Torna al Sommario

Impostazione della protezione del profilo

Uso del software Intel(R) PROSet/Wireless

Protezione personaleImpostazioni della protezione personale
Impostazione della crittografia dei dati e dell'autenticazione

Protezione aziendale
Impostazioni della protezione aziendale

Autenticazione di rete

Tipi di autenticazione 802.1X

Uso del software Intel(R) PROSet/Wireless

Le seguenti sezioni descrivono come utilizzare Intel(R) PROSet/Wireless per impostare le richieste impostazioni di protezione per la scheda di rete wireless. Vedere Protezione personale.

Fornisce anche informazioni su come configurare le impostazioni avanzate sulla protezione per la scheda di rete. Ciò richiede le informazioni da parte di un amministratore di sistema (ambiente aziendale) o le impostazioni avanzate sulla protezione di un punto di accesso (per gli utenti privati). Vedere Protezione aziendale.

Per informazioni generali sulle impostazioni della protezione, vedere Informazioni generali sulla protezione.

Protezione personale

Usare Protezione personale se si è un utente privato o un utente di un'azienda di piccole dimensioni che può utilizzare una varietà di semplici procedure per proteggere la connessione wireless. Si seleziona l'opzione desiderata dall'elenco delle impostazioni di protezione che non richiedono che sulla rete wireless sia installata una vasta infrastruttura. Non è richiesto un server RADIUS o AAA.

Impostazioni della protezione personale

Descrizione delle impostazioni della protezione personale

Nome Impostazione

Protezione personale

Selezionare per aprire le impostazioni di Protezione personale. Le impostazioni di protezione disponibili dipendono dalla modalità operativa selezionata in Creazione guidata impostazioni di protezione profilo wireless.

Da periferica a periferica (ad hoc): in modalità da periferica a periferica, denominata anche modalità ad hoc, i computer wireless inviano le informazioni direttamente ad altri computer wireless. Questa modalità è particolarmente indicata per le reti di clienti privati o di piccole dimensioni oppure per creare temporaneamente una rete wireless per conferenze o meeting.

NOTA: nell'elenco delle reti wireless e nell'elenco dei profili, le reti da periferica a periferica (ad hoc) sono identificate dall'immagine di un computer portatile (computer portatile).

Rete (infrastruttura): Una rete di infrastruttura consiste di uno o più punti di accesso e di uno o più computer su cui sono installate schede di rete wireless. Almeno un punto di accesso deve disporre di una connessione cablata. Nel caso degli utenti privati si tratta in genere di una connessione a banda larga o di una rete cablata

NOTA: nell'elenco delle reti wireless e nell'elenco dei profili, la rete (infrastruttura) è identificata dall'immagine di un punto di accesso (punto di accesso).

Impostazioni protezione

Se si configura un profilo per una rete ad hoc (da periferica a periferica), selezionare una delle seguenti impostazioni per la crittografia dei dati:

Se si sta configurando un profilo di rete (infrastruttura), selezionare:

Pulsante Avanzate

 Fare clic per accedere a Impostazioni avanzate e configurare le opzioni seguenti:
  • Connessione automatica: selezionare questa opzione per connettere automaticamente o manualmente un profilo.
  • Importazione automatica: selezionare questa opzione per permettere all'amministratore di rete di esportare il profilo su un altro computer.
  • Punto di accesso obbligatorio: selezionare questa opzione per associare la scheda di rete wireless a un punto di accesso specifico.
  • Password di protezione: selezionare questa opzione per proteggere tramite password un profilo.
  • Avvia applicazione: specificare un programma da avviare quando viene stabilita una connessione wireless.
  • Mantieni connessione: selezionare per mantenere la connessione wireless per il profilo utente dopo la disconnessione.
  • Formato nome utente: selezionare il formato del nome utente del server di autenticazione.
  • Controllo dominio PLC: Selezionare per verificare la presenza del server del dominio prima della fine del processo di accesso dell'utente. Se il server non viene trovato, è possibile che l'accesso venga ritardato di qualche minuto.

Indietro

Viene visualizzata la pagina precedente della Creazione guidata profilo.

OK

Chiude la Creazione guidata profilo e salva il profilo.

Annulla

Chiude la Creazione guidata profilo annullando le modifiche apportate.

?

Visualizza la Guida relativa alla pagina corrente.

Impostazione della crittografia dei dati e dell'autenticazione

In una rete wireless domestica si possono utilizzare una varietà di semplici procedure per proteggere la connessione wireless. Queste procedure di protezione sono:

La crittografia dell'accesso protetto Wi-Fi (WPA) consente di proteggere i dati della rete. WPA usa una chiave di crittografia precondivisa (PSK) per crittografare i dati prima della trasmissione. Immettere la stessa password in tutti i computer e nel punto di accesso della rete domestica o della rete aziendale di piccole dimensioni. Solo le periferiche che usano la stessa chiave di crittografia possono accedere alla rete o decodificare i dati crittografati trasmessi da altri computer. La password avvia automaticamente il protocollo TKIP (Temporal Key Integrity Protocol) o AES-CCMP per il processo di crittografia dei dati.

Chiavi di rete

La crittografia WEP offre due livelli di protezione:

Per ottenere un livello di protezione migliore, utilizzare la chiave a 128 bit. Quando si usa la crittografia, tutte le periferiche wireless della rete wireless devono utilizzare le stesse chiavi di crittografia.

La chiave può essere creata dall'utente che ne specifica la lunghezza (64 o 128 bit) e l'indice (la posizione in cui è memorizzata la chiave specifica). Maggiore è la lunghezza della chiave e più protetta è la chiave.

Lunghezza della chiave: 64 bit

Frase di accesso (64 bit): usare cinque (5) caratteri alfanumerici, 0-9, a-z o A-Z.
Chiave esadecimale (64 bit): immettere 10 caratteri esadecimali, 0-9, A-F.

Lunghezza della chiave: 128 bit

Frase di accesso (128 bit): usare 13 caratteri alfanumerici, 0-9, a-z o A-Z.
Chiave esadecimale (128 bit): immettere 26 caratteri esadecimali, 0-9, A-F.

Con la crittografia dei dati WEP, una stazione wireless può essere configurata con un massimo di quattro chiavi (i valori di indice delle chiavi sono 1, 2, 3 e 4). Quando un punto di accesso o una stazione wireless trasmette un messaggio crittografato usando la chiave memorizzata in uno specifico indice di chiave, il messaggio trasmesso indica l'indice di chiave che è stato utilizzato per crittografare il testo del messaggio. Il punto di accesso o la stazione wireless ricevente può quindi richiamare la chiave che è memorizzata in corrispondenza dell'indice della chiave e usarla per decodificare il testo crittografato del messaggio.

Impostazione di un client con autenticazione aperta di rete e senza crittografia dei dati

Per connettersi a una rete infrastruttura, dalla pagina principale di Intel(R)PROSet/Wireless selezionare uno dei seguenti metodi:

Se non è richiesta autenticazione, la connessione alla rete avviene senza che sia necessario immettere credenziali di accesso. Qualunque periferica wireless che dispone del corretto nome della rete (SSID) può associarsi alle altre periferiche presenti sulla rete.

AVVISO: le reti che non utilizzano l'autenticazione o la crittografia sono molto esposte all'accesso di utenti non autorizzati.

Per creare un profilo per una connessione di rete wireless senza crittografia:

  1. Fare clic su Profili nella finestra principale di Intel(R) PROSet/Wireless.
  2. Nell'elenco Profili, fare clic su Aggiungi per aprire Impostazioni generali del profilo wireless.
  3. Nome profilo: immettere un nome di profilo descrittivo.
  4. Nome rete wireless (SSID): immettere il nome della rete wireless.
  5. Modalità operativa: fare clic su Da periferica a periferica (ad hoc).
  6. Fare clic su Avanti per visualizzare la pagina Impostazioni protezione.
  7. Per impostazione predefinita Protezione personale è l'opzione selezionata.
  8. Impostazioni protezione: l'impostazione predefinita è Nessuna, che indica che la rete wireless non ha alcuna protezione.
  9. Fare clic su OK. Il profilo viene aggiunto all'elenco Profili e avviene la connessione alla rete wireless.

Impostazione di un client con crittografia dai dati WEP a 64 bit o WEP a 128 bit

Quando la crittografia dei dati WEP è attivata, per la crittografia viene usata una chiave di rete o una password.

