Volver al índice

Configuración de la seguridad de los perfiles

Cómo utilizar el software Intel(R) PROSet/Wireless
Seguridad personal
Opciones de seguridad personal
Opciones de la codificación y autenticación de datos

Seguridad empresarial
Opciones de seguridad empresarial

Cómo utilizar el software Intel(R) PROSet/Wireless

Las siguientes secciones describen cómo utilizar Intel(R) PROSet/Wireless para configurar las opciones de seguridad necesarias para el adaptador inalámbrico. Consulte Seguridad personal.

También se incluye información sobre cómo configurar parámetros de seguridad avanzados para el adaptador inalámbrico. Para ello, se necesita la información procedente del administrador de sistemas (en un entorno empresarial) o de las opciones de seguridad avanzadas del punto de acceso (en el caso de usuarios domésticos). Seleccione Seguridad empresarial.

Consulte Descripción de la seguridad si desea más información sobre las opciones de seguridad.

Seguridad personal

Utilice Seguridad personal si es usted un usuario doméstico o de pequeña empresa que puede utilizar una amplia variedad de procedimientos de seguridad sencillos para proteger su conexión inalámbrica. Seleccione una opción de la lista de opciones de seguridad que no requiera una extensa configuración de infraestructura para su red inalámbrica. No se requiere un servidor RADIUS o AAA.

NOTA: Las opciones de seguridad personal no están disponibles en la Herramienta de administración al crear perfiles de administración para Windows Vista*.

Opciones de seguridad personal

Descripción de las Opciones de seguridad personal

Nombre Parámetro

Seguridad personal

Seleccione esta opción para abrir las Opciones de seguridad personal. Las opciones de seguridad que están disponibles dependen del Modo de operación seleccionado en las Opciones de seguridad de Crear perfil inalámbrico.

Entre dispositivos (Ad Hoc): En el modo entre dispositivos, también llamado ad hoc o específico, los equipos inalámbricos envían información directamente a los demás equipos inalámbricos. El modo entre dispositivos puede utilizarse en equipos ubicados en una red en el hogar o una oficina pequeña, o bien para configurar una red inalámbrica temporal durante una reunión.

NOTA: Las redes Entre dispositivos (Ad Hoc) se identifican con la imagen de un equipo portátil (equipo portátil) en la Lista de redes inalámbricas y de perfiles.

Red (Infraestructura): Una red de infraestructura consiste de uno o más puntos de acceso en uno o más equipos con adaptadores inalámbricos instalados. Al menos un punto de acceso debería disponer de conexión cableada. Para usuarios domésticos, esto es generalmente una red de banda ancha o de cable.

NOTA: Las redes de tipo infraestructura se identifican con una imagen de punto de acceso (punto de acceso) en la Lista de redes inalámbricas y de perfiles.

Opciones de seguridad

Si configura un perfil Entre dispositivos (Ad Hoc), seleccione una de las siguientes opciones de codificación de datos:

Si está configurando un perfil de Red (infraestructura), seleccione:

botón Avanzadas

 Haga clic para acceder a Opciones avanzadas y configurar las opciones siguientes:

Atrás

Regresa a la página anterior del Asistente de perfil.

Aceptar

Cierra el Asistente de perfil y guarda el perfil.

Cancelar

Cierra el Asistente de perfil y cancela los cambios hechos.

Ayuda

Ofrece la información de ayuda de la página actual.

Configuración de la codificación y autenticación de datos

En una red inalámbrica doméstica puede utilizar una gran variedad de sencillos procedimientos de seguridad para proteger la conexión inalámbrica. Éstos incluyen:

La codificación de acceso protegido Wi-Fi (WPA) ofrece protección de sus datos en la red. WPA utiliza una clave de codificación llamada Clave precompartida (PSK) para codificar los datos antes de la transmisión. Introduzca la misma contraseña en todos los equipos y punto de acceso de su red doméstica o de pequeña empresa. Sólo los dispositivos que utilicen la misma clave de codificación pueden tener acceso a la red o descodificar los datos codificados transmitidos por otros equipos. La contraseña inicia automáticamente el Protocolo de integridad de claves temporales (TKIP) o el protocolo AES-CCMP para el proceso de codificación de datos.

Claves de red

La codificación WEP ofrece dos niveles de seguridad:

Para mayor seguridad, utilice una clave de 128 bits. Si utiliza la codificación, todos los dispositivos inalámbricos de la red inalámbrica deben utilizar las mismas claves de codificación.

El propio usuario puede crear la clave y especificar la longitud (64 bits ó 128 bits) y un índice de claves (la ubicación en la que se almacena una clave específica). Cuanto más larga es la clave, más segura es ésta.

Longitud de la clave: 64 bits

Frase de autenticación (64 bits): Escriba cinco (5) caracteres alfanuméricos, 0-9, a-z o A-Z.
Clave hexadecimal (64 bits): Utilice 10 caracteres hexadecimales, 0-9, A-F.

Longitud de la clave: 128 bits

Frase de autenticación (128 bits): Utilice 13 caracteres alfanuméricos, 0-9, a-z o A-Z.
Clave hexadecimal (128 bits): Utilice 26 caracteres hexadecimales, 0-9, A-F.

Con codificación de datos WEP se puede configurar una estación inalámbrica con un máximo de cuatro claves (los valores del índice de las claves son 1, 2, 3 y 4). Cuando un punto de acceso o una estación inalámbrica transmite un mensaje codificado mediante una clave almacenada en un índice de claves determinado, el mensaje transmitido indica el índice de la clave que se utilizó para codificar el cuerpo del mensaje. El punto de acceso o estación inalámbrica receptora puede, a continuación, recuperar la clave que está en el índice de la clave y utilizarla para descodificar el cuerpo codificado del mensaje.

Configurar un cliente con autenticación abierta y sin ninguna codificación de datos

En el modo entre dispositivos, también llamado ad hoc o específico, los equipos inalámbricos envían información directamente a los demás equipos inalámbricos. El modo entre dispositivos puede utilizarse en equipos ubicados en una red en el hogar o una oficina pequeña, o bien para configurar una red inalámbrica temporal durante una reunión.

En la ventana principal de Intel(R) PROSet/Wireless, utilice uno de los siguientes métodos para establecer conexión con una red entre dispositivos:

Para crear un perfil para una conexión de red inalámbrica sin codificación:

  1. Haga clic en Perfiles en la ventana principal de Intel(R) PROSet/Wireless.
  2. En la Lista de perfiles, haga clic en Agregar para abrir las Opciones generales del perfil inalámbrico.
  3. Nombre del perfil: Escriba un nombre de perfil descriptivo.
  4. Nombre de la red inalámbrica (SSID): Escriba el nombre de la red inalámbrica.
  5. Modo de operación: Haga clic en Entre dispositivos (Ad Hoc).
  6. Haga clic en Siguiente para abrir las Opciones de seguridad.
  7. Seguridad personal está seleccionado de forma predeterminada.
  8. Opciones de seguridad: La opción predeterminada es Ninguna, lo que indica que no hay seguridad en esta red inalámbrica.
  9. Haga clic en Aceptar. Se añade el perfil a la Lista de perfiles y se establece conexión con la red inalámbrica.

Configurar un cliente con codificación de datos WEP de 64 bits o WEP de 128 bits

Cuando se activa la codificación de datos de WEP, se utiliza una clave o contraseña de red para la codificación.

Se proporciona automáticamente una clave de red para el usuario (por ejemplo, la puede proporcionar el fabricante del adaptador de red inalámbrico) o el usuario puede escribirla y especificar la longitud (64 bits ó 128 bits), el formato (caracteres ASCII o dígitos hexadecimales) y el índice (la ubicación en la que se almacena una clave determinada). Cuanto más larga es la clave, más segura es ésta.

Para agregar una clave de red para una conexión de red Entre dispositivos (Ad Hoc):

  1. En la ventana principal de Intel(R) PROSet/Wireless, haga doble clic en una red Entre dispositivos (Ad Hoc) en la Lista de redes inalámbricas o seleccione la red y haga clic en Conectar.
  2. Haga clic en Perfiles para acceder a la Lista de perfiles.
  3. Haga clic en Propiedades para abrir las Opciones generales del perfil inalámbrico. Aparece el nombre del perfil y el nombre de la red inalámbrica (SSID). Se debe seleccionar Entre dispositivos (Ad Hoc) como el Modo de operación.
  4. Haga clic en Siguiente para abrir las Opciones de seguridad.
  5. Seguridad personal está seleccionado de forma predeterminada.
  6. Opciones de seguridad: La opción predeterminada es Ninguna, lo que indica que no hay seguridad en esta red inalámbrica.

Para agregar una contraseña o clave de red:

  1. Opciones de seguridad: Seleccione WEP de 64 bits o WEP de 128 bits para configurar la codificación de datos WEP con una clave de 64 o 128 bits.

    2. Cuando se activa la codificación WEP en un punto de acceso, la clave WEP se utiliza para verificar el acceso a la red. Si el dispositivo inalámbrico no tiene la clave WEP correcta, aun cuando la autenticación sea satisfactoria, el dispositivo no puede transmitir datos a través del punto de acceso ni descodificar los datos recibidos de éste.

Nombre Descripción

Contraseña

Escriba la contraseña de seguridad inalámbrica (frase de autenticación) o clave de codificación (clave WEP).

Frase de autenticación (64 bits)

Escriba cinco (5) caracteres alfanuméricos, 0-9, a-z o A-Z.

Clave WEP (64 bits)

Utilice 10 caracteres hexadecimales, 0-9, A-F.

Frase de autenticación (128 bits)

Utilice 13 caracteres alfanuméricos, 0-9, a-z o A-Z.

Clave WEP (128 bits)

Utilice 26 caracteres hexadecimales, 0-9, A-F.
  1. Índice de claves: Cambie el Índice de claves para configurar hasta cuatro contraseñas.
  2. Haga clic en Aceptar para regresar a la Lista de perfiles.

Para agregar más de una contraseña:

  1. Seleccione el número de Índice de claves: 1, 2, 3, o 4.
  2. Escriba la contraseña de seguridad inalámbrica.
  3. Seleccione otro número de Índice de claves.
  4. Escriba otra contraseña de seguridad inalámbrica.

Configurar un cliente con opciones de seguridad de WPA*-Personal (TKIP) o WPA2*-Personal (TKIP)

El Modo personal WPA requiere la configuración manual de una clave precompartida (PSK) en el punto de acceso y los clientes. PSK autentica la contraseña o código de identificación de un usuario, tanto en la estación cliente como en el punto de acceso. No se necesita un servidor de autenticación. El Modo personal WPA está diseñado para los entornos domésticos y de pequeña empresa.

WPA2 es la segunda generación de seguridad de WPA que ofrece a los usuarios inalámbricos de empresa y consumidor un nivel de garantía tan alto que sólo los usuarios autorizados pueden acceder a sus redes inalámbricas. WPA2 proporciona un mecanismo de codificación más sólido mediante Estándar de codificación avanzada (AES), que es un requisito para algunos usuarios corporativos y gubernamentales.

Para configurar un perfil con autenticación de red de WPA Personal y codificación de datos de TKIP:

  1. En la ventana principal de Intel(R) PROSet/Wireless, haga doble clic en una red de infraestructura en la Lista de redes inalámbricas o seleccione la red y haga clic en Conectar.
  2. Haga clic en Perfiles para acceder a la Lista de perfiles.
  3. Haga clic en Propiedades para abrir las Opciones generales del perfil inalámbrico. Aparece el nombre del perfil y el nombre de la red inalámbrica (SSID). Se debe seleccionar Red (Infraestructura) como el Modo de operación.
  4. Haga clic en Siguiente para abrir las Opciones de seguridad.
  5. Seguridad personal está seleccionado de forma predeterminada.
  6. Opciones de seguridad: Seleccione WPA - Personal (TKIP) para proporcionar seguridad a una red de pequeña empresa o entorno doméstico. Se utiliza una contraseña denominada clave precompartida (PSK). Cuanto más larga sea la contraseña, más robusta será la seguridad de la red inalámbrica.

Si el punto de acceso o enrutador inalámbrico es compatible con WPA2 - Personal, debe activarlo en el punto de acceso y utilizar una contraseña extensa y robusta. Cuanto más larga sea la contraseña, más robusta será la seguridad de la red inalámbrica. La misma contraseña utilizada en el punto de acceso debe utilizarse en este equipo y en todos los demás dispositivos inalámbricos que tienen acceso a la red inalámbrica.

NOTA: WPA - Personal y WPA2 - Personal son interoperables.

  1. Contraseña de seguridad inalámbrica (clave de codificación): Escriba una frase de texto de 8 a 63 caracteres. Verifique que la clave de red coincide con la contraseña del punto de acceso inalámbrico.
  2. Haga clic en Aceptar para regresar a la Lista de perfiles.

Configurar un cliente con opciones de seguridad de WPA Personal (AES-CCMP) o WPA2 Personal (AES-CCMP)

El Acceso protegido Wi-Fi (WPA) es una mejora de la seguridad que aumenta considerablemente el nivel de protección de datos y el control del acceso a una red inalámbrica. WPA impone la autenticación y el intercambio de claves de 802.1X y funciona sólo con claves de codificación dinámicas. Para un usuario doméstico o una pequeña empresa, WPA - Personal utiliza Estándar de codificación avanzada - Protocolo CBC-MAC contrario (AES-CCMP) o Protocolo de integridad de claves temporal (TKIP).

NOTA: En el caso del adaptador Intel(R) Wireless WiFi Link 4965AGN, para alcanzar velocidades de transferencia superiores a los 54 Mbps en conexiones 802.11n, debe seleccionarse la seguridad WPA2-AES. Se puede optar por no utilizar seguridad (Ninguno) para poder configurar la red y solucionar problemas en ella.

Para crear un perfil con autenticación de red WPA2 - Personal y codificación de datos AES-CCMP:

  1. En la ventana principal de Intel(R) PROSet/Wireless, haga doble clic en una red de infraestructura en la Lista de redes inalámbricas o seleccione la red y haga clic en Conectar.
  2. Haga clic en Propiedades para abrir las Opciones generales del perfil inalámbrico. Aparece el nombre del perfil y el nombre de la red inalámbrica (SSID). Se debe seleccionar Red (Infraestructura) como el Modo de operación.
  3. Haga clic en Siguiente para abrir las Opciones de seguridad.
  4. Seguridad personal está seleccionado de forma predeterminada.
  5. Opciones de seguridad: Seleccione WPA2 - Personal (AES-CCMP) para proporcionar este nivel de seguridad en entornos de redes pequeñas o domésticas. Utiliza una contraseña que también se conoce como clave precompartida (PSK). Cuanto más larga sea la contraseña, más robusta será la seguridad de la red inalámbrica.

AES-CCMP (Estándar de codificación avanzada - Protocolo CBC-MAC contrario) es el nuevo método de protección de la privacidad en transmisiones inalámbricas especificado en el estándar IEEE 802.11i. AES-CCMP ofrece un método de codificación más robusto que TKIP. Elija AES-CCMP como el método de codificación de datos siempre que sea necesaria una protección de datos sólida.

Si el punto de acceso o enrutador inalámbrico es compatible con WPA2 - Personal, debe activarlo en el punto de acceso y utilizar una contraseña extensa y robusta. La misma contraseña utilizada en el punto de acceso debe utilizarse en este equipo y en todos los demás dispositivos inalámbricos que tienen acceso a la red inalámbrica.

NOTA: WPA - Personal y WPA2 - Personal son interoperables.

Es probable que el sistema operativo del equipo no admita algunas soluciones de seguridad. Quizás necesite software o hardware adicional, así como compatibilidad con la infraestructura de LAN inalámbrica. Póngase en contacto con el fabricante del equipo para más detalles.

  1. Contraseña: Contraseña de seguridad inalámbrica (clave de codificación): Escriba una frase de texto (la longitud está entre 8 y 63 caracteres). Verifique que la clave de red utilizada coincide con la clave de punto de acceso inalámbrico.
  2. Haga clic en Aceptar para regresar a la Lista de perfiles.

Seguridad empresarial

En la página Opciones de seguridad puede especificar las opciones de seguridad requeridas para las redes inalámbricas seleccionadas.

Utilice Seguridad empresarial si su entorno de red requiere autenticación 802.1X.

Opciones de seguridad empresarial

Descripción de las Opciones de seguridad empresarial

Nombre Parámetro
Seguridad empresarial

Seleccione esta opción para abrir las Opciones de seguridad empresarial.
Autenticación de redes

Seleccione uno de los siguientes métodos de autenticación:
Codificación de datos

Haga clic para abrir los siguientes tipos de codificación de datos:
Activar 802.1X (tipo de autenticación) Haga clic para abrir los siguientes tipos de autenticación 802.1X:
Opciones Cisco Haga clic aquí para ver Cisco Compatible Extensions.

NOTA: Las Cisco Compatible Extensions se activan automáticamente para los perfiles CKIP y LEAP.
botón Avanzadas Seleccione esta opción para acceder a Opciones avanzadas para configurar las opciones siguientes:
Credenciales del usuario

Un perfil configurado para la autenticación TTLS, PEAP o EAP-FAST requiere uno de los siguientes métodos de autenticación de inicio de sesión:

Usar el inicio de sesión de Windows: Las credenciales 802.1X coinciden con el nombre de usuario y la contraseña de Windows. Antes de establecer conexión, se piden las credenciales de inicio de sesión de Windows.

NOTA: Esta opción no está disponible si Conexión previa al inicio de sesión no se ha seleccionado durante la instalación del software Intel(R) PROSet/Wireless. Consulte Instalación y desinstalación de la función de Inicio único de sesión.

NOTA: Para perfiles LEAP, esta opción consta como Usar el nombre de usuario y la contraseña de Windows.

Pedir al establecer conexión: Pide el nombre de usuario y la contraseña cada vez que inicia una sesión en la red inalámbrica.

NOTA: Para perfiles LEAP, esta opción consta como Pedir el nombre de usuario y la contraseña.

Utilizar lo siguiente: Utilice sus credenciales guardadas para iniciar una sesión en la red.

  • Nombre de usuario: Este nombre de usuario debe coincidir con el que definió el administrador en el servidor de autenticación antes de la autenticación del cliente. El nombre de usuario distingue entre mayúsculas y minúsculas. Este nombre especifica la identidad proporcionada al autenticador por el protocolo de autenticación que opera sobre el túnel TLS. La identidad se transmite de forma segura al servidor sólo después de haber establecido un canal codificado.
  • Dominio: Nombre del dominio del servidor de autenticación. El nombre del servidor identifica al dominio o a uno de sus subdominios (por ejemplo, zeelans.com, donde el servidor es blueberry.zeelans.com).
  • Contraseña: Especifica la contraseña de usuario. Los caracteres de la contraseña se muestran como asteriscos. Esta contraseña debe coincidir con la que se definió en el servidor de autenticación.
  • Confirmar contraseña: Vuelva a escribir la contraseña de usuario.

NOTA: Comuníquese con el administrador para obtener el nombre del dominio.

NOTA: Para perfiles LEAP, esta opción consta como Usar el nombre de usuario y la contraseña siguientes.
Opciones del servidor

Seleccione uno de los siguientes métodos de recuperación de credenciales:

Validar certificado de servidor: Seleccione esta opción para verificar el certificado de servidor.

Emisor de certificado: El certificado de servidor recibido durante el intercambio de mensajes TLS debe haber sido emitido por esta autoridad de certificación (CA). Las autoridades de certificación intermedias de confianza y las autoridades de raíz cuyos certificados existen en el almacenamiento del sistema están disponibles para su selección. Si se selecciona Cualquier CA de confianza, cualquier CA de la lista es aceptable. Haga clic en Cualquier CA segura como opción predeterminada o seleccione un emisor de certificado en la lista.

Especifique el nombre de servidor o certificado: Escriba el nombre del servidor.

El nombre de servidor o el dominio al que pertenece el servidor. Depende de la opción que se haya seleccionado de las siguientes.

  • El nombre del servidor debe coincidir con el nombre especificado: Si se selecciona, el nombre de servidor debe coincidir de forma exacta con el que se encuentra en el certificado. El nombre del servidor debe incluir el nombre completo del dominio (por ejemplo, servidor.dominio).
  • El nombre del dominio debe finalizar con la entrada especificada: Cuando se selecciona, el campo nombre de servidor identifica un dominio y el certificado debe contener el nombre de servidor que pertenece al dominio o a uno de sus subdominios (por ejemplo, dominio.com, donde el servidor es servidor.dominio.com).

NOTA: Estos parámetros deben obtenerse del administrador.
Opciones de certificado Para obtener un certificado para la autenticación TLS, seleccione una de las siguientes opciones:

Utilizar mi tarjeta inteligente: Seleccione esta opción si el certificado reside en una tarjeta inteligente.

Utilizar el certificado emitido para este equipo: Selecciona un certificado que reside en el almacén del equipo.

Utilizar un certificado de usuario en este equipo: Haga clic en Seleccionar para elegir un certificado que resida en este equipo.

NOTA: Intel(R) PROSet/Wireless es compatible con los certificados de equipos. No obstante, no aparecen en las listas de certificados.

Notas sobre los certificados: La identidad especificada debe coincidir con la identidad Emitido para en el certificado y debe registrarse en el servidor de autenticación (por ejemplo, el servidor RADIUS) que utiliza el autenticador. El certificado debe ser válido con respecto al servidor de autenticación. Este requisito depende del servidor de autenticación y por lo general significa que el servidor de autenticación debe conocer al emisor del certificado como autoridad de certificación. Utilice el mismo nombre de usuario que usó para iniciar sesión cuando se instaló el certificado.
Atrás Regresa a la página anterior del Asistente Crear perfil inalámbrico.
Siguiente Regresa a la página siguiente del Asistente Crear perfil inalámbrico. Si se requiere mayor información de seguridad, se muestra el paso siguiente en la página Seguridad.
Aceptar Cierra el Asistente Crear perfil inalámbrico y guarda el perfil.
Cancelar Cierra el Asistente Crear perfil inalámbrico y cancela los cambios hechos.
Ayuda Ofrece la información de ayuda de la página actual.

Configurar perfiles de redes de infraestructura

Una red de infraestructura consiste de uno o más puntos de acceso en uno o más equipos con adaptadores inalámbricos instalados. Cada punto de acceso debe tener una conexión con cables a una red inalámbrica.

Configurar un cliente con Autenticación de red abierta o compartida

Cuando se utiliza la autenticación de Clave compartida , se supone que cada estación inalámbrica recibió una clave compartida secreta a través de un canal seguro que es independiente del canal de comunicación de red inalámbrica 802.11. La autenticación de clave compartida requiere que el cliente configure una clave CKIP o WEP estática. El acceso al cliente se otorga sólo si el cliente satisface la autenticación basada en desafío. CKIP proporciona una codificación de datos más sólida que WEP, pero no es compatible con todos los sistemas operativos y puntos de acceso.

NOTA: Mientras que la clave compartida podría parecer la mejor opción para un nivel de seguridad superior, se crea una flaqueza conocida mediante la clara transmisión de texto de la cadena de desafío al cliente. Cuando un invasor detecta la cadena de desafío, se puede hacer ingeniería inversa de la clave de autenticación compartida. Por lo tanto, la autenticación abierta es realmente, y contrariamente a lo que pudiera parecer, más segura. Para crear un perfil con autenticación compartida:

  1. Haga clic en Perfiles en la ventana principal de Intel(R) PROSet/Wireless.
  2. En la página Perfil, haga clic en Agregar para abrir las Opciones generales de creación de perfiles inalámbricos.
  3. Nombre del perfil: Escriba un nombre de perfil descriptivo.
  4. Nombre de la red inalámbrica (SSID): Escriba el identificador de red.
  5. Modo de operación: Haga clic en Red (infraestructura).
  6. Haga clic en Siguiente para acceder a las Opciones de seguridad.
  7. Seleccione Seguridad empresarial.
  8. Autenticación de redes: Seleccione Compartida. La autenticación compartida se logra con una clave WEP preconfigurada.
  9. Codificación de datos: Seleccione Ninguna, WEP (64 o 128 bits) o CKIP (64 o 128 bits).
  10. Activar 802.1X: Desactivado.
  11. Nivel de cifrado: 64 o 128 bits: Cuando se cambie entre la codificación de 64 y 128 bits, se borran las configuraciones anteriores y debe indicarse una nueva clave.
  12. Contraseña de seguridad inalámbrica (clave de codificación): Escriba la contraseña de red inalámbrica (clave de codificación WEP). Esta contraseña es el mismo valor utilizado por el punto de acceso o enrutador inalámbrico. Comuníquese con el administrador para obtener la contraseña.
Nombre Descripción
Contraseña

Escriba la contraseña de seguridad inalámbrica (frase de autenticación) o clave de codificación (clave WEP).
Frase de autenticación (64 bits)

Escriba cinco (5) caracteres alfanuméricos, 0-9, a-z o A-Z.
Clave WEP (64 bits)

Utilice 10 caracteres hexadecimales, 0-9, A-F.
Frase de autenticación (128 bits)

Utilice 13 caracteres alfanuméricos, 0-9, a-z o A-Z.
Clave WEP (128 bits)

Utilice 26 caracteres hexadecimales, 0-9, A-F.
  1. Índice de claves: Seleccione 1,2, 3 o 4. Cambie el Índice de claves para especificar hasta cuatro contraseñas.
  2. Haga clic en Aceptar.

Configurar un cliente con autenticación de red WPA*-Empresa o WPA2*-Empresa

WPA2-Empresa requiere un servidor de autenticación.

NOTA: WPA - Empresa y WPA2 - Empresa son interoperables.

Para agregar un perfil que utiliza autenticación de WPA-Empresa o WPA2-Empresa:

  1. Pida al administrador que le asigne un nombre de usuario y una contraseña en el servidor RADIUS.
  2. Algunos tipos de autenticación requieren que obtenga e instale un certificado de cliente. Consulte Configuración del cliente para la Autenticación TLS o comuníquese con el administrador.
  3. Haga clic en Perfiles en la ventana principal de Intel(R) PROSet/Wireless.
  4. En la página Perfil, haga clic en Agregar para abrir las Opciones generales de creación de perfiles inalámbricos.
  5. Nombre del perfil: Escriba un nombre de perfil descriptivo.
  6. Nombre de la red inalámbrica (SSID): Escriba el identificador de red.
  7. Modo de operación: Haga clic en Red (infraestructura).
  8. Haga clic en Siguiente.
  9. Seleccione Seguridad empresarial.
  10. Autenticación de redes: Seleccione WPA-Empresa o WPA2-Empresa.
  11. Codificación de datos: Seleccione uno de los siguientes:
  12. Activar 802.1X: Seleccionado.
  13. Tipo de autenticación: Seleccione uno de los siguientes: EAP-SIM, LEAP, TLS, TTLS, PEAP, EAP-FAST.

Configurar un cliente con autenticación de red EAP-SIM

EAP-SIM utiliza una clave WEP dinámica basada en sesión, que se deriva del adaptador del cliente y el servidor RADIUS, para codificar datos. EAP-SIM requiere que el usuario escriba un código de verificación del usuario, o Número de identificación personal (PIN), para la comunicación con la tarjeta de Módulo de identidad de abonado (SIM). La tarjeta SIM es una tarjeta inteligente especial que se utiliza en redes digitales de telefonía móvil basadas en Global System for Mobile Communications (GSM). Para agregar un perfil con autenticación EAP-SIM:

  1. En la página Perfil, haga clic en Agregar para abrir las Opciones generales de creación de perfiles inalámbricos.
  2. Nombre del perfil: Escriba un nombre de perfil.
  3. Nombre de la red inalámbrica (SSID): Escriba el identificador de red.
  4. Modo de operación: Haga clic en Red (infraestructura).
  5. Haga clic en Siguiente para acceder a las Opciones de seguridad.
  6. Seleccione Seguridad empresarial.
  7. Autenticación de redes: Seleccione Abierta (recomendado).
  8. Codificación de datos: Seleccione WEP.
  9. Haga clic en Activar 802.1X.
  10. Tipo de autenticación: Seleccione EAP-SIM.

La autenticación EAP-SIM se puede utilizar con:

Usuario EAP-SIM (optativo)

  1. Especifique el nombre de usuario (identidad): Haga clic para especificar el nombre de usuario.
  2. Haga clic en Aceptar.

Configurar un cliente con autenticación de red TLS

Estas opciones definen el protocolo y las credenciales utilizadas para autenticar un usuario. La autenticación de Seguridad de nivel de transporte (TLS) es un método de autenticación de dos vías que utiliza exclusivamente certificados digitales para verificar la identidad de un cliente y un servidor.

Para agregar un perfil con autenticación TLS:

  1. Haga clic en Perfiles en la ventana principal de Intel(R) PROSet/Wireless.
  2. En la página Perfil, haga clic en Agregar para abrir las Opciones generales de creación de perfiles inalámbricos.
  3. Nombre del perfil: Escriba un nombre de perfil descriptivo.
  4. Nombre de la red inalámbrica (SSID): Escriba el identificador de la red.
  5. Modo de operación: Haga clic en Red (infraestructura).
  6. Haga clic en Siguiente para acceder a las Opciones de seguridad.
  7. Seleccione Seguridad empresarial.
  8. Autenticación de redes: Seleccione WPA-Empresa o WPA2-Empresa.
  9. Codificación de datos: Seleccione AES-CCMP (recomendado).
  10. Activar 802.1X: Seleccionado.
  11. Tipo de autenticación: Seleccione TLS para utilizarlo en la conexión.

Usuario TLS

Paso 1 de 2: Usuario TLS

  1. Obtenga e instale un certificado de cliente; consulte Configuración del cliente para la Autenticación TLS o consulte con el administrador de sistemas.
  2. Seleccione uno de los siguientes para obtener un certificado: Utilizar mi tarjeta inteligente, Utilizar el certificado emitido para este equipo o Utilizar un certificado de usuario en este equipo.
  3. Haga clic en Siguiente para abrir las Opciones de servidor de TLS.

Servidor TLS

Paso 2 de 2: Servidor TLS

  1. Seleccione uno de los siguientes métodos de recuperación de credenciales: Validar certificado de servidor o Especificar nombre de servidor o certificado.
  2. Haga clic en Aceptar. El perfil se añade a la Lista de perfiles.
  3. Haga clic en el perfil nuevo en la parte final de la Lista de perfiles. Utilice las flechas de arriba y abajo para cambiar la prioridad del perfil nuevo.
  4. Haga clic en Conectar para establecer conexión con la red inalámbrica seleccionada.
  5. Haga clic en Aceptar para cerrar Intel(R) PROSet/Wireless.

Configurar un cliente con autenticación de red TTLS

Autenticación TTLS: Estas opciones definen el protocolo y las credenciales utilizadas para autenticar un usuario. El cliente utiliza EAP-TLS para validar el servidor y crear un canal TLS codificado entre el cliente y el servidor. El cliente puede utilizar otro protocolo de autenticación, por lo general protocolos basados en contraseñas. Los paquetes de desafío y respuesta se envían a través del canal TLS codificado no expuesto. El ejemplo siguiente describe el uso de WPA con la codificación AES-CCMP y la autenticación TTLS.

Para configurar un cliente con Autenticación de red TTLS:

  1. Haga clic en Perfiles en la ventana principal de Intel(R) PROSet/Wireless.
  2. En la página Perfil, haga clic en Agregar para abrir las Opciones generales de creación de perfiles inalámbricos.
  3. Nombre del perfil: Escriba un nombre de perfil descriptivo.
  4. Nombre de la red inalámbrica (SSID): Escriba el identificador de red.
  5. Modo de operación: Haga clic en Red (infraestructura).
  6. Haga clic en Siguiente para acceder a las Opciones de seguridad.
  7. Seleccione Seguridad empresarial.
  8. Autenticación de redes: Seleccione WPA-Empresa o WPA2-Empresa.
  9. Codificación de datos: Seleccione uno de los siguientes:
  10. Activar 802.1X: Seleccionado.
  11. Tipo de autenticación: Seleccione TTLS para utilizarlo en la conexión.

Paso 1 de 2: Usuario TTLS

  1. Protocolo de autenticación: Este parámetro especifica el protocolo de autenticación que opera sobre el túnel TTLS. Los protocolos son: PAP (predeterminado), CHAP, MS-CHAP y MS-CHAP-V2. Consulte Descripción de seguridad, si desea más información.
  2. Credenciales de usuario: Para los protocolos PAP, CHAP, MS-CHAP y MS-CHAP-V2, seleccione uno de estos métodos de autenticación: Usar el inicio de sesión de Windows, Pedir al establecer conexión o Utilizar lo siguiente.
  3. Identidad de itinerancia: Este campo puede rellenarse con una Identidad de itinerancia, o puede utilizar %domain%\%username% como formato predeterminado para especificar una identidad de itinerancia.

Cuando se utiliza 802.1X Microsoft IAS RADIUS como servidor de autenticación, éste autentica el dispositivo haciendo uso de la Identidad de itinerancia del software Intel(R) PROSet/Wireless y hace caso omiso del nombre de usuario Protocolo de autenticación MS-CHAP-V2. Microsoft IAS RADIUS acepta sólo un nombre de usuario válido (usuario dotNet) para la Identidad de itinerancia. Para los demás servidores de autenticación, la Identidad de itinerancia es optativa. Por lo tanto, se recomienda utilizar el dominio deseado (por ejemplo, anónimo@midominio) para la Identidad de itinerancia en lugar de una identidad real.

  1. Haga clic en Siguiente para acceder a las Opciones de servidor de TTLS.

Paso 2 de 2: Servidor TTLS

  1. Seleccione uno de los siguientes métodos de recuperación de credenciales: Validar certificado de servidor o Especificar nombre de servidor o certificado.
  2. Haga clic en Aceptar para guardar la configuración y cerrar la página.

Configurar un cliente con autenticación de red PEAP

Autenticación PEAP: Se requieren las opciones PEAP para la autenticación del cliente en el servidor de autenticación. El cliente utiliza EAP-TLS para validar el servidor y crear un canal TLS codificado entre el cliente y el servidor. El cliente puede utilizar otro mecanismo EAP, tal como Microsoft Challenge Authentication Protocol (MS-CHAP) versión 2, sobre este canal codificado para activar la validación del servidor. Los paquetes de desafío y respuesta se envían a través del canal TLS codificado no expuesto. El ejemplo siguiente describe el uso de WPA con la codificación AES-CCMP o TKIP y la autenticación PEAP.

Configurar un cliente con autenticación PEAP:

Obtenga un certificado de cliente e instálelo. Consulte Configuración del cliente para la Autenticación TLS o comuníquese con el administrador.

  1. Haga clic en Perfiles en la ventana principal de Intel(R) PROSet/Wireless.
  2. En la página Perfil, haga clic en Agregar para abrir las Opciones generales de creación de perfiles inalámbricos.
  3. Nombre del perfil: Escriba un nombre de perfil descriptivo.
  4. Nombre de la red inalámbrica (SSID): Escriba el identificador de red.
  5. Modo de operación: Haga clic en Red (infraestructura).
  6. Haga clic en Siguiente para acceder a las Opciones de seguridad.
  7. Seleccione Seguridad empresarial.
  8. Autenticación de redes: Seleccione WPA-Empresa o WPA2-Empresa.
  9. Codificación de datos: Seleccione uno de los siguientes:
  10. Activar 802.1X: Seleccionado.
  11. Tipo de autenticación: Seleccione PEAP para utilizarlo en la conexión.

Paso 1 de 2: Usuario PEAP

PEAP depende de la Seguridad del nivel de transporte (TLS) para permitir los tipos de autenticación sin codificación, tales como las tarjetas de testigo genérico EAP (GTC) y las contraseñas únicas.

  1. Protocolo de autenticación: Seleccione GTC, MS-CHAP-V2 (predeterminado) o TLS. Consulte Protocolos de autenticación.
  2. Credenciales de usuario: Seleccione uno de los siguientes: Usar el inicio de sesión de Windows, Pedir al establecer conexión o Utilizar lo siguiente.
  3. Identidad de itinerancia: Este campo puede rellenarse con una Identidad de itinerancia, o puede utilizar %domain%\%username% como formato predeterminado para especificar una identidad de itinerancia.

Cuando se utiliza 802.1X Microsoft IAS RADIUS como servidor de autenticación, éste autentica el dispositivo haciendo uso de la Identidad de itinerancia del software Intel(R) PROSet/Wireless y hace caso omiso del nombre de usuario Protocolo de autenticación MS-CHAP-V2. Microsoft IAS RADIUS acepta sólo un nombre de usuario válido (usuario dotNet) para la Identidad de itinerancia. Para los demás servidores de autenticación, la Identidad de itinerancia es optativa. Por lo tanto, se recomienda utilizar el dominio deseado (por ejemplo, anónimo@midominio) para la Identidad de itinerancia en lugar de una identidad real.

Configuración de la Identidad de itinerancia para admitir varios usuarios

Si utiliza un perfil común/previo al inicio de sesión que requiera que la identidad de itinerancia se base en las credenciales de inicio de sesión de Windows, el creador del perfil podrá agregar una identidad de itinerancia que emplee %username% y %domain%. La identidad de itinerancia es analizada y la información de inicio de sesión pertinente se sustituye con las palabras clave. Esto permite una flexibilidad máxima a la hora de configurar la identidad de itinerancia y permitir que varios usuarios compartan el perfil.

Consulte la guía del usuario del servidor de autenticación para obtener instrucciones sobre el formato de una identidad de itinerancia adecuada. Los formatos posibles son:

Si la identidad de itinerancia está en blanco, el formato predeterminado es %domain%\%username%.

Notas sobre las credenciales: El nombre de usuario y el dominio deben coincidir con los definidos por el administrador en el servidor de autenticación antes de la autenticación del cliente. El nombre de usuario distingue entre mayúsculas y minúsculas. Este nombre especifica la identidad proporcionada al autenticador por el protocolo de autenticación que opera sobre el túnel TLS. Esta identidad del usuario se transmite de forma segura al servidor sólo después de haber verificado y establecido un canal codificado.

Protocolos de autenticación: Este parámetro especifica los protocolos de autenticación que operan sobre el túnel TTLS. A continuación encontrará instrucciones sobre cómo configurar un perfil que utilice la autenticación PEAP con

los protocolos de autenticación GTC, MS-CHAP-V2 (predeterminado) o TLS.

Tarjeta de testigo genérico (GTC)

Usuario PEAP

Para configurar una contraseña única:

  1. Protocolo de autenticación: Seleccione GTC (Tarjeta de testigo genérico).
  2. Credenciales de usuario: Seleccione Pedir al establecer conexión.
  3. Mostrar indicador al conectar: Seleccione uno de los siguientes:
Nombre Descripción
Contraseña estática Al establecer la conexión, escriba las credenciales de usuario.
Contraseña temporal (OTP) Obtenga la contraseña de un dispositivo de testigo de hardware.
PIN (testigo lógico) Obtenga la contraseña de un programa de testigo lógico.
  1. Haga clic en Aceptar.

NOTA: La opción Pedir al establecer conexión no está disponible si un administrador ha deseleccionado la opción Credenciales de caché en la Herramienta de administración. Consulte Opciones de administración si desea más información.

Contraseña única

MS-CHAP-V2

Este parámetro especifica el protocolo de autenticación que opera sobre el túnel PEAP.

  1. Credenciales de usuario: Seleccione una de las opciones siguientes: Usar el inicio de sesión de Windows, Pedir al establecer conexión o Utilizar lo siguiente.
  2. Haga clic en Siguiente para abrir las Opciones de servidor de PEAP.

TLS

La autenticación de Seguridad de nivel de transporte es un método de autenticación de dos vías que utiliza exclusivamente certificados digitales para verificar la identidad de un cliente y un servidor.

  1. Obtenga e instale un certificado de cliente; consulte Configuración del cliente para la Autenticación TLS o consulte con el administrador de sistemas.
  2. Seleccione uno de los siguientes para obtener un certificado: Utilizar mi tