Tilbake til Innhold-siden

Sikkerhet og kryptering: Brukerhåndbok for PRO/Wireless LAN Mini PCI-kort


Sikkerhet og kryptering

Konfigurere datakryptering og godkjenning
Oversikt over kryptering
Hvordan aktivere WEP-kryptering
Systemadministratoroppgaver
Konfigurere klienten for WEP- og MD5-godkjenning
Konfigurere klienten for WPA-PSK ved hjelp av WEP- eller TKIP-godkjenning
Konfigurere klienten for WPA ved hjelp av TKIP-kryptering og TLS-godkjenning
Konfigurere klienten for WPA ved hjelp av TKIP-kryptering og TLS- eller PEAP-godkjenning
Konfigurere klienten for CCX ved hjelp av CKIP-kryptering og LEAP-godkjenning


Konfigurere datakryptering og godkjenning

WEP-kryptering (Wired Equivalent Privacy) og delt godkjenning beskytter dataene på nettverket. WEP bruker en krypteringsnøkkel til å kryptere dataene før sending. Bare datamaskiner som bruker samme krypteringsnøkkel, får tilgang til nettverket eller kan dekryptere de krypterte dataene som overføres av andre datamaskiner. Godkjenning er ytterligere en bekreftelsesprosess fra kortet til tilgangspunktet. WEP-krypteringsalgoritmen er sårbar overfor passive og aktive nettverksangrep. TKIP- og CKIP-algoritmer inkluderer forbedringer til WEP-protokollen som demper eksisterende nettverksangrep og tar for seg manglene ved dem

Åpen og delt nøkkelgodkjenning

802.11 støtter to typer nettverksgodkjenningsmetoder; åpent system og delt nøkkel. Godkjenningsoppsett som støttes, er åpen og delt nøkkelgodkjenning:

Nettverksnøkler

Når Datakryptering (WEP, CKIP eller TKIP) er aktivert, brukes en nettverksnøkkel til krypteringen. Du kan få en nettverksnøkkel automatisk (for eksempel kan du få den på det trådløse nettverkskortet, eller du kan sette den inn selv, og angi nøkkellengden (64 biter eller 128 biter), nøkkelformat (ASCII-tegn eller heksadesimaltall) og nøkkelindeks (stedet der en bestemt nøkkel er lagret). Desto lenger nøkkellengde, desto sikrere er nøkkelen. Hver gang lengden på en nøkkel økes med én bit, fordobles antallet mulige nøkler.

Under 802.11 kan en trådløs stasjon konfigureres med inntil fire nøkler (nøkkelindeksverdiene er 1, 2, 3 og 4). Når et tilgangspunkt eller en trådløs stasjon overfører en kryptert melding ved hjelp av en nøkkel som er lagret i en spesifikk nøkkelindeks, angir den overførte meldingen nøkkelindeksen som ble brukt til å kryptere meldingsinnholdet. Mottakstilgangspunktet eller den trådløse stasjonen kan deretter hente nøkkelen som er lagret i nøkkelindeksen, og bruke den til å dekode det krypterte meldingsinnholdet.

Krypteringsstatiske og -dynamiske nøkkeltyper

802.1x bruker to typer krypteringsnøkler, statiske og dynamiske. Statiske krypteringsnøkler blir endret manuelt og er mer sårbare. MD5-godkjenning bruker bare statiske krypteringsnøkler. Dynamiske krypteringsnøkler fornyes automatisk med jevne mellomrom. Dette gjør krypteringsnøkkelen/-nøklene sikrere. For å aktivere de dynamiske krypteringsnøklene må du bruke 802.1x-godkjenningsmetodene som TLS, TTLS, PEAP eller LEAP.


Oversikt over kryptering

Sikkerhet på WLAN kan oppnås ved å aktivere datakryptering ved hjelp av WEP (Wireless Encryption Protocol). Du kan velge mellom 64-biters eller 128-biters kryptering. Dataene kan også krypteres med en nøkkel. En annen parameter som kalles nøkkelindeksen gir mulighet for å opprette flere nøkler for samme profil. Bare én nøkkel kan imidlertid brukes samtidig. Du kan også velge å passordbeskytte profilen for å sikre personvernet.

