חזרה לתוכן העניינים

הגדרה של אבטחת פרופיל

שימוש בתוכנת Intel(R) PROSet/Wireless
אבטחה אישית
הגדרות אבטחה אישית
הגדרת הצפנה ואימות של נתונים

אבטחה ארגונית
הגדרות אבטחה ארגונית

אימות רשת

סוגי אימות 802.1X

שימוש בתוכנת Intel(R) PROSet/Wireless‏

הסעיפים הבאים מתאריך את אופן השימוש ב- Intel(R) PROSet/Wireless לקביעת הגדרות האבטחה הדרושות עבור המתאם האלחוטי. ראה אבטחה אישית.

הסעיפים הבאים גם מספקים מידע על אופן קביעת התצורה של הגדרות אבטחה מתקדמות עבור המתאם האלחוטי. לשם כך, נדרש מידע ממנהל המערכת (סביבה ארגונית) או הגדרות אבטחה מתקדמות בנקודת הגישה (עבור משתמשים ביתיים). ראה אבטחה ארגונית.

לקבלת מידע כללי אודות הגדרות אבטחה, ראה סקירת אבטחה.

אבטחה אישית

השתמש באבטחה אישית אם אתה משתמש ביתי או עסקי קטן, שיכול להשתמש במגוון הליכי אבטחה פשוטים כדי להגן על החיבור האלחוטי. בחר מהרשימה הגדרות אבטחה שאינן דורשות התקנת תשתית נרחבת עבור הרשת האלחוטית. אין צורך בשרת RADIUS או AAA.

הגדרות אבטחה אישית

תיאור של הגדרות אבטחה אישית

שם הגדרה

אבטחה אישית

בחר כדי לפתוח את הגדרות האבטחה האישית. הגדרות האבטחה הזמינות תלויות במצב ההפעלה שנבחר בהגדרות אבטחה של יצירת פרופיל אלחוטי.

התקן להתקן (אד הוק): במצב התקן להתקן, הנקרא גם מצב אד הוק, מחשבים אלחוטיים שולחים מידע ישירות למחשבים אלחוטיים אחרים. באפשרותך להשתמש במצב אד הוק כדי ליצור רשת של מספר מחשבים בבית או במשרד קטן, או להגדיר רשת אלחוטית זמנית לפגישה.

הערה: רשתות התקן להתקן (אד הוק) מזוהות באמצעות תמונת מחשב נייד (מחשב נייד) ברשימת הרשתות האלחוטיות והפרופילים.

רשת (תשתית): רשת תשתית מורכבת מנקודת גישה אחת או יותר וממחשב אחד או יותר שמותקן בהם מתאם אלחוטי. לנקודת גישה אחת לפחות צריך להיות גם חיבור מחווט. עבור משתמשים ביתיים, זהו בדרך כלל חיבור רשת פס רחב או כבלים

הערה: רשתות תשתית מזוהות באמצעות תמונת נקודת גישה (נקודת גישה) ברשימת הרשתות האלחוטיות והפרופילים.

הגדרות אבטחה

בעת הגדרת פרופיל התקן להתקן (אד הוק), בחר אחת מהגדרות הצפנת הנתונים הבאות:

בעת הגדרת תצורה של פרופיל רשת (תשתית), בחר:

הלחצן מתקדם

 לחץ כדי לגשת להגדרות מתקדמות ולקבוע את התצורה של האפשרויות הבאות:

הקודם

הצגת הדף הקודם באשף הפרופילים.

אישור

סגירת אשף הפרופילים ושמירת הפרופיל.

ביטול

סגירת אשף הפרופילים וביטול שינויים שנעשו.

עזרה?

הצגת עזרה עבור הדף הנוכחי.

הגדרת הצפנה ואימות של נתונים

ברשת אלחוטית ביתית באפשרותך להשתמש במגוון הליכי אבטחה פשוטים, כדי להגן על החיבור האלחוטי. אלה כוללים:

הצפנת גישה מאובטחת Wi-Fi‏ (WPA) מספקת הגנה על הנתונים ברשת. WPA משתמש במפתח קידוד הנקרא מפתח טרום-שיתוף (PSK) כדי לקודד נתונים לפני שידור. הזן את אותה סיסמה בכל המחשבים ונקודות הגישה ברשת הביתית או של העסק הקטן. רק התקנים המשתמשים באותו מפתח הצפנה יכולים לגשת לרשת או לפענח את הנתונים המוצפנים אשר משודרים על-ידי מחשבים אחרים. הסיסמה מאתחלת אוטומטית את הפרוטוקול Temporal Key Integrity Protocol‏ (TKIP) או את הפרוטוקול AES-CCMP עבור תהליך הצפנת הנתונים.

מפתחות רשת

הצפנת WEP מספקת שתי רמות אבטחה:

לאבטחה משופרת, השתמש במפתח 128 סיביות. אם אתה משתמש בהצפנה, על כל ההתקנים האלחוטיים ברשת האלחוטית שלך להשתמש באותם מפתחות הצפנה.

באפשרותך ליצור את המפתח בעצמך ולציין את אורך המפתח (64 סיביות או 128 סיביות) ואינדקס המפתח (המיקום שבו מאוחסן המפתח המסוים). ככל שאורך המפתח גדול יותר, כך הוא מאובטח יותר.

אורך מפתח: 64-סיביות

סיסמת צירוף מילים (64 סיביות): הזן חמישה (5) תווים אלפאנומריים, 0-9, a-z או A-Z.
מפתח הקסדצימלי (64 סיביות): הזן 10 תווים הקסדצימליים, 0-9, A-F‏.

אורך מפתח: 128-סיביות

סיסמת צירוף מילים (128 סיביות): הזן 13 תווים אלפאנומריים, 0-9, a-z או A-Z‏.
מפתח הקסדצימלי (128 סיביות): הזן 26 תווים הקסדצימליים, 0-9, A-F‏.

עם הצפנת נתונים WEP, ניתן להגדיר תחנה אלחוטית עם עד ארבעה מפתחות (ערכי אינדקס המפתח הם 1, 2, 3 ו- 4). כאשר נקודת גישה או תחנה אלחוטית משדרים הודעה מוצפנת המשתמשת במפתח המאוחסן באינדקס מפתח מסוים, ההודעה המשודרת מציינת את אינדקס המפתח ששימש להצפנת גוף ההודעה. באפשרות נקודת הגישה או התחנה האלחוטית המקבלת לאחזר את המפתח המאוחסן באינדקס המפתח ולהשתמש בו כדי לפענח את גוף ההודעה המוצפן.

הגדרת לקוח עם אימות פתוח וללא הצפנת נתונים (ללא)

בדף הראשי של Intel(R) PROSet/Wireless, בחר אחת מהשיטות הבאות כדי להתחבר לרשת תשתית:

אם לא נדרש אימות, הרשת מתחברת ללא הצגת בקשה להזין תעודות כניסה כלשהן. כל התקן אלחוטי עם שם רשת (SSID) תקין יכול ליצור שיוך להתקנים אחרים ברשת.

התראה: רשתות שאינן משתמשות באימות או בהצפנה פגיעות מאוד לגישה של משתמשים לא מורשים.

כדי ליצור פרופיל עבור חיבור רשת אלחוטית ללא הצפנה:

  1. לחץ על פרופילים בחלון הראשי של Intel(R) PROSet/Wireless‏.
  2. ברשימת הפרופילים, לחץ על הוספה כדי לפתוח את הגדרות כלליות של הפרופיל האלחוטי.
  3. שם פרופיל: הזן שם פרופיל תיאורי.
  4. שם רשת אלחוטית (SSID‏): הזן את שם הרשת האלחוטית.
  5. מצב הפעלה: לחץ על התקן להתקן (אד הוק).
  6. לחץ על הבא כדי לפתוח את הגדרות האבטחה.
  7. האפשרות אבטחה אישית נבחרת כברירת מחדל.
  8. הגדרות אבטחה: הגדרת ברירת המחדל היא ללא, אשר מציינת שלא מופעלת אבטחה ברשת האלחוטית.
  9. לחץ על אישור. הפרופיל מתווסף לרשימה פרופילים ומתחבר לרשת האלחוטית.

הגדרת לקוח עם הצפנה של WEP‏ 64 סיביות או WEP‏ 128 סיביות

בעת אפשור הצפנת נתוני WEP, מפתח רשת או סיסמה משמשים להצפנה.

מפתח רשת ניתן אוטומטית (לדוגמה, יצרן מתאם הרשת האלחוטית יכול לספק אותו); לחילופין, באפשרותך להזינו בעצמך ולציין את אורך המפתח (64 סיביות או 128 סיביות), תבנית המפתח (תווי ASCII או ספרות הקסדצימליות) ואינדקס מפתח (המיקום שבו מאוחסן המפתח המסוים). ככל שאורך המפתח גדול יותר, כך הוא מאובטח יותר.

כדי להוסיף מפתח רשת לחיבור רשת התקן להתקן (אד-הוק):

  1. בחלון הראשי של Intel(R) PROSet/Wireless, לחץ פעמיים על רשת התקן להתקן (אד הוק) ברשימה רשתות אלחוטיות, או בחר את הרשת ולחץ על התחבר.
  2. לחץ על פרופילים כדי לגשת לרשימת הפרופילים.
  3. לחץ על מאפיינים כדי לפתוח את הגדרות כלליות של הפרופיל האלחוטי. שם הפרופיל ושם הרשת האלחוטית (SSID) מוצגים. עבור מצב הפעלה יש לבחור התקן להתקן (אד הוק).
  4. לחץ על הבא כדי לפתוח את הגדרות האבטחה.
  5. האפשרות אבטחה אישית נבחרת כברירת מחדל.
  6. הגדרות אבטחה: הגדרת ברירת המחדל היא ללא, אשר מציינת שלא מופעלת אבטחה ברשת האלחוטית.

כדי להוסיף סיסמה או מפתח רשת:

  1. הגדרות אבטחה: בחר WEP‏ 64 סיביות או WEP‏ 128 סיביות כדי להגדיר הצפנת נתוני WEP באמצעות מפתח 64 סיביות או 128 סיביות.

    2. כשהצפנת WEP מאופשרת בנקודת גישה, מפתח ה- WEP משמש לאימות הגישה לרשת. אם להתקן האלחוטי אין את מפתח ה- WEP המתאים, גם אם האימות מסתיים בהצלחה, ההתקן אינו יכול לשדר נתונים דרך נקודת הגישה או לפענח נתונים המתקבלים מנקודת הגישה.

שם תיאור

סיסמה

הזן את סיסמת האבטחה האלחוטית (סיסמת צירוף מילים) או את מפתח ההצפנה (מפתח WEP‏).

סיסמת צירוף מילים (64 סיביות)

הזן חמישה (5) תווים אלפאנומריים, 0-9, a-z או A-Z.

מפתח WEP‏ (64 סיביות)

הזן 10 תווים הקסדצימליים, 0-9, A-F‏.

סיסמת צירוף מילים (128 סיביות)

הזן 13 תווים אלפאנומריים, 0-9, a-z או A-Z‏.

מפתח WEP‏ (128 סיביות)

הזן 26 תווים הקסדצימליים, 0-9, A-F‏.
  1. אינדקס מפתח: שנה את אינדקס המפתח כדי להגדיר עד ארבע סיסמאות.
  2. לחץ על אישור כדי לחזור לרשימה פרופילים.

כדי להוסיף יותר מסיסמה אחת:

  1. בחר את מספר אינדקס המפתח: 1, 2, 3 או 4.
  2. הזן את סיסמת האבטחה האלחוטית.
  3. בחר מספר אינדקס מפתח נוסף.
  4. הזן סיסמת אבטחה אלחוטית נוספת.

הגדרת לקוח עם הגדרות אבטחה WPA*-אישי (TKIP) או WPA2*-אישי (TKIP)

מצב WPA* אישי דורש הגדרת תצורה ידנית של מפתח טרום שיתוף (PSK) בנקודות גישה ובלקוחות. PSK זה מאמת סיסמה או קוד זיהוי של משתמש, בתחנת הלקוח ובנקודת הגישה גם יחד. אין צורך בשרת אימות. מצב WPA אישי מיועד לסביבות ביתיות ושל עסקים קטנים.

WPA2*, הדור השני של אבטחת WPA, מספק למשתמשי אלחוט בארגונים ובחברות רמת ביטחון גבוהה שרק משתמשים מורשים יוכלו לגשת לרשתות האלחוטיות שלהם. WPA2 מספק מנגנון הצפנה חזק יותר באמצעות תקן הצפנה מתקדם (AES), הנדרש עבור משתמשים ארגוניים וממשלתיים מסוימים.

הערה: כדי להשיג קצבי העברה גבוהים מ- ‎54 Mbps בחיבורי 802.11n, יש לבחור אבטחת WPA2-AES‏. ניתן לבחור באפשרות ללא אבטחה (ללא) כדי לאפשר הגדרה ופתרון בעיות של רשת.

כדי להגדיר פרופיל עם אימות רשת WPA-אישי והצפנת נתונים TKIP:

  1. בחלון הראשי של Intel(R) PROSet/Wireless, לחץ פעמיים על רשת תשתית ברשימה רשתות אלחוטיות, או בחר את הרשת ולחץ על התחבר.
  2. לחץ על פרופילים כדי לגשת לרשימת הפרופילים.
  3. לחץ על מאפיינים כדי לפתוח את הגדרות כלליות של הפרופיל האלחוטי. שם הפרופיל ושם הרשת האלחוטית (SSID) מוצגים. עבור מצב הפעלה יש לבחור רשת (תשתית).
  4. לחץ על הבא כדי לפתוח את הגדרות האבטחה.
  5. בחר אבטחה אישית.
  6. הגדרות אבטחה: בחר WPA-אישי (TKIP) כדי לספק אבטחה לרשת של עסק קטן או סביבה ביתית. נעשה שימוש בסיסמה, הנקראת מפתח טרום-שיתוף (PSK‏). ככל שהסיסמה ארוכה יותר, כך אבטחה של הרשת האלחוטית חזקה יותר.

אם נקודת הגישה האלחוטית או הנתב תומכים ב- WPA2-אישי, אזי עליך לאפשר אותו בנקודת הגישה ולספק סיסמה ארוכה וחזקה. ככל שהסיסמה ארוכה יותר, כך אבטחה של הרשת האלחוטית חזקה יותר. במחשב זה ובכל שאר ההתקנים האלחוטיים הניגשים לרשת האלחוטית, יש להשתמש באותה סיסמה שהוזנה בנקודת הגישה.

הערה: ל- WPA-אישי ול- WPA2-אישי יש יכולת לעבוד זה עם זה.

  1. סיסמת אבטחה אלחוטית (מפתח הצפנה): הזן מחרוזת טקסט הכוללת 8 עד 63 תווים. ודא שמפתח הרשת תואם לסיסמה בנקודת הגישה האלחוטית.
  2. לחץ על אישור כדי לחזור לרשימה פרופילים.

הגדרת לקוח עם הגדרות אבטחה WPA*-אישי (AES-CCMP) או WPA2*-אישי (AES-CCMP)

גישה מאובטחת Wi-Fi‏ (WPA*) מהווה שיפור אבטחה המגביר משמעותית את רמת אבטחת הנתונים ובקרת הגישה לרשת אלחוטית. WPA כופה אימות 802.1X וחילופי מפתחות, ופועל רק עם מפתחות הצפנה דינמיים. עבור משתמש ביתי או משרד קטן, WPA-אישי משתמש בתקן הצפנה מתקדם - פרוטוקול נגדי ל- CBC-MAC‏ (AES-CCMP) או ב- Temporal Key Integrity Protocol‏ (TKIP).

הערה: עבור מתאם Intel(R) Wireless WiFi Link 4965AGN, כדי להשיג קצבי העברה גבוהים מ- ‎54 Mbps בחיבורי 802.11n, יש לבחור אבטחת WPA2-AES‏. ניתן לבחור באפשרות ללא אבטחה (ללא) כדי לאפשר הגדרה ופתרון בעיות של רשת.

כדי ליצור פרופיל עם אימות רשת WPA2*-אישי והצפנת נתונים AES-CCMP‏:

  1. בחלון הראשי של Intel(R) PROSet/Wireless, לחץ פעמיים על רשת תשתית ברשימה רשתות אלחוטיות, או בחר את הרשת ולחץ על התחבר.
  2. אם שם הפרופיל ושם הרשת האלחוטית (SSID) משודרים, הם יוצגו במסך הגדרות כלליות. עבור מצב הפעלה יש לבחור רשת (תשתית). לחץ על הבא כדי לפתוח את הגדרות האבטחה.
  3. בחר אבטחה אישית.
  4. הגדרות אבטחה: בחר WPA2-אישי (AES-CCMP) כדי לספק רמת אבטחה זו ברשת קטנה או בסביבה ביתית. אפשרות זו משתמשת בסיסמה הנקראת גם מפתח טרום-שיתוף (PSK‏). ככל שהסיסמה ארוכה יותר, כך אבטחה של הרשת האלחוטית חזקה יותר.

AES-CCMP (תקן הצפנה מתקדם - פרוטוקול נגדי ל- CBC-MAC) השיטה החדשה יותר להגנה על פרטיות שידורים אלחוטיים, המפורטת בתקן IEEE 802.11i‏. AES-CCMP מספק שיטת הצפנה חזקה יותר מ- TKIP‏. בחר ב- AES-CCMP כשיטת הצפנת הנתונים כאשר יש צורך בהגנה חזקה על הנתונים.

אם נקודת הגישה האלחוטית או הנתב תומכים ב- WPA2-אישי, אזי עליך לאפשר אותו בנקודת הגישה ולספק סיסמה ארוכה וחזקה. במחשב זה ובכל שאר ההתקנים האלחוטיים הניגשים לרשת האלחוטית, יש להשתמש באותה סיסמה שהוזנה בנקודת הגישה.

הערה: ל- WPA-אישי ול- WPA2-אישי יש יכולת לעבוד זה עם זה.

מערכת ההפעלה של המחשב עשויה שלא לתמוך בפתרונות אבטחה מסוימים. ייתכן שיידרשו תוכנה או חומרה נוספים לתמיכה בתשתית LAN אלחוטי. לפרטים, פנה אל יצרן המחשב.

