Torna al Sommario

Protezione e crittografia: Manuale dell'utente per la scheda di rete Intel PRO/Wireless LAN Mini PCI


Protezione e crittografia

Impostazione della crittografia dei dati e dell'autenticazione
Panoramica sulla crittografia
Come attivare la crittografia WEP
Operazioni dell'amministratore del sistema
Impostazione del client per l'autenticazione WEP e MD5
Impostazione del client per WPA-PSK usando l'autenticazione WEP o TKIP
Impostazione del client per WPA usando la crittografia TKIP e l'autenticazione TLS
Impostazione del client per WPA usando la crittografia TKIP e l'autenticazione TTLS o PEAP
Impostazione del client per CCX usando la crittografia CKIP e l'autenticazione LEAP


Impostazione della crittografia dei dati e autenticazione

La crittografia WEP (Wired Equivalent Privacy) e l'autenticazione condivisa aiutano a proteggere i dati sulla rete. Quando si utilizza la crittografia WEP i dati vengono codificati tramite una chiave di crittografia prima di essere trasmessi. Solo i computer che usano la stessa chiave di crittografia possono accedere alla rete o decodificare i dati crittografati trasmessi da altri computer. L'autenticazione offre un ulteriore processo di convalida a partire dalla scheda di rete verso il punto di accesso. L'algoritmo di crittografia WEP è vulnerabile agli attacchi attivi e passivi della rete. Gli algoritmi TKIP e CKIP includono dei miglioramenti al protocollo WEP che mitigano gli attacchi alla rete esistente cercando di risolverne i punti deboli.

Autenticazione con chiave aperta e condivisa

802.11 supporta due tipi di metodi di autenticazione di rete: sistema aperto e chiave condivisa. Gli schemi di autenticazione supportati sono l'autenticazione in modalità di apertura e quella a chiave condivisa:

Chiavi di rete

Quando la crittografia dati (WEP, CKIP o TKIP) è attivata, per la crittografia viene usata una chiave di rete. Una chiave di rete può essere fornita all'utente automaticamente (per esempio, potrebbe essere inclusa nella propria scheda di rete wireless) oppure può essere immessa dall'utente che ne specifica la lunghezza (64 o 128 bit), il formato (caratteri ASCII o cifre esadecimali) e l'indice (la posizione in cui è memorizzata la chiave specifica). Maggiore è la lunghezza della chiave e più protetta è la chiave. Ogni volta che la lunghezza di una chiave viene aumentata di un bit, il numero possibile di chiavi raddoppia.

In 802.11, una stazione wireless può essere configurata con un massimo di quattro chiavi (i valori di indice delle chiavi sono 1, 2, 3 e 4). Quando un punto di accesso o una stazione wireless trasmette un messaggio crittografato usando la chiave memorizzata in uno specifico indice di chiave, il messaggio trasmesso indica l'indice di chiave che è stato utilizzato per crittografare il testo del messaggio. Il punto di accesso o la stazione wireless ricevente può quindi richiamare la chiave che è memorizzata in corrispondenza dell'indice della chiave e usarla per decodificare il testo crittografato del messaggio.

Chiavi di crittografia di tipo statico e dinamico

802.1x utilizza due tipi di chiavi di crittografia, uno statico e uno dinamico. Le chiavi di crittografia statiche vengono cambiate manualmente e sono più vulnerabili. L'autenticazione MD5 usa solo chiavi di crittografia statiche. Le chiavi di crittografia dinamiche vengono rinnovate automaticamente con scadenza periodica. Per questo motivo le chiavi di crittografia dinamiche sono più sicure. Per attivare le chiavi di crittografia dinamiche è necessario utilizzare i metodi di autenticazione 802.1x, come TLS, TTLS, PEAP o LEAP.


Panoramica sulla crittografia

La protezione della WLAN può essere aumentata con l'attivazione della crittografia dei dati basata su WEP (Wireless Encryption Protocol). È possibile scegliere tra il livello di crittografia a 64 bit e quello a 128 bit. Anche i dati possono essere crittografati utilizzando una chiave. Un altro parametro, chiamato indice chiavi, consente di creare più chiavi per un profilo. È tuttavia possibile utilizzare solo una chiave alla volta. È inoltre possibile scegliere di utilizzare una password per il profilo per assicurarne la protezione.

La frase di accesso è utilizzata per generare automaticamente una chiave WEP. Viene data l'opzione di utilizzare la frase di accesso oppure di immettere manualmente la chiave WEP. Nella crittografia a 64 bit la frase di accesso è lunga 5 caratteri ed è possibile scegliere di immettere una frase arbitraria qualsiasi facile da ricordare, come Ditta, oppure immettere come chiave WEP 10 numeri esadecimali, corrispondenti alla rete a cui l'utente desidera connettersi. Nella crittografia a 128 bit la frase di accesso è lunga 13 caratteri oppure è possibile immettere come chiave WEP 26 numeri esadecimali per connettersi alla rete appropriata.

Nota: è necessario usare lo stesso tipo di crittografia, numero di indice chiavi e chiave WEP delle altre periferiche della rete wireless. Se si usa l'autenticazione 802.1x è inoltre necessario disattivare la crittografia WEP.


Come attivare la crittografia WEP

Nell'esempio seguente è descritto come modificare un profilo esistente e applicare la crittografia WEP.

Per attivare la crittografia WEP:

  1. Dalla pagina Generale, fare clic sulla scheda Reti.
  2. Selezionare il profilo da Elenco profili, quindi fare clic sul pulsante Modifica.
  3. Fare clic sulla scheda Protezione.
  4. Selezionare una modalità di autenticazione di rete (si consiglia aperta).
  5. Selezionare WEP come crittografia dei dati.
  6. Selezionare 64 bit o 128 bit come livello di crittografia.
  7. Selezionare un numero di indice chiavi: 1, 2, 3 o 4.
  8. Selezionare una delle opzioni seguenti:
  1. Fare clic su OK per salvare le impostazioni del profilo.

 
NOTA: è necessario usare lo stesso tipo di crittografia, numero di indice e chiave WEP delle altre periferiche della rete wireless.  


Operazioni dell'amministratore del sistema

 
NOTA: le informazioni seguenti sono destinate agli amministratori dei sistemi.  

Come ottenere un certificato client

Se non si dispone di alcun certificato per EAP-TLS o EAP-TTLS, per concedere l'autenticazione è necessario ottenere un certificato del client. È in genere necessario rivolgersi all'amministratore della propria rete per avere istruzioni su come è possibile ottenere un certificato sulla rete. I certificati possono essere gestiti in "Impostazioni Internet", accessibili da Internet Explorer o dall'applet del Pannello di controllo di Windows. Usare la pagina “Contenuto” di “Impostazioni Internet”.

Windows XP e 2000: quando si ottiene il certificato di un client non attivare la protezione avanzata della chiave privata. Se in un certificato si attiva la protezione avanzata della chiave privata, sarà necessario immettere una password di accesso per il certificato ogni volta che questo certificato viene usato. Se si sta configurando il servizio per l'autenticazione TLS/TTLS è necessario disattivare la protezione avanzata della chiave privata per il certificato. In caso contrario, il servizio 802.1x non riuscirà a effettuare l'autenticazione poiché non vi è un utente collegato che può leggere la finestra di dialogo della richiesta.

Note sulle smart card

Dopo aver installato una smart card il certificato viene automaticamente installato sul computer e può essere selezionato dall'archivio dei certificati personale e dall'archivio principale dei certificati.

Impostazione del client per l'autenticazione TLS

Passaggio 1: Ottenere un certificato

Per permettere l'autenticazione TLS è necessario che un certificato client (utente) valido si trovi nell'archivio locale relativo all'account dell'utente connesso. È necessario inoltre che nell'archivio principale ci sia un certificato di CA più attendibile.

Le informazioni seguenti descrivono due metodi per ottenere un certificato:

Ottenere un certificato da un'autorità di certificazione (CA) di Windows:

  1. Avviare Internet Explorer e ricercare il servizio HTTP dell'autorità di certificazione (usare un URL del tipo http://miaCA.mioyDominio.com).
  2. Accedere alla CA con lo stesso nome utente e password dell'account utente creato (vedere sopra) sul server di autenticazione. Il nome utente e la password non devono coincidere con il nome utente e la password di accesso a Windows dell'utente corrente.
  3. Nella pagina di benvenuto della CA selezionare l'operazione Richiedere un certificato e inviare il modulo.
  4. Nella pagina di scelta del Tipo di richiesta, selezionare la richiesta Avanzata, quindi fare clic su Avanti.
  5. Nella pagine Richiesta avanzata di certificati, selezionare Invia una richiesta di certificato a questa CA usando un modulo, quindi fare clic su Invia.
  6. Nella pagine Richiesta avanzata di certificati scegliere il modello di certificato Utente. Selezionare "Contrassegna le chiavi come esportabili", quindi fare clic su Avanti. Usare le impostazioni predefinite che sono visualizzate.
  7. Nella pagina Certificato rilasciato, selezionare Installa questo certificato.

