Voltar à página do índice

Segurança e criptografia: Guia do Usuário do Mini-adaptador PCI de rede Intel(R) PRO/Wireless


Segurança e criptografia

Configuração da criptografia de dados e autenticação
Visão geral da criptografia
Como habilitar a criptografia WEP
Tarefas do administrador do sistema
Configuração do cliente para a autenticação WEP e MD5
Configuração do cliente para WPA-PSK usando a autenticação WEP ou TKIP
Configuração do cliente para WPA usando a criptografia TKIP e a autenticação TLS
Configuração do cliente para WPA usando a criptografia TKIP e a autenticação TTLS ou PEAP
Configuração do cliente para CCX usando a criptografia CKIP e a autenticação LEAP


Configuração da criptografia de dados e autenticação

A criptografia e autenticação compartilhada WEP (Wired Equivalent Privacy) ajudam a proteger os dados da rede. A WEP usa uma chave de criptografia para codificar os dados antes de transmiti-los. Apenas os computadores que usarem a mesma chave de criptografia podem acessar a rede ou decodificar os dados transmitidos. A autenticação é um processo adicional de validação do adaptador no ponto de acesso. O algoritmo de criptografia WEP é vulnerável a ataques passivos e ativos à rede. Os algoritmos TKIP e CKIP contêm avanços em relação ao protocolo WEP para suprimir os ataques existentes à rede e para resolver os problemas causados por estes ataques.

Autenticação aberta e de chave compartilhada

O 802.11 suporta dois tipos de autenticação à rede: Sistema aberto e Chave compartilhada. Os esquemas de autenticação suportados são a autenticação aberta e de chave compartilhada:

Chaves de rede

Quando a criptografia de dados (WEP, CKIP ou TKIP) está ativada, uma chave de rede é usada para criptografia. A chave de rede pode ser fornecida automaticamente (por exemplo, ela pode ser fornecida no adaptador de rede sem fio ou você pode digitá-la e especificar seu comprimento (64 ou 128 bits), seu formato (caracteres ASCII ou algarismos hexadecimais) e seu índice (o local específico onde a chave é armazenada)). Quanto maior o comprimento da chave, maior a sua segurança. Sempre que o comprimento da chave é aumentado em um bit, o número de chaves possíveis dobra.

No 802.11, pode ser configurada uma estação sem fio com até quatro chaves (os valores de índice de chave são 1, 2, 3 e 4). Quando um ponto de acesso ou uma estação sem fio transmite uma mensagem criptografada usando uma chave que está armazenada em um índice específico, o índice que está sendo usado para criptografar o corpo da mensagem é indicado. O ponto de acesso ou estação sem fio receptora pode recuperar a chave armazenada nesse índice de chave e usá-la para decodificar o corpo da mensagem criptografada.

Tipos de chave de criptografia estática e dinâmica

O padrão 802.1x usa dois tipos de chaves de criptografia: estática e dinâmica. As chaves de criptografia estáticas são alteradas manualmente e são mais vulneráveis. A autenticação MD5 usa somente chaves de criptografia estáticas. As chaves de criptografia dinâmicas são renovadas automaticamente a intervalos de tempo. Este recurso torna as chaves mais seguras. Para ativar as chaves de criptografia dinâmicas, você precisa usar os métodos de autenticação 802.1x, como TLS, TTLS, PEAP ou LEAP.


Visão geral sobre a criptografia

A segurança na WLAN pode ser suplementada com a ativação da criptografia de dados usando WEP (Wireless Encryption Protocol). É possível escolher uma criptografia de 64 bits ou de 128 bits. Além disso, os dados podem ser criptografados com uma chave. Um outro parâmetro chamado índice de chave permite a opção de criar chaves múltiplas para aquele perfil. Contudo, apenas uma chave pode ser usada de cada vez. Você também pode proteger o perfil com uma senha, para garantir a privacidade..

