA) con TLS, TTLS o PEAP. El protocolo de autenticación 802.1x utiliza las opciones de codificación de datos WEP o TKIP. El modo de acceso protegido Wi-Fi (WPA) se asocia con la autenticación 802.1x. La clave de codificación de datos se recibe del intercambio de datos 802.1x. Para mejorar la codificación de los datos, el Acceso protegido Wi-Fi utiliza el Protocolo de integridad de claves (TKIP). TKIP ofrece mejoras significativas a la codificación de datos, lo cual incluye un método de reintroducción de clave.

  1. Obtenga e instale un certificado de cliente; consulte Configuración del cliente para la autenticación TLS o consulte con el administrador de sistemas.
  2. Desde la página General, haga clic en la ficha Redes.
  3. Haga clic en el botón Agregar.
  4. Escriba el nombre de perfil y red (SSID).
  5. Seleccione Infraestructura como el modo de operación.
  6. Haga clic en Siguiente.
  7. Seleccione la autenticación de red WPA.
  8. Seleccione WEP o TKIP para la codificación de datos.
  9. Defina el tipo de autenticación en TLS para utilizarlo con esta conexión.
  10. Haga clic en el botón Configurar para abrir el diálogo de configuración.
  11. Escriba el nombre de usuario en el campo Nombre de usuario.

  12. Seleccione el "Emisor del certificado" en la lista. Seleccione cualquier CA de confianza como la opción predeterminada.

  13. Haga clic en la casilla de verificación “Permitir certificados intermedios“ para permitir que un número no especificado de certificados estén en la cadena de certificados del servidor entre el certificado del servidor y la CA especificada. Si no se marca esta opción, la CA especificada debe emitir directamente el certificado de servidor.

  14. Escriba el nombre del servidor. Si sabe el nombre del servidor, escríbalo. Seleccione la opción adecuada para el nombre del servidor o especifique el nombre del dominio.

  15. Bajo la opción "Certificado de cliente", haga clic en el botón Seleccionar.

Nota sobre los certificados: La identidad especificada debe coincidir con el campo "Emitido para" en el certificado y debe registrarse en el servidor de autenticación (por ejemplo, el servidor RADIUS) que utiliza el autenticador. El certificado debe ser "válido" con respecto al servidor de autenticación. Este requisito depende del servidor de autenticación y por lo general significa que el servidor de autenticación debe conocer al emisor del certificado como autoridad de certificación. Debe iniciar la sesión con el nombre de usuario que utilizó cuando se instaló el certificado.

  1. Seleccione el certificado de la lista y haga clic en Aceptar. La información del certificado cliente se muestra bajo "Certificado de cliente".
  2. Haga clic en Cerrar.
  3. Haga clic en Siguiente.
  4. Haga clic en el botón Finalizar para guardar las opciones de perfil.
  5. Seleccione el perfil nuevo en la parte inferior de la lista de perfiles. Utilice las flechas de arriba y abajo para colocar el perfil nuevo en la prioridad deseada en la lista de prioridades.
  6. Haga clic en Conectar para establecer conexión con la red inalámbrica seleccionada.
  7. Haga clic en Aceptar para cerrar Intel(R) PROSet.

Configuración del cliente para WPA con la codificación WEP o TKIP y la autenticación TTLS o PEAP

Autenticación TTLS: Estas opciones definen el protocolo y las credenciales utilizadas para autenticar un usuario. En TTLS, el cliente utiliza EAP-TLS para validad el servidor y crear un canal TLS codificado entre el cliente y el servidor. El cliente puede utilizar otro protocolo de autenticación, por lo general protocolos basados en contraseñas, tal como el Desafío MD5 a través de este canal codificado para activar la validación del servidor. Los paquetes de desafío y respuesta se envían a través del canal TLS codificado no expuesto.