Passordet brukes til å generere en WEP-nøkkel automatisk. Du kan velge om du vil bruke et passord eller skrive inn WEP-nøkkelen manuelt. Ved 64-biters kryptering er passordet på fem tegn, og du kan velge å skrive inn et tilfeldig passord som er enkelt å huske, for eksempel Brus1, eller skrive inn ti heksadesimale tall som tilsvarer nettverket brukeren vil koble til, for WEP-nøkkelen. Ved 128-biters kryptering er passordet på tretten tegn, eller du kan skrive inn 26 heksadesimale tall for WEP-nøkkelen for å koble til riktig nettverk.

Obs! Du må bruke samme krypteringstype, nøkkelindeksnummer og WEP-nøkkel som de andre enhetene på det trådløse nettverket. Vær også klar over at hvis 802.1x-godkjenning brukes, må WEP-kryptering deaktiveres.


Hvordan aktivere WEP-kryptering

De følgende eksemplene beskriver hvordan man skal redigere en eksisterende profil og anvende WEP-kryptering.

For å aktivere WEP-kryptering:

  1. På siden Generelt klikker du kategorien Nettverk.
  2. Velg profilen fra profillisten, og klikk knappen Rediger.
  3. Klikk kategorien Sikkerhet.
  4. Velg en hvilken som helst Nettverksgodkjenningsmodus ( Åpen blir anbefalt).
  5. Velg WEP som datakryptering.
  6. Velg 64-biters eller 128-biters for Krypteringsnivået.
  7. Velg et nøkkelindeksnummer 1, 2, 3 eller 4.
  8. Velg ett av følgende:
  1. Klikk OK for å lagre profilinnstillingene.

 
Obs! Du må bruke samme krypteringstype, nøkkelindeksnummer og WEP-nøkkel som de andre enhetene på det trådløse nettverket.  


Systemadministratoroppgaver

 
Obs! Den følgende informasjonen er ment for systemadministratorer.  

Hvordan få et klientsertifikat

Dersom du ikke har noen sertifikater for EAP-TLS eller EAP-TTLS, må du få et klientsertifikat for å tillate godkjenning. Normalt må du rådføre deg med systemnettverksadministratoren for å få veiledning om hvordan du får et sertifikat på nettverket ditt. Sertifikater kan administreres fra Internett-innstillinger som man kommer til fra Internet Explorer eller Kontrollpanel i Windows. Bruk Innhold-siden i Internett-innstillinger.

Windows XP og 2000: Når du skaffer deg et klientsertifikat, skal du ikke aktivere sterk privatnøkkelbeskyttelse. Dersom du bruker sterk privatnøkkelbeskyttelse på et sertifikat, vil du måtte sette inn et tilgangspassord for sertifikatet hver gang dette sertifikatet blir brukt. Du må deaktivere sterk privatnøkkelbeskyttelse for sertifikatet dersom du konfigurerer tjenesten for TLS/TTLS-godkjenning. Ellers vil 802.1X-tjenesten mislykkes med å godkjenne fordi det ikke finnes noen innlogget bruker som den kan vise forslagsdialogboksen for.

Merknader om smartkort

Etter installeringen av et smartkort, blir sertifikatet automatisk installert på datamaskinen din og kan velges fra personsertifikatlageret og rotsertifikatlageret.

Konfigurere klienten for TLS-godkjenning

Trinn 1: Skaffe et sertifikat

For å tillate TLS-godkjenning behøver du et gyldig klient (bruker)-sertifikat i det lokale oppbevaringsstedet for kontoen til innlogget bruker.  Du trenger også et fortrolig CA-sertifikat i rotlageret.

Den følgende informasjonen gir to metoder for å skaffe sertifikat;

Skaffe et sertifikat fra en Windows 2000 CA:

  1. Start Internet Explorer og browse til sertifikatmyndigheten HTTP Service (bruk en URL som http://myCA.myDomain.com).
  2. Logg på til CA-en med navnet og passordet til brukerkontoen du opprettet (foran) på godkjenningsserveren. Navnet og passordet behøver ikke være det samme som Windows-påloggingsnavnet og passordet for din aktuelle bruker.
  3. På velkomstsiden til CA velger du Anmod om en sertifikatoppgave og send inn formularet.
  4. På siden Velg anmodningstype, velger du Avansert anmodning, og klikker deretter Neste.
  5. På siden Avansert sertifikatanmodning velger du Send en sertifikatanmodning til denne CA ved hjelp av et formular, deretter klikker du på Send.
  6. På siden Avansert sertifiaktanmodning velger du Brukersertifikatmal. Velg Merk nøkler som eksportable, og klikk Neste. Bruk de gitte standardverdiene som vises.
  7. På siden Sertifikat utstedt velger du Installer dette sertifikatet.