A senha é usada para gerar uma chave WEP automaticamente. Você pode usar uma senha ou inserir uma chave WEP manualmente. Ao usar criptografia de 64 bits, a senha terá o tamanho de 5 caracteres e você poderá escolher entre digitar uma frase qualquer e fácil de lembrar, como Acme1, ou digitar dez números em hexadecimal para a chave WEP correspondentes à rede que o usuário deseja se conectar. Para a criptografia de 128 bits, a senha tem 13 caracteres ou você pode digitar 26 números em hexadecimal para a chave WEP, para se conectar à rede adequada.

Nota: Você precisa usar o mesmo tipo de criptografia, o mesmo número de índice da chave e a mesma chave WEP que os outros dispositivos da rede sem fio. Além disso, se a autenticação usada for de 802.1x, a criptografia WEP precisa ser desativada.


Como ativar a criptografia WEP

O exemplo a seguir mostra como editar um perfil existente e aplicar a criptografia WEP.

Para ativar a criptografia WEP:

  1. Na página Geral, clique na guia Redes.
  2. Selecione o perfil da Lista de perfis e clique no botão Editar.
  3. Clique na guia Segurança.
  4. Selecione o modo de Autenticação à rede (Aberto é o modo recomendado).
  5. Selecione a criptografia de dados WEP.
  6. Selecione 64 bits ou 128 bits como o Nível de criptografia.
  7. Selecione um índice de chave: 1, 2, 3 ou 4
  8. Selecione uma das seguintes opções:
  1. Clique em OK para salvar as configurações dos perfis.

 
NOTA: Você deve usar o mesmo tipo de criptografia, número de índice e chave WEP dos outros dispositivos, em sua rede sem fio.  


Tarefas do administrador do sistema

 
NOTA: As informações a seguir se destinam aos administradores de sistemas.  

Como obter o certificado de cliente

Se não tiver nenhum certificado para EAP-TLS ou EAP-TTLS, você precisará obter um certificado de cliente para que a autenticação possa ser feita. Geralmente, você precisará consultar o administrador do sistema para obter instruções sobre como obter um certificado na sua rede. Os certificados podem ser gerenciados das "Configurações de Internet" que são acessadas no Internet Explorer ou no Painel de controle do Windows. Use a página "Conteúdo" das "Configurações de Internet".

Windows XP e 2000: Ao obter um certificado de cliente, não ative a proteção forte de chave privada. Se ativar a proteção forte de chave privada para o certificado, você precisará digitar uma senha de acesso para esse certificado toda a vez em que ele for usado. Você precisará desativar a proteção forte de chave privada para o certificado se estiver configurando o serviço para autenticação TLS/TTLS. Caso contrário, o serviço do 802.1x falhará na autenticação porque não existe um usuário logado para quem a caixa de diálogo de prompt possa ser exibida.

Notas sobre as Placas inteligentes

Quando a placa inteligente é instalada, o certificado é instalado automaticamente no computador e pode ser selecionado na pasta de certificados da pessoa e na pasta de certificados da raiz.

Configuração do cliente para autenticação TLS

Etapa 1: Obter o certificado

Para permitir a autenticação TLS, você precisa de um certificado válido de cliente (usuário) no repositório local para a conta do usuário logado.  Você precisa também de um certificado reconhecido pela CA na pasta da raiz.

Há dois métodos de obtenção de um certificado:

Obtenção do certificado de uma autoridade de certificação do Windows 2000:

  1. Inicie o Internet Explorer e vá até o serviço HTTP de Autoridade de Certificação (use um URL como http://myCA.myDomain.com).
  2. Faça login na CA com o nome e senha da conta de usuário que você criou (acima) no servidor de autenticação. Este nome e senha não precisam ser iguais ao seu nome e senha de login no Windows.
  3. Na página de abertura da CA selecione a tarefa Solicitar certificado e envie o formulário.
  4. Na página "Escolher o tipo de solicitação", selecione Avançado e clique em Avançar.
  5. Na página "Solicitações avançadas de certificado", selecione a opção de submeter uma solicitação de certificado usando formulário e depois clique em Submeter.
  6. Na página Solicitação avançada de certificado, escolha o gabarito de certificado de usuário. Selecione "Marcar chaves como exportáveis" e clique em Avançar. Use as configurações padrão mostradas.
  7. Na página Certificado emitido, selecione Instalar este certificado.

