Настройка аутентификации и шифрования данных
Обзор возможностей шифрования
Как включить WEP-шифрование
Задачи системного администратора
Настройка клиента для WEP- и MD5-аутентификации
Настройка клиента для WPA-PSK с помощью WEP- или TKIP-аутентификации
Настройка клиента для WPA с помощью TKIP-шифрования и TLS-аутентификации
Настройка клиента для WPA с помощью TKIP-шифрования и TLS или PEAP-аутентификации
Настройка клиента для CCX с помощью CKIP-шифрования и LEAP-аутентификации
WEP-шифрование (Wired Equivalent Privacy) и общая аутентификация помогают обеспечить защиту Ваших данных в сети. WEP-шифрование использует ключ шифрования для кодирования данных перед их отправкой. Только компьютеры, использующие этот же ключ, могут получить доступ к сети и расшифровать переданные другими компьютерами данные. Аутентификация представляет собой дополнительный процесс проверки коммуникаций между адаптером и точкой доступа. Алгоритм WEP-шифрования уязвим для пассивных и активных атак в сети. Алгоритмы TKIP и CKIP содержат дополнения для WEP-протокола, которые сдерживают атаки и снижают недостатки сетей.
Спецификация 802.11 поддерживает два типа методов сетевой аутентификации; "открытый" и "общий", которые используют 64- и 128-битное WEP-шифрование. Открытый тип не использует метод аутентификации с шифрованием для взаимодействия с определенной точкой доступа. Поддерживаемые схемы аутентификации представляют собой открытую (Open) и общую (Shared) аутентификацию:
Если включено шифрование данных (WEP, CKIP или TKIP), для этой цели используется сетевой ключ. Сетевой ключ может быть получен автоматически (например, он может быть предоставлен Вашим адаптером беспроводной сети, или Вы можете ввести его самостоятельно, указав длину ключа (64- или 128-бит), формат ключа (ASCII-символы или шестнадцатиричные цифры) и индекс ключа (место хранения ключа). Ключ, имеющий большую длину, наиболее защищен. Каждый раз, при увеличении длины ключа на один бит количество возможных ключей удваивается.
При использовании стандарта 802.11 станция беспроводной сети может иметь в конфигурации до четырех ключей (значения индекса ключа: 1, 2, 3 и 4). Когда точка доступа или станция беспроводной сети передает шифрованное сообщение, использующее ключ, хранящийся в указанном индексе ключа, переданное сообщение будет указывать на индекс ключа, использованного для шифрования сообщения. Принимающая точка доступа или станция беспроводной сети может найти ключ, хранящийся в индексе и использовать его для дешифрования сообщения.
В стандарте 802.1x используется два типа ключей шифрования, статический и динамический. Статические ключи шифрования изменяются вручную и более уязвимы. Аутентификация MD5 использует только статические ключи шифрования. Динамические ключи шифрования автоматически и периодически обновляются. Это делает их более защищенными. Для разрешения использования динамических ключей шифрования Вы должны использовать методы аутентификации, основанные на стандарте 802.1x, например, TLS, TTLS, PEAP или LEAP.
Основные положения аутентификации 802.1x.
Методы аутентификации 802.1x включают пароли, сертификаты и смарт-карты (пластиковые
карты, на которых хранятся данные). Функция возможности синхронизации паролей 802.1x: Параметр "Использовать вход Windows" (Use Windows login) в диалоге "Идентификационная информация MD5, TLS, TTLS и LEAP" позволяет привести идентификационную информацию 802.1x в соответствие с Вашим именем пользователя и паролем для Windows. Выбор аутентификации по стандарту 802.1x может быть возможен только в режиме "Infrastructure".
Защита в беспроводных локальных сетях может быть организована с помощью разрешения использования WEP-шифрования данных (протокол шифрования в беспроводных сетях - Wireless Encryption Protocol). Вы можете выбрать 64- или 128-битный уровень шифрования. Данные также могут быть зашифрованы с помощью ключа. Другой параметр, называемый индексом ключа, обеспечивает возможность создания нескольких ключей для этого профиля. Однако единовременно может быть использован только один ключ. Кроме того, для гарантирования конфиденциальности Вы можете выбрать защиту профиля паролем.