Nota: se questo è il primo certificato che si è ottenuto, la CA chiederà dapprima se installare un certificato di CA più attendibile nell'archivio principale. La finestra di dialogo non indicherà se si tratta di un certificato CA più attendibile, ma il nome che comparirà sul certificato sarà quello dell'host dell'autorità di certificazione (CA). Fare clic su se è necessario avere questo certificato sia per TLS che per TTLS.

  1. Se l'installazione del certificato è riuscita verrà visualizzato il messaggio "Certificato installato con successo".
  2. Per verificare l'installazione, fare clic su Internet Explorer > Strumenti > Opzioni Internet > Contenuto > Certificati. Il nuovo certificato deve essere installato nella cartella "Personale".

Importazione di un certificato da un file

  1. Aprire Proprietà Internet (fare clic con il pulsante destro del mouse sull'icona Internet Explorer nel desktop e selezionare Proprietà).
  2. Fare clic sul pulsante Certificati nella pagina Contenuto. Viene visualizzato l'elenco dei certificati installati.
  3. Fare clic sul pulsante Importa situato sotto l'elenco dei certificati. Viene avviata l'Importazione guidata certificati (Nota: i passaggi dall'1 al 3 possono anche essere realizzati facendo doppio clic sull'icona del certificato).
  4. Selezionare il file e passare alla pagina Password.
  5. Nella pagina Password specificare la password di accesso per il file. Deselezionare l'opzione Abilita protezione avanzata chiave privata.
  6. Nella pagina Archivio certificati selezionare "Selezionare automaticamente l'archivio certificati secondo il tipo di certificato" (per poter accedere al certificato dalla finestra di dialogo Configura del client, il certificato deve trovarsi nell'archivio Personale degli Account utente, il che si verifica se è stato selezionato 'automatico').
  7. Passare a "Completamento dell'Importazione guidata certificati" e fare clic sul pulsante Fine.

Nell'esempio seguente è descritto come usare WPA con la crittografia TKIP usando l'autenticazione TTLS o PEAP.

Impostazione del client per l'autenticazione TLS

Passaggio 2: Specificare il certificato usato da Intel(R) PROSet

  1. Ottenere e installare un certificato del client (fare riferimento al Passaggio 1) o rivolgersi all'amministratore del sistema.

  2. Dalla pagina Generale, fare clic sulla scheda Reti.

  3. Fare clic sul pulsante Aggiungi.

  4. Immettere il nome del profilo e della rete (SSID).

  5. Selezionare Infrastruttura come modalità operativa.

  6. Fare clic su Avanti.

  7. Selezionare Apri per Autenticazione di rete. È possibile inoltre selezionare qualunque altra modalità di autenticazione disponibile.

  8. Selezionare WEP per Crittografia dati. È possibile inoltre selezionare qualunque altro tipo di crittografia disponibile.

  9. Fare clic sulla casella di controllo 802.1x attivato.

  10. Impostare su TLS il tipo di autenticazione da utilizzare con questa connessione.

  11. Fare clic sul pulsante Configura per aprire la finestra di dialogo delle impostazioni.

  12. Immettere il proprio nome utente nel campo Nome utente.

  13. Selezionare l'"Autorità di certificazione" dall'elenco. Selezionare come impostazione predefinita Qualunque CA attendibile.

    • Selezionare la casella di controllo "Consenti certificati intermedi" per consentire l'emissione di un numero di certificati non specificati lungo la catena che va dal certificato del server alla autorità di certificazione (CA) specificata. Se la casella non viene selezionata, il certificato deve essere emesso direttamente all'autorità di certificazione specificata.

  14. Immettere il nome del server.

    • Se si conosce il nome del server, immetterlo.

    • Selezionare l'opzione appropriata, cioè se il nome del server deve corrispondere esattamente al nome immesso oppure se specificare il nome del dominio.

  15. Sotto l'opzione "Certificati client” fare clic sul pulsante Seleziona per aprire l'elenco dei certificati installati.