Una chiave di rete può essere fornita all'utente automaticamente (per esempio, potrebbe essere fornita dal produttore della scheda di rete wireless) oppure può essere immessa dall'utente che ne specifica la lunghezza (64 o 128 bit), il formato (caratteri ASCII o cifre esadecimali) e l'indice (la posizione in cui è memorizzata la chiave specifica). Maggiore è la lunghezza della chiave e più protetta è la chiave.

Per aggiungere una chiave di rete a una connesione di rete da periferica a periferica (ad hoc):

  1. Dall'elenco delle reti wireless nella finestra principale di Intel(R) PROSet/Wireless, fare doppio clic su una rete da periferica a periferica (ad hoc) o selezionare la rete e fare clic su Connetti.
  2. Fare clic su Profili per visualizzare l'elenco dei profili.
  3. Fare clic su Proprietà per aprire le Impostazioni generali del profilo wireless. Viene visualizzato il nome del profilo e il nome della rete wireless (SSID). La modalità operativa selezionata deve essere Da periferica a periferica (ad hoc).
  4. Fare clic su Avanti per visualizzare la pagina Impostazioni protezione.
  5. Per impostazione predefinita Protezione personale è l'opzione selezionata.
  6. Impostazioni protezione: l'impostazione predefinita è Nessuna, che indica che la rete wireless non ha alcuna protezione.

Per aggiungere una password o una chiave di rete:

  1. Impostazioni protezione: selezionare WEP a 64 bit o WEP a 128 per configurare la crittografia dei dati WEP con una chiave a 64 bit o a 128 bit.

    2. Quando la crittografia WEP è attivata su un punto di accesso, la chiave WEP è usata per verificare l'accesso alla rete. Se la periferica wireless non dispone della chiave WEP corretta, anche se il processo di autenticazione riesce la periferica non è in grado di trasmettere i dati tramite il punto di accesso o di decodificare i dati ricevuti dal punto di accesso.

Nome Descrizione

Password

Immettere la password di protezione wireless (frase di accesso) o la chiave di crittografia (chiave WEP).

Frase di accesso (64 bit)

usare cinque (5) caratteri alfanumerici, 0-9, a-z o A-Z.

Chiave WEP (64 bit)

immettere 10 caratteri esadecimali, 0-9, A-F.

Frase di accesso (128 bit)

usare 13 caratteri alfanumerici, 0-9, a-z o A-Z.

Chiave WEP (128 bit)

immettere 26 caratteri esadecimali, 0-9, A-F.
  1. Indice chiavi: cambiare l'indice chiavi in modo da impostare quattro password.
  2. Fare clic su OK per tornare all'elenco dei profili.

Per aggiungere più di una password:

  1. Selezionare il numero di indice della chiave: 1, 2, 3 o 4.
  2. Immettere la password di protezione wireless.
  3. Selezionare un altro numero di indice della chiave.
  4. Immettere un'altra password di protezione wireless.

Impostazione di un client con la protezione WPA*-Personale (TKIP) o WPA2*-Personale (TKIP)

La modalità personale di WPA* richiede la configurazione manuale di una chiave precondivisa (PSK) sul punto di accesso e sui client. PSK autentica la password o il codice di identificazione degli utenti, sia sulla stazione client che sul punto di accesso. Non è necessario un server di autenticazione. La modalità personale di WPA è destinata agli ambienti delle reti domestiche e delle aziende di piccole dimensioni.

WPA2* è la seconda generazione di protezione WPA che offre agli utenti wireless di ambienti aziendali e di consumo un'affidabilità di livello superiore poiché consente l'accesso alle reti wireless solo agli utenti autorizzati. WPA2 offre un meccanismo di crittografia più potente tramite AES, uno standard di crittografia avanzato che è un requisito di alcuni utenti aziendali e governativi.

NOTA: per ottenere velocità di trasferimento superiori a 54 Mbps sulle connessioni 802.11n, selezionare la modalità di protezione WPA2-AES. In fase di configurazione della rete e risoluzione dei problemi, è possibile anche escludere la protezione (Nessuna).

Per configurare un profilo con l'autenticazione di rete WPA-Personale e la crittografia dei dati TKIP:

  1. Dall'elenco delle reti wireless nella finestra principale di Intel(R) PROSet/Wireless, fare doppio clic su una rete infrastruttura o selezionare la rete e fare clic su Connetti.
  2. Fare clic su Profili per visualizzare l'elenco dei profili.
  3. Fare clic su Proprietà per aprire le Impostazioni generali del profilo wireless. Viene visualizzato il nome del profilo e il nome della rete wireless (SSID). Rete (infrastruttura) è la modalità operativa selezionata.
  4. Fare clic su Avanti per visualizzare la pagina Impostazioni protezione.
  5. Selezionare Protezione personale.
  6. Impostazioni protezione: selezionare WPA-Personale (TKIP) per fornire la protezione alle reti aziendali di piccole dimensioni o a quelle domestiche. Viene utilizzata una password chiamata chiave precondivisa (PSK). Maggiore è la lunghezza di questa password e maggiore è la protezione della rete wireless.

Se il punto di accesso o il router wireless supporta la funzione WPA2-Personale allora è necessario attivarla nel punto di accesso e fornire una password lunga e sicura. Maggiore è la lunghezza di questa password e maggiore è la protezione della rete wireless. La stessa password immessa nel punto di accesso deve essere usata sul computer e su tutte le altre periferiche wireless che accedono alla rete wireless.

NOTA: WPA-Personale e WPA2-Personale sono interoperabili.

  1. Password protezione wireless (chiave di crittografia): immettere una frase di testo lunga da 8 a 63 caratteri. Verificare che la chiave di rete corrisponda alla password del punto di accesso wireless.
  2. Fare clic su OK per tornare all'elenco dei profili.

Impostazione di un client con le impostazioni della protezione WPA*-Personale (AES-CCMP) o WPA2*-Personale (AES-CCMP)

L'accesso protetto Wi-Fi (WPA*) rappresenta una funzione di protezione potenziata che aumenta significativamente il livello di protezione dei dati e il controllo dell'accesso alla rete wireless. WPA impone l'autenticazione 802.1X e lo scambio di chiavi e funziona solo con le chiavi di crittografia dinamiche. Per l'utente privato o l'azienda di piccole dimensioni, WPA-Personale utilizza il protocollo AES-CCMP (Advanced Encryption Standard - Counter CBC-MAC) o il protocollo TKIP (Temporal Key Integrity Protocol).

NOTA: per ottenere velocità di trasferimento superiori a 54 Mbps sulle connessioni 802.11n con la scheda di rete Intel(R) Wireless WiFi Link 4965AGN, è necessario selezionare la modalità di protezione WPA2-AES. In fase di configurazione della rete e risoluzione dei problemi, è possibile anche escludere la protezione (Nessuna).

Per creare un profilo con l'autenticazione di rete WPA2*-Personale e la crittografia dei dati AES-CCMP:

  1. Dall'elenco delle reti wireless nella finestra principale di Intel(R) PROSet/Wireless, fare doppio clic su una rete infrastruttura o selezionare la rete e fare clic su Connetti.
  2. Se queste informazioni sono trasmesse, il Nome profilo e il Nome rete wireless (SSID) devono essere visualizzati nella schermata Impostazioni generali. Rete (infrastruttura) è la modalità operativa selezionata. Fare clic su Avanti per visualizzare la pagina Impostazioni protezione.
  3. Selezionare Protezione personale.
  4. Impostazioni protezione: selezionare WPA2-Personale (AES-CCMP) per fornire questo livello di protezione alle reti private e di piccole dimensioni. Utilizza una password, chiamata anche chiave precondivisa (PSK). Maggiore è la lunghezza di questa password e maggiore è la protezione della rete wireless.

AES-CCMP (Advanced Encryption Standard - Counter CBC-MAC Protocol) è un nuovo metodo che protegge la riservatezza dei dati delle trasmissioni wireless specificate nello standard IEEE 802.11i. AES-CCMP garantisce un livello di crittografia più avanzato rispetto a TKIP. È consigliabile selezionare la modalità AES-CCMP come metodo di crittografia ogni volta che è necessario garantire una protezione elevata dei dati.

Se il punto di accesso o il router wireless supporta la funzione WPA2-Personale allora è necessario attivarla nel punto di accesso e fornire una password lunga e sicura. La stessa password immessa nel punto di accesso deve essere usata sul computer e su tutte le altre periferiche wireless che accedono alla rete wireless.

NOTA: WPA-Personale e WPA2-Personale sono interoperabili.

È possibile che il sistema operativo del sistema in uso non supporti alcuni metodi di protezione. In questo caso, è necessario aggiungere altre applicazioni o componenti hardware nonché verificare che il sistema supporti l'infrastruttura LAN wireless. Per ulteriori informazioni, rivolgersi al produttore.