Obs! Dersom dette er det første sertifikatet du har fått, vil CA først spørre om den skal installere et klarert CA-sertifikat i rotlageret. Dialogboksen vil ikke si at dette er et klarert CA-sertifikat, men navnet på sertifikatet som vises, vil være det til verten for CA-en. Klikk ja. Du trenger dette sertifikatet til både TLS og TTLS.

  1. Dersom sertifikatet ble installert på en vellykket måte, vil du se meldingen Ditt nye sertifikat er blitt vellykket installert.
  2. For å verifisere installasjonen klikker du Internet Explorer > Verktøy> Internett-alternativer> Innhold> Sertifikater. Det nye sertifikatet må installeres i Personlig-mappen.

Importere et sertifikat fra en fil

  1. Åpne Egenskaper for Internett (høyreklikk på Internet Explorer-ikonet på skrivebordet, og velg Egenskaper.
  2. Klikk Sertifikater på Innhold-siden. Dette vil åpne listen over installerte sertifikater.
  3. Klikk knappen Importer under listen over sertifikater. Dette vil starte Importveiviser for sertifikat. (Merk: Trinnene 1 til og med 3 kan også gjøres ved å dobbeltklikke på ikonet for sertifikatet.
  4. Velg filen og fortsett til Passord-siden.
  5. På Passord-siden angir du tilgangspassordet for filen. Fjern merket for Aktiver sterk privatnøkkelbeskyttelse.
  6. På siden Sertifikatlagring velger du Velg automatisk sertifikatlager basert på sertifikattype (sertifikatet må være i brukerkontoen Personlig lager for å være tilgjengelig i konfigurasjonsdialogboksen for klienten. Dette vil skje dersom 'automatisk' blir valgt).
  7. Gå videre til Fullfører importveiviseren for sertifikat, og klikk Avslutt.

Det følgende eksempelet beskriver hvordan du bruker WPA med TKIP-kryptering ved hjelp av TTLS- eller PEAP-godkjenning.

Konfigurere klienten for TLS-godkjenning

Trinn 2: Angi sertifikatet som brukes av Intel(R) PROSet

  1. Skaff og installer et klientsertifikat, se Trinn 1, eller rådfør deg med systemadministratoren.

  2. På siden Generelt klikker du kategorien Nettverk.

  3. Klikk knappen Legg til.

  4. Skriv inn profil- og nettverksnavnet (SSID).

  5. Velg Infrastruktur for funksjonsmodusen.

  6. Klikk Neste.

  7. Velg Åpne for nettverksgodkjenningen. Du kan også velge enhver annen tilgjenglig godkjenningsmodus.

  8. Velg WEP som datakryptering. Du kan også velge enhver annen tilgjenglig krypteringstype.

  9. Klikk på 802.1x-aktivert-avmerkingsboksen.

  10. Angi godkjenningstypen til TLS for å bli brukt sammen med denne forbindelsen.

  11. Klikk knappen Konfigurer for å åpne innstillingsdialogboksen.

  12. Skriv inn brukernavnet ditt i feltet Brukernavn.

  13. Velg Sertifikatutsteder fra listen. Velg en hvilken som helst pålitelig CA som standard.

    • Merk av for tillat mildertidige sertifikater for å tillate at et antall uspesifiserte sertifikater skal være i sertifikatkjeden mellom serversertifikatet og den angitte sertifiseringsinstansen. Dersom det ikke merkes av, må den angitte sertifiseringsinstansen ha utstedt serversertifikatet direkte.

  14. Skriv inn servernavnet.

    • Dersom du kjenner servernavnet, setter du inn dette navnet.

    • Velg det riktige alternativet for å stemme nøyaktig overens med servernavnet, eller angi domenenavnet.

  15. Under alternativet Klientsertifikat klikker du Velg for å åpne en liste over installerte sertifikater.

    • Merk om sertifikater: Den angitte identiteten må stemme overens med feltet "Utstedt til" i sertifikatet, og må registreres på godkjenningsserveren (f. eks RADIUS-serveren) som blir brukt av godkjenneren. Sertifikatet ditt må være "gyldig" hva gjelder godkjenningsserveren. Dette kravet avhenger av godkjenningsserveren og betyer vanligvis at godkjenningsserveren må anerkjenne utstederen av sertifikatet ditt som en sertifiseringsinstans. Du må logges inn ved å bruke det samme brukernavnet du brukte da sertifikatet ble installert.