  1. סיסמה: סיסמת אבטחה אלחוטית (מפתח הצפנה): הזן מחרוזת טקסט (אורך 8 עד 63 תווים). ודא שמפתח הרשת שבשימוש תואם למפתח נקודת הגישה האלחוטית.
  2. לחץ על אישור כדי לחזור לרשימה פרופילים.

אבטחה ארגונית

בעמוד הגדרות אבטחה באפשרותך להזין את הגדרות האבטחה הדרושות עבור הרשת האלחוטית שנבחרה.

השתמש באבטחה ארגונית אם סביבת הרשת דורשת אימות 802.1X‏.

הגדרות אבטחה ארגונית

תיאור הגדרות אבטחה ארגונית

שם הגדרה
אבטחה ארגונית

בחר כדי לפתוח את הגדרות האבטחה הארגונית.
אימות רשת

בחר אחת משיטות האימות הבאות:
הצפנת נתונים

לחץ כדי לפתוח את סוגי הצפנת הנתונים הבאים:
אפשור 802.1X (סוג אימות) לחץ כדי לפתוח את סוגי אימות ה- 802.1X הבאים:
אפשרויות Cisco לחץ כדי להציג את הסיומות התואמות של Cisco.

הערה: סיומות תואמות של Cisco מאופשרות באופן אוטומטי עבור פרופילי CKIP ו- LEAP‏.
הלחצן מתקדם בחר כדי לגשת להגדרות מתקדמות, על מנת לקבוע את התצורה של האפשרויות הבאות:
תעודות משתמש

לפרופיל המוגדר לאימות TTLS‏, PEAP או ל- EAP-FAST נדרשת אחת משיטות אימות הכניסה הבאות:

השתמש בכניסה ל- Windows‏: תעודות ה- 802.1X תואמות לשם המשתמש ולסיסמה של Windows‏. לפני התחברות, תוצג בפניך הודעה המבקשת את תעודות הכניסה ל- Windows‏.

הערה: עבור פרופילים מסוג LEAP, אפשרות זו רשומה כהשתמש בשם המשתמש והסיסמה של הכניסה ל- Windows‏.

הצג הנחייה בכל פעם שאני מתחבר: בקשת שם המשתמש והסיסמה בכל כניסה לרשת האלחוטית.

הערה: עבור פרופילים מסוג LEAP, אפשרות זו רשומה כבקשת שם משתמש וסיסמה.

השתמש בהבא: השתמש בתעודות השמורות שלך כדי להיכנס לרשת.

  • שם משתמש: על שם משתמש זה להתאים לשם המשתמש המוגדר בשרת האימות על-ידי מנהל הרשת, לפני אימות לקוח. שם המשתמש הוא תלוי רישיות. השם מציין את הזהות שניתנה למאמת על-ידי פרוטוקול האימות הפועל דרך מנהרת TLS‏. זהות זו משודרת באופן מאובטח לשרת רק לאחר יצירת ערוץ מוצפן.
  • תחום: שם התחום בשרת האימות. שם השרת מזהה תחום או אחד מתחומי המשנה שלו (לדוגמה, zeelans.com, כאשר השרת הוא blueberry.zeelans.com‏).
  • סיסמה: ציון סיסמת המשתמש. תווי הסיסמה מוצגים ככוכביות. על הסיסמה להתאים לסיסמה המוגדרת בשרת האימות.
  • אישור סיסמה: הזן שוב את סיסמת המשתמש.

הערה: לקבלת שם התחום, פנה אל מנהל הרשת.

הערה: עבור פרופילים מסוג LEAP, אפשרות זו רשומה כהשתמש בשם המשתמש והסיסמה הבאים.
אפשרויות שרת

בחר אחת משיטות אחזור התעודות הבאות:

אמת הרשאת שרת: בחר כדי לאמת את תעודת השרת.

מנפיק ההרשאה: על אישור השרת שהתקבל במהלך החלפת הודעות TLS להיות מונפק על-ידי רשות אישורים (CA) זו. ניתן לבחור רשויות אישורי ביניים מהימנות ורשויות בסיס שהאישורים שלהן קיימים במאגר המערכת. אם האפשרות כל CA אמין נבחרה, ניתן להשתמש בכל רשות אישורים (CA) המופיעה ברשימה. לחץ על כל CA אמין כברירת המחדל, או בחר מנפיק אישורים מהרשימה.

ציין שם שרת או שם הרשאה: הזן את שם השרת.

שם השרת או התחום שאליו שייך השרת. דבר זה תלוי באפשרות שנבחרה להלן.

  • על שם השרת להתאים בדיוק לערך המצוין: כשאפשרות זו נבחרת, על שם השרת להתאים בדיוק לשם השרת המופיע באישור. שם השרת צריך לכלול את שם התחום המלא (לדוגמה, Servername.Domain name‏).
  • על שם התחום להסתיים בערך המצוין: כשאפשרות זו נבחרת, שם השרת מזהה תחום, ולאישור צריך להיות שם שרת השייך לתחום זה או לאחד מתחומי המשנה (לדוגמה, zeelans.com כאשר השרת הוא blueberry.zeelans.com‏).

הערה: יש לקבל פרמטרים אלה ממנהל הרשת.
אפשרויות אישור כדי לקבל אישור לאימות TLS, בחר אחת מהאפשרויות הבאות:

השתמש בכרטיס החכם שלי: בחר אם האישור נמצא בכרטיס חכם.

השתמש באישור שהונפק למחשב זה: בחירת אישור שנמצא במאגר המחשב.

השתמש באישור משתמש במחשב זה: לחץ על בחירה כדי לבחור אישור שנמצא במחשב זה.

הערה: תוכנת Intel(R) PROSet/Wireless תומכת בהרשאות מחשב. עם זאת, הן אינן מוצגות ברשימות ההרשאות.

הערות אודות אישורים: על הזהות המצוינת להתאים לזהות מונפק ל באישור ולהיות רשומה בשרת האימות (לדוגמה, שרת RADIUS) המשתמש את המאמת. על ההרשאה שלך להיות "חוקית" מול שרת האימות. דרישה זו תלויה בשרת האימות; בדרך כלל, פירוש הדבר ששרת האימות חייב להכיר את מנפיק האישור כרשות אישור. השתמש באותו שם משתמש ששימש אותך לכניסה, בעת התקנת האישור.
הקודם הצגת הדף הקודם באשף יצירת הפרופיל האלחוטי.
הבא הצגת הדף הבא באשף יצירת הפרופיל האלחוטי. אם נדרש מידע נוסף אודות אבטחה, השלב הבא של דף האבטחה מוצג.
אישור סגירת אשף יצירת הפרופיל האלחוטי ושמירת הפרופיל.
ביטול סגירת אשף יצירת הפרופיל האלחוטי וביטול שינויים שנעשו.
עזרה? הצגת עזרה עבור הדף הנוכחי.

הגדרת תצורה של פרופילים עבור רשתות תשתית

רשת תשתית מורכבת מנקודת גישה אחת או יותר וממחשב אחד או יותר שמותקן בהם מתאם אלחוטי. לכל נקודת גישה נדרש חיבור מחווט לרשת אלחוטית.

הגדרת לקוח עם אימות רשת פתוח או משותף

בעת שימוש באימות מפתח משותף, נקודת ההנחה היא שכל תחנה אלחוטית קיבלה את המפתח המשותף הסודי דרך ערוץ מאובטח, שאינו תלוי בערוץ תקשורת 802.11 של רשת אלחוטית. עבור אימות מפתח משותף נדרש שהלקוח יגדיר מפתח WEP או CKIP סטטי. ללקוח ניתנת גישה רק לאחר שעבר אימות מבוסס הזדהות. CKIP מספק הצפנת נתונים חזקה יותר מאשר WEP, אך לא כל מערכות ההפעלה ונקודות הגישה תומכות בו.

הערה: אמנם מפתח משותף נראה כאפשרות הטובה ביותר לרמת אבטחה גבוה יותר, אך קיימת חולשה ידועה הנוצרת על-ידי שידור טקסט נקי של מחרוזת ההזדהות אל הלקוח. ברגע שפולש מאתר את מחרוזת ההזדהות, ניתן לבצע בקלות הנדסה לאחור של מפתח האימות המשותף. לכן, אימות פתוח בטוח יותר למעשה, למרות שזה נוגד את האינטואיציה. כדי ליצור פרופיל עם אימות משותף:

  1. לחץ על פרופילים בחלון הראשי של Intel(R) PROSet/Wireless‏. לחילופין, אם אתה מנהל הרשת, פתח את כלי מנהל הרשת.
  2. בדף פרופיל, לחץ על הוספה כדי לפתוח את ההגדרות הכלליות של יצירת פרופיל אלחוטי.
  3. שם פרופיל: הזן שם פרופיל תיאורי.
  4. שם רשת אלחוטית (SSID‏): הזן את מזהה הרשת.
  5. מצב הפעלה: לחץ על רשת (תשתית).
  6. סוג פרופיל מנהל הרשת: בחר מתמיד או טרום כניסה/משותף. (שלב זה ישים רק אם נעשה שימוש בכלי מנהל הרשת).
  7. לחץ על הבא כדי לפתוח את הגדרות האבטחה.
  8. בחר אבטחה ארגונית.
  9. אימות רשת: בחר משותף. אימות משותף מבוצע באמצעות מפתח WEP מוגדר מראש.
  10. הצפנת נתונים: בחר ללא, WEP‏ (64 או 128 סיביות) או CKIP‏ (64 או 128 סיביות).
  11. אפשור 802.1X‏: מנוטרל.
  12. רמת הצפנה: 64 או 128 סיביות: בעת מעבר בין הצפנת 64 סיביות ל- 128 סיביות, ההגדרות הקודמות נמחקות ויש להזין מפתח חדש.
  13. סיסמת אבטחה אלחוטית (מפתח הצפנה): הזן את סיסמת הרשת האלחוטית (מפתח הצפנה WEP‏). ערך סיסמה זו זהה לזה המשמש את נקודת הגישה (AP) האלחוטית או הנתב. כדי לקבל סיסמה זו, פנה אל מנהל הרשת.
שם תיאור
סיסמה

הזן את סיסמת האבטחה האלחוטית (סיסמת צירוף מילים) או את מפתח ההצפנה (מפתח WEP‏).
סיסמת צירוף מילים (64 סיביות)

הזן חמישה (5) תווים אלפאנומריים, 0-9, a-z או A-Z.
מפתח WEP‏ (64 סיביות)

הזן 10 תווים הקסדצימליים, 0-9, A-F‏.
סיסמת צירוף מילים (128 סיביות)

הזן 13 תווים אלפאנומריים, 0-9, a-z או A-Z‏.
מפתח WEP‏ (128 סיביות)

הזן 26 תווים הקסדצימליים, 0-9, A-F‏.
  1. אינדקס מפתח: בחר 1,2, 3 או 4. שנה את אינדקס המפתח כדי לציין עד ארבע סיסמאות.
  2. לחץ על אישור.

הגדרת לקוח עם אימות רשת WPA*-ארגוני או WPA2*-ארגוני

עבור WPA2-ארגוני נדרש שרת אימות.

הערה: ל- WPA-ארגוני ול- WPA2-ארגוני יש יכולת לעבוד זה עם זה.

כדי להוסיף פרופיל המשתמש באימות WPA-ארגוני או WPA2-ארגוני:

  1. קבל שם משתמש וסיסמה עבור שרת ה- RADIUS ממנהל הרשת.
  2. לסוגי אימות מסוימים יש להשיג ולהתקין אישור לקוח. ראה הגדרת הלקוח עבור אימות TLS או התייעץ עם מנהל הרשת.
  3. לחץ על פרופילים בחלון הראשי של Intel(R) PROSet/Wireless‏. לחילופין, אם אתה מנהל הרשת, פתח את כלי מנהל הרשת.
  4. בדף פרופיל, לחץ על הוספה כדי לפתוח את ההגדרות הכלליות של יצירת פרופיל אלחוטי.
  5. שם פרופיל: הזן שם פרופיל תיאורי.
  6. שם רשת אלחוטית (SSID‏): הזן את מזהה הרשת.
  7. מצב הפעלה: לחץ על רשת (תשתית).
  8. סוג פרופיל מנהל הרשת: בחר מתמיד או טרום כניסה/משותף. (שלב זה ישים רק אם נעשה שימוש בכלי מנהל הרשת).
  9. לחץ על הבא.
  10. בחר אבטחה ארגונית.
  11. אימות רשת: בחר WPA-ארגוני או WPA2-ארגוני.
  12. הצפנת נתונים: בחר אחת מהאפשרויות הבאות:
  13. אפשור 802.1X‏: נבחר.
  14. סוג אימות: בחר אחת מהאפשרויות הבאות: EAP-SIM‏, LEAP‏, TLS‏, TTLS‏, PEAP‏, EAP-FAST‏.

הגדרת לקוח עם אימות רשת EAP-SIM

EAP-SIM משתמש במפתח WEP דינמי מבוסס-הפעלה, אשר נגזר ממתאם הלקוח ומשרת RADIUS, כדי להצפין נתונים. ב- EAP-SIM נדרש ממך להזין קוד אימות משתמש, או מספר זיהוי אישי (PIN), למטרת תקשורת עם כרטיס מודול זהות המנוי (SIM‏). כרטיס SIM הוא כרטיס חכם מיוחד המשמש רשתות סלולריות דיגיטליות המבוססות על Global System for Mobile Communications‏ (GSM‏). כדי להוסיף פרופיל עם אימות EAP-SIM‏:

  1. לחץ על פרופילים בחלון הראשי של Intel(R) PROSet/Wireless‏. לחילופין, אם אתה מנהל הרשת, פתח את כלי מנהל הרשת.
  2. בדף פרופיל, לחץ על הוספה כדי לפתוח את ההגדרות הכלליות של יצירת פרופיל אלחוטי.
  3. שם פרופיל: הזן שם פרופיל.
  4. שם רשת אלחוטית (SSID‏): הזן את מזהה הרשת.
  5. מצב הפעלה: לחץ על רשת (תשתית).
  6. סוג פרופיל מנהל הרשת: בחר טרום-כניסה/משותף. (שלב זה ישים רק אם נעשה שימוש בכלי מנהל הרשת. לא ניתן להשתמש ב- EAP-SIM עבור פרופילים מתמידים).
  7. לחץ על הבא כדי לפתוח את הגדרות האבטחה.
  8. בחר אבטחה ארגונית.
  9. אימות רשת: בחר פתוח (מומלץ).
  10. הצפנת נתונים: בחר WEP.
  11. לחץ על אפשור 802.1X.
  12. סוג אימות: בחר EAP-SIM‏.

ניתן להשתמש באימות EAP-SIM עם:

משתמש EAP-SIM (אופציונלי)

  1. ציין שם משתמש (זהות): לחץ כדי לציין את שם המשתמש.
  2. לחץ על אישור.

הגדרת לקוח עם אימות רשת TLS

הגדרות אלה מגדירות את הפרוטוקול ואת התעודות המשמשות לאימות משתמש. אימות Transport Layer Security‏ (TLS) הוא שיטת אימות דו-סטרי המשתמשת באישורים דיגיטליים בלבד כדי לוודא את הזהות של לקוח ושל שרת.

כדי להוסיף פרופיל עם אימות TLS‏:

  1. לחץ על פרופילים בחלון הראשי של Intel(R) PROSet/Wireless‏. לחילופין, אם אתה מנהל הרשת, פתח את כלי מנהל הרשת.
  2. בדף פרופיל, לחץ על הוספה כדי לפתוח את ההגדרות הכלליות של יצירת פרופיל אלחוטי.
  3. שם פרופיל: הזן שם פרופיל תיאורי.
  4. שם רשת אלחוטית (SSID‏): הקלד את מזהה הרשת.
  5. מצב הפעלה: לחץ על רשת (תשתית).
  6. סוג פרופיל מנהל הרשת: בחר מתמיד או טרום כניסה/משותף. (שלב זה ישים רק אם נעשה שימוש בכלי מנהל הרשת).
  7. לחץ על הבא כדי לפתוח את הגדרות האבטחה.
  8. בחר אבטחה ארגונית.
  9. אימות רשת: בחר WPA-ארגוני או WPA2-ארגוני.
  10. הצפנת נתונים: בחר AES-CCMP (מומלץ).
  11. אפשור 802.1X‏: נבחר.
  12. סוג אימות: בחר TLS שישמש עם חיבור זה.

משתמש TLS

שלב 1 מתוך 2: משתמש TLS

  1. קבל והתקן הרשאת לקוח. ראה הגדרת הלקוח עבור אימות TLS או התייעץ עם מנהל המערכת.
  2. כדי לקבל אישור, בחר אחת מהאפשרויות הבאות: השתמש בכרטיס החכם שלי, השתמש באישור שהונפק למחשב זה, או השתמש באישור משתמש במחשב זה.
  3. לחץ על הבא כדי לפתוח את הגדרות שרת ה- TLS‏.

שרת TLS

שלב 2 מתוך 2: שרת TLS

  1. בחר אחת משיטות אחזור התעודות הבאות: אמת הרשאת שרת או ציין שם שרת או שם הרשאה.
  2. לחץ על אישור. הפרופיל מתווסף לרשימת הפרופילים.
  3. לחץ על הפרופיל החדש שבסוף רשימת הפרופילים. השתמש בחצים למעלה ולמטה כדי לשנות את העדיפות של הפרופיל החדש.
  4. לחץ על התחבר כדי להתחבר לרשת האלחוטית שנבחרה.
  5. לחץ על אישור כדי לסגור את Intel(R) PROSet/Wireless‏.

הגדרת לקוח עם אימות רשת TTLS

אימות TTLS‏: הגדרות אלה מגדירות את הפרוטוקול ואת האישורים המשמשים לאימות משתמש. הלקוח משתמש ב- EAP-TLS כדי לאמת את השרת וליצור ערוץ מוצפן-TLS בין הלקוח לשרת. באפשרות הלקוח להשתמש בפרוטוקול אימות אחר, לרוב פרוטוקולים מבוססי-סיסמה. מנות בקשת ההזדהות והתשובה נשלחות דרך ערוץ מוצפן TLS שאינו חשוף. הדוגמה הבאה מתארת את אופן השימוש ב- WPA עם הצפנת AES-CCMP עם אימות TTLS‏.