  1. Password: password protezione wireless (chiave di crittografia): immettere una frase di testo (di lunghezza compresa tra 8 e 63 caratteri). Verificare che la chiave di rete usata corrisponda alla chiave del punto di accesso wireless.
  2. Fare clic su OK per tornare all'elenco dei profili.

Protezione aziendale

Dalla pagina Impostazioni protezione è possibile immettere le impostazioni di protezione richieste per la rete wireless selezionata.

Usare la protezione aziendale in un ambiente di rete che richiede l'autenticazione 802.1X.

Impostazioni protezione aziendale

Descrizione delle impostazioni di protezione aziendale

Nome Impostazione
Protezione aziendale

Selezionare per aprire le impostazioni di Protezione aziendale.
Autenticazione di rete

Selezionare uno dei seguenti metodi di autenticazione:
Crittografia dei dati

Fare clic su questa opzione per selezionare uno dei seguenti tipi di crittografia dati:
Attiva autenticazione 802.1X (Tipo di autenticazione) Fare clic per aprire i seguenti tipi di autenticazione 802.1X:
Opzioni Cisco Fare clic per visualizzare le estensioni compatibili con Cisco.

NOTA: le estensioni compatibili con Cisco sono automaticamente attivate con i profili CKIP e LEAP.
Pulsante Avanzate Selezionare per accedere a Impostazioni avanzate e configurare le opzioni seguenti:
  • Connessione automatica: selezionare questa opzione per connettere automaticamente o manualmente un profilo.
  • Importazione automatica: selezionare questa opzione per permettere all'amministratore di rete di esportare il profilo su un altro computer.
  • Punto di accesso obbligatorio: selezionare questa opzione per associare la scheda di rete wireless a un punto di accesso specifico.
  • Password di protezione: selezionare questa opzione per proteggere tramite password un profilo.
  • Avvia applicazione: specificare un programma da avviare quando viene stabilita una connessione wireless.
  • Mantieni connessione: selezionare per mantenere la connessione wireless per il profilo utente dopo la disconnessione.
Credenziali utente

Un profilo configurato per l'autenticazione TTLS, PEAP o EAP-FAST richiede uno dei seguenti metodi di autenticazione dell'accesso:

Usa accesso Windows: questa opzione consente di far corrispondere le credenziali 802.1X al nome utente e alla password di Windows. Prima della connessione, viene visualizzato un messaggio che chiede di immettere le credenziali di accesso Windows.

NOTA: per profili LEAP, questa opzione è elencata come Usa il nome utente e la password di accesso a Windows.

Chiedere ad ogni connessione: richiede il nome utente e la password per ogni connessione alla rete wireless.

NOTA: per profili LEAP, questa opzione è elencata come Richiedi il nome utente e la password.

Usare i dati seguenti: accedere alla rete usando le credenziali salvate.

  • Nome utente: il nome utente deve corrispondere al nome utente che è impostato nel server di autenticazione dall'amministratore prima che avvenga l'autenticazione del client. Il nome utente distingue tra maiuscole e minuscole. Questo nome indica l'identità fornita all'autenticatore dal protocollo di autenticazione che opera sul tunnel TLS. L'identità dell'utente viene trasmessa in modo protetto al server solo dopo che è stato stabilito un canale crittografato.
  • Dominio: nome del dominio del server di autenticazione. Il nome del server identifica un dominio o uno dei suoi sottodomini (ad esempio zeelans.com, dove il server è blueberry.zeelans.com).
  • Password: specifica la password dell'utente. I caratteri della password vengono visualizzati con asterischi. La password immessa in questo campo deve corrispondere alla password che è stata impostata sul server di autenticazione.
  • Conferma password: digitare la password.

NOTA: richiedere il nome del dominio all'amministratore.

NOTA: per profili LEAP, questa opzione è elencata come Usa il nome utente e la password seguenti.
Opzioni server

Selezionare uno dei seguenti metodi di recupero per le credenziali utente:

Convalida il certificato del server: selezionare questa opzione per verificare il certificato del server.

Autorità di certificazione: il certificato del server ricevuto durante lo scambio di messaggi TLS deve essere rilasciato da questa autorità di certificazione (CA). È possibile selezionare le autorità di certificazione intermedie attendibili e le autorità principali i cui certificati sono presenti nel sistema. Se si seleziona l'opzione Qualunque CA attendibile, è possibile selezionare qualsiasi autorità di certificazione presente nell'elenco. Fare clic su Qualunque CA attendibile come impostazione predefinita o selezionare un'autorità di certificazione dall'elenco.

Specificare il nome del server o del certificato: immettere il nome del server.

Il nome del server o il dominio a cui appartiene il server. A seconda di quale delle due seguenti opzioni si è selezionata.

  • Il nome server deve corrispondere esattamente alla voce specificata: quando questa opzione è selezionata, il nome del server immesso deve corrispondere esattamente al nome del server che è contenuto nel certificato. Il nome del server deve contenere anche il nome del dominio completo, ad esempio Nomeserver.Dominio.
  • Il nome di dominio deve terminare con la voce specificata: quando questa opzione è selezionata, il campo del nome del server identifica un dominio e il certificato deve avere un nome del server appartenente a questo dominio o a uno dei suoi sottodomini (per esempio, zeelans.com, dove il server è blueberry.zeelans.com).

NOTA: questi parametri devono essere ottenuti dall'amministratore.
Opzioni certificato Per ottenere un certificato per l'autenticazione TLS, selezionare una delle opzioni seguenti:

Usa la mia smart card: selezionare questa opzione se il certificato risiede sulla smart card.

Usa il certificato emesso per questo computer: seleziona il certificato residente nell'archivio del computer.

Usa il certificato utente su questo computer: fare clic su Seleziona per scegliere un certificato che risiede nel computer.

NOTA: Intel(R) PROSet/Wireless supporta i certificati dei computer. I certificati non saranno visualizzati nei rispettivi elenchi.

Note sui certificati: l'identità specificata deve corrispondere all'identità dell'Autorità di certificazione del certificato e deve essere registrata sul server di autenticazione (per esempio, il server RADIUS) che è usato dall'autenticatore. Il certificato deve essere "valido" rispetto al server di autenticazione. Questo requisito dipende dal server di autenticazione e generalmente significa che il server di autenticazione deve riconoscere l'emittente del certificato come l'Autorità di certificazione. Usare lo stesso nome utente utilizzato al momento dell'installazione del certificato.
Indietro Consente di visualizzare la pagina precedente dell'utility di gestione della Creazione guidata profilo wireless.
Avanti Consente di visualizzare la pagina successiva dell'utility di gestione della Creazione guidata profilo wireless. Se sono necessarie ulteriori informazioni di protezione viene visualizzato il passaggio successivo della pagina Protezione.
OK Chiude l'utility di gestione della Creazione guidata profilo wireless e salva il profilo.
Annulla Chiude Gestione profili wireless annullando le modifiche apportate.
? Visualizza la Guida relativa alla pagina corrente.

Configurazione di profili per le reti infrastruttura

Una rete di infrastruttura consiste di uno o più punti di accesso e di uno o più computer su cui sono installate schede di rete wireless. Ogni punto di accesso deve essere collegato tramite un cavo alla rete wireless.

Impostazione di un client con Autenticazione di rete aperta o condivisa

L'autenticazione a chiave condivisa presuppone che ciascuna stazione wireless abbia ricevuto una chiave condivisa segreta tramite un canale protetto e indipendente dal canale di comunicazioni di rete wireless 802.11. L'autenticazione a chiave condivisa richiede che il client configuri una chiave WEP o CKIP statica. Al client viene consentito l'accesso solo se risponde correttamente alla richiesta su cui è basata la procedura di autenticazione. CKIP fornisce una crittografia dei dati migliore rispetto a WEP, ma non tutti i sistemi operativi e punti di accesso la supportano.