  16. Velg sertifikatet fra listen og klikk OK. Klientsertifikatinformasjonen vises under "Klientsertifikat".

  17. Klikk Lukk.

  18. Klikk Avslutt for å lagre sikkerhetsinnstillingene for profilen.


Konfigurere klienten for WEP- og MD5-godkjenning

Slik legger du til WEP- og MD5-godkjenning i en ny profil:

Obs! Før du starter, må du få et brukernavn og passord på RADIUS-serveren fra systemadministratoren.

  1. På siden Generelt klikker du kategorien Nettverk.
  2. Klikk Legg til-knappen fra profillisten.
  3. Skriv inn profil- og nettverksnavnet (SSID).
  4. Velg Infrastruktur for funksjonsmodusen.
  5. Klikk Neste.
  6. Velg Åpen (anbefalt) for nettverksgodkjenningen.
  7. Velg WEP som datakryptering.
  8. Velg enten 64-biters eller 128-biters for Krypteringsnivået.
  9. Velg nøkkelindeksen 1, 2, 3 eller 4.
  10. Skriv inn det nødvendige passordet eller hex-nøkkelen.
  11. Klikk på 802.1x-aktivert-avmerkingsboksen.
  12. Velg MD5 som 802.1x-godkjenningstype.
  13. Klikk på Konfigurer for å åpne MD5-innstillingsdialogen. Sett inn brukernavn og passord. Obs! Brukernavnet og passordet behøver ikke være det samme som navnet og passordet for den aktuelle Windows-brukerpålogging.
  14. Klikk Lukk for å lagre innstillingene.
  15. Dersom det er merket av for passordbeskyttelse på den generelle innstillingssiden, skal du
    klikke Neste for å vise passordsiden og sette inn profilpassordet.
  16. Klikk på Avslutt-knappen for å lagre profilinnstillingene.

Konfigurere klienten for WPA-PSK ved hjelp av WEP- eller TKIP-godkjenning

Bruk Wi-Fi beskyttet tilgang - Forhåndsdelt nøkkel (WPA-PSK)-modus dersom det ikker brukes noen godkjenningsserver. Denne modusen bruker ikke noen 802.1x-godkjenningsprotokoll. Den kan brukes med datakrypteringstypene: WEP ellerTKIP. WPA-PSK krever konfigurasjon av en forhåndsdefinert nøkkel (PSK). Du må sette inn en passfrase eller 64 hex-tegn for Forhåndsdelt nøkkel med en lengde på 256 bits. Datakrypteringsnøkkelen får man fra PSK.

For å installer en profil ved hjelp av WPA-PSK:

  1. På siden Generelt klikker du kategorien Nettverk.

  2. Klikk knappen Legg til.

  3. Skriv inn profil- og nettverksnavnet (SSID).

  4. Velg Infrastruktur for funksjonsmodusen.

  5. Klikk Neste.

  6. Velg WPA-PSK for nettverksgodkjenning. Du kan også velge godkjenningsmodus.

  7. Velg WEP som datakryptering.

  8. Velg ett av følgende:

    • Bruk passfrase: Klikk Bruk passfrase for å aktivere det. Sett inn en tekstfrase ved hjelp av 8 -63 alfanumeriske tegn ((0-9, a-z ellerA-Z) i passfrasefeltet.

    • Bruk hex-nøkkel: Klikk Bruk hex-nøkkel for å aktivere det. Sett inn inntil 64 alfanumeriske tegn 0-9, A-F i hex-nøkkelfeltet. 

  9. Klikk på 802.1x-aktivert-avmerkingsboksen.

  10. Angi godkjenningstypen til TLS for å bli brukt sammen med denne forbindelsen.

  11. Klikk Avslutt for å lagre sikkerhetsinnstillingene for profilen.


 

Konfigurere klienten for WPA ved hjelp av TKIP-kryptering og TLS-godkjenning

Modusen Wi-Fi-beskyttet tilgang (WPA) kan brukes med TLS, TTLS eller PEAP. Denne 802.1x-godkjenningsprotokoll bruker datakrypteringsalternativene; WEP eller TKIP. Wi-Fi-beskyttet tilgang (WPA)-modus bindes sammen med 802.1x-godkjenning. Datakrypteringsnøkkelen mottas fra 802.1x-nøkkelutvekslingen. Wi-Fi-beskyttet tilgang bruker TKIP (Temporal Key Integrity Protocol) for å bedre datakrypteringen. TKIP gir viktige datakrypteringsutvidelser inklusive en gjen-nøkkelmetode

  1. Skaff og installer et klientsertifikat, se Konfigurere klienten for TLS-godkjenning eller rådfør deg med systemadministrator.