כדי להגדיר לקוח עם אימות רשת TTLS‏:

  1. לחץ על פרופילים בחלון הראשי של Intel(R) PROSet/Wireless‏. לחילופין, אם אתה מנהל הרשת, פתח את כלי מנהל הרשת.
  2. בדף פרופיל, לחץ על הוספה כדי לפתוח את ההגדרות הכלליות של יצירת פרופיל אלחוטי.
  3. שם פרופיל: הזן שם פרופיל תיאורי.
  4. שם רשת אלחוטית (SSID‏): הזן את מזהה הרשת.
  5. מצב הפעלה: רשת (תשתית) נבחרת כברירת מחדל.
  6. סוג פרופיל מנהל הרשת: בחר מתמיד או טרום כניסה/משותף. (שלב זה ישים רק אם נעשה שימוש בכלי מנהל הרשת).
  7. לחץ על הבא כדי לפתוח את הגדרות האבטחה.
  8. בחר אבטחה ארגונית.
  9. אימות רשת: בחר WPA-ארגוני או WPA2-ארגוני (מומלץ).
  10. הצפנת נתונים: בחר אחת מהאפשרויות הבאות:
  11. אפשור 802.1X‏: נבחר כברירת מחדל.
  12. סוג אימות: בחר TTLS שישמש עם חיבור זה.

שלב 1 מתוך 2: משתמש TTLS

  1. פרוטוקול אימות: פרמטר זה מציין את פרוטוקול האימות הפועל במנהרת TTLS‏. להלן הפרוטוקולים: PAP (ברירת מחדל), CHAP‏, MS-CHAP ו- MS-CHAP-V2‏. לקבלת מידע נוסף, ראה סקירת אבטחה.
  2. תעודות משתמש: עבור פרוטוקולים PAP‏, CHAP‏, MS-CHAP ו- MS-CHAP-V2, בחר אחת משיטות אימות אלה: השתמש בכניסה ל- Windows, הצג הנחיה בכל פעם שאני מתחבר או השתמש בהבא.
  3. זהות נדידה: בשדה זה ניתן להזין זהות נדידה או להשתמש ב- %domain%\%username% כתבנית ברירת המחדל להזנת זהות נדידה.

כאשר 802.1X Microsoft IAS RADIUS משמש כשרת אימות, השרת מאמת את ההתקן באמצעות זהות נדידה מתוכנת Intel(R) PROSet/Wireless ומתעלם משם המשתמש של פרוטוקול אימות MS-CHAP-V2‏. Microsoft IAS RADIUS מקבל רק שם משתמש חוקי (משתמש dotNet) עבור זהות נדידה. עבור כל שאר שרתי האימות, זהות הנדידה אופציונלית. לכן, מומלץ להשתמש בתחום הרצוי (לדוגמה, anonymous@myrealm) עבור זהות הנדידה, במקום בזהות אמיתית.

  1. לחץ על הבא כדי לגשת להגדרות שרת ה- TTLS‏.

שלב 2 מתוך 2: שרת TTLS

  1. בחר אחת משיטות אחזור התעודות הבאות: אמת הרשאת שרת או ציין שם שרת או שם הרשאה.
  2. לחץ על אישור כדי לשמור את ההגדרה ולסגור את הדף.

הגדרת לקוח עם אימות רשת PEAP

אימות PEAP‏: הגדרות PEAP נדרשות לאימות הלקוח בשרת האימות. הלקוח משתמש ב- EAP-TLS כדי לאמת את השרת וליצור ערוץ מוצפן-TLS בין הלקוח לשרת. כדי לאפשר אימות שרת, באפשרות הלקוח להשתמש במנגנון EAP אחר בערוץ מוצפן זה (לדוגמה, Microsoft Challenge Authentication Protocol‏ (MS-CHAP) גרסה 2). מנות בקשת ההזדהות והתשובה נשלחות דרך ערוץ מוצפן TLS שאינו חשוף. הדוגמה הבאה מתארת את אופן השימוש ב- WPA עם הצפנת AES-CCMP או TKIP עם אימות PEAP‏.

כדי להגדיר לקוח עם אימות PEAP‏:

קבל והתקן אישור לקוח. ראה הגדרת הלקוח עבור אימות TLS או התייעץ עם מנהל הרשת.

  1. לחץ על פרופילים בחלון הראשי של Intel(R) PROSet/Wireless‏. לחילופין, אם אתה מנהל הרשת, פתח את כלי מנהל הרשת.
  2. בדף פרופיל, לחץ על הוספה כדי לפתוח את ההגדרות הכלליות של יצירת פרופיל אלחוטי.
  3. שם פרופיל: הזן שם פרופיל תיאורי.
  4. שם רשת אלחוטית (SSID‏): הזן את מזהה הרשת.
  5. מצב הפעלה: לחץ על רשת (תשתית).
  6. סוג פרופיל מנהל הרשת: בחר מתמיד או טרום כניסה/משותף. (שלב זה ישים רק אם נעשה שימוש בכלי מנהל הרשת).
  7. לחץ על הבא כדי לפתוח את הגדרות האבטחה.
  8. בחר אבטחה ארגונית.
  9. אימות רשת: בחר WPA-ארגוני או WPA2-ארגוני.
  10. הצפנת נתונים: בחר אחת מהאפשרויות הבאות:
  11. אפשור 802.1X‏: נבחר.
  12. סוג אימות: בחר PEAP שישמש עם חיבור זה.

שלב 1 מתוך 2: משתמש PEAP

PEAP מסתמך על Transport Layer Security‏ (TLS) כדי לאפשר סוגי אימות לא מוצפנים (לדוגמה, EAP-Generic Token Card‏ (GTC) ותמיכת One-Time Password‏ (OTP‏)).

  1. פרוטוקול אימות: בחר GTC‏, MS-CHAP-V2 (ברירת מחדל) או TLS‏. ראה פרוטוקולי אימות.
  2. תעודות משתמש: בחר אחת מהאפשרויות הבאות: השתמש בכניסה ל- Windows, הצג הנחיה בכל פעם שאני מתחבר או השתמש בהבא.
  3. זהות נדידה: בשדה זה ניתן להזין זהות נדידה או להשתמש ב- %domain%\%username% כתבנית ברירת המחדל להזנת זהות נדידה.

כאשר 802.1X Microsoft IAS RADIUS משמש כשרת אימות, השרת מאמת את ההתקן באמצעות זהות נדידה מתוכנת Intel(R) PROSet/Wireless ומתעלם משם המשתמש של פרוטוקול אימות MS-CHAP-V2‏. Microsoft IAS RADIUS מקבל רק שם משתמש חוקי (משתמש dotNet) עבור זהות נדידה. עבור כל שאר שרתי האימות, זהות הנדידה אופציונלית. לכן, מומלץ להשתמש בתחום הרצוי (לדוגמה, anonymous@myrealm) עבור זהות הנדידה, במקום בזהות אמיתית.

הגדרת תצורה של זהות נדידה לתמיכה במשתמשים מרובים

אם אתה משתמש בפרופיל טרום כניסה/משותף הדורש לבסס את זהות הנדידה על תעודות הכניסה ל- Windows, יוצר הפרופיל יכול להוסיף זהות נדידה המשתמשת ב- %username% וב- %domain%. זהות הנדידה מנותחת ומידע הכניסה המתאים מוחלף עבור מילות המפתח. דבר זה מאפשר גמישות מרבית בהגדרת התצורה של זהות הנדידה, ולמשתמשים מרובים לשתף את הפרופיל.

לקבלת הוראות על אופן העיצוב של זהות נדידה מתאימה, עיין במדריך למשתמש של שרת האימות. להלן תבניות אפשרויות:

אם זהות הנדידה נמחקת, ברירת המחדל היא %domain%\%username%‏.

הערות אודות התעודות: על שם משתמש ותחום אלה להתאים לשם המשתמש המוגדר בשרת האימות על-ידי מנהל הרשת, לפני אימות לקוח. שם המשתמש הוא תלוי רישיות. השם מציין את הזהות שניתנה למאמת על-ידי פרוטוקול האימות הפועל דרך מנהרת TLS‏. זהות משתמש זו משודרת באופן מאובטח לשרת רק לאחר יצירה ואימות של ערוץ מוצפן.

פרוטוקולי אימות: פרמטר זה מציין את פרוטוקולי האימות שיכולים לפעול במנהרת TTLS‏. להלן הוראות להגדרת פרופיל שמשתמש באימות PEAP באמצעות

פרוטוקולי אימות GTC‏, MS-CHAP-V2 (ברירת מחדל) או TLS‏.

Generic Token Card‏ (GTC)

משתמש PEAP

להגדרת סיסמה חד-פעמית:

  1. פרוטוקול אימות: בחר GTC‏ (Generic Token Card‏).
  2. תעודות משתמש: בחר הצג הנחייה בכל פעם שאני מתחבר.
  3. בקש את זמן ההתחברות: בחר אחת מהאפשרויות הבאות:
שם תיאור
סיסמה סטטית עם ההתחברות, הזן את תעודות המשתמש.
סיסמה חד-פעמית (OTP) קבל את הסיסמה מהתקן אסימון חומרה.
קוד אישי (אסימון תוכנה) קבל את הסיסמה מתוכנית אסימון תוכנה.
  1. לחץ על אישור.