NOTA: sebbene la chiave condivisa sembri essere l'opzione migliore per un livello di protezione superiore, la trasmissione della stringa di richiesta al client in testo non crittografato costituisce chiaramente un punto debole. Quando un intruso rileva la stringa di richiesta, la chiave di autenticazione condivisa può essere facilmente decodificata. Quindi l'autenticazione aperta è in realtà e paradossalmente più sicura. Per creare un profilo con l'autenticazione condivisa:

  1. Fare clic su Profili nella finestra principale di Intel(R) PROSet/Wireless. Oppure, se si svolge il ruolo di amministratore, aprire lo Strumento di amministrazione.
  2. Dalla pagina Profilo, fare clic su Aggiungi per aprire le Impostazioni generali di Creazione guidata profilo wireless.
  3. Nome profilo: immettere un nome di profilo descrittivo.
  4. Nome rete wireless (SSID): immettere l'identificativo della rete.
  5. Modalità operativa: fare clic su Rete (infrastruttura).
  6. Tipo profilo amministratore: selezionare Permanente o Pre-accesso/Comune. Questo passaggio deve essere seguito solo se si utilizza lo Strumento di amministrazione.
  7. Fare clic su Avanti per visualizzare la pagina Impostazioni protezione.
  8. Selezionare Protezione aziendale.
  9. Autenticazione di rete: selezionare Condivisa. L'autenticazione condivisa viene realizzata tramite una chiave WEP preconfigurata.
  10. Crittografia dati: selezionare Nessuno, WEP (a 64 o 128 bit) o CKIP (a 64 o 128 bit).
  11. Attiva 802.1X: disattivata.
  12. Livello crittografia: a 64 bit o a 128 bit: quando si passa dalla crittografia a 64 bit a quella a 128 bit le impostazioni precedenti sono cancellate ed è necessario immettere un nuova chiave.
  13. Password protezione wireless (chiave di crittografia): immettere la password di protezione wireless (chiave crittografia WEP). La password è la stessa usata dal punto di accesso o router wireless. Per sapere la password, rivolgersi all'amministratore della rete wireless.
Nome Descrizione
Password

Immettere la password di protezione wireless (frase di accesso) o la chiave di crittografia (chiave WEP).
Frase di accesso (64 bit)

usare cinque (5) caratteri alfanumerici, 0-9, a-z o A-Z.
Chiave WEP (64 bit)

immettere 10 caratteri esadecimali, 0-9, A-F.
Frase di accesso (128 bit)

usare 13 caratteri alfanumerici, 0-9, a-z o A-Z.
Chiave WEP (128 bit)

immettere 26 caratteri esadecimali, 0-9, A-F.
  1. Indice chiavi: selezionare 1, 2, 3, or 4. Cambiare l'indice chiavi in modo da specificare quattro password.
  2. Fare clic su OK.

Impostazione di un client con autenticazione di rete WPA*-Enterprise o WPA2*-Enterprise

WPA-2 Enterprise richiede un server di autenticazione.

NOTA: WPA-Enterprise e WPA2-Enterprise sono interoperabili.

Per aggiungere un profilo che usa l'autenticazione WPA-Enterprise o WPA2-Enterprise:

  1. Richiedere all'amministratore del sistema un nome utente e una password per il server RADIUS.
  2. Alcuni tipi di autenticazione richiedono l'ottenimento e l'installazione di un certificato client. Per ulteriori informazioni, vedere Impostazione del client per l'autenticazione TLS o rivolgersi all'amministratore.
  3. Fare clic su Profili nella finestra principale di Intel(R) PROSet/Wireless. Oppure, se si svolge il ruolo di amministratore, aprire lo Strumento di amministrazione.
  4. Dalla pagina Profilo, fare clic su Aggiungi per aprire le Impostazioni generali di Creazione guidata profilo wireless.
  5. Nome profilo: immettere un nome di profilo descrittivo.
  6. Nome rete wireless (SSID): immettere l'identificativo della rete.
  7. Modalità operativa: fare clic su Rete (infrastruttura).
  8. Tipo profilo amministratore: selezionare Permanente o Pre-accesso/Comune. Questo passaggio deve essere seguito solo se si utilizza lo Strumento di amministrazione.
  9. Fare clic su Avanti.
  10. Selezionare Protezione aziendale.
  11. Autenticazione di rete: selezionare WPA-Enterprise o WPA2-Enterprise.
  12. Crittografia dati: selezionare una delle opzioni seguenti:
  13. Attiva 802.1X: selezionato.
  14. Tipo di autenticazione: selezionare una delle opzioni seguenti: EAP-SIM, LEAP, TLS, TTLS, PEAP, EAP-FAST.

Impostazione di un client con Autenticazione di rete EAP-SIM

Per crittografare i dati, EAP-SIM usa una chiave dinamica WEP basata su sessione, che è ricavata dalla scheda di rete del client, e un server RADIUS. EAP-SIM richiede che si immetta un codice di verifica dell'utente, o Personal Identification Number (PIN), per la comunicazione con la scheda SIM (Subscriber Identity Module). La scheda SIM è una smart card di tipo speciale usata dalle reti cellulari digitali basate su GSM. Per aggiungere un profilo con l'autenticazione EAP-SIM:

  1. Fare clic su Profili nella finestra principale di Intel(R) PROSet/Wireless. Oppure, se si svolge il ruolo di amministratore, aprire lo Strumento di amministrazione.
  2. Dalla pagina Profilo, fare clic su Aggiungi per aprire le Impostazioni generali di Creazione guidata profilo wireless.
  3. Nome profilo: immettere un nome di profilo.
  4. Nome rete wireless (SSID): immettere l'identificativo della rete.
  5. Modalità operativa: fare clic su Rete (infrastruttura).
  6. Tipo profilo amministratore: Selezionare Pre-accesso/comune. Questo passaggio deve essere seguito solo se si utilizza lo Strumento di amministrazione. L'opzione EAP-SIM non può essere usata per i profili permanenti.
  7. Fare clic su Avanti per visualizzare la pagina Impostazioni protezione.
  8. Selezionare Protezione aziendale.
  9. Autenticazione di rete: selezionare Apri (operazione consigliata).
  10. Crittografia dati: selezionare WEP
  11. Fare clic su Attiva 802.1X.
  12. Tipo di autenticazione: selezionare EAP-SIM.

L'autenticazione EAP-SIM può essere usata con:

Utente EAP-SIM (facoltativo)

  1. Specifica il nome utente (identità): fare clic per specificare il nome utente.
  2. Fare clic su OK.

Impostazione di un client con Autenticazione di rete TLS

Queste impostazioni definiscono il protocollo e le credenziali usate per autenticare un utente. L'autenticazione TLS (Transport Layer Security) è un metodo di autenticazione bidirezionale che usa esclusivamente i certificati digitali per verificare l'identità di un client e un server.

Per aggiungere un profilo con autenticazione TLS:

  1. Fare clic su Profili nella finestra principale di Intel(R) PROSet/Wireless. Oppure, se si svolge il ruolo di amministratore, aprire lo Strumento di amministrazione.
  2. Dalla pagina Profilo, fare clic su Aggiungi per aprire le Impostazioni generali di Creazione guidata profilo wireless.
  3. Nome profilo: immettere un nome di profilo descrittivo.
  4. Nome rete wireless (SSID): immettere l'SSID della rete.
  5. Modalità operativa: fare clic su Rete (infrastruttura).
  6. Tipo profilo amministratore: selezionare Permanente o Pre-accesso/Comune. Questo passaggio deve essere seguito solo se si utilizza lo Strumento di amministrazione.
  7. Fare clic su Avanti per visualizzare la pagina Impostazioni protezione.
  8. Selezionare Protezione aziendale.
  9. Autenticazione di rete: selezionare WPA-Enterprise o WPA2-Enterprise.
  10. Crittografia dati: selezionare AES-CCMP (scelta consigliata).
  11. Attiva 802.1X: selezionato.
  12. Tipo di autenticazione: selezionare TLS da usare con la connessione.

Utente TLS

Passaggio 1 di 2: Utente TLS

  1. Ottenere e installare un certificato del client (vedere Impostazione del client per l'autenticazione TLS) o rivolgersi all'amministratore del sistema.
  2. Per ottenere un certificato selezionare una delle opzioni seguenti: Usa la mia smart card, Usa il certificato emesso per questo computer o Usa un certificato utente su questo computer.
  3. Fare clic su Avanti per visualizzare le impostazioni del server TLS.

Server TLS

Passaggio 2 di 2: Server TLS

  1. Selezionare uno dei seguenti metodi di recupero per le credenziali utente: Convalida il certificato del server o Specificare il nome del server o del certificato.
  2. Fare clic su OK. Il profilo viene aggiunto all'elenco dei profili.
  3. Fare clic sul nuovo profilo alla fine dell'elenco Profili. Usando la freccia rivolta verso l'alto e quella verso il basso spostare la priorità del nuovo profilo nella posizione desiderata nell'elenco di priorità.
  4. Fare clic su Connetti per effettuare la connessione alla rete wireless selezionata.
  5. Fare clic su OK per chiudere Intel(R) PROSet/Wireless.