  2. På siden Generelt klikker du kategorien Nettverk.

  3. Klikk knappen Legg til.

  4. Skriv inn profil- og nettverksnavnet (SSID).

  5. Velg Infrastruktur for funksjonsmodusen.

  6. Klikk Neste.

  7. Velg WPA for nettverksgodkjenningen.

  8. Velg TKIP som datakryptering.

  9. Angi godkjenningstypen til TLS for å bli brukt sammen med denne forbindelsen.

  10. Klikk knappen Konfigurer for å åpne innstillingsdialogboksen.

  11. Skriv inn brukernavnet ditt i feltet Brukernavn.

  12. Velg Sertifikatutsteder fra listen. Velg en hvilken som helst pålitelig CA som standard.

    • Merk av for tillat mildertidige sertifikater for å tillate at et antall uspesifiserte sertifikater skal være i sertifikatkjeden mellom serversertifikatet og den angitte sertifiseringsinstansen. Dersom det ikke merkes av, må den angitte sertifiseringsinstansen ha utstedt serversertifikatet direkte.

  13. Skriv inn servernavnet.

    • Dersom du kjenner servernavnet, setter du inn dette navnet.

    • Velg det riktige alternativet for å stemme nøyaktig overens med servernavnet, eller angi domenenavnet.

  14. Bruk klientsertifikat: Dette alternativet velger et klientsertifikat fra det personlige sertifikatlageret for brukeren som er Windows-innlogget. Sertifikatet vil bli brukt til klientgodkjenning. Klikk knappen Velg for å åpne listen over installerte sertifikater.

    • Merk om sertifikater: Den angitte identiteten må stemme overens med feltet "Utstedt til" i sertifikatet, og må registreres på godkjenningsserveren (f. eks RADIUS-serveren) som blir brukt av godkjenneren. Sertifikatet ditt må være "gyldig" hva gjelder godkjenningsserveren. Dette kravet avhenger av godkjenningsserveren og betyer vanligvis at godkjenningsserveren må anerkjenne utstederen av sertifikatet ditt som en sertifiseringsinstans. Du må logges inn ved å bruke det samme brukernavnet du brukte da sertifikatet ble installert.

  15. Velg sertifikatet fra listen og klikk OK. Klientsertifikatinformasjonen vises under "Klientsertifikat".

  16. Klikk Lukk.

  17. Klikk Avslutt for å lagre sikkerhetsinnstillingene for profilen.


 

Konfigurere klienten for WPA ved hjelp av TKIP-kryptering og TLS- eller PEAP-godkjenning

Bruke TTLS-godkjenning: Disse innstillingene definerer protokollen og legitimasjonsbeskrivelsene som brukes for å godkjenne en bruker. I TTLS bruker klienten EAP-TLS for å validere serveren og lage en TLS-kryptert kanal mellom klienten og serveren. Klienten kan bruke en annen godkjenningsprotokoll, normalt passordbaserte protokoller som MDF Challenge over denne krypterte kanalen for å aktivere serverbekreftelen. Utfordrings- og responspakker sendes over en ikke-utsatt TLS-kryptert kanal.

Bruke PEAP-godkjenning: PEAP-innstillinger er nødvendig for godkjenningen av klienten overfor godkjenningsserveren. I PEAP benytter klienten EAP-TLS for å bekrefte serveren og lage en TLS-kryptert kanal mellom klienten og serveren. Klienten kan bruke en annen EAP-mekanisme som Microsoft Challenge Authentication Protocol (MSCHAP) Versjon 2 over denne krypterte kanalen for å aktivere servervalidering. Utfordrings- og responspakker sendes over en ikke-utsatt TLS-kryptert kanal.

Det følgende eksempelet beskriver hvordan du bruker WPA med TKIP-kryptering ved hjelp av TTLS- eller PEAP-godkjenning.

  1. Skaff og installer et klientsertifikat, se Konfigurere klienten for TLS-godkjenning eller rådfør deg med systemadministrator.