Для автоматического генерирования ключа WEP-шифрования используется контрольная фраза. Вы можете либо ввести контрольную фразу, либо ввести ключ WEP-шифрования вручную. Для 64-битного шифрования необходима контрольная фраза длинной 5 символов, которые Вы можете ввести произвольно, например, "Volga", или можно ввести 10 шестнадцатиричных символов для ключа WEP-шифрования, соответствующего сети, к которой выполняется подключение. Для 128-битного шифрования необходима фраза длиной 13 символов или 26 шестнадцатиричных символов для создания ключа WEP-шифрования и подключения к соответствующей сети.
Примечание. Вы должны использовать тот же тип шифрования, номер индекса ключа и ключ WEP-шифрования, что и другие устройства в Вашей беспроводной сети.
В следующем примере показано, как редактировать существующий профиль и включить WEP-шифрование.
Примечание. Перед тем, как начать, обратитесь к сетевому администратору за сетевой контрольной фразой (WEP) или шестнадцатиричным ключом.
Для включения WEP-шифрования:
- "Контрольная фраза". Отметьте этот параметр. В поле контрольной фразы введите текстовую фразу длиной до 5 (для 64-битного шифрования) или до 13 (для 128-битного шифрования) символов алфавита или цифр (0-9, a-z или A-Z).
- "Шестнадцатиричный ключ". Отметьте этот параметр. В поле шестнадцатиричного ключа введите до 10 (для 64-битного шифрования) символов алфавита или цифр (0-9, A-F) или до 20 (для 128-битного шифрования) символов алфавита или цифр (0-9, A-F).
![]() |
Примечание. Следующая информация предназначена для системных администраторов. Для получения дополнительной информации см. раздел "Административные привилегии и пользователи с ограниченным доступом". |
Если Вы не имеете любого из сертификатов для EAP-TLS или EAP-TTLS, Вы должны получить сертификат клиента для разрешения аутентификации. Обычно Вы должны проконсультироваться с системным администратором о том, как получить сертификат в Вашей сети. Управление сертификатами может осуществляться из меню “Свойства обозревателя”, доступного из Internet Explorer или панели управления Windows. Используйте страницу “Содержание” из меню “Свойства обозревателя”.
Windows XP и 2000. При получении сертификата клиента не включайте повышенную защиту личного ключа. Если Вы включите повышенную защиту личного ключа для сертификата, Вы должны будете вводить пароль доступа для сертификата при каждом его использовании. Если Вы конфигурируете службу TLS/TTLS-аутентификации, необходимо отключить повышенную защиту личного ключа для сертификата. В противном случае служба стандарта 802.1x будет отклонять аутентификацию, вследствие отсутствия зарегистрированного в системе пользователя, для которого она может отобразить диалог ввода пароля.
Замечания по использованию смарт-карт
После установки службы использования смарт-карт сертификат будет автоматически установлен на Ваш компьютер и его можно будет выбрать из списка личных сертификатов или из списка сертификатов корневого контейнера.
Действие 1. Получение сертификата.
Для включения TLS-аутентификации необходимо иметь допустимый сертификат (пользователя) в локальном контейнере пользователя, входящего в систему. Вам также потребуется сертификат доверенного центра сертификации ЦС в корневом контейнере.
Далее представлены два способа получения сертификата:
Примечание. Если это первый, полученный Вами сертификат, центр сертификатов сделает у Вас запрос, хотите ли Вы установить доверенный сертификат ЦС в корневом контейнере. В диалоге не будет отражено, что это доверенный сертификат ЦС, однако его имя будет указывать на сервер ЦС. Щелкните "да", если Вам нужен сертификат для TLS и TTLS.
Конфигурация профилей с WPA-аутентификацией и WEP- или TKIP-шифрованием, используя TLS-аутентификацию.