Impostazione di un client con Autenticazione di rete TTLS

Autenticazione TTLS: queste impostazioni definiscono il protocollo e le credenziali usate per autenticare un utente. Il client usa EAP-TLS per convalidare il server e creare un canale crittografato TLS tra il client e il server. Su questo canale crittografato il client può utilizzare un altro protocollo di autenticazione, in genere un protocollo basato su password. I pacchetti di richiesta e di risposta sono inviati su un canale TLS crittografato e non esposto. Nell'esempio seguente è descritto come usare WPA con la crittografia AES-CCMP usando l'autenticazione TTLS.

Per impostare un client con autenticazione di rete TTLS:

  1. Fare clic su Profili nella finestra principale di Intel(R) PROSet/Wireless. Oppure, se si svolge il ruolo di amministratore, aprire lo Strumento di amministrazione.
  2. Dalla pagina Profilo, fare clic su Aggiungi per aprire le Impostazioni generali di Creazione guidata profilo wireless.
  3. Nome profilo: immettere un nome di profilo descrittivo.
  4. Nome rete wireless (SSID): immettere l'identificativo della rete.
  5. Modalità operativa: Rete (infrastruttura) è l'impostazione predefinita.
  6. Tipo profilo amministratore: selezionare Permanente o Pre-accesso/Comune. Questo passaggio deve essere seguito solo se si utilizza lo Strumento di amministrazione.
  7. Fare clic su Avanti per visualizzare la pagina Impostazioni protezione.
  8. Selezionare Protezione aziendale.
  9. Autenticazione di rete: selezionare WPA-Enterprise o WPA2-Enterprise (scelta consigliata).
  10. Crittografia dati: selezionare una delle opzioni seguenti:
  11. Attiva 802.1X: questa opzione è selezionata per impostazione predefinita.
  12. Tipo di autenticazione: selezionare TLS da usare con la connessione.

Passaggio 1 di 2: Utente TTLS

  1. Protocollo di autenticazione: questo parametro specifica il protocollo di autenticazione che opera sul tunnel TTLS. I protocolli sono i seguenti: PAP (impostazione predefinita), CHAP, MS-CHAP e MS-CHAP-V2. Per ulteriori informazioni, vedere Informazioni generali sulla protezione.
  2. Credenziali utente: per i protocolli PAP, CHAP, MS-CHAP e MS-CHAP-V2, selezionare uno dei seguenti metodi di autenticazione: Usa accesso Windows, Chiedere ad ogni connessione o Usare i dati seguenti.
  3. Identità di roaming: un'identità di roaming può essere inserita in questo campo o è possibile utilizzare %dominio%\%nomeutente% come formato predefinito per inserire un'identità di roaming.

Quando si usa come server di autenticazione un server 802.1X Microsoft RADIUS, questo server autentica la periferica usando l'Identità di roaming del software Intel PROSe/Wirelesst e ignora il Protocollo di autenticazione MS-CHAP-V2. Il server Microsoft IAS RADIUS accetta per Identità di roaming solo nomi utente validi (utente dotNet). Per tutti gli altri server di autenticazione, l'Identità di roaming è facoltativa. Per questo motivo per l'Identità di roaming si consiglia di usare l’area di autenticazione desiderata (per esempio, anonimo@miaAreaAutenticazione) invece dell'identità reale.

  1. Fare clic su Avanti per aprire le impostazioni del server TTLS.

Passaggio 2 di 2: Server TTLS

  1. Selezionare uno dei seguenti metodi di recupero per le credenziali utente: Convalida il certificato del server o Specificare il nome del server o del certificato.
  2. Fare clic su OK per salvare le impostazioni e chiudere la pagina.

Impostazione di un client con autenticazione di rete PEAP

Autenticazione PEAP: le impostazioni PEAP sono richieste per l'autenticazione del client presso il server di autenticazione. Il client usa EAP-TLS per convalidare il server e creare un canale crittografato TLS tra il client e il server. Su questo canale crittografato il client può utilizzare un altro meccanismo EAP, per esempio Microsoft Challenge Authentication Protocol (MS-CHAP) versione 2, per abilitare la convalida del server. I pacchetti di richiesta e di risposta sono inviati su un canale TLS crittografato e non esposto. Nell'esempio seguente è descritto come usare WPA con la crittografia AES-CCMP o TKIP usando l'autenticazione PEAP.

Per impostare un client con autenticazione PEAP:

Ottenere e installare un certificato del client. Per ulteriori informazioni, vedere Impostazione del client per l'autenticazione TLS o rivolgersi all'amministratore.

  1. Fare clic su Profili nella finestra principale di Intel(R) PROSet/Wireless. Oppure, se si svolge il ruolo di amministratore, aprire lo Strumento di amministrazione.
  2. Dalla pagina Profilo, fare clic su Aggiungi per aprire le Impostazioni generali di Creazione guidata profilo wireless.
  3. Nome profilo: immettere un nome di profilo descrittivo.
  4. Nome rete wireless (SSID): immettere l'identificativo della rete.
  5. Modalità operativa: fare clic su Rete (infrastruttura).
  6. Tipo profilo amministratore: selezionare Permanente o Pre-accesso/Comune. Questo passaggio deve essere seguito solo se si utilizza lo Strumento di amministrazione.
  7. Fare clic su Avanti per visualizzare la pagina Impostazioni protezione.
  8. Selezionare Protezione aziendale.
  9. Autenticazione di rete: selezionare WPA-Enterprise o WPA2-Enterprise.
  10. Crittografia dati: selezionare una delle opzioni seguenti:
  11. Attiva 802.1X: selezionato.
  12. Tipo di autenticazione: selezionare PEAP da usare con la connessione.

Passaggio 1 di 2: Utente PEAP

PEAP utilizza il protocollo TLS (Transport Layer Security) per consentire l'uso di tipi d'autenticazione non crittografati come il supporto GTC (Token Card) EAP generico e OPT (One-Time Password).

  1. Protocollo di autenticazione: selezionare GTC, MS-CHAP-V2 (impostazione predefinita) o TLS. Vedere Protocolli di autenticazione.
  2. Credenziali utente: selezionare una delle opzioni seguenti: Usa accesso Windows, Chiedere ad ogni connessione o Usare i dati seguenti.
  3. Identità di roaming: un'identità di roaming può essere inserita in questo campo o è possibile utilizzare %dominio%\%nomeutente% come formato predefinito per inserire un'identità di roaming.

Quando si usa come server di autenticazione un server 802.1X Microsoft RADIUS, questo server autentica la periferica usando l'Identità di roaming del software Intel PROSe/Wirelesst e ignora il Protocollo di autenticazione MS-CHAP-V2. Il server Microsoft IAS RADIUS accetta per Identità di roaming solo nomi utente validi (utente dotNet). Per tutti gli altri server di autenticazione, l'Identità di roaming è facoltativa. Per questo motivo per l'Identità di roaming si consiglia di usare l’area di autenticazione desiderata (per esempio, anonimo@miaAreaAutenticazione) invece dell'identità reale.

Configurazione dell'identità di roaming per più utenti

Se si usa il profilo di Pre-accesso/Comune che richiede un'identità di roaming basata sulle credenziali di accesso di Windows, l'autore del profilo può aggiungere un'identità di roaming che utilizzi %nomeutente% e %dominio%. L'identità di roaming viene analizzata e le parole chiave vengono sostituite con le informazioni di accesso corrette. Ciò permette di configurare l'identità di roaming con la massima flessibilità permettendo al tempo stesso a più utenti di condividere lo stesso profilo.

Per istruzioni sul formato corretto da utilizzare per l'identità di roaming, vedere il manuale dell'utente del server di autenticazione. I formati possibili sono:

Se il campo Identità di roaming è deselezionato, viene impostata l'identità di roaming predefinita %dominio%\%nomeutente%.

Note sulle credenziali: il nome utente e del dominio deve corrispondere al nome utente che è impostato nel server di autenticazione dall'amministratore prima che avvenga l'autenticazione del client. Il nome utente distingue tra maiuscole e minuscole. Questo nome indica l'identità fornita all'autenticatore dal protocollo di autenticazione che opera sul tunnel TLS. L'identità di questo utente è trasmessa in modo protetto al server solo dopo che è stato verificato e stabilito un canale crittografato.

Protocolli di autenticazione: questo parametro specifica i protocolli di autenticazione che possono operare sul tunnel TTLS. Di seguito sono riportate le istruzioni per configurare un profilo che utilizza l'autenticazione PEAP con

selezionare i protocolli di autenticazione GTC, MS-CHAP-V2 (impostazione predefinita) o TLS.