Nota: Se este for o primeiro certificado que você obtém, a autoridade de certificação perguntará primeiramente se você quer instalar um certificado reconhecido pela CA na raiz. A caixa de diálogo não dirá que este é um certificado reconhecido pela autoridade de certificação, mas o nome do certificado mostrado será o mesmo do host da CA. Clique em sim e você precisará deste certificado para o TLS e para o TTLS.

  1. Se seu certificado tiver sido instalado corretamente, você verá a mensagem "Seu certificado foi instalado com sucesso".
  2. Para verificar a instalação, clique em Internet Explorer > Ferramentas > Opções de Internet > Conteúdo > Certificados.. O novo certificado deve ser instalado na pasta "Particular".

Importar um certificado de um arquivo

  1. Abra as Propriedades de Internet (clique com o botão direito no ícone do Internet Explorer na área de trabalho e selecione Propriedades).
  2. Clique no botão Certificados na página Conteúdo. A lista de certificados instalados será exibida.
  3. Clique no botão importar sob a lista de certificados. O assistente de Importação de certificados será aberto. (Nota: As etapas de 1 a 3 podem também ser executadas clicando duas vezes no ícone do certificado.)
  4. Selecione o arquivo e vá para a página Senha.
  5. Na página Senha, especifique a senha de acesso ao arquivo. Desmarque a opção Ativar a proteção forte de chave particular.
  6. Na página Armazenamento de certificados selecione "Selecionar automaticamente o armazenamento de certificados com base no tipo de certificado" (o certificado precisa estar no armazenamento Pessoal de contas de usuários para ser acessado pela caixa de diálogo Configurar do cliente; isto acontecerá se for selecionada a opção ‘automático’).
  7. Vá para "Concluindo a importação de certificados" e clique no botão Concluir .

O exemplo a seguir descreve como usar o WPA com a criptografia TKIP usando a autenticação TTLS ou PEAP.

Configuração do cliente para autenticação TLS

Etapa 2: Especificação do certificado usado pelo Intel(R) PROSet

  1. Obtenha e instale um certificado de cliente; consulte a Etapa 1 ou consulte o administrador do sistema.

  2. Na página Geral, clique na guia Redes.

  3. Clique no botão Adicionar.

  4. Digite o perfil e o nome de rede (SSID).

  5. Selecionar Infraestrutura como o modo de operação.

  6. Clique em Avançar.

  7. Selecionar Aberto para a autenticação de rede. Você pode também selecionar qualquer outro modo disponível de autenticação de certificados.

  8. Selecionar WEP para a criptografia de dados. Você pode também selecionar qualquer outro tipo disponível de criptografia.

  9. Clique no botão 802.1x ativado .

  10. Defina o tipo de autenticação como TLS para ser usada com esta conexão.

  11. Clique no botão Configurar para abrir o diálogo de configurações.

  12. Digite o seu nome de usuário no campo Nome do usuário.

  13. Selecione o "Emissor do certificado" na lista. Selecione "Qualquer AC acreditada" como padrão.

    • Marque a caixa “permitir certificados intermediários” para permitir que alguns certificados não especificados estejam na cadeia de certificados do servidor, entre o certificado do servidor e a autoridade de certificação especificada. Se esta caixa estiver desmarcada, a autoridade de certificação especificada precisa ter emitido diretamente o certificado do servidor.

  14. Digite o nome do servidor.

    • Se você souber o nome do servidor, digite-o.

    • Selecione a opção adequada de um nome exatamente igual ao do servidor ou especifique o nome do domínio.

  15. Sob a opção "Certificado de cliente", clique no botão Selecionar para abrir uma lista de certificados instalados.

    • Nota sobre Certificados: A identidade especificada precisa ser igual ao conteúdo do campo "Emitido para" no certificado e deve estar registrada no servidor de autenticação (servidor RADIUS) usado pelo autenticador. Seu certificado precisa ser "válido" em relação ao servidor de autenticação. Este requisito depende do servidor de autenticação e geralmente significa que este servidor de autenticação precisa conhecer o emissor do certificado como a Autoridade de certificação. Você deve estar logado com o nome de usuário usado quando o certificado foi instalado.