Действие 2. Укажите сертификат, используемый модулем Intel(R) PROSet
Примечание. Получите и установите сертификат, см. действие 1 или обратитесь к системному администратору.Отметьте флажок "Разрешить выдачу немедленных сертификатов" (allow intermediate certificates), чтобы разрешить неуказанным сертификатам попасть в цепочку сертификатов сервера между сертификатом сервера и указанным ЦС. Если этот флажок не отмечен, тогда ЦС должен иметь непосредственно предоставленный сертификат сервера.
Введите имя сервера/сертификата. Если Вы знаете имя сервера/сертификата, введите его. Выберите соответствующий параметр для проверки имени сервера или укажите имя домена.
Сертификат клиента. С помощью этого параметра можно выбрать сертификат клиента из контейнера "Личные" (Personal), вошедшего в Windows пользователя.Этот сертификат будет использоваться для аутентификации клиента. Щелкните кнопку "Выбрать" для открытия списка установленных сертификатов.
Примечание о сертификатах. Указанная идентификационная информация должна соответствовать полю сертификата "Выдан для" и должна быть зарегистрирована на сервере аутентификации (например, сервер RADIUS), который используется аутентификатором. Ваш сертификат должен быть "действителен" с подтверждением сервера аутентификации. Это требование зависит от сервера аутентификации и обычно означает, что сервер аутентификации должен знать поставщика Вашего сертификата (ЦС). Вы должны быть зарегистрированы с тем же именем, которое использовалось для установки сертификата.
Для добавления WEP- и MD5-аутентификации к новому профилю:
Примечание. Перед тем как начать, обратитесь к системному администратору для получения имени пользователя и пароля на сервере RADIUS.
- Запрашивать учетные данные при подключении. Выполняет запрос имени пользователя и пароля во время подключения пользователя к сети.
- Использовать вход Windows. Эта функция позволяет привести идентификационную информацию 802.1x в соответствие с Вашим именем пользователя и паролем для Windows. Перед подключением в диалоге идентификационной информации будет предложено ввести Ваше имя пользователя и пароль для входа в Windows.
- Сохранить информацию пользователя. Выполняет вход в сеть, используя сохраненную идентификационную информацию. Щелкните "Конфигурация" для открытия диалога идентификационной информации. Введите имя, пароль и имя домена для учетной записи, созданной Вами в сервере аутентификации. Эти учетные данные хранятся для дальнейшего использования с этим профилем 802.1x. Имя пользователя и пароль не должны быть теми же самыми, какие имеет Ваш пользователь Windows. Щелкните "OK" для сохранения учетных данных.
Примечание. Если параметр "Использовать вход Windows" отображен серым цветом (недоступен), функция единого входа "Single Sign On" не установлена. Для установки компонента "Использовать вход Windows" обратитесь к разделу "Установка и удаление функции единого входа (Single Sign On)".
- Если в диалоговом окне "Настройки защиты" не выбирается "Использовать вход Windows" (этап 13), а также не проведена конфигурация идентификационной информации пользователя, при попытке соединения с данным профилем появится диалоговое окно "Ввести идентификационную информацию". Введите свое имя пользователя и пароль Windows. Отметьте флажок "Сохранить информацию пользователя" для сохранения идентификационной информации и последующего использования с профилем 802.1x.
Используйте режим Wi-Fi Protected Access Pre Shared Key (WPA-PSK), если сервер аутентификации не используется. В этом режиме не используется ни один из протоколов аутентификации 802.1x. Он может использоваться с WEP- или TKIP-шифрованием данных. Шифрование WPA-PSK требует конфигурации предварительно опубликованного общего ключа (PSK). Для ключа PSK длиной 256 бит необходимо ввести контрольную фразу или 64 шестнадцатиричных символа. Ключ шифрования данных является производным от PSK.