Generic Token Card (GTC)

Utente PEAP

Per configurare la password per una singola sessione:

  1. Protocollo di autenticazione: selezionare GTC (Generic Token Card).
  2. Credenziali utente: selezionare Chiedere ad ogni connessione.
  3. Alla connessione richiedi: selezionare una delle opzioni seguenti:
Nome Descrizione
Password statica Immettere le credenziali dell'utente al momento della connessione.
Password per una singola sessione (OTP) Ottenere la password da una periferica hardware token.
PIN (soft token) Ottenere la password da un programma soft token.
  1. Fare clic su OK.

NOTA: l'opzione Chiedere a ogni connessione non è disponibile se un amministratore ha cancellato il valore impostato in Inserire nella cache le credenziali di Strumento di amministrazione. Per ulteriori informazioni, vedere Impostazioni dell'amministratore.

Password per una singola sessione

MS-CHAP-V2

Questo parametro specifica il protocollo di autenticazione che opera sul tunnel PEAP.

  1. Credenziali utente: selezionare una delle opzioni seguenti: Usa accesso Windows, Chiedere ad ogni connessione o Usare i dati seguenti.
  2. Fare clic su Avanti per visualizzare le impostazioni del server PEAP.

TLS

l'autenticazione Transport Layer Security è un metodo di autenticazione bidirezionale che usa esclusivamente i certificati digitali per verificare l'identità di un client e un server.

  1. Ottenere e installare un certificato del client (vedere Impostazione del client per l'autenticazione TLS) o rivolgersi all'amministratore del sistema.
  2. Per ottenere un certificato selezionare una delle opzioni seguenti: Usa la mia smart card, Usa il certificato emesso per questo computer o Usa un certificato utente su questo computer.
  3. Fare clic su Avanti per visualizzare le impostazioni del server PEAP.

Passaggio 2 di 2: Server PEAP

Server PEAP
  1. Selezionare uno dei seguenti metodi di recupero per le credenziali utente: Convalida il certificato del server o Specificare il nome del server o del certificato.
  2. Fare clic su OK. Il profilo viene aggiunto all'elenco dei profili.
  3. Fare clic sul nuovo profilo alla fine dell'elenco Profili. Usando la freccia rivolta verso l'alto e quella verso il basso spostare la priorità del nuovo profilo nella posizione desiderata nell'elenco di priorità.
  4. Fare clic su Connetti per effettuare la connessione alla rete wireless selezionata.

Se non si seleziona Usa accesso Windows nella finestra Impostazioni protezione e non sono state configurate le credenziali dell'utente, le credenziali del profilo non saranno salvate per il profilo. Immettere le credenziali qui di seguito per eseguire l'autenticazione alla rete.

  1. Fare clic su OK per chiudere Intel(R) PROSet/Wireless.

Registrazione automatica dei certificati PEAP-TLS

In Impostazioni applicazione selezionare Attiva notifica per i certificati TLS rifiutati se si desidera essere avvisati ogni volta che viene respinto un certificato PEAP-TLS. Se il certificato ha una data di scadenza non valida, viene visualizzato un avviso che chiede di effettuare una delle seguenti operazioni: È stato rilevato un possibile problema di autenticazione per il profilo <nome profilo>. La data di scadenza del certificato associato può non essere valida. Fare clic su una delle opzioni seguenti:

Comando Descrizione
Continua con i parametri correnti. Usa il certificato corrente
Aggiorna manualmente il certificato. Viene visualizzata la pagina Selezione certificato che consente di scegliere un altro certificato.
Aggiorna automaticamente il certificato in base ai certificati presenti nell'archivio locale. Questa opzione è attiva solo l'archivio locale contiene uno o più certificati i cui campi "Emesso a" ed "Emesso da" corrispondono al certificato corrente e che abbiano una data di scadenza valida. Se si seleziona questa opzione, l'applicazione sceglie il primo certificato valido.
Chiudi la sessione per ottenere il certificato durante l'accesso (questa operazione non aggiorna il profilo e si applica solo ai certificati configurati per la registrazione automatica). Disconnette l'utente per permettergli di ottenere un certificato valido all'accesso successivo. Prima di selezionare il nuovo certificato è necessario aggiornare il profilo.
Registrazione automatica Viene visualizzato il messaggio Attendere che il sistema ottenga il certificato automaticamente. Fare clic su Annulla per terminare il processo di recupero del certificato.
Non mostrare più questo messaggio. Permette all'utente di evitare questo passaggio nel corso delle sessioni successive. La selezione viene memorizzata ed utilizzata per le sessioni successive.

Impostazione di un client con Autenticazione di rete LEAP

Cisco LEAP (Light Extensible Authentication Protocol) è un tipo di autenticazione 802.1X che supporta l'autenticazione avanzata reciproca tra il client e un server RADIUS. Le impostazioni dei profili LEAP comprendono LEAP, CKIP con rilevamento automatico dei punti di accesso non autorizzati (Rogue AP). Per impostare un client con autenticazione LEAP:

  1. Fare clic su Profili nella finestra principale di Intel(R) PROSet/Wireless. Oppure, se si svolge il ruolo di amministratore, aprire lo Strumento di amministrazione.
  2. Nella pagina Profilo, fare clic su Aggiungi. Viene aperta la finestra di dialogoo Impostazioni generali di Creazione guidata profilo wireless.
  3. Nome profilo: immettere un nome di profilo descrittivo.
  4. Nome rete wireless (SSID): immettere l'identificativo della rete.
  5. Modalità operativa: fare clic su Rete (infrastruttura).
  6. Tipo profilo amministratore: selezionare Permanente o Pre-accesso/Comune. Questo passaggio deve essere seguito solo se si utilizza lo Strumento di amministrazione.
  7. Fare clic su Avanti per visualizzare la pagina Impostazioni protezione.
  8. Selezionare Protezione aziendale.
  9. Autenticazione di rete: selezionare WPA-Enterprise o WPA2-Enterprise.
  10. Crittografia dati: selezionare una delle opzioni seguenti:
  11. Attiva 802.1X: selezionato.
  12. Tipo di autenticazione: selezionare LEAP da usare con questa connessione .
  13. Fare clic su Opzioni Cisco.
  14. Fare clic su Attiva le estensioni compatibili con Cisco per attivare la protezione Cisco Compatible Extensions (CCX) (Consenti roaming veloce (CCKM), Attiva il supporto per la gestione della radio, Attiva modalità cella mista).

Estensioni compatibili con Cisco

  1. Fare clic su Attiva il supporto per la gestione della radio. Usare Radio Management per rilevare i punti di accesso non autorizzati.
  2. Fare clic su OK per tornare alla pagina Impostazioni protezione.

Utente LEAP

Utente LEAP

  1. Selezionare uno dei metodi di autenticazione elencati di seguito.
    2. Se si seleziona Permanente sotto a Tipo profilo amministratore, è disponibile solo l'opzione Usa il nome utente e la password seguenti. Se si seleziona Pre-accesso/comune, sono disponibili entrambi i metodi di autenticazione.
  2. Fare clic su OK per salvare le impostazioni e chiudere la pagina.

Opzioni delle estensioni compatibili con Cisco

Opzioni Cisco: usare questa opzione per attivare o disattivare la gestione della radio e la modalità cella mista o per consentire il roaming veloce (CCKM).

NOTA: le estensioni compatibili con Cisco sono automaticamente attivate con i profili CKIP, LEAP o EAP-FAST. Per cambiare questo comportamento, selezionare o deselezionare le opzioni di questa pagina.

Attiva Cisco Compatible Extensions: selezionare questa opzione per attivare le estensioni compatibili Cisco per il profilo di connessione wireless.

Impostazione di un client con Autenticazione di rete EAP-FAST

In Cisco Compatible Extensions, versione 3 (CCXv3), Cisco ha aggiunto il supporto per EAP-FAST (Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling) che utilizza credenziali di accesso protette (PAC) per stabilire un tunnel autenticato tra il client e il server.

Cisco Compatible Extensions, Version 4 (CCXv4) migliora i metodi di acquisizione, ottimizzando la protezione e fornendo funzionalità innovative che incrementano la sicurezza, la mobilità, la qualità del servizio e la gestibilità della rete.