  16. Selecione o certificado na lista e clique em OK. As informações sobre o certificado aparecerão em "Certificado do cliente".

  17. Clique em Fechar.

  18. Clique no botão Concluir para salvar as configurações de segurança do perfil.


Configuração do cliente para autenticação WEP e MD5

Para adicionar a autenticação WEP e MD5 a um novo perfil: 

Nota: Antes de começar, você precisa obter, com o administrador da rede, um nome de usuário e uma senha no servidor RADIUS.

  1. Na página Geral, clique na guia Redes.
  2. Clique no botão Adicionar na Lista de perfis.
  3. Digite o perfil e o nome de rede (SSID).
  4. Selecione Infra-estrutura como o modo de operação.
  5. Clique em Avançar
  6. Selecione Aberta (recomendado) para a Autenticação de rede.
  7. Selecione WEP como criptografia de dados. 
  8. Selecione 64 ou 128 bits como Nível de criptografia.
  9. Selecione o índice de chave 1, 2, 3 ou 4.
  10. Digite a senha ou a chave hexa obrigatória.
  11. Clique na caixa 802.1x ativado.
  12. Selecione MD5 como o Tipo de autenticação 802.1x.
  13. Clique em Configurar para abrir a caixa de diálogo Configurações de MD5. Digite o nome e senha do usuário. Nota: Este nome e senha do usuário não precisam ser iguais ao nome e senha de seu atual login de usuário do Windows. 
  14. Clique em Fechar para salvar as configurações. 
  15. Se a caixa de seleção Proteção por senha estiver marcada na página Configurações gerais,
    clique em Avançar para abrir a página Senha e digite a senha do perfil. 
  16. Clique no botão Concluir para salvar as configurações do perfil.

Configuração do cliente para WPA-PSK usando a autenticação WEP ou TKIP

Use o modo WPA-PSK (Wi-Fi Protected Access - Pre Shared Key) se não houver um servidor de autenticação sendo usado. Este modo não usa nenhum protocolo de autenticação 802.1x. Ele pode ser usado com os seguintes tipos de criptografia: WEP ou TKIP. O WPA-PSK precisa da configuração de uma chave pré-compartilhada (PSK). Você precisa digitar a senha ou 64 caracteres hexadecimais para uma chave pré-compartilhada de 256 bits. A chave de criptografia de dados é derivada do PSK.

Para configurar um perfil usando o WPA-TKIP:

  1. Na página Geral, clique na guia Redes.

  2. Clique no botão Adicionar.

  3. Digite o perfil e o nome de rede (SSID).

  4. Selecionar Infraestrutura como o modo de operação.

  5. Clique em Avançar.

  6. Selecionar WPA-PSK para a autenticação de rede. Você também pode selecionar o modo de autenticação.

  7. Selecionar WEP para a criptografia de dados.

  8. Selecione uma das seguintes opções:

    • Usar senha: Clique em Usar senha para ativar a opção. Digite uma senha com 8 -63 caracteres alfanuméricos (0-9, a-z ou A-Z) no campo da senha.

    • Usar chave hexa: Clique em Usar chave hexa para ativar a opção. Digite até 64 caracteres alfanuméricos, 0-9, A-F no campo da chave hexa. 

  9. Clique no botão 802.1x ativado .

  10. Defina o tipo de autenticação como TLS para ser usada com esta conexão.

  11. Clique no botão Concluir para salvar as configurações de segurança do perfil.


 

Configuração do cliente para WPA usando a criptografia TKIP e autenticação TKIP

O modo WPA (Wi-Fi Protected Access) pode ser usado com TLS, TTLS ou PEAP. Este protocolo de autenticação 802.1x usando as opções de criptografia WEP ou TKIP. O modo WPA (Wi-Fi Protected Access) está vinculado com a autenticação 802.1x. A chave de criptografia de dados é recebida da troca de chaves 802.1x. Para aprimorar a criptografia de dados, o acesso Wi-Fi protegido usa seu TKIP (Temporal Key Integrity Protocol). O TKIP oferece otimizações importantes de criptografia de dados, incluindo o método de rechaveamento.