Для конфигурирования нового профиля, использующего WEP- или TKIP-шифрование с сетевой аутентификацией WPA-PSK:
Режим Wi-Fi Protected Access (WPA) может использоваться с TLS, TTLS или PEAP. Этот протокол аутентификации стандарта 802.1x использует параметры шифрования данных: WEP или TKIP. Режим Wi-Fi Protected Access (WPA) привязан к аутентификации стандарта 802.1x. Ключ шифрования данных принимается в процессе обмена ключами 802.1x. Для усиления шифрования данных WPA использует протокол целостности временного ключа (Temporal Key Integrity Protocol - TKIP). TKIP обеспечивает важное дополнение к шифрованию данных, включая метод манипуляций с ключом.
Введите имя пользователя в поле "Имя пользователя".
Выберите из списка "Поставщик сертификата". Выберите любой доверенный ЦС в качестве центра сертификации по умолчанию.
Отметьте флажок "разрешить выдачу немедленных сертификатов" (allow intermediate certificates), чтобы разрешить неуказанным сертификатам попасть в цепочку сертификатов сервера между сертификатом сервера и указанным ЦС. Если этот флажок не отмечен, тогда ЦС должен иметь непосредственно предоставленный сертификат сервера.
Введите имя сервера. Если Вы знаете имя сервера, введите его. Выберите соответствующий параметр для проверки имени сервера или укажите имя домена.
Примечание о сертификатах. Указанная идентификационная информация должна соответствовать полю сертификата "Выдан для" и должна быть зарегистрирована на сервере аутентификации (например, сервер RADIUS), который используется аутентификатором. Ваш сертификат должен быть "действителен" с подтверждением сервера аутентификации. Это требование зависит от сервера аутентификации и обычно означает, что сервер аутентификации должен знать поставщика Вашего сертификата (ЦС). Вы должны быть зарегистрированы с тем же именем, которое использовалось для установки сертификата.
Аутентификация TTLS. Его настройки определяют протокол и идентификационную информацию, используемую для аутентификации пользователя. В TTLS-аутентификации клиент использует EAP-TLS для проверки подлинности сервера и создания канала между сервером и клиентом, шифрованного с помощью TLS. Клиентдля проверки подлинности сервера может использовать другой аутентификационный протокол, обычно на основе пароля, например, MD5 Challenge, через шифрованный канал. Пакеты запросов и ответов отправляются через защищенный, TLS-шифрованный канал.
Аутентификация PEAP. Настройки PEAP-аутентификации необходимы для установления подлинности клиента в сервере аутентификации. В PEAP-аутентификации клиент использует EAP-TLS для проверки подлинности сервера и создания канала между сервером и клиентом, шифрованного с помощью TLS. Клиент может использовать другой аутентификационный механизм EAP, например, Microsoft Challenge Authentication Protocol (MSCHAP) версии 2 через шифрованный канал для проверки подлинности сервера. Пакеты запросов и ответов отправляются через защищенный, TLS-шифрованный канал.
В следующем примере показано, как использовать WPA с WEP- или TKIP-шифрованием, использующим TTLS- или PEAP-аутентификацию.
Введите имя сервера.
- Если Вы знаете имя сервера, введите его.
- Выберите соответствующий параметр для проверки имени сервера или укажите имя домена.
- Запрашивать учетные данные при подключении. Выполняет запрос имени пользователя и пароля во время подключения пользователя к сети.
- Использовать вход Windows. Эта функция позволяет привести идентификационную информацию 802.1x в соответствие с Вашим именем пользователя и паролем для Windows. Перед подключением в диалоге идентификационной информации будет предложено ввести Ваше имя пользователя и пароль для входа в Windows.
- Сохранить информацию пользователя. Отметьте этот параметр для сохранения Вашего имени и пароля для будущего использования с профилем аутентификации 802.1x. Щелкните "Конфигурация" и введите имя пользователя, имя домена и пароль. Введите пароль еще раз в поле "Подтвердите пароль" и щелкните "OK" для сохранения настроек и закрытия диалога. Это имя пользователя и имя домена должны соответствовать имени, которое занесено системным администратором в сервер аутентификации для аутентификации клиента. Имя пользователя зависит от регистра ввода. Это имя определяет идентификационную информацию, предоставляемую аутентификатору через протокол аутентификации, который функционирует через TLS-тунель. Эта идентификационная информация пользователя безопасно передается в сервер только после установления и проверки защищенного канала. Введите пароль еще раз. Если пароль будет подтвержден, будут отображены те же символы пароля, введенные в поле "Пароль".