Cisco Compatible Extensions, versione 3 (CCXv3)

Per impostare un client con autenticazione EAP-FAST con Cisco Compatible Extensions, versione 3 (CCXv3):

  1. Fare clic su Profili nella finestra principale di Intel(R) PROSet/Wireless. Oppure, se si svolge il ruolo di amministratore, aprire lo Strumento di amministrazione.
  2. Dalla pagina Profilo, fare clic su Aggiungi per aprire le Impostazioni generali di Creazione guidata profilo wireless.
  3. Nome rete wireless (SSID): immettere l'identificativo della rete.
  4. Nome profilo: immettere un nome di profilo descrittivo.
  5. Modalità operativa: fare clic su Rete (infrastruttura).
  6. Tipo profilo amministratore: selezionare Permanente o Pre-accesso/Comune. Questo passaggio deve essere seguito solo se si utilizza lo Strumento di amministrazione.
  7. Fare clic su Avanti per visualizzare la pagina Impostazioni protezione.
  8. Selezionare Protezione aziendale.
  9. Autenticazione di rete: selezionare WPA-Enterprise o WPA2-Enterprise.
  10. Crittografia dati: selezionare una delle opzioni seguenti:
  11. Attiva 802.1X: selezionato.
  12. Tipo di autenticazione: selezionare l'EAP-FAST da usare con la connessione.

Acquisizione EAP-FAST

NOTA: se le impostazioni applicative di CCXv4 non sono state installate tramite il pacchetto dell'amministratore, è possibile usare solo le impostazioni utente EAP-FAST per la configurazione. Vedere Impostazioni utente EAP-FAST.

Passaggio 1 di 2: Acquisizione EAP-FAST

  1. Fare clic su Disattiva miglioramenti EAP-FAST (CCXv4) per consentire l'acquisizione all'interno di un tunnel TSL non autenticato dal server (modalità di acquisizione senza autenticazione TLS-Server).
  2. Fare clic sul pulsante Seleziona server per visualizzare le PAC che sono già state acquisite e che si trovano sul computer.

NOTA: se la credenziale di accesso protetto (PAC) fornita è valida, Intel(R) PROSet/Wireless non richiede all'utente di accettarla. Se la PAC non è valida, Intel(R) PROSet/Wireless interrompe automaticamente la procedura. Nel Visualizzatore eventi wireless viene visualizzato un messaggio di stato che l'amministratore può leggere dal computer dell'utente.

Per importare una PAC:

PAC

  1. Fare clic su Avanti per selezionare il metodo di recupero della credenziale oppure fare clic su OK per salvare le impostazioni EAP-FAST e tornare all'elenco dei profili. La PAC selezionata viene usata per il profilo wireless.

Passaggio 2 di 2: Ulteriori informazioni su EAP-FAST

Per eseguire l'autenticazione del client sul tunnel selezionato, il client invia il nome utente e la password necessari per eseguire l'autenticazione e stabilire la modalità per il rilascio di autorizzazione al client.

  1. Fare clic su Credenziali utente per selezionare uno dei seguenti metodi di recupero delle credenziali: Usa accesso Windows, Chiedere ad ogni connessione o Usare i dati seguenti.
  2. Fare clic su OK per salvare le impostazioni e chiudere la pagina. La verifica del server non è richiesta.

Cisco Compatible Extensions, versione 4 (CCXv4)

Per impostare un client con autenticazione EAP-FAST con Cisco Compatible Extensions, versione 4 (CCXv4):

  1. Fare clic su Profili nella finestra principale di Intel(R) PROSet/Wireless. Oppure, se si svolge il ruolo di amministratore, aprire lo Strumento di amministrazione.
  2. Dalla pagina Profilo, fare clic su Aggiungi per aprire le Impostazioni generali di Creazione guidata profilo wireless.
  3. Nome rete wireless (SSID): immettere l'identificativo della rete.
  4. Nome profilo: immettere un nome di profilo descrittivo.
  5. Modalità operativa: fare clic su Rete (infrastruttura).
  6. Tipo profilo amministratore: selezionare Permanente o Pre-accesso/Comune. Questo passaggio deve essere seguito solo se si utilizza lo Strumento di amministrazione.
  7. Fare clic su Avanti per visualizzare la pagina Impostazioni protezione.
  8. Selezionare Protezione aziendale.
  9. Autenticazione di rete: selezionare WPA-Enterprise o WPA2-Enterprise.
  10. Crittografia dati: selezionare una delle opzioni seguenti:
  11. Crittografia dei dati Selezionare AES-CCMP.
  12. Attiva 802.1X: selezionato.
  13. Tipo di autenticazione: selezionare l'EAP-FAST da usare con la connessione.

Passaggio 1 di 3: Acquisizione EAP-FAST

Con CCXv4 EAP-FAST supporta due modalità di acquisizione:

NOTA: la modalità Autenticazione dal server fornisce una protezione migliore rispetto alla modalità Senza autenticazione del server, anche nel caso in cui EAP-MS-CHAP-V2 venga usato come metodo interno. Questa modalità protegge gli scambi EAP-MS-CHAP-V2 da possibili attacchi Man-in-the-Middle verificando l'autenticità del server prima di eseguire lo scambio di MS-CHAP-V2. Quindi, questa modalità deve essere preferita laddove possibile. Il peer EAP-FAST deve usare la modalità Autenticazione da server se il certificato o la chiave pubblica è disponibile per l'autenticazione del server nonché per garantire l'uso di prassi sicure.

Preparazione delle credenziali di accesso protetto (PAC):

EAP-FAST usa una chiave PAC (Protected Access Credentials) per proteggere le credenziali dell'utente che vengono scambiate. Tutti gli autenticatori EAP-FAST sono identificati tramite l'identità di un'autorità (A-ID). L'autenticatore locale invia il proprio A-ID al client di autenticazione e il client ricerca un A-ID corrispondente nel proprio database. Se il client non riconosce l'A-ID, richiede una nuova PAC.

NOTA: se la credenziale di accesso protetto (PAC) fornita è valida, Intel(R) PROSet/Wireless non richiede all'utente di accettarla. Se la PAC non è valida, Intel(R) PROSet/Wireless interrompe automaticamente la procedura. Nel Visualizzatore eventi wireless viene visualizzato un messaggio di stato che l'amministratore può leggere dal computer dell'utente.

  1. Verificare che l'opzione Disattiva miglioramenti EAP-FAST(CCXv4) sia deselezionata. Per impostazione predefinita le opzioni Consenti preparazione senza autenticazione e Consenti preparazione con autenticazione. È possibile deselezionare queste modalità di acquisizione dopo aver selezionato una PAC dal server predefinito.
  2. Server predefinito: nessuna crittografia è l'impostazione predefinita. Fare clic su Seleziona server per selezionare una PAC dal server predefinito di autorità delle PAC oppure selezionare un server dall'elenco Gruppo di server. Viene visualizzata la pagina di selezione del server predefinito EAP-FAST (Autorità PAC).

NOTA: i gruppi di server sono visualizzati solo se è stato installato il Pacchetto dell'amministratore che contiene le impostazioni di gruppo A-ID del gruppo di autorità EAP-FAST.

La distribuzione della PAC può anche essere completata manualmente (fuori banda). La fornitura automatica consente di creare una PAC per un utente su un server ACS e quindi di importarla nel computer dell'utente. Il file della PAC può essere protetto tramite una password e questa password deve essere immessa dall'utente durante l'importazione della PAC.

Per importare una PAC:

  1. Fare clic su Importa per importare una PAC dal server PAC.
  2. Fare clic su Apri.
  3. Digitare la password della PAC (facoltativo).
  4. Fare clic su OK per chiudere la pagina. La PAC selezionata viene usata per il profilo wireless.

EAP-FAST CCXv4 abilita il supporto per l'acquisizione di altre credenziali oltre le PAC fornite dalla configurazione del tunnel. I tipi di credenziali supportati comprendono il certificato CA attendibile, le credenziali del sistema per l'autenticazione e le credenziali utente temporanee utilizzate per evitare l'autenticazione utente.

Usa un certificato (Autenticazione TLS)

  1. Fare clic su Usare un certificato (Autenticazione TLS).
  2. Fare clic su Protezione identità quando il tunnel è protetto.
  3. selezionare una delle opzioni seguenti:
  4. Nome utente: immettere il nome utente assegnato al certificato utente.
  5. Fare clic su Avanti.

Passaggio 2 di 3: Ulteriori informazioni su EAP-FAST

Se si seleziona Usare un certificato (autenticazione TLS) e Usa il certificato utente su questo computer, è necessario fare clic su Avanti (non è richiesta alcuna identità di roaming) e continuare con il passaggio 3 per configurare le impostazioni del certificato del server EAP-FAST. Se non è necessario configurare le impostazioni del server EAP-FAST, fare clic su OK per salvare le impostazioni e tornare alla pagina Profili.