  1. Obtenha e instale um certificado de cliente, consulte Configuração do cliente para a autenticação TLS ou consulte o administrador do sistema.

  2. Na página Geral, clique na guia Redes.

  3. Clique no botão Adicionar.

  4. Digite o perfil e o nome de rede (SSID).

  5. Selecionar Infraestrutura como o modo de operação.

  6. Clique em Avançar.

  7. Selecionar WPA para a autenticação de rede.

  8. Selecionar TKIP para a criptografia de dados.

  9. Defina o tipo de autenticação como TLS para ser usada com esta conexão.

  10. Clique no botão Configurar para abrir o diálogo de configurações.

  11. Digite o seu nome de usuário no campo Nome do usuário.

  12. Selecione o "Emissor do certificado" na lista. Selecione "Qualquer AC acreditada" como padrão.

    • Marque a caixa “permitir certificados intermediários” para permitir que alguns certificados não especificados estejam na cadeia de certificados do servidor, entre o certificado do servidor e a autoridade de certificação especificada. Se esta caixa estiver desmarcada, a autoridade de certificação especificada precisa ter emitido diretamente o certificado do servidor.

  13. Digite o nome do servidor.

    • Se você souber o nome do servidor, digite-o.

    • Selecione a opção adequada de um nome exatamente igual ao do servidor ou especifique o nome do domínio.

  14. Usar certificado de cliente: Esta opção seleciona um certificado de cliente no armazenamento de certificados pessoais do usuário logado do Windows. O certificado será usado para autenticação do cliente. Clique no botão Selecionar para abrir uma lista de certificados instalados.

    • Nota sobre Certificados: A identidade especificada precisa ser igual ao conteúdo do campo "Emitido para" no certificado e deve estar registrada no servidor de autenticação (servidor RADIUS) usado pelo autenticador. Seu certificado precisa ser "válido" em relação ao servidor de autenticação. Este requisito depende do servidor de autenticação e geralmente significa que este servidor de autenticação precisa conhecer o emissor do certificado como a Autoridade de certificação. Você deve estar logado com o nome de usuário usado quando o certificado foi instalado.

  15. Selecione o certificado na lista e clique em OK. As informações sobre o certificado aparecerão em "Certificado do cliente".

  16. Clique em Fechar.

  17. Clique no botão Concluir para salvar as configurações de segurança do perfil.


 

Configuração do cliente para WPA usando a criptografia TKIP e autenticação TTLS ou PEAP

Usando a autenticação TTLS: Estas configurações definem o protocolo e as credenciais a serem usados para autenticar um usuário. No TTLS, o cliente usa EAP-TLS para validar o servidor e criar um canal criptografado por TLS entre o cliente e o servidor. O cliente pode usar outro protocolo de autenticação, tipicamente controles baseados em senha, como o desafio MD5 neste canal criptografado para ativar a validação de servidor. Os pacotes de desafio e resposta são enviados por um canal TLS não exposto e criptografado.

Usando a autenticação PEAP: As configurações do PEAP são necessárias para a autenticação do cliente para o servidor de autenticação. No PEAP, o cliente usa EAP-TLS para validar o servidor e criar um canal criptografado por TLS com o servidor. O cliente pode usar outro mecanismo EAP, como o MSCHAP (Protocolo de autenticação de desafios da Microsoft) Versão 2, neste canal criptografado para ativar a validação de servidor. Os pacotes de desafio e resposta são enviados por um canal TLS não exposto e criptografado.

O exemplo a seguir descreve como usar o WPA com a criptografia TKIP usando a autenticação TTLS ou PEAP.

  1. Obtenha e instale um certificado de cliente, consulte Configuração do cliente para a autenticação TLS ou consulte o administrador do sistema.