Autenticación PEAP: Se requieren las opciones PEAP para la autenticación del cliente en el servidor de autenticación. En PEAP, el cliente utiliza EAP-TLS para validar el servidor y crear un canal TLS codificado entre el cliente y el servidor. El cliente puede utilizar otro mecanismo EAP, tal como Microsoft Challenge Authentication Protocol (MSCHAP) versión 2, sobre este canal codificado para activar la validación del servidor. Los paquetes de desafío y respuesta se envían a través del canal TLS codificado no expuesto.

El ejemplo siguiente describe el uso de WPA con la codificación WEP o TKIP y la autenticación TTLS o PEAP.

  1. Obtenga e instale un certificado de cliente; consulte Configuración del cliente para la autenticación TLS o consulte con el administrador de sistemas.
  2. Desde la página General, haga clic en la ficha Redes.
  3. Haga clic en el botón Agregar.
  4. Escriba el nombre de perfil y red (SSID).
  5. Seleccione Infraestructura como el modo de operación.
  6. Haga clic en Siguiente.
  7. Seleccione WPA para la autenticación de red.
  8. Seleccione WPA o TKIP para la codificación de datos.
  9. Seleccione Activado para 802.1x.
  10. Defina el tipo de autenticación en TTLS o PEAP para utilizarlo con esta conexión.
  11. Haga clic en el botón Configurar para abrir el diálogo de configuración.
  12. Usar nombre de usuario de credenciales como identidad EAP: Si se desmarca la casilla, se envía una cadena “anónima” predefinida como el protocolo de autenticación. Esta función utiliza un método de autenticación menos seguro, el cual envía el nombre de usuario real sin codificar. Este método es válido para todos los servidores de autenticación, específicamente Microsoft IAS RADIUS que acepta solamente nombres de usuario válidos.
  13. Seleccione el "Emisor del certificado" en la lista. Seleccione cualquier CA de confianza como la opción predeterminada. Haga clic en la casilla de verificación Permitir certificados intermedios para permitir que un número no especificado de certificados estén en la cadena de certificados del servidor entre el certificado del servidor y la CA especificada. Si no se marca esta opción, la CA especificada debe emitir directamente el certificado de servidor.
  14. Escriba el nombre del servidor.

  1. Protocolo de autenticación:
  2. Seleccione una de la opciones siguientes:
Nota: Si la función 'Usar el inicio de sesión de Windows' está atenuada (no disponible), quiere decir que no se ha instalado la función de Inicio único de sesión. Para instalar la función 'Usar el inicio de sesión de Windows', consulte Instalación o desinstalación de la función de Inicio único de sesión, para obtener instrucciones de instalación.
  1. Utilizar certificado de cliente: Esta opción selecciona un certificado de cliente en el almacén de certificados personales del usuario que inició la sesión en Windows. Este certificado se utilizará para la autenticación de clientes. Haga clic en el botón Seleccionar para abrir una lista de certificados instalados.

Nota sobre los certificados: La identidad especificada debe coincidir con el campo "Emitido para" en el certificado y debe registrarse en el servidor de autenticación (por ejemplo, el servidor RADIUS) que utiliza el autenticador. El certificado debe ser "válido" con respecto al servidor de autenticación. Este requisito depende del servidor de autenticación y por lo general significa que el servidor de autenticación debe conocer al emisor del certificado como autoridad de certificación. Debe iniciar la sesión con el nombre de usuario que utilizó cuando se instaló el certificado.

  1. Seleccione el certificado de la lista y haga clic en Aceptar. La información del certificado cliente se muestra bajo "Certificado de cliente".
  2. Haga clic en Cerrar.
  3. Haga clic en Siguiente.
  4. Seleccione el perfil nuevo en la parte inferior de la lista de perfiles. Utilice las flechas de arriba y abajo para colocar el perfil nuevo en la prioridad deseada en la lista de prioridades.
  5. Haga clic en Conectar para establecer conexión con la red inalámbrica seleccionada.
  1. Haga clic en Aceptar para cerrar Intel(R) PROSet.

Configuración del cliente para CCX con la codificación CKIP y la autenticación LEAP

Configuración de LEAP mediante Intel(R) PROSet
Nota: Los perfiles LEAP solamente pueden configurarse con Intel(R) PROSet.  