Примечание. Если параметр "Использовать вход Windows" отображен серым цветом (недоступен), функция единого входа "Single Sign On" не установлена. Для установки компонента "Использовать вход Windows" обратитесь к разделу "Установка и удаление функции единого входа (Single Sign On)".
Примечание о сертификатах. Указанная идентификационная информация должна соответствовать полю сертификата "Выдан для" и должна быть зарегистрирована на сервере аутентификации (например, сервер RADIUS), который используется аутентификатором. Ваш сертификат должен быть "действителен" с подтверждением сервера аутентификации. Это требование зависит от сервера аутентификации и обычно означает, что сервер аутентификации должен знать поставщика Вашего сертификата (ЦС). Вы должны быть зарегистрированы с тем же именем, которое использовалось для установки сертификата.
- Если в диалоговом окне "Настройки защиты" не выбирается "Использовать вход Windows" (этап 15), а также не проведена конфигурация идентификационной информации пользователя, при попытке соединения с данным профилем появится диалоговое окно "Ввести идентификационную информацию". Введите свое имя пользователя и пароль Windows. Отметьте флажок "Сохранить информацию пользователя" для сохранения идентификационной информации и последующего использования с профилем 802.1x.
![]() |
Примечание. Профиль LEAP можно сконфигурировать только с помощью программы Intel(R) PROSet. |
Профиль Intel(R) PROSet CCX (v1.0) должен быть сконфигурирован для подключения к определенной сети ESS или беспроводной ЛС. Настройки профиля включают установки для определения точек доступа LEAP, CKIP и Rogue.
Для конфигурирования профиля и настроек защиты CCX:
- Запрашивать учетные данные при подключении. Выберите этот параметр, если хотите вводить имя пользователя и пароль при каждом подключении к беспроводной сети. Имя пользователя и пароль должны быть установлены первый раз системным администратором на сервере аутентификации. Продолжите с действия 13.
- Использовать вход Windows. Эта функция позволяет привести идентификационную информацию 802.1x в соответствие с Вашим именем пользователя и паролем для Windows. Имя пользователя и пароль не требуются. Продолжите с действия 13.
- Сохранить информацию пользователя. Отметьте этот параметр для сохранения Вашего имени и пароля для будущего использования с профилем аутентификации 802.1x. Щелкните "Конфигурация" и введите имя пользователя, имя домена и пароль. Введите пароль еще раз в поле "Подтвердите пароль" и щелкните "OK" для сохранения настроек и закрытия диалога. Это имя пользователя и имя домена должны соответствовать имени, которое занесено системным администратором в сервер аутентификации для аутентификации клиента. Имя пользователя зависит от регистра ввода. Это имя определяет идентификационную информацию, предоставляемую аутентификатору через протокол аутентификации, который функционирует через TLS-тунель. Эта идентификационная информация пользователя безопасно передается в сервер только после установления и проверки защищенного канала. Введите пароль еще раз. Если пароль будет подтвержден, будут отображены символы пароля, введенные в поле "Пароль".
Примечание. Если параметр "Использовать вход Windows" отображен серым цветом (недоступен), функция единого входа "Single Sign On" не установлена. Для установки компонента "Использовать вход Windows" обратитесь к разделу "Установка и удаление функции единого входа (Single Sign On)".
Точка доступа предоставляет параметры для выбора типа аутентификации в зависимости от среды беспроводной ЛС. Клиент отправляет алгоритм аутентификации после обмена подтверждениями по спецификации 802.11, который происходит между клиентом и точкой доступа во время установления соединения. Параметры алгоритма аутентификации, распознаваемые точкой доступа с включенным CCX, отличаются для различных типов аутентификационных алгоритмов. Например, параметр "Network-EAP", который указывает на LEAP, имеет значение 0x80 при "открытом" типе аутентификации спецификации 802.11, а параметр "Required EAP", который требует согласованный обмен EAP, имеет значение 0x0.