הערה: האפשרות הצג הנחיה בכל פעם שאני מתחבר אינה זמינה אם מנהל רשת ניקה את ההגדרה העברת תעודות למטמון בכלי מנהל הרשת. לקבלת מידע נוסף, ראה הגדרות מנהל רשת.

סיסמה חד-פעמית

MS-CHAP-V2

פרמטר זה מציין את פרוטוקול האימות הפועל במנהרת PEAP‏.

  1. תעודות משתמש: בחר אחת מהאפשרויות הבאות: השתמש בכניסה ל- Windows, הצג הנחיה בכל פעם שאני מתחבר או השתמש בהבא.
  2. לחץ על הבא כדי לפתוח את הגדרות שרת ה- PEAP‏.

TLS

אימות Transport Layer Security‏ (TLS) הוא שיטת אימות דו-סטרי המשתמשת באישורים דיגיטליים בלבד כדי לוודא את הזהות של לקוח ושל שרת.

  1. קבל והתקן הרשאת לקוח. ראה הגדרת הלקוח עבור אימות TLS או התייעץ עם מנהל המערכת.
  2. כדי לקבל אישור, בחר אחת מהאפשרויות הבאות: השתמש בכרטיס החכם שלי, השתמש באישור שהונפק למחשב זה או השתמש באישור משתמש במחשב זה.
  3. לחץ על הבא כדי לפתוח את הגדרות שרת ה- PEAP‏.

שלב 2 מתוך 2: שרת PEAP

שרת PEAP
  1. בחר אחת משיטות אחזור התעודות הבאות: אמת הרשאת שרת או ציין שם שרת או שם הרשאה.
  2. לחץ על אישור. הפרופיל מתווסף לרשימת הפרופילים.
  3. לחץ על הפרופיל החדש שבסוף רשימת הפרופילים. השתמש בחצים למעלה ולמטה כדי לשנות את העדיפות של הפרופיל החדש.
  4. לחץ על התחבר כדי להתחבר לרשת האלחוטית שנבחרה.

אם לא בחרת באפשרות השתמש בכניסה ל- Windows בדף הגדרות אבטחה וגם לא הגדרת תעודות משתמש, לא יישמרו תעודות עבור פרופיל זה. הזן את התעודות כדי לאמת לרשת.

  1. לחץ על אישור כדי לסגור את Intel(R) PROSet/Wireless‏.

הרשמה אוטומטית של אישור PEAP-TLS

בהגדרות יישום, בחר אפשור הודעה על דחיית הרשאות TLS, אם ברצונך להציג אזהרה בעת דחיית אישור PEAP-TLS‏. כאשר הערך בשדה תאריך פקיעה באישור אינו חוקי, מוצגת הודעה שעליך לנקוט באחת מהפעולות הבאות: זוהתה בעיית אימות פוטנציאלית בפרופיל <שם פרופיל>. ייתכן שתאריך הפקיעה של אישור הגישה המשויכת אינו חוקי. בחר אחת מהאפשרויות הבאות:

פקד תיאור
המשך עם הפרמטרים הנוכחיים. המשך עם ההרשאה (אישור) הנוכחית.
עדכן את ההרשאה ידנית. הדף בחירת הרשאה (אישור) נפתח כדי שתוכל לבחור אישור אחר.
עדכן את ההרשאה אוטומטית על סמך ההרשאות השמורות מקומית. אפשרות זו מאופשרת רק כאשר במאגר המקומי ישנו אישור אחד או יותר שעבורו השדות “מונפק ל“ ו"מונפק על-ידי" תואמים לאישור הנוכחי, וש"תאריך פקיעה" לא פג. אם תבחר אפשרות זו, היישום יבחר את האישור החוקי הראשון.
צא מהמערכת כדי לקבל הרשאה במהלך תהליך ההתחברות (פעולה זו אינה מעדכנת את הפרופיל וחלה על הרשאות שהוגדרו להרשמה אוטומטית בלבד). ניתוק המשתמש; עליך לקבל אישור מתאים במהלך תהליך הכניסה הבא. כדי לבחור אישור חדש, יש לעדכן את הפרופיל.
הרשמה אוטומטית ההודעה הבאה תוצג: נא המתן בזמן שהמערכת מנסה להשיג הרשאה באופן אוטומטי. לחץ על ביטול כדי לסיים את אחזור האישור.
אל תציג הודעה זו שוב. באפשרות משתמש למנוע שלב זה בהפעלות הבאות. בהפעלות הבאות המערכת זוכרת את האפשרות שנבחרה.

הגדרת לקוח עם אימות רשת LEAP

Cisco LEAP‏ (Light Extensible Authentication Protocol) הוא סוג של אימות 802.1X התומך באימות הדדי חזק בין הלקוח לבין שרת RADIUS‏. הגדרות פרופילי LEAP כוללות LEAP ו- CKIP עם שילוב של זיהוי נקודת גישה עוינת. כדי להגדיר לקוח עם אימות LEAP‏:

  1. לחץ על פרופילים בחלון הראשי של Intel(R) PROSet/Wireless‏. לחילופין, אם אתה מנהל הרשת, פתח את כלי מנהל הרשת.
  2. בדף פרופיל, לחץ על הוספה. ההגדרות הכלליות של יצירת פרופיל אלחוטי נפתחות.
  3. שם פרופיל: הזן שם פרופיל תיאורי.
  4. שם רשת אלחוטית (SSID‏): הזן את מזהה הרשת.
  5. מצב הפעלה: לחץ על רשת (תשתית).
  6. סוג פרופיל מנהל הרשת: בחר מתמיד או טרום כניסה/משותף. (שלב זה ישים רק אם נעשה שימוש בכלי מנהל הרשת).
  7. לחץ על הבא כדי לפתוח את הגדרות האבטחה.
  8. בחר אבטחה ארגונית.
  9. אימות רשת: בחר WPA-ארגוני או WPA2-ארגוני.
  10. הצפנת נתונים: בחר אחת מהאפשרויות הבאות:
  11. אפשור 802.1X‏: נבחר.
  12. סוג אימות: בחר LEAP שישמש עם חיבור זה.
  13. לחץ על אפשרויות Cisco‏.
  14. לחץ על אפשור סיומות תואמות של Cisco כדי לאפשר אבטחת סיומות תואמות Cisco‏ (CCX) (אפשור נדידה מהירה (CCKM), אפשור תמיכת ניהול רדיו ואפשור מצב תאים משולבים).

סיומות תואמות של Cisco

  1. לחץ על אפשור תמיכת ניהול רדיו. השתמש בניהול רדיו כדי לזהות נקודות גישה חריגות.
  2. לחץ על אישור כדי לחזור להגדרות האבטחה.

משתמש LEAP

משתמש LEAP

  1. בחר אחת משיטות האימות הבאות.
    2. אם תחת סוג פרופיל מנהל הרשת בחרת מתמיד, אזי רק האפשרות השתמש בשם המשתמש והסיסמה הבאים תהיה זמינה. אם בחרת טרום כניסה/משותף, אזי שתי שיטות האימות זמינות.
  2. לחץ על אישור כדי לשמור את ההגדרה ולסגור את הדף.

אפשרויות סיומות תואמות של Cisco

אפשרויות Cisco‏: השתמש כדי לאפשר או לנטרל ניהול רדיו ומצב תאים משולבים או אפשור נדידה מהירה (CCKM‏).

הערה: סיומות תואמות של Cisco מאופשרות אוטומטית עבור פרופילים של CKIP‏, LEAP או EAP-FAST‏. כדי לעקוף התנהגות זו, בחר או נקה אפשרויות בדף זה.

אפשור אפשרויות תואמות של Cisco‏: בחר כדי לאפשר סיומות תואמות Cisco עבור פרופיל חיבור אלחוטי זה.

הגדרת לקוח עם אימות רשת EAP-FAST

בסיומות תואמות של Cisco, גרסה 3 (CCXv3), חברת Cisco הוסיפה תמיכה ב- EAP-FAST‏ (Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling), המשתמש בתעודות גישה מאובטחות (PAC) כדי ליצור מנהרה מאומתת בין לקוח ושרת.

סיומות תואמות של Cisco, גרסה 4 (CCXv4) משפרות את שיטות האספקה לשם קבלת אבטחה משופרת ומספקת חידושים לאבטחה, ניידות, איכות שירות וניהול רשת משופרים.

סיומות תואמות של Cisco, גרסה 3 (CCXv3)

כדי להגדיר לקוח עם אימות EAP-FAST עם סיומות תואמות של Cisco, גרסה 3 (CCXv3‏):

  1. לחץ על פרופילים בחלון הראשי של Intel(R) PROSet/Wireless‏. לחילופין, אם אתה מנהל הרשת, פתח את כלי מנהל הרשת.
  2. בדף פרופיל, לחץ על הוספה כדי לפתוח את ההגדרות הכלליות של יצירת פרופיל אלחוטי.
  3. שם רשת אלחוטית (SSID‏): הזן את מזהה הרשת.
  4. שם פרופיל: הזן שם פרופיל תיאורי.
  5. מצב הפעלה: לחץ על רשת (תשתית).
  6. סוג פרופיל מנהל הרשת: בחר מתמיד או טרום כניסה/משותף. (שלב זה ישים רק אם נעשה שימוש בכלי מנהל הרשת).
  7. לחץ על הבא כדי לפתוח את הגדרות האבטחה.
  8. בחר אבטחה ארגונית.
  9. אימות רשת: בחר WPA-ארגוני או WPA2-ארגוני.
  10. הצפנת נתונים: בחר אחת מהאפשרויות הבאות:
  11. אפשור 802.1X‏: נבחר.
  12. סוג אימות: בחר EAP-FAST שישמש עם חיבור זה.