Debe configurarse un perfil Intel(R) PROSet CCX (v1.0) para conectarse a una red local inalámbrica o ESS particular. Las opciones de perfil incluyen la detección LEAP, CKIP y Rogue AP.

Para configurar un perfil para la configuración de seguridad CCX:

  1. Desde la página General, haga clic en la ficha Redes.
  2. Haga clic en el botón Agregar.
  3. Escriba el nombre de perfil y red (SSID).
  4. Seleccione Infraestructura como el modo de operación.
  5. Haga clic en la casilla de verificación Activar Cisco Compatible Extensions para activar la seguridad CCX. Si ha marcado la casilla "Celda mixta" de Cisco en las Opciones avanzadas, esta opción también debe marcarse. Nota: La autenticación de red y la codificación de datos ahora incluyen las opciones de seguridad de CCX: Abierta, Compartida para la autenticación 802.11 y ninguna, WEP, CKIP para la codificación de datos.
  6. Haga clic en Siguiente.
  7. Seleccione Abierta en las opciones de autenticación de red.
  8. Seleccione CKIP para la codificación de datos.
  9. Haga clic en la casilla de verificación Activado para 802.1x para activar la opción de seguridad 802.1x.
  10. Seleccione LEAP para el tipo de autenticación 802.1x.
  11. Haga clic en Configurar para abrir el diálogo Opciones de LEAP.
  12. Seleccione una de la opciones siguientes:
Nota: Si la función 'Usar el inicio de sesión de Windows' está atenuada (no disponible), quiere decir que no se ha instalado la función de Inicio único de sesión. Para instalar la función 'Usar el inicio de sesión de Windows', consulte Instalación o desinstalación de la función de Inicio único de sesión, para obtener instrucciones de instalación.
  1. Haga clic en Cerrar para guardar la configuración y cerrar el diálogo Opciones de LEAP.
  2. Haga clic en SiguienteSe abre la página de opciones avanzadas.
  3. Perfiles comunes y Conexión persistente: De ser necesaria la activación del perfil común, seleccione Todos los usuarios pueden utilizar el perfil (común). Para activar la función de Conexión persistente, seleccione Utilizar el perfil cuando ningún usuario haya iniciado una sesión (persistente). Estas funciones se instalan durante el proceso de instalación del software. Si selecciona estas funciones, también debe activar Cambiar a la gestión de perfiles persistentes y comunes en las Opciones avanzadas.
  4. Si selecciona la casilla Activar Cisco Compatible Extensions en la página Opciones generales para activar la seguridad CCX, asegúrese de seleccionar la casilla "Habilitar celdas mixtas de Cisco".
  5. Haga clic en el botón Finalizar para guardar las opciones de perfil.
  6. Seleccione el perfil nuevo en la parte inferior de la lista de perfiles. Utilice las flechas de arriba y abajo para colocar el perfil nuevo en la prioridad deseada en la lista de prioridades.
  7. Haga clic en Conectar para establecer conexión con la red inalámbrica seleccionada.
  8. Escriba las credenciales LEAP. Marque la casilla Guardar credenciales de usuario para guardar las credenciales a fin de utilizarlas en el futuro con el perfil 802.1x.
  9. Haga clic en Aceptar para cerrar Intel(R) PROSet.

Punto de acceso CCX y configuraciones de cliente

El punto de acceso ofrece opciones para seleccionar los distintos tipos de autenticación, según el entorno WLAN. El cliente envía un campo de algoritmo de autenticación durante el enlace de la autenticación 802.11 que toma lugar entre el cliente y el AP durante el establecimiento de la conexión. Los valores del algoritmo de autenticación reconocido por un AP activado para CCX es distinto para cada tipo de autenticación. Por ejemplo, “Red EAP” que denota LEAP tiene un valor de 0x80, mientras que “Abierta” que es la autenticación abierta 802.11 especificada y “EAP requerido” que requiere un intercambio de enlace EAP, tienen un valor de 0x0.