Se si sceglie di usare una smart card, è necessario aggiungere l'eventuale identità di roaming. Fare clic su OK per salvare le impostazioni e tornare alla pagina Profili.

Se non si è selezionato Usare un certificato (Autenticazione TLS), fare clic su Avanti per selezionare il protocollo di autenticazione. CCXv4 permette anche a credenziali aggiuntive o alla suite di cifratura TLS di stabilire il tunnel.

Protocollo di autenticazione: selezionare GTC o MS-CHAP-V2 (impostazione predefinita).

Generic Token Card (GTC)

GTC può essere usato nella modalità Autenticazione da server. Ciò consente ai peer di usare altri database come LDAP (Lightweight Directory Access Protocol) e di fornire la tecnologia OTP tramite la larghezza di banda disponibile. Tuttavia, la sostituzione può essere ottenuta solo se si utilizzano le suite di cifratura TLS che assicurano l'autenticazione del server.

Per configurare la password per una singola sessione:

  1. Protocollo di autenticazione: selezionare GTC (Generic Token Card).
  2. Credenziali utente: selezionare Chiedere ad ogni connessione.
  3. Alla connessione richiedi: selezionare una delle opzioni seguenti:
Nome Descrizione
Password statica Immettere le credenziali dell'utente al momento della connessione.
Password per una singola sessione (OTP) Ottenere la password da una periferica hardware token.
PIN (soft token) Ottenere la password da un programma soft token.
  1. Fare clic su OK.
  2. Selezionare il profilo nell'elenco Reti wireless.
  3. Fare clic su Connetti. Quando richiesto, immettere il nome utente, il dominio e la password per una singola sessione (OTP).
  4. Fare clic su OK.

MS-CHAP-V2

Questo parametro specifica il protocollo di autenticazione che opera sul tunnel PEAP.

  1. Selezionare le credenziali dell'utente Usa accesso Windows, Chiedere ad ogni connessione o Usare i dati seguenti.
  2. Identità di roaming: un'identità di roaming può essere inserita in questo campo o è possibile utilizzare %dominio%\%nomeutente% come formato predefinito per inserire un'identità di roaming.

Quando si usa come server di autenticazione un server 802.1X Microsoft RADIUS, questo server autentica la periferica usando l'Identità di roaming del software Intel PROSe/Wirelesst e ignora il Protocollo di autenticazione MS-CHAP-V2. Il server Microsoft IAS RADIUS accetta per Identità di roaming solo nomi utente validi (utente dotNet). Per tutti gli altri server di autenticazione, l'Identità di roaming è facoltativa. Per questo motivo per l'Identità di roaming si consiglia di usare l’area di autenticazione desiderata (per esempio, anonimo@miaAreaAutenticazione) invece dell'identità reale.

Passaggio 3 di 3: Server EAP-FAST

La modalità di fornitura con Autenticazione del server TLS viene supportata mediante l'uso di un certificato CA sicuro, un certificato server con generazione automatica della firma oppure con chiavi pubbliche e l'uso di GTC come metodo EAP interno.

  1. Selezionare uno dei seguenti metodi di recupero per le credenziali utente: Convalida il certificato del server o Specificare il nome del server o del certificato.
  2. Fare clic su OK per chiudere la finestra Impostazioni protezione.

Impostazioni utente EAP-FAST

NOTA: se il pacchetto dell'amministratore esportato sul computer dell'utente non comprendeva le impostazioni dell'applicazione Attiva CCXv4 Strumento di amministrazione, è possibile usare solo le impostazioni utente EAP-FAST per la configurazione.

Per impostare un client con autenticazione EAP-FAST:

  1. Fare clic su Profili nella finestra principale di Intel(R) PROSet/Wireless. Oppure, se si svolge il ruolo di amministratore, aprire lo Strumento di amministrazione.
  2. Dalla pagina Profilo, fare clic su Aggiungi per aprire le Impostazioni generali di Creazione guidata profilo wireless.
  3. Nome rete wireless (SSID): immettere l'identificativo della rete.
  4. Nome profilo: immettere un nome di profilo descrittivo.
  5. Modalità operativa: fare clic su Rete (infrastruttura).
  6. Tipo profilo amministratore: selezionare Permanente o Pre-accesso/Comune. Questo passaggio deve essere seguito solo se si utilizza lo Strumento di amministrazione.
  7. Fare clic su Avanti per visualizzare la pagina Impostazioni protezione.
  8. Fare clic su Protezione aziendale.
  9. Autenticazione di rete: selezionare WPA-Enterprise o WPA2-Enterprise.
  10. Crittografia dati: selezionare una delle opzioni seguenti:
  11. Attiva 802.1X: selezionato.
  12. Tipo di autenticazione: selezionare l'EAP-FAST da usare con la connessione.
  13. Fare clic su Opzioni Cisco per selezionare Consenti roaming veloce (CCKM) che consente alla scheda di rete wireless client di effettuare il roaming in modo veloce e sicuro.

Passaggio 1 di 3 Acquisizione EAP-FAST (Impostazioni utente)

EAP-FAST usa una chiave PAC (Protected Access Credentials) per proteggere le credenziali dell'utente che vengono scambiate. Tutti gli autenticatori EAP-FAST sono identificati tramite l'identità di un'autorità (A-ID). L'autenticatore locale invia il proprio A-ID al client di autenticazione e il client ricerca un A-ID corrispondente nel proprio database. Se il client non riconosce l'A-ID, richiede una nuova PAC.

NOTA: se la credenziale di accesso protetto (PAC) fornita è valida, Intel(R) PROSet/Wireless non richiede all'utente di accettarla. Se la PAC non è valida, Intel(R) PROSet/Wireless interrompe automaticamente la procedura. Nel Visualizzatore eventi wireless viene visualizzato un messaggio di stato che l'amministratore può leggere dal computer dell'utente.

  1. Lasciare deselezionata l'opzione Disattiva miglioramenti EAP-FAST (CCXv4).
  2. Consenti preparazione con autenticazione e Consenti preparazione senza autenticazione sono entrambe selezionate.
  3. Server predefinito: nessuna crittografia è l'impostazione predefinita. Fare clic su Seleziona server per selezionare una PAC dal server predefinito di autorità delle PAC. Viene visualizzata la pagina di selezione Credenziali di accesso protetto.

NOTA: i gruppi di server sono visualizzati solo se è stato installato il Pacchetto dell'amministratore che contiene le impostazioni di gruppo A-ID del gruppo di autorità EAP-FAST.

La distribuzione della PAC può anche essere completata manualmente (fuori banda). La fornitura automatica consente di creare una PAC per un utente su un server ACS e quindi di importarla nel computer dell'utente. Il file della PAC può essere protetto tramite una password e questa password deve essere immessa dall'utente durante l'importazione della PAC.

  1. Per importare una PAC:
    1. Fare clic su Importa per importare una PAC dal server PAC.
    2. Fare clic su Apri.
    3. Digitare la password della PAC (facoltativo).
    4. Fare clic su OK per chiudere la pagina. La PAC selezionata viene usata per il profilo wireless.
  2. Fare clic su Avanti.
  3. Se non si tratta di un profilo di pre-accesso/comune, fare clic su Avanti e saltare al Passaggio 3 di 3: Server EAP-FAST.
  4. Se si tratta di un profilo di pre-accesso/comune o non si utilizza lo Strumento di amministrazione per creare questo profilo, Administrator Tool, procedere al passaggio successivo.

Passaggio 2 di 3: Ulteriori informazioni su EAP-FAST

  1. Protocollo di autenticazione: Selezionare MS-CHAP-V2 o GTC
  2. Credenziali utente: Selezionare Usa accesso Windows o Usare i dati seguenti.
  3. Se si seleziona Usare i dati seguenti, immettere Nome utente, Dominio, Password e Conferma password.
  4. Immettere l'identità di roaming: %DOMAIN%\%USERNAME
  5. Fare clic su Avanti.

Passaggio 3 di 3: Server EAP-FAST

  1. Fare clic su Convalida certificato, se necessario e selezionare l'autorità di certificazione dal menu a discesa. La selezione predefinita è Qualunque CA attendibile.
  2. Se necessario, fare clic su Specificare il nome del server o del certificato e immettere il nome. Quindi, fare clic su Il nome server deve corrispondere esattamente alla voce specificata o Il nome di dominio deve terminare con la voce specificata.
  3. Fare clic su OK.

Torna all'inizio

Torna al Sommario

Marchi di fabbrica e Dichiarazioni di non responsabilità