אספקת EAP-FAST

הערה: אם הגדרת יישום CCXv4 לא הותקנה דרך חבילת מנהל מערכת, רק הגדרות משתמש EAP-FAST זמינות להגדרה. ראה הגדרות משתמש EAP-FAST‏.

שלב 1 מתוך 2: אספקת EAP-FAST

  1. לחץ על נטרול שיפורי EAP-FAST‏ (CCXv4) כדי לאפשר אספקה בתוך מנהרת TLS שאינה מאומתת דרך שרת (מצב אספקת שרת TLS לא מאומת).
  2. לחץ על בחירת שרת כדי להציג כל תעודת גישה מאובטחת שאינה מאומתת שכבר סופקה וששוכנת במחשב זה.

הערה: אם תעודת ה- PAC שסופקה חוקית, תוכנת Intel(R) PROSet/Wireless אינה מציגה בפני המשתמש הודעה המבקשת לאשר את ה- PAC‏. אם ה- PAC אינו חוקי, תוכנת Intel(R) PROSet/Wireless מבטלת את האספקה אוטומטית. במציג אירועי האלחוט מוצגת הודעת מצב שמנהל רשת יכול לבדוק במחשב המשתמש.

ייבוא של PAC‏:

PAC

  1. לחץ על הבא כדי לבחור את שיטת אחזור התעודות, או לחץ על אישור כדי לשמור את הגדרות ה- EAP-FAST ולחזור לרשימה פרופילים. ה- PAC משמש עבור פרופיל אלחוטי זה.

שלב 2 מתוך 2: מידע נוסף אודות EAP-FAST

כדי לבצע אימות לקוח במנהרה שנוצרה, לקוח שולח שם משתמש וסיסמה לשם אימות וקביעה של מדיניות אימות לקוח.

  1. לחץ על תעודות משתמש כדי לבחור אחת משיטות אחזור התעודות הבאות: השתמש בכניסה ל- Windows, הצג הנחיה בכל פעם שאני מתחבר או השתמש בהבא.
  2. לחץ על אישור כדי לשמור את ההגדרות ולסגור את הדף. אין צורך באימות שרת.

סיומות תואמות של Cisco, גרסה 4 (CCXv4)

כדי להגדיר לקוח עם אימות EAP-FAST עם סיומות תואמות של Cisco, גרסה 4 (CCXv4‏):

  1. לחץ על פרופילים בחלון הראשי של Intel(R) PROSet/Wireless‏. לחילופין, אם אתה מנהל הרשת, פתח את כלי מנהל הרשת.
  2. בדף פרופיל, לחץ על הוספה כדי לפתוח את ההגדרות הכלליות של אשף יצירת הפרופיל האלחוטי.
  3. שם רשת אלחוטית (SSID‏): הזן את מזהה הרשת.
  4. שם פרופיל: הזן שם פרופיל תיאורי.
  5. מצב הפעלה: לחץ על רשת (תשתית).
  6. סוג פרופיל מנהל הרשת: בחר מתמיד או טרום כניסה/משותף. (שלב זה ישים רק אם נעשה שימוש בכלי מנהל הרשת).
  7. לחץ על הבא כדי לפתוח את הגדרות האבטחה.
  8. בחר אבטחה ארגונית.
  9. אימות רשת: בחר WPA-ארגוני או WPA2-ארגוני.
  10. הצפנת נתונים: בחר אחת מהאפשרויות הבאות:
  11. הצפנת נתונים בחר AES-CCMP‏.
  12. אפשור 802.1X‏: נבחר.
  13. סוג אימות: בחר EAP-FAST שישמש עם חיבור זה.

שלב 1 מתוך 3: אספקת EAP-FAST

עם CCXv4‏, EAP-FAST תומך בשני מצבים לאספקה:

הערה: מצב אימות באמצעות שרת מספק יתרונות אבטחה משמעותיים יחסית למצב ללא אימות באמצעות שרת, גם בעת שימוש ב- EAP-MS-CHAP-V2 כשיטה פנימית. מצב זה מגן על חילופי ה- EAP-MS-CHAP-V2 מפני התקפות מאוישות (Man-in-the-Middle), על-ידי בדיקת מקוריות השרת לפני החלפת EAP-MS-CHAP-V2‏. לכן, מצב אימות באמצעות שרת הוא המצב העדיף כאשר ניתן. עמית EAP-FAST חייב להשתמש במצב אימות באמצעות שרת בכל עת שאישור או מפתח ציבורי זמינים, לשם אימות השרת וכדי להבטיח את נוהלי האבטחה הטובים ביותר.

אספקה של תעודות גישה מאובטחות (PAC‏):

EAP-FAST משתמש במפתח PAC כדי להגן על תעודות המשתמש המוחלפות. כל מאמתי EAP-FAST מזוהים באמצעות זיהוי סמכות (A-ID‏). המאמת המקומי שולח את ה- A-ID שלו ללקוח מאמת, והלקוח בודק אם קיים A-ID תואם במסד הנתונים שלו. אם הלקוח אינו מזהה את ה- A-ID, הוא מבקש PAC חדש.

הערה: אם תעודת הגישה המאובטחת (PAC) שסופקה חוקית, תוכנת Intel(R) PROSet/Wireless אינה מציגה בפני המשתמש הודעה המבקשת לאשר את ה- PAC‏. אם ה- PAC אינו חוקי, תוכנת Intel(R) PROSet/Wireless מבטלת את האספקה אוטומטית. במציג אירועי האלחוט מוצגת הודעת מצב שמנהל רשת יכול לסקור במחשב המשתמש.

  1. ודא שהאפשרות נטרול שיפורי EAP-FAST‏ (CCXv4) לא נבחרה. האפשרויות אפשור אספקה לא מאומתת ואפשור אספקה מאומתת נבחרות כברירת מחדל. לאחר בחירת PAC משרת ברירת המחדל, באפשרותך לבטל את הבחירה בכל אחת משיטות אספקה אלה.
  2. שרת ברירת מחדל: "ללא" נבחר כברירת מחדל. לחץ על בחירת שרת כדי לבחור PAC משרת אישורי ה- PAC המשמש כברירת מחדל, או בחר שרת מהרשימה קבוצת שרת. נפתח הדף לבחירת שרת ברירת המחדל של ה- EAP-FAST (סמכות PAC‏).

הערה: רשימות קבוצות שרתים מוצגות רק אם התקנת חבילת מנהל מערכת המכילה הגדרות של קבוצת זיהוי סמכות (A-ID) של EAP-FAST‏.

ניתן להשלים הפצת PAC גם באופן ידני (מחוץ לפס). אספקה ידנית מאפשרת ליצור PAC עבור משתמש בשרת ACS ולאחר מכן לייבא אותו למחשב המשתמש. ניתן להגן על קובץ PAC באמצעות סיסמה, אשר על המשתמש להזין במהלך ייבוא PAC‏.

ייבוא של PAC‏:

  1. לחץ על יבא כדי לייבא PAC משרת ה- PAC‏.
  2. לחץ על פתיחה.
  3. הזן את סיסמת ה- PAC (אופציונלי).
  4. לחיצה על אישור סוגרת דף זה. ה- PAC שנבחר משמש עבור פרופיל אלחוטי זה.

EAP-FAST CCXv4 מאפשר תמיכה עבור אספקה של תעודות אחרות, פרט ל- PAC המסופק ליצירת מנהרה. סוגי התעודות הנתמכים כוללים אישור CA מהימן, תעודת מחשב לאימות מחשב ותעודות משתמש זמניות המשמשות לעקיפת אימות משתמש.

השתמש באישור (אימות TLS)

  1. לחץ על השתמש באישור (אימות TLS).
  2. לחץ על הגנת זהות, כאשר המנהרה מוגנת.
  3. בחר אחת מהאפשרויות הבאות:
  4. שם משתמש: הזן את שם המשתמש שהוקצה לאישור המשתמש.
  5. לחץ על הבא.

שלב 2 מתוך 3: מידע נוסף אודות EAP-FAST

אם בחרת באפשרויות השתמש באישור (אימות TLS) והשתמש באישור משתמש במחשב זה, לחץ על הבא (לא נדרשת זהות נדידה) והמשך לשלב 3 כדי לקבוע את תצורת ההגדרות של אישור שרת EAP-FAST‏. אם אינך צריך לקבוע את תצורת ההגדרות של שרת EAP-FAST, לחץ על אישור כדי לשמור את ההגדרות ולחזור לדף פרופילים.

אם בחרת להשתמש בכרטיס חכם, הוסף את זהות הנדידה, אם נדרש. לחץ על אישור כדי לשמור את ההגדרות ולחזור לדף פרופילים.