  2. Na página Geral, clique na guia Redes.

  3. Clique no botão Adicionar.

  4. Digite o perfil e o nome de rede (SSID).

  5. Selecionar Infraestrutura como o modo de operação.

  6. Clique em Avançar.

  7. Selecionar WPA para a autenticação de rede.

  8. Selecionar TKIP para a criptografia de dados.

  9. Defina o tipo de autenticação como TTLS ou PEAP para ser usada com esta conexão.

  10. Clique no botão Configurar para abrir o diálogo de configurações.

  11. Digite o nome da Identidade de roaming no campo Identidade de roaming. Este recurso opcional é a identidade do 802.1X fornecida ao autenticador. Recomenda-se que este campo não contenha uma identidade real, mas a região desejada (por exemplo, anônimo@minha_região).

  12. Selecione o "Emissor do certificado" na lista. Selecione "Qualquer AC acreditada" como padrão.

    • Marque a caixa “permitir certificados intermediários” para permitir que alguns certificados não especificados estejam na cadeia de certificados do servidor, entre o certificado do servidor e a autoridade de certificação especificada. Se esta caixa estiver desmarcada, a autoridade de certificação especificada precisa ter emitido diretamente o certificado do servidor.

  13. Digite o nome do servidor.

    • Se você souber o nome do servidor, digite-o.

    • Selecione a opção adequada de um nome exatamente igual ao do servidor ou especifique o nome do domínio.

  14. Protocolo de autenticação:

    • PEAP: Selecione MS-CHAP-V2. Este parâmetro especifica o protocolo de autenticação em operação no túnel PEAP. Os protocolos são: MS-CHAP-V2 (Padrão), GTC e TLS.

    • TTLS: Selecione PAP. Este parâmetro especifica o protocolo de autenticação em funcionamento no túnel TTLS. Os protocolos são: PAP (Padrão), CHAP, MD5, MS-CHAP e MS-CHAP-V2.

  15. Digite o nome do usuário. Este nome de usuário deve ser igual ao definido no servidor de autenticação pelo administrador de IT antes da autenticação do cliente. O recurso distingue maiúsculas de minúsculas no nome de usuário. Este nome especifica a identidade fornecida ao autenticador pelo protocolo de autenticação que está ativo no túnel TLS. A identidade deste usuário é transmitida com segurança para o servidor somente depois que um canal criptografado for verificado e estabelecido.

  16. Digite a senha do usuário. Especifica a senha do usuário. Esta senha deve ser igual à senha definida no servidor de autenticação..

  17. Redigite a senha do usuário. Se confirmada, serão mostrados os mesmos caracteres da senha digitada no campo Senha.

  18. Usar certificado de cliente: Esta opção seleciona um certificado de cliente no armazenamento de certificados pessoais do usuário logado do Windows. O certificado será usado para autenticação do cliente. Clique no botão Selecionar para abrir uma lista de certificados instalados.

    • Nota sobre Certificados: A identidade especificada precisa ser igual ao conteúdo do campo "Emitido para" no certificado e deve estar registrada no servidor de autenticação (servidor RADIUS) usado pelo autenticador. Seu certificado precisa ser "válido" em relação ao servidor de autenticação. Esta exigência depende do servidor de autenticação e do certificado de cliente gerado do armazenamento de certificados Pessoal do usuário logado no Windows, este certificado será usado para autenticação de cliente. Isso significa que o servidor de autenticação deve conhecer o emissor de seu certificado como uma Autoridade de Certificação. Você deve estar logado com o nome de usuário usado quando o certificado foi instalado.

  19. Selecione o certificado na lista e clique em OK. As informações sobre o certificado aparecerão em "Certificado do cliente".