  2. På siden Generelt klikker du kategorien Nettverk.

  3. Klikk knappen Legg til.

  4. Skriv inn profil- og nettverksnavnet (SSID).

  5. Velg Infrastruktur for funksjonsmodusen.

  6. Klikk Neste.

  7. Velg WPA for nettverksgodkjenningen.

  8. Velg TKIP som datakryptering.

  9. Angi godkjenningstypen til TLS eller PEAP for å bli brukt sammen med denne forbindelsen.

  10. Klikk knappen Konfigurer for å åpne innstillingsdialogboksen.

  11. Sett inn Kortstreifingsidentitets-navnet i feltet Kortstreifingsidentitet.Denne alternative funksjonen er den 802.1X-identiteten som leveres til godkjenneren. Det anbefales at dette feltet ikke innholder virkelig identitet, men isteden det ønskede dataområde (f. eks. anonymous@myrealm).

  12. Velg Sertifikatutsteder fra listen. Velg en hvilken som helst pålitelig CA som standard.

    • Merk av for tillat mildertidige sertifikater for å tillate at et antall uspesifiserte sertifikater skal være i sertifikatkjeden mellom serversertifikatet og den angitte sertifiseringsinstansen. Dersom det ikke merkes av, må den angitte sertifiseringsinstansen ha utstedt serversertifikatet direkte.

  13. Skriv inn servernavnet.

    • Dersom du kjenner servernavnet, setter du inn dette navnet.

    • Velg det riktige alternativet for å stemme nøyaktig overens med servernavnet, eller angi domenenavnet.

  14. Godkjenningsprotokoll:

    • PEAP: Velg MS-CHAP-V2. Denne parameteren angir godkjenningsprotokollen som virker over PEAP-tunnelen. Protokollene er: MS-CHAP-V2 (Standard), GTC og TLS.

    • TTLS: Velg PAP. Denne parameteren angir godkjenningsprotokollen som virker over TTLS-tunnelen. Protokollene er: PAP (standard), CHAP, MD5, MS-CHAP og MS-CHAP-V2.

  15. Skriv inn brukernavnet. Dette brukernavnet må stemme overens med brukernavnet som er angitt i godkjenningsserveren av IT-administratoren før klientens godkjenning. Brukernavnet skiller mellom store og små bokstaver. Navnet angir identiteten som godkjenneren har fått av godkjenningsprotokollen som virker over TLS-tunelen. Brukerens identitet blir på en sikker måte overført bare til serveren etter en kryptert kanal er blitt verifisert og opprettet.

  16. Skriv inn brukerpassordet. Angir brukerpassordet. Dette passordet må stemme overens med passordet som er angitt i godkjenningsserveren.

  17. Skriv inn brukerpassordet på nytt. Hvis det bekreftes, vises de samme passordtegnene som ble skrevet inn i Passord-feltet.

  18. Bruk klientsertifikat: Dette alternativet velger et klientsertifikat fra det personlige sertifikatlageret for brukeren som er Windows-innlogget. Sertifikatet vil bli brukt til klientgodkjenning. Klikk knappen Velg for å åpne listen over installerte sertifikater.

    • Merk om sertifikater: Den angitte identiteten må stemme overens med feltet "Utstedt til" i sertifikatet, og må registreres på godkjenningsserveren (f. eks RADIUS-serveren) som blir brukt av godkjenneren. Sertifikatet ditt må være "gyldig" hva gjelder godkjenningsserveren. Dette kravet avhenger av godkjenningsserveren og betyer vanligvis at godkjenningsserveren må anerkjenne utstederen av sertifikatet ditt som en sertifiseringsinstans. Dette betyr at godkjenningserveren må kjenne utstederen for sertifikatet som en sertifiseringsinstans. Du må logges inn ved å bruke det samme brukernavnet du brukte da sertifikatet ble installert.

  19. Velg sertifikatet fra listen og klikk OK. Klientsertifikatinformasjonen vises under "Klientsertifikat".

  20. Klikk Lukk.

  21. Klikk Avslutt for å lagre sikkerhetsinnstillingene for profilen.


Konfigurere klienten for CCX ved hjelp av CKIP-kryptering og LEAP-godkjenning

  1. På siden Generelt klikker du kategorien Nettverk.

  2. Klikk knappen Legg til.

  3. Skriv inn profil- og nettverksnavnet (SSID).

  4. Velg Infrastruktur for funksjonsmodusen.

  5. Fra kategorien Generelt klikker du avmerkingsboksen Cisco Client eXtentions for å aktivere CCX. Obs! Nettverksgodkjenning og Datakryptering inkluderer nå CCX-sikkerhetsalternativene: Åpen, Delt for 802.11-godkjenning og ingen, WEP, CKIP for datakryptering.
  6. Velg Åpen i nettverksgodkjenningsalternativene.
  7. Velg CKIP som datakryptering.
  8. Klikk på avmerkingsboksen 802.1x-aktivert for å aktivere sikkerhetsalternativer 802.1x.
  9. Velg LEAP som 802.1x-godkjenningstype.
  10. Klikk Konfigurer for å åpne LEAP-innstillingsdialogen. Sett inn brukernavn og passord for brukeren du har opprettet på godkjenningsserveren. Brukernavnet og passordet behøver ikke være det samme som navnet og passordet for den aktuelle Windows-brukerpålogging.
  11. Klikk Lukk for å lagre innstillingene.

CCX-tilgangspunkt og klientkonfigurasjoner

Tilgangspunktet gir innstillinger for å velge forskjellige godkjenningstyper avhengig av WLAN-omgivelsene. Klienten sender et godkjenningsalgoritmefelt i løpet av 802.11-godkjenningshåndtrykket som finner sted mellom klienten og AP under koblingsopprettelsen. Godkjenningsalgoritmeverdiene som gjenkjennes av en CCX-aktivert AP, er ulik for ulike godkjenningstyper. For eksempel har “Nettverks-EAP” som viser LEAP, en verdi på 0x80, mens “Åpen” som er den 802.11-angitte åpne godkjenningen og “Anmodet EAP” som krever en EAP-håndtrykksutvekslingsverdi, har verdier på 0x0.

Bare Nettverks-EAP

Ap: For CCX-aktiverte nettverk som bruker LEAP-godkjenning, er bare godkjenningstypen innstilt med avmerkingsboksen for "Nettverks-EAP" valgt, og boksene for "Åpen" og "Anmodet EAP" er ikke avmerket. AP blir så konfigurert for å tillate BARE LEAP-klienter å godkjenne og koble til. I dette tilfelle forventer AP at 802.11-godkjenningsalgoritmen blir satt til 0x80 (LEAP) og avviser klienter som prøver å godkjenne med en godkjenningsalgoritmeverdi på 0x0.

Klient: I dette tilfelle må klienten sende ut en godkjenningsalgoritmeverdi på 0x80, ellers vil 802.11-godkjenningshåndtrykket mislykkes. Under oppstartingen, når Wireless LAN-driveren allerede er lastet inn, men Intel(R) PROSet-søkeren fortsatt ikke er lastet inn, sender klienten 802.11-godkjenning med en godkjenningsalgoritmeverdi på 0x0. Straks Intel(R) PROSet-søkeren lastes inn og engajserer LEAP-profilen, sender den 802.11-godkjenning med en godkjenningsalgoritmeverdi på 0x80. Men søkeren sender ut 0x80 bare dersom Rogue AP-boksen er avmerket.

Nettverks-EAP, Åpen og Anmodet EAP

Ap: Dersom boksene Nettverks-EAP, Åpen og Anmodet EAP er avmerket, vil den godta begge typene 802.11-godkjenningsalgoritmeverdier 0x0 og 0x80. Men straks klienten er assosiert og godkjent, forventer AP at et EAP-håndtrykk skal finne sted. Om EAP-håndtrykket av en eller annen grunn ikke finner sted, vil AP ikke svare klienten på omtrent 60 sekunder.

Klient: Her kunne klienten sende ut en godkjenningsalgoritmeverdi på 0x80 eller 0x0. Begge verdiene er akseptable, og 802.11-godkjenningshåndtrykket ville lykkes. Under oppstartingen, når Wireless LAN-driveren allerede er lastet inn, og klienten sender 802.11-godkjenning med en godkjenningsalgoritmeverdi på 0x0. Dette er nok for å bli godkjent, men de korresponderende EAP- eller LEAP-legitimasjonsbeskrivelsene må kommuiniseres til AP for å etablere en forbindelse.