Точка доступа. Для сетей с включенным CCX, использующих для аутентификации только тип LEAP, должен быть установлен параметр "Network-EAP", а параметры "Open" (Открытый) и "Требуется EAP" не установлены. После это точка доступа конфигурируется для разрешения доступа и подключения ТОЛЬКО для клиентов LEAP. В этом случае точка доступа ожидает алгоритм аутентификации спецификации 802.11, имеющий значение 0x80 (LEAP), и будет отвергать любой аутентификационный алгоритм со значением 0x0.
Клиент. В этом случае клиенту необходимо отправить значение 0x80 аутентификационного алгоритма, если аутентификационное согласование сторон спецификации 802.11 будет неудачным. Во время загрузки, когда драйвер беспроводной ЛС уже загружен, а программа Intel(R) PROSet еще нет, клиент отправляет аутентификацию спецификации 802.11 со значением алгоритма 0x0. После загрузки запросчика Intel(R) PROSet и активирования профиля LEAP он отправляет аутентификацию спецификации 802.11 со значением алгоритма 0x80.
Параметры Network-EAP, Open и Required EAP
Точка доступа. Если параметры "Network-EAP", "Open" и "Required EAP" отмечены, точка доступа будет принимать оба типа значений аутентификационных алгоритмов спецификации 802.11 - 0x0 и 0x80. Однако, как только клиент будет подключен и аутентифицирован, точка доступа будет ожидать событие согласования сторон. По любой причине, если согласование EAP не произойдет достаточно быстро, точка доступа не будет отвечать клиенту около 60 секунд.
Клиент. Клиент должен отправить значение аутентификационного алгоритма 0x80 или 0x0. Оба значения будут приняты, и согласование аутентификации спецификации 802.11 будет успешным. Во время загрузки, когда драйвер адаптера беспроводной ЛС уже загружен, клиент отправляет запрос аутентификации спецификации 802.11 со значением аутентификационного алгоритма 0x0. Этого достаточно для аутентификации, но для установления соединения необходимо отправить в точку доступа соответствующие сведения EAP или LEAP.
Точка доступа. В случае, когда точка доступа сконфигурирована с не установленным параметром "Network-EAP", но с установленными параметрами "Open" и "Required EAP", она будет отвергать любую попытку аутентификации клиентов спецификации 802.11, использующих значение алгоритма 0x80. Точка доступа будет принимать значение аутентификационного алгоритма 0x0 и ожидать после этого скорого согласования EAP. В этом случае клиент использует MD5, TLS, LEAP или любой другой соответствующий метод EAP, подходящий для определенной сетевой конфигурации.
Клиент. В этом случае для клиента требуется отправить значение аутентификационного алгоритма 0x0. Как было указано ранее, последовательность должна иметь начальное согласование сторон по спецификации 802.11. Во-первых, адаптер беспроводной ЛС инициирует аутентификацию со значением 0x0, а затем запросчик повторит процесс. Клиент отправляет запрос аутентификации 802.11 со значением аутентификационного алгоритма 0x0 даже после того, как запрашивающий загрузил и использует профиль LEAP.
Профиль LEAP гарантирует, что клиент будет использовать функцию фиктивной точки доступа так, как нужно для CCX. Клиент отмечает, что попытка аутентификации в точках доступа была неудачна, и посылает эту информацию в другую точку доступа, которая позволяет выполнить аутентификацию и подключение. Также запросчик настраивает тип аутентификационного алгоритма в 0x80. Могут быть созданы конфигурации с применением только параметров "Open" и "Required EAP", которые были описаны ранее. Для того, чтобы эти настройки были работоспособны, клиент должен использовать значение аутентификационного алгоритма, равное 0x0, в противоположность использованию значения 0x80 только для сетей EAP, которые были описаны выше. Профиль LEAP разрешает клиенту поддерживать только использование параметра "Network-EAP" и только параметры "Open" и "Required EAP".
Примечание. Для получения дополнительной информации см. документацию для Cisco Client extensions версии 2,0 на www.cisco.com.