Sólo red EAP

AP: Para las redes activadas para CCX que utilizan sólo la autenticación LEAP, el tipo de autenticación se define al marcar la casilla "Red EAP" y desmarcar las casillas "Abierta" y "EAP requerido". El AP se configura para permitir que los clientes LEAP SOLAMENTE se autentiquen y conecten. En este caso, el AP espera que el algoritmo de autenticación 802.11 se defina en 0x80 (LEAP) y rechaza los clientes que intentan la autenticación con un valor de algoritmo de autenticación de 0x0.

Cliente: En este caso, el cliente necesita enviar un valor de algoritmo de autenticación de 0x80, de lo contrario, falla el enlace de autenticación 802.11. Durante el inicio, cuando ya se ha cargado el controlador LAN inalámbrico y aún no se ha cargado el solicitante Intel(R) PROSet, el cliente envía la autenticación 802.11 con un valor de algoritmo de autenticación de 0x0. Una vez que se carga el solicitante Intel® PROSet y asume el perfil LEAP, el solicitante envía la autenticación 802.11 con un valor de algoritmo de autenticación de 0x80.

Red EAP, Abierta y EAP requerido

AP: Si se marcan las casillas Red EAP, Abierta y EAP requerido, se aceptan ambos tipos de valores de algoritmo de autenticación: 0x0 y 0x80. No obstante, una vez que el cliente se asocia y se autentica, el AP espera que se produzca un enlace EAP. Si por alguna razón no se realiza el enlace EAP de forma rápida, el AP no responde al cliente por un lapso de alrededor de 60 segundos.

Cliente: En este caso, el cliente podría enviar un valor de algoritmo de autenticación de 0x80 ó 0x0. Ambos valores son aceptables y el enlace de autenticación 802.11 debe ser satisfactorio. Durante el inicio, cuando el controlador de red local inalámbrica ya está cargado, el cliente envía la autenticación 802.11 con un valor de algoritmo de autenticación de 0x0. Esto es suficiente para la autenticación, no obstante, deben comunicarse las credenciales EAP o LEAP correspondientes al AP a fin de establecer conexión.

Sólo Abierta y EAP requerido

AP: En el caso en que AP se configura con la casilla Red EAP sin marcar, pero se marcan las casillas Abierta y EAP requerido, el AP rechaza a cualquier cliente que intente la autenticación 802.11 con un valor de algoritmo de autenticación de 0x80. El AP acepta a los clientes que utilicen un valor de algoritmo de autenticación de 0x0 y espera que el enlace EAP se inicie inmediatamente después. En este caso, el cliente utiliza MD5, TLS, LEAP o cualquier otro método EAP adecuado para la configuración de red particular.

Cliente: Bajo estas circunstancias, el cliente debe enviar un valor de algoritmo de autenticación de 0x0. Como se mencionó anteriormente, la secuencia incluye una repetición del enlace inicial de la autenticación 802.11. En primer lugar, el controlador de red local inalámbrica inicia la autenticación con un valor de 0x0 y más adelante el solicitante repite el proceso. El cliente envía una autenticación 802.11 con un valor de algoritmo de autenticación de 0x0 aún después que el solicitante carga y asocia el perfil LEAP.

Rogue AP

Los perfiles LEAP garantiza que el cliente implemente la función Rogue AP, como lo requiere CCX. El cliente toma nota de los puntos de acceso con los que no logró la autenticación y envía esta información al AP que le permite autenticarse y conectarse. Además, el solicitante define el tipo de algoritmo de autenticación en 0x80. Podrían existir algunas implementación de configuración de red y solamente Abierta y EAP requerido, tal como se describe anteriormente. Para que funcione esta configuración, el cliente debe utilizar un valor de algoritmo de autenticación de 0x0, a diferencia de la necesidad de utilizar 0x80 para la red EAP solamente, como se describe anteriormente. Por lo tanto, el perfil LEAP activa el cliente para que sea compatible sólo con la Red EAP y sólo con Abierta y EAP requerido.

Nota: Consulte el documento Cisco Client extensions versión 2,0 disponible en www.cisco.com si desea más detalles.


Regresar a la página de contenido