אם לא בחרת באפשרות השתמש באישור (אימות TLS), לחץ על הבא כדי לבחור פרוטוקול אימות. CCXv4 מתיר תעודות נוספות או חבילות צופן TLS להקמת המנהרה.

פרוטוקול אימות: בחר GTC או MS-CHAP-V2 (ברירת מחדל).

Generic Token Card‏ (GTC)

ניתן להשתמש ב- GTC במצב אימות באמצעות שרת. מצב זה מאפשר לעמיתים המשתמשים במסדי משתמשים אחרים, כגון Lightweight Directory Access Protocol‏ (LDAP) וטכנולוגיית סיסמה חד-פעמית (OTP), לקבל אספקה בפס. עם זאת, ההחלפה תושג רק בעת שימוש עם חבילות הצפנת TLS, המבטיחות אימות שרת.

להגדרת סיסמה חד-פעמית:

  1. פרוטוקול אימות: בחר GTC‏ (Generic Token Card‏).
  2. תעודות משתמש: בחר הצג הנחייה בכל פעם שאני מתחבר.
  3. בקש את זמן ההתחברות: בחר אחת מהאפשרויות הבאות:
שם תיאור
סיסמה סטטית עם ההתחברות, הזן את תעודות המשתמש.
סיסמה חד-פעמית (OTP) קבל את הסיסמה מהתקן אסימון חומרה.
קוד אישי (אסימון תוכנה) קבל את הסיסמה מתוכנית אסימון תוכנה.
  1. לחץ על אישור.
  2. בחר את הפרופיל מהרשימה רשתות אלחוטיות.
  3. לחץ על התחבר. כשתתבקש, הזן את שם המשתמש, התחום והסיסמה החד-פעמית (OTP‏).
  4. לחץ על אישור.

MS-CHAP-V2

פרמטר זה מציין את פרוטוקול האימות הפועל במנהרת PEAP‏.

  1. בחר את תעודות המשתמש: השתמש בכניסה ל- Windows, הצג הנחיה בכל פעם שאני מתחבר או השתמש בהבא.
  2. זהות נדידה: בשדה זה ניתן להזין זהות נדידה או להשתמש ב- %domain%\%username% כתבנית ברירת המחדל להזנת זהות נדידה.

כאשר 802.1X Microsoft IAS RADIUS משמש כשרת אימות, השרת מאמת את ההתקן באמצעות זהות נדידה מתוכנת Intel(R) PROSet/Wireless ומתעלם משם המשתמש של פרוטוקול אימות MS-CHAP-V2‏. Microsoft IAS RADIUS מקבל רק שם משתמש חוקי (משתמש dotNet) עבור זהות נדידה. עבור כל שאר שרתי האימות, זהות הנדידה אופציונלית. לכן, מומלץ להשתמש בתחום הרצוי (לדוגמה, anonymous@myrealm) עבור זהות הנדידה, במקום בזהות אמיתית.

שלב 3 מתוך 3: שרת EAP-FAST

מצב אספקת שרת TLS מאומת נתמך באמצעות אישור CA מהימן, אישור שרת עם חתימה עצמית או מפתחות ציבוריים של שרת ו- GTC כשיטת ה- EAP הפנימית.

  1. בחר אחת משיטות אחזור התעודות הבאות: אמת הרשאת שרת או ציין שם שרת או שם הרשאה.
  2. לחץ על אישור כדי לסגור את הגדרות האבטחה.

הגדרות משתמש EAP-FAST

הערה: אם חבילת מנהל מערכת שמיועדת לייצוא למחשב משתמש אינה כוללת את הגדרת היישום לאפשור כלי מנהל מערכת CCXv4, רק הגדרות משתמש EAP-FAST יהיו זמינות לשם הגדרת תצורה.

כדי להגדיר לקוח עם אימות EAP-FAST‏:

  1. לחץ על פרופילים בחלון הראשי של Intel(R) PROSet/Wireless‏. לחילופין, אם אתה מנהל הרשת, פתח את כלי מנהל הרשת.
  2. בדף פרופיל, לחץ על הוספה כדי לפתוח את ההגדרות הכלליות של יצירת פרופיל אלחוטי.
  3. שם רשת אלחוטית (SSID‏): הזן את מזהה הרשת.
  4. שם פרופיל: הזן שם פרופיל תיאורי.
  5. מצב הפעלה: לחץ על רשת (תשתית).
  6. סוג פרופיל מנהל הרשת: בחר מתמיד או טרום כניסה/משותף. (שלב זה ישים רק אם נעשה שימוש בכלי מנהל הרשת).
  7. לחץ על הבא כדי לפתוח את הגדרות האבטחה.
  8. לחץ על אבטחה ארגונית.
  9. אימות רשת: בחר WPA-ארגוני או WPA2-ארגוני.
  10. הצפנת נתונים: בחר אחת מהאפשרויות הבאות:
  11. אפשור 802.1X‏: נבחר.
  12. סוג אימות: בחר EAP-FAST שישמש עם חיבור זה.
  13. לחץ על אפשרויות Cisco כדי לבחור אפשור נדידה מהירה (CCKM) אשר מאפשר למתאם האלחוטי של הלקוח נדידה מאובטחת ומהירה.

שלב 1 מתוך 3 אספקת EAP-FAST (הגדרות משתמש)

EAP-FAST משתמש במפתח PAC כדי להגן על תעודות המשתמש המוחלפות. כל מאמתי EAP-FAST מזוהים באמצעות זיהוי סמכות (A-ID‏). המאמת המקומי שולח את ה- A-ID שלו ללקוח מאמת, והלקוח בודק אם קיים A-ID תואם במסד הנתונים שלו. אם הלקוח אינו מזהה את ה- A-ID, הוא מבקש PAC חדש.

הערה: אם תעודת הגישה המאובטחת (PAC) שסופקה חוקית, תוכנת Intel(R) PROSet/Wireless אינה מציגה בפני המשתמש הודעה המבקשת לאשר את ה- PAC‏. אם ה- PAC אינו חוקי, תוכנת Intel(R) PROSet/Wireless מבטלת את האספקה אוטומטית. במציג אירועי האלחוט מוצגת הודעת מצב שמנהל רשת יכול לסקור במחשב המשתמש.

  1. השאר את האפשרות נטרול שיפורי EAP-FAST‏ (CCXv4) לא מסומנת.
  2. שתי האפשרויות אפשור אספקה מאומתת ואפשור אספקה לא מאומתת מסומנות.
  3. שרת ברירת מחדל: האפשרות ללא נבחרת כברירת מחדל. לחץ על בחירת שרת כדי לבחור PAC משרת אישורי ה- PAC המשמש כברירת מחדל. נפתח הדף לבחירת תעודות גישה מאובטחות.

הערה: רשימות קבוצות שרתים מוצגות רק אם התקנת חבילת מנהל מערכת המכילה הגדרות של קבוצת זיהוי סמכות (A-ID) של EAP-FAST‏.

ניתן להשלים הפצת PAC גם באופן ידני (מחוץ לפס). אספקה ידנית מאפשרת ליצור PAC עבור משתמש בשרת ACS ולאחר מכן לייבא אותו למחשב המשתמש. ניתן להגן על קובץ PAC באמצעות סיסמה, אשר על המשתמש להזין במהלך ייבוא PAC‏.

  1. ייבוא של PAC‏:
    1. לחץ על יבא כדי לייבא PAC משרת ה- PAC‏.
    2. לחץ על פתיחה.
    3. הזן את סיסמת ה- PAC (אופציונלי).
    4. לחץ על אישור כדי לסגור דף זה. ה- PAC שנבחר משמש עבור פרופיל אלחוטי זה.
  2. לחץ על הבא.
  3. אם אין זה פרופיל טרום-כניסה/משותף, לחץ על הבא ודלג לשלב 3 מתוך 3: שרת EAP-FAST.
  4. אם זהו פרופיל טרום-כניסה/משותף, או אם אינך משתמש בכלי מנהל הרשת ליצירת פרופיל זה, המשך לשלב הבא.

שלב 2 מתוך 3: מידע נוסף אודות EAP-FAST

  1. פרוטוקול אימות: בחר MS-CHAP-V2 או GTC
  2. תעודות משתמש: בחר השתמש בכניסה של Windows או השתמש בהבא.
  3. אם בחרת באפשרות השתמש בהבא, הזן את שם המשתמש, התחום, הסיסמה ואשר את הסיסמה.
  4. הזן את זהות הנדידה: %DOMAIN%\%USERNAME
  5. לחץ על הבא.

שלב 3 מתוך 3: שרת EAP-FAST

  1. אם תרצה, לחץ על אמת הרשאה ובחר במנפיק ההרשאה מהתפריט הנפתח. אפשרות ברירת המחדל היא כל CA אמין.
  2. אם תרצה, לחץ על ציין שם שרת או שם הרשאה והזן את השם. לאחר מכן, לחץ על על שם השרת להתאים בדיוק לערך המצוין או על על שם התחום להסתיים בערך המצוין.
  3. לחץ על אישור.

חזרה לראש הדף

חזרה לתוכן העניינים

סימנים מסחריים וכתבי ויתור