  20. Clique em Fechar.

  21. Clique no botão Concluir para salvar as configurações de segurança do perfil.


Configuração do cliente para CCX usando a criptografia CKIP e autenticação LEAP

  1. Na página Geral, clique na guia Redes.

  2. Clique no botão Adicionar.

  3. Digite o perfil e o nome de rede (SSID).

  4. Selecionar Infraestrutura como o modo de operação.

  5. Na guia Geral, clique na caixa Cisco Client eXtentions para ativar o CCX. Nota: A Autenticação de rede e a Criptografia de dados agora englobam as opções de segurança do CCX: Aberto, Compartilhado para a autenticação do 802.11 e nenhuma, WEP, CKIP para a Criptografia de dados.
  6. Selecione Aberto nas opções de Autenticação de rede.
  7. Selecione CKIP como Criptografia de dados.
  8. Clique na caixa 802.1x ativado para ativar a opção de segurança 802.1x.
  9. Selecione LEAP como o tipo de autenticação 802.1x.
  10. Clique no botão Configurar para abrir o diálogo Configurações MD5. Digite o nome e a senha do usuário que você criou no servidor de autenticação. Este nome e senha do usuário não precisam ser iguais ao nome e senha de seu atual login de usuário do Windows. 
  11. Clique em Fechar para salvar as configurações. 

Configurações de cliente e ponto de acesso do CCX

O ponto de acesso dispõe de configurações para selecionar tipos diferentes de autenticação, dependendo do ambiente da WLAN. O cliente envia um campo Algoritmo de autenticação durante o entrosamento de sincronismo (handshake) de autenticação do 802.11 que ocorre entre o cliente e o PA, durante o estabelecimento da conexão. Os valores do Algoritmo de autenticação reconhecidos por um PA ativado por CCX são diferentes para os diversos tipos de autenticação. Por exemplo, o “EAP de Rede”, que destaca o LEAP, tem um valor de 0x80 enquanto o tipo “Aberto”, que é a autenticação aberta especificada pelo 802.11, e o “EAP Obrigatório”, que exige uma troca de entrosamento de sincronismo do EAP, têm valores de 0x0.

EAP de rede somente

PA: Para as redes ativadas pelo CCX usando a autenticação LEAP somente o tipo de autenticação é definido com a marcação da caixa “EAP de rede” e com as caixas “Aberto” e “EAP obrigatório” desmarcadas. O PA é, então, configurado para permitir que SOMENTE os clientes LEAP se autentiquem e se conectem. Nesse caso, o PA pressupõe que o algoritmo de autenticação do 802.11 esteja definido como 0x80 (LEAP) e recusa os clientes que tentarem a autenticação com um valor 0x0 de algoritmo de autenticação.

Cliente: Nesse caso, o cliente deve emitir um valor 0x80 de algoritmo de autenticação, a despeito de que o entrosamento de sincronismo (handshake) da autenticação do 802.11 venha a falhar. No processo de inicialização, quando o driver da rede sem fio já estiver carregado  mas não o requerente do Intel(R) PROSet, o cliente envia a autenticação do 802.11 com um valor de 0x0 de algoritmo de autenticação. Assim que o requerente do Intel(R) PROSet estiver carregado e incorporar o perfil LEAP, enviará a autenticação do 802.11 com um valor de 0x80 de algoritmo de autenticação. Entretanto, o requerente só enviará o valor 0x80 se a caixa Rogue AP estiver marcada.

EAP de rede, Aberto e EAP obrigatório

PA: Se as caixas EAP de rede, Aberto e EAP obrigatório estiverem marcadas, serão aceitos os dois tipos de valores (0x0 e 0x80) de algoritmo de autenticação do 802.11. Contudo, assim que o cliente estiver associado e autenticado, o PA espera a ocorrência de um entrosamento de sincronismo (handshake) de EAP. Se por algum motivo esse handshake de EAP não acontecer rapidamente, o PA não responderá ao cliente durante cerca de 60 segundos.

Cliente: Aqui, o cliente pode enviar um valor 0x80 ou 0x0 de algoritmo de autenticação. Ambos os valores são aceitáveis e o handshake da autenticação do 802.11 seria bem-sucedido. No processo de inicialização, quando o driver da rede sem fio já estiver carregado, o cliente enviará a autenticação do 802.11 com um valor de 0x0 de algoritmo de autenticação. Basta isso para se autenticar mas as respectivas credenciais do EAP e LEAP devem ser informadas ao PA para estabelecer a conexão.

Aberto e EAP obrigatório somente

PA: Se o PA estiver configurado com a caixa EAP de rede desmarcada, mas com as caixas Aberto e EAP obrigatório marcadas, o PA  recusará qualquer cliente que tentar a autenticação do 802.11 usando um valor 0x80 de algoritmo de autenticação. O PA aceitaria qualquer cliente usando o valor 0x0 de algoritmo de autenticação e pressupõe que o handshake do EAP iniciará logo depois. Nesse caso, o cliente usa o MD5, TLS, LEAP ou qualquer outro método do EAP adequado para a configuração da rede específica.

Cliente: Nesse caso, o cliente é obrigado a enviar um valor 0x0 de algoritmo de autenticação. Como mencionado anteriormente, a seqüência abrange uma repetição do handshake inicial da autenticação do 802.11. Primeiro, o driver da rede sem fio inicia a autenticação com um valor 0x0 e depois o requerente repete o processo. Contudo, o valor do algoritmo de autenticação usado pelo requerente depende do status da caixa de seleção Rogue AP. Quando a caixa de seleção Rogue AP estiver desmarcada, o cliente enviará uma autenticação do 802.11 com um valor 0x0 de algoritmo de autenticação mesmo depois de o requerente carregar e incorporar o perfil LEAP.

Alguns clientes não-Intel, por exemplo, quando definidos com LEAP, não podem se autenticar neste caso. Entretanto, o cliente LAN Intel Wireless pode se autenticar, se a caixa de seleção Rogue AP estiver desmarcada.  

Configuração da caixa de seleção Rogue AP

Quando a caixa de seleção for selecionada, ela assegurará que o cliente implemente o recurso Rogue AP requerido pelo CCX. O cliente registra os PAs cujas autenticações falharam e envia essa informação para o PA, que permite a sua autenticação e conexão. Além disso, o requerente define o tipo do algoritmo de autenticação com o valor 0x80 se a caixa Rogue AP estiver marcada. Podem existir algumas configurações de rede implementando as opções Aberto e EAP obrigatório somente, como descrito anteriormente. Para que essa configuração funcione, o cliente deve usar um valor 0x0 para o algoritmo de autenticação, em vez de usar 0x80 para EAP de rede somente descrito anteriormente. Portanto, a caixa de seleção Rogue AP também permite que o cliente suporte o EAP de rede somente e o Aberto e EAP obrigatório somente.

Suporte para o recurso Cisco CCX

As Especificações Cisco obrigatórias para a compatibilidade com o cliente — Versão 1.0:

  • Compatibilidade com todos os itens obrigatórios do 802.11

  • Desfragmentação de MSDUs e MMPDUs

  • Gera CTS em resposta a um RTS

  • Suporte para autenticação aberta e de chave compartilhada

  • Suporte para a análise ativa

  • Compatibilidade com o Wi-Fi obrigatória

  • Nas plataformas Windows, compatibilidade com a NIC do 802.11 da Microsoft

  • Compatibilidade com o 802.1X-2001

  • Suporte para EAP-TLS (Transport Level Security, RFC 2716) no Windows XP

  • Suporte para EAP-MD4 (RFC 1320) no Windows XP

  • Envio de pacotes EAP sem criptografia

  • Suporte para rotação de chaves de difusão

  • Suporte para CKIP

  • Suporte para WEP/RC4

  • Suporte de 4 chaves para WEP

  • Suporte para as chaves WEP40 e WEP128

  • O suporte para LEAP é obrigatório

  • Suporte para relatório do Rogue AP

  • Extensão Cisco: Suporte para Aironet IE – campos CWmin e CWmax

  • Suporte para IE de Regra de Transformação de Encapsulação

  • Extensão Cisco: IE Endereço IP do ponto de acesso

  • Extensão Cisco: Symbol IE

  • Células mistas (WEP e não-WEP)

  • O PA pode responder a mais de um reconhecimento de SSID – VLAN

  • Suporte para modo falso - os clientes devem ignorar os SSIDs perdidos em beacons

  • Suporte para múltiplos SSID – o cliente pode fazer roaming para até 3 SSIDs

  • Cliente deve usar o SSID configurado em solicitação de teste

Nota: Consulte a documentação do Cisco Client extensions versão 1.0, disponível em www.cisco.com para obter mais detalhes.

Voltar à página do índice


Leia todas as restrições e isenções de responsabilidade.