Bare Åpen og Anmodet EAP

Ap: I det tilfelle hvor AP er konfigurert med Nettverks-EAP ikke avmerket, men Åpen og anmodet EAP avmerket, vil AP avvise envher klient som prøver å 802.11-godkjenne ved bruk av en godkjenningsalgoritme på 0x80. AP vil godta enhver klient som bruker en godkjenningsalgoritmeverdi på 0x0 og forventer at EAP-håndtrykket skal begynne straks etter. I dette tilfelle bruker klienten MD5, TLS, LEAP eller noen annen egnet EAP-metode egnet til den spesifikke nettverkskonfigurasjonen.

Klient: Klienten må i dette tilfelle sende ut en godkjenningsalgoritmeverdi på 0x0. Som tidligere nevnt, involverer sekvensen en gjentagelse av det første 802.11-godkjenningshåndtrykket. Først initierer Wireless LAN-driveren godkjenningen med en verdi på 0x0, og deretter vil søkeren gjenta prosessen. Men godkjenningsalgoritmeverdien som brukes av søkeren, avhenger av status for Rogue AP-avmerkingsboksen. Når Rogue AP-boksen er avmerket, sender klieten en 802.11-godkjenning med godkjenningsalgoritmeverdi på 0x0 selv etter at søkeren laster inn og engasjserer LEAP-profilen.

Enkelte ikke-Intel-klienter kan, når de for eksempel er innstilt til LEAP, ikke godkjenne i dette tilfelle. Men Intel Wireless LAN-klienten kan godkjenne dersom Rogue AP ikke er avmerket.  

Konfigurasjon av Rogue AP-avmerkingsboks

Når avmerkingsboksen er avmerket, sikrer den at klienten implementerer Rogue AP-egenskapen som CCX krever. Klienten gjør en merknad over AP-er som den mislyktes i å godkjenne seg med og sender denne informasjonen til den AP som tillater den å godkjenne og koble til. Søkeren angir også godkjenningsalgoritmetypen til 0x80 når Rogue AP-boksen er avmerket. Det kan være enkelte nettverkskonfigurasjoner som implementerer og bare Åpen og Anmodet EAP som beskrevet foran. For at denne innstillingen skal virke, må klienten bruke en godkjenningsalgoritmeverdi på 0x0, i motsetning til behovet for å bruke 0x80 for bare Nettverks-EAP beskrevet foran. Derfor aktiverer Rogue AP-avmerkingsboksen også klienten til å støtte bare Nettverks-EAP og bare Åpen og Anmodet EAP.

Cisco CCX-funksjonsstøtte

Ciscos obligatoriske spesifikasjonsversjon 1.0 for klientoverholdelse:

  • Overholdelse av alle obligatoriske elementer i 802.11

  • Defragmentering av MSDU-er og MMPDU-er

  • Generere CTS som respons på en RTS

  • Åpen og Delt nøkkelgodkjenningsstøtte

  • Støtte aktiv skanning

  • Wi-Fi-overholdelse nødvendig

  • På Windowsplattformer, Microsoft 802.11 NIC-overholdelse

  • 802.1X-2001-overholdelse

  • EAP-TLS (Transport Level Security, RFC 2716)-støtte på Windows XP

  • EAP-MD4 (RFC 1320)-støtte på Windows XP

  • EAP-pakker som skal sendes ukryptert

  • Kringkastingsnøkkelroteringsstøtte

  • CKIP-støtte

  • WEP/RC4-støtte

  • Støtte for 4 nøkler for WEP

  • Både WEP40- og WEP128-nøkler støttes

  • LEAP-støtte er nødvendig

  • Rogue AP-rapporteringsstøtte

  • Cisco-utvidelse: Aironet IE-støtte– CWmin- og CWmax-felter

  • Encapsulation Transformation Rule IE-støtte

  • Cisco-utvidelse: AP IP-adresse IE

  • Cisco-utvidelse: Symbol IE

  • Mikset (WEP og ikke-WEP)-celler

  • AP kan hende responderer på mer enn én SSID – VLAN-oppmerksomhet

  • Stealth mode-støtte - Klienter må ignorere SSID-er som ikke oppfanges

  • Flere SSID-støtter – Klient bør være i stand til å streifesøke inntil 3 SSID-er

  • Klient må bruke konfigurert SSID i testanmodning

Obs! Se Cisco Klientutvidelsesversjonsdokument 1.0 tilgjengelig på www.cisco.com for å få flere detaljer.

Tilbake til Innhold-siden


Les alle begrensninger og ansvarsfraskrivelser