    • Nota sui certificati: l'identità specificata deve corrispondere al nome che compare nel campo "Autorità di certificazione" del certificato e deve essere registrata sul server di autenticazione (es. il server RADIUS) che è usato dall'autenticatore. Il certificato deve essere "valido" rispetto al server di autenticazione. Questo requisito dipende dal server di autenticazione e generalmente significa che il server di autenticazione deve riconoscere l'emittente del certificato come l'Autorità di certificazione. È necessario effettuare la connessione usando lo stesso nome utente utilizzato al momento dell'installazione del certificato.

  16. Selezionare il certificato dall'elenco e fare clic su OK. Le informazioni riguardanti il certificato del client sono visualizzate sotto "Certificato client".

  17. Fare clic su Chiudi.

  18. Fare clic sul pulsante Fine per salvare le impostazioni di protezione del profilo.


Impostazione del client per l'autenticazione WEP e MD5

Per aggiungere l'autenticazione WEP e MD5 a un nuovo profilo:

Nota: prima di iniziare ottenere dall'amministratore del sistema un nome utente e una password per il server RADIUS.

  1. Dalla pagina Generale, fare clic sulla scheda Reti.
  2. Fare clic sul pulsante Aggiungi da Elenco profili.
  3. Immettere il nome del profilo e della rete (SSID).
  4. Selezionare Infrastruttura come modalità operativa.
  5. Fare clic su Avanti.
  6. Selezionare Apri (scelta consigliata) per Autenticazione di rete.
  7. Selezionare WEP per Crittografia dati.
  8. Selezionare 64 o 128 bit come livello di crittografia.
  9. Selezionare l'indice chiavi 1, 2, 3 o 4.
  10. Immettere la frase di accesso o la chiave esadecimale richiesta.
  11. Fare clic sulla casella di controllo 802.1x attivato.
  12. Selezionare MD5 come Tipo di autenticazione 802.1x.
  13. Fare clic su Configura per aprire la finestra di dialogo Impostazioni MD5. Immettere il nome utente e la password. Nota: il nome utente e la password non devono coincidere con il nome utente e la password attualmente usati per l'accesso a Windows.
  14. Fare clic su Chiudi per salvare le impostazioni.
  15. Se nella pagina di impostazioni Generale era stata selezionata la casella di controllo Password di protezione, allora
    fare clic su Avanti per visualizzare la pagina Password e immettere la password del profilo.
  16. Fare clic sul pulsante Fine per salvare le impostazioni del profilo.

Impostazione del client per WPA-PSK usando l'autenticazione WEP o TKIP

Usare la modalità di accesso protetto Wi-Fi WPA-PSK (Pre Shared Key) se non viene utilizzato un server di autenticazione. Questa modalità non usa alcun protocollo di autenticazione 802.1x e può essere utilizzata insieme alla crittografia dei dati di tipo WEP o TKIP. WPA-PSK richiede la configurazione di una chiave precondivisa (PSK). Per una chiave PSK da 256 bit è necessario immettere una frase di accesso o 64 caratteri esadecimali. La chiave di crittografia dei dati è derivata dalla chiave PSK.

Per configurare un profilo usando WPA-PSK:

  1. Dalla pagina Generale, fare clic sulla scheda Reti.

  2. Fare clic sul pulsante Aggiungi.

  3. Immettere il nome del profilo e della rete (SSID).

  4. Selezionare Infrastruttura come modalità operativa.

  5. Fare clic su Avanti.

  6. Selezionare WPA-PSK come autenticazione di rete. È possibile anche selezionare la modalità di autenticazione.

  7. Selezionare WEP per Crittografia dati.

  8. Selezionare una delle opzioni seguenti:

    • Usa frase di accesso: fare clic su Usa frase di accesso per abilitare la funzione corrispondente. Nel campo relativo alla frase di accesso immettere una frase contenente da 8 a 63 caratteri alfanumerici (0-9, a-z o A-Z).

    • Usa chiavi esadecimali: fare clic su Usa frase chiavi esadecimali per abilitare la funzione corrispondente. Nel campo chiave esadecimale immettere un massimo di 64 caratteri alfanumerici, 0-9, A-F. 

  9. Fare clic sulla casella di controllo 802.1x attivato.

  10. Impostare su TLS il tipo di autenticazione da utilizzare con questa connessione.

  11. Fare clic sul pulsante Fine per salvare le impostazioni di protezione del profilo.


 

Impostazione del client per WPA usando la crittografia TKIP e l'autenticazione TLS

La modalità di accesso protetto (WPA) può essere usata con TLS, TTLS o PEAP. Protocollo di autenticazione 802.1x che usa le opzioni di crittografia dei dati WEP o TKIP. La modalità di accesso protetto Wi-Fi (WPA) è associata con l'autenticazione 802.1x. La chiave di crittografia dei dati viene ricevuta con lo scambio di chiavi 802.1x. per migliorare la crittografia dei dati, l'accesso protetto Wi-Fi utilizza TKIP (Temporal Key Integrity Protocol). TKIP offre importanti miglioramenti per la crittografia dei dati, inclusa la modalità di rigenerazione delle chiavi.

  1. Ottenere e installare un certificato del client (fare riferimento a Impostazione del client per l'autenticazione TLS) o rivolgersi all'amministratore del sistema.

  2. Dalla pagina Generale, fare clic sulla scheda Reti.

  3. Fare clic sul pulsante Aggiungi.

  4. Immettere il nome del profilo e della rete (SSID).

  5. Selezionare Infrastruttura come modalità operativa.

  6. Fare clic su Avanti.

  7. Selezionare WPA per Autenticazione di rete.

  8. Selezionare TKIP per Crittografia dati.

  9. Impostare su TLS il tipo di autenticazione da utilizzare con questa connessione.

  10. Fare clic sul pulsante Configura per aprire la finestra di dialogo delle impostazioni.

  11. Immettere il proprio nome utente nel campo Nome utente.

  12. Selezionare l'"Autorità di certificazione" dall'elenco. Selezionare come impostazione predefinita Qualunque CA attendibile.

    • Selezionare la casella di controllo "Consenti certificati intermedi" per consentire l'emissione di un numero di certificati non specificati lungo la catena che va dal certificato del server alla autorità di certificazione (CA) specificata. Se la casella non viene selezionata, il certificato deve essere emesso direttamente all'autorità di certificazione specificata.

  13. Immettere il nome del server.

    • Se si conosce il nome del server, immetterlo.

    • Selezionare l'opzione appropriata, cioè se il nome del server deve corrispondere esattamente al nome immesso oppure se specificare il nome del dominio.

  14. Usa certificato client: questa opzione seleziona un certificato client dell'archivio certificati personali dell'utente Windows connesso. Questo certificato verrà usato per l'autenticazione del client. Fare clic sul pulsante Seleziona per aprire l'elenco dei certificati installati.

    • Nota sui certificati: l'identità specificata deve corrispondere al nome che compare nel campo "Autorità di certificazione" del certificato e deve essere registrata sul server di autenticazione (es. il server RADIUS) che è usato dall'autenticatore. Il certificato deve essere "valido" rispetto al server di autenticazione. Questo requisito dipende dal server di autenticazione e generalmente significa che il server di autenticazione deve riconoscere l'emittente del certificato come l'Autorità di certificazione. È necessario effettuare la connessione usando lo stesso nome utente utilizzato al momento dell'installazione del certificato.

  15. Selezionare il certificato dall'elenco e fare clic su OK. Le informazioni riguardanti il certificato del client sono visualizzate sotto "Certificato client".

  16. Fare clic su Chiudi.

  17. Fare clic sul pulsante Fine per salvare le impostazioni di protezione del profilo.


 

Impostazione del client per WPA usando la crittografia TKIP e l'autenticazione TLS o PEAP

Utilizzo dell'autenticazione TTLS: queste impostazioni definiscono il protocollo e le credenziali usate per autenticare un utente. In TTLS, il client usa EAP-TLS per convalidare il server e creare un canale crittografato TLS tra il client e il server. Su questo canale crittografato il client può utilizzare un altro protocollo di autenticazione, in genere un protocollo basato su password quale una richiesta MD5, per abilitare la convalida del server. I pacchetti di richiesta e di risposta sono inviati su un canale TLS crittografato e non esposto.

Utilizzo dell'autenticazione PEAP: le impostazioni PEAP sono richieste per l'autenticazione del client presso il server di autenticazione. In PEAP, il client usa EAP-TLS per convalidare il server e creare un canale crittografato TLS tra il client e il server. Su questo canale crittografato il client può utilizzare un altro meccanismo EAP, quale Microsoft Challenge Authentication Protocol (MSCHAP) versione 2, per abilitare la convalida del server. I pacchetti di richiesta e di risposta sono inviati su un canale TLS crittografato e non esposto.

Nell'esempio seguente è descritto come usare WPA con la crittografia TKIP usando l'autenticazione TTLS o PEAP.

  1. Ottenere e installare un certificato del client (fare riferimento a Impostazione del client per l'autenticazione TLS) o rivolgersi all'amministratore del sistema.

  2. Dalla pagina Generale, fare clic sulla scheda Reti.

  3. Fare clic sul pulsante Aggiungi.

  4. Immettere il nome del profilo e della rete (SSID).

  5. Selezionare Infrastruttura come modalità operativa.

  6. Fare clic su Avanti.

  7. Selezionare WPA per Autenticazione di rete.

  8. Selezionare TKIP per Crittografia dati.

  9. Impostare a TTLS o PEAP il tipo di autenticazione da utilizzare con questa connessione.

  10. Fare clic sul pulsante Configura per aprire la finestra di dialogo delle impostazioni.

  11. Immettere il nome dell'identità di roaming nel campo Identità di roaming. Questa funzione facoltativa rappresenta l'identità 802.1X fornita all'autenticatore. Si consiglia di non inserire in questo campo un'identità vera, ma un'area di autenticazione desiderata (es. anonimo@miaAreaAutenticazione).

  12. Selezionare l'"Autorità di certificazione" dall'elenco. Selezionare come impostazione predefinita Qualunque CA attendibile.

    • Selezionare la casella di controllo "Consenti certificati intermedi" per consentire l'emissione di un numero di certificati non specificati lungo la catena che va dal certificato del server alla autorità di certificazione (CA) specificata. Se la casella non viene selezionata, il certificato deve essere emesso direttamente all'autorità di certificazione specificata.

  13. Immettere il nome del server.

    • Se si conosce il nome del server, immetterlo.

    • Selezionare l'opzione appropriata, cioè se il nome del server deve corrispondere esattamente al nome immesso oppure se specificare il nome del dominio.

  14. Protocollo di autenticazione:

    • PEAP: selezionare MS-CHAP-V2. Questo parametro specifica il protocollo di autenticazione che opera sul tunnel PEAP. I protocolli sono i seguenti: MS-CHAP-V2 (impostazione predefinita), GTC e TLS.

    • TTLS: selezionare PAP. Questo parametro specifica il protocollo di autenticazione che opera sul tunnel TTLS. I protocolli sono i seguenti: PAP (impostazione predefinita), CHAP, MD5, MS-CHAP e MS-CHAP-V2.

  15. Immettere il nome dell'utente. questo nome utente deve corrispondere al nome utente che è impostato nel server di autenticazione dall'amministratore IT prima che avvenga l'autenticazione del client. Il nome utente distingue tra maiuscole e minuscole. Questo nome indica l'identità fornita all'autenticatore dal protocollo di autenticazione che opera sul tunnel TLS. L'identità di questo utente è trasmessa in modo protetto al server solo dopo che è stato verificato e stabilito un canale crittografato.

  16. Immettere la password dell'utente. Specifica la password dell'utente. La password immessa in questo campo deve corrispondere alla password che è stata impostata sul server di autenticazione.

  17. Reimmettere la password dell'utente. Se è confermata, vengono visualizzati gli stessi caratteri della password immessi nel campo Password.

  18. Usa certificato client: questa opzione seleziona un certificato client dell'archivio certificati personali dell'utente Windows connesso. Questo certificato verrà usato per l'autenticazione del client. Fare clic sul pulsante Seleziona per aprire l'elenco dei certificati installati.

    • Nota sui certificati: l'identità specificata deve corrispondere al nome che compare nel campo "Autorità di certificazione" del certificato e deve essere registrata sul server di autenticazione (es. il server RADIUS) che è usato dall'autenticatore. Il certificato deve essere "valido" rispetto al server di autenticazione. Questo requisito dipende dal server di autenticazione e generalmente significa che il server di autenticazione deve riconoscere l'emittente del certificato come l'Autorità di certificazione. Questo significa che il server di autenticazione deve riconoscere l'emittente del certificato come l'Autorità di certificazione. È necessario effettuare la connessione usando lo stesso nome utente utilizzato al momento dell'installazione del certificato.

  19. Selezionare il certificato dall'elenco e fare clic su OK. Le informazioni riguardanti il certificato del client sono visualizzate sotto "Certificato client".

  20. Fare clic su Chiudi.

  21. Fare clic sul pulsante Fine per salvare le impostazioni di protezione del profilo.


Impostazione del client per CCX usando la crittografia CKIP e l'autenticazione LEAP

  1. Dalla pagina Generale, fare clic sulla scheda Reti.

  2. Fare clic sul pulsante Aggiungi.

  3. Immettere il nome del profilo e della rete (SSID).

  4. Selezionare Infrastruttura come modalità operativa.

  5. Dalla scheda Generale fare clic sulla casella di controllo Estensioni client Cisco per attivare CCX. Nota: l'autenticazione di rete e la crittografia dei dati ora includono le opzioni di protezione CCX: aperta, condivisa per l'autenticazione 802.11 e nessuna, WEP, CKIP per la crittografia dei dati.
  6. Nelle opzioni di Autenticazione di rete, selezionare Apri.
  7. Selezionare CKIP per Crittografia dati.
  8. Fare clic sulla casella controllo 802.1x attivato per attivare l'opzione di protezione 802.1x.
  9. Selezionare LEAP come Tipo di autenticazione 802.1x.
  10. Fare clic sul pulsante Configura per aprire la finestra di dialogo Impostazioni LEAP. Immettere il nome utente e la password dell'utente che si è creato sul server di autenticazione. Il nome utente e la password non devono coincidere con il nome utente e la password attualmente usati per l'accesso a Windows.
  11. Fare clic su Chiudi per salvare le impostazioni.

Punto di accesso CCX e configurazioni dei client

Le impostazioni offerte dal punto di accesso consentono di selezionare tipi diversi di autenticazione a seconda dell'ambiente WLAN. Durante l'handshake di autenticazione 802.11 che avviene tra il client e il punto di accesso quando stabiliscono una connessione, il client invia un campo per l'algoritmo di autenticazione. I valori dell'algoritmo di autenticazione riconosciuti da un punto di accesso compatibile con CCX sono diversi a seconda dei diversi tipi di autenticazione. Ad esempio, “Network-EAP” (specifico di LEAP) ha il valore di 0x80, mentre “Open” (relativo all'autenticazione aperta specifica di 802.11) e “Required EAP” (ovvero la richiesta di uno scambio di handshake EAP) hanno il valore di 0x0.

Solo Network-EAP

Punto di accesso: nelle reti compatibili con CCX che usano solo l'autenticazione LEAP, il tipo di autenticazione è impostato con la casella di controllo “Network-EAP” selezionata e con le caselle “Open” e “Required EAP” deselezionate. Il punto di accesso è quindi configurato per consentire che SOLO i client LEAP eseguano l'autenticazione e la connessione. In questo caso il punto di accesso si aspetta che l'algoritmo di autenticazione 802.11 sia impostato a 0x80 (LEAP) e rifiuta i client che tentano di effettuare l'autenticazione usando un algoritmo del valore di 0x0.

Client: in questo caso il client deve inviare un algoritmo di autenticazione del valore di 0x80, altrimenti l'handshake di autenticazione 802.11 non riesce. Durante l'avvio, quando il driver della LAN wireless è già caricato ma il richiedente di Intel(R) PROSet non lo è ancora, il client invia l'autenticazione 802.11 usando un algoritmo di autenticazione del valore di 0x0. Il richiedente di Intel(R) PROSet, quando viene caricato e il profilo LEAP è avviato, invia l'autenticazione 802.11 con un algoritmo di autenticazione del valore di 0x80. Il richiedente tuttavia invia 0x80 solo se è selezionata la casella di controllo Rogue AP relativa ai punti di accesso non autorizzati.

Network-EAP, Open e Required EAP

Punto di accesso: se le caselle Network-EAP, Open e Required EAP sono selezionate accetta entrambi i valori, 0x0 e 0x80, dell'algoritmo di autenticazione 802.11. Il punto di accesso, una volta che il client si è associato e autenticato, si aspetta tuttavia che avvenga un handshake EAP. Se qualunque motivo la procedura di handshake non avviene rapidamente, il punto di accesso non risponderà al client per 60 secondi.

Client: il client può inviare un algoritmo di autenticazione usando entrambi i valori, 0x80 o 0x0. Poiché sono entrambi valori accettabili l'handshake di autenticazione 802.11 verrà completata correttamente. Durante l'avvio, quando il driver della LAN wireless è già caricato, il client invia l'autenticazione 802.11 usando un algoritmo di autenticazione del valore di 0x0. Questo basta a ottenere l'autenticazione ma, per stabilire una connessione, è necessario che le corrispondenti credenziali EAP o LEAP siano comunicate al punto di accesso.

Solo Open e Required EAP

Punto di accesso: nel caso in cui il punto di accesso sia configurato con Network-EAP deselezionato, ma Open e Required EAP selezionati, il punto di accesso rifiuta i client che tentano di effettuare l'autenticazione 802.11 usando un algoritmo del valore di 0x80. Il punto di accesso accetta i client che usano un algoritmo di autenticazione del valore di 0x0 e si aspetta che l'handshake EAP inizi subito dopo. In questo caso, il client usa MD5, TLS, LEAP o altri metodi EAP appropriati per la specifica configurazione della rete.

Client: al client in questo caso è richiesto di inviare un algoritmo di autenticazione del valore di 0x0. Come descritto in precedenza, la sequenza comporta una ripetizione dell'handshake di autenticazione 802.11 iniziale. Dapprima il driver LAN wireless inizia l'autenticazione con un valore di 0x0 e in seguito il richiedente ripete il processo. Il valore dell'algoritmo di autenticazione usato dal richiedente dipende tuttavia dallo stato della casella di controllo Rogue AP. Quando la casella Rogue AP non è selezionata, il client invia un'autenticazione 802.11 con l'algoritmo di autenticazione del valore di 0x0 anche dopo che il richiedente carica e attiva il profilo LEAP.

Per esempio, alcuni client diversi da Intel, quando sono impostati su LEAP non sono in grado di eseguire l'autenticazione. Il client LAN wireless di Intel riesce ad autenticarsi anche se Rogue AP non è selezionato.

Configurazione della casella di controllo Rogue AP

Quando la casella di controllo è selezionata il client implementa di sicuro la funzione Rogue AP come richiesto da CCX. Il client registra quali sono i punti di accesso con cui non è riuscito ad effettuare l'autenticazione e invia questa informazione al punto di accesso che gli consente di effettuare l'autenticazione e la connessione. Il richiedente inoltre imposta l'algoritmo di autenticazione su 0x80 quando la casella Rogue AP è selezionata. Come descritto in precedenza, vi possono essere alcune configurazioni di rete che implementano solo Open e Required EAP. Affinché queste configurazioni funzionino, il client deve usare per l'algoritmo di autenticazione il valore di 0x0, invece che il valore di 0x80 richiesto, come descritto in precedenza, nel caso di solo Network-EAP. Per questo motivo la casella di controllo Rogue AP consente inoltre al client di supportare solo Network-EAP e solo Open e Required EAP.

Supporto per la funzione Cisco CCX

Le specifiche obbligatorie definite da Cisco per la conformità del client versione 1.0 (Client Compliance Specifications Version1.0) sono le seguenti:

  • Conformità a tutti gli elementi obbligatori di 802.11

  • Deframmentazione di MSDU e MMPDU

  • Generazione di CTS in risposta a un RTS

  • Supporto per l'autenticazione con chiave aperta e condivisa

  • Supporto per la ricerca attiva

  • Richiesta la conformità con Wi-Fi

  • Sulle piattaforme Windows, conformità con Microsoft 802.11 NIC

  • Conformità con 802.1X-2001

  • Supporto per EAP-TLS (Transport Level Security, RFC 2716) su Windows XP

  • Supporto per EAP-MD4 (RFC 1320) su Windows XP

  • Pacchetti EAP inviati senza crittografia

  • Supporto per la rotazione delle chiavi di broadcast

  • Supporto per CKIP

  • Supporto per WEP/RC4

  • Supporto di 4 chiavi per WEP

  • Supportata sia la chiave WEP40 che la WEP128

  • Obbligatorio il supporto per LEAP

  • Supporto per le segnalazioni dei punti di accesso non autorizzati (Rogue AP)

  • Estensione Cisco: Supporto per dispositivi di interconnessione (IE) Aironet – Campi CWmin e CWmax

  • Supporto dei dispositivi di interconnessione (IE) per la regola di trasformazione dell'incapsulamento

  • Estensione Cisco: Dispositivo di interconnessione (IE) per l'indirizzo IP del punto di accesso

  • Estensione Cisco: Simbolo IE

  • Celle miste (WEP e non WEP)

  • Il punto di accesso può rispondere a più di un SSID - Compatibilità VLAN

  • Supporto per la modalità invisibile - I client ignorano l'assenza di SSID nei segnali

  • Supporto per più SSID – Roaming del client utilizzando fino a 3 SSID

  • Client deve usare un SSID configurato quando invia richieste di scansione

Nota: per ulteriori informazioni, fare riferimento al documento Cisco Client extensions version 1.0 sul sito www.cisco.com.

Pagina Sommario  


Leggere le sezioni relative alle limitazioni e declinazioni di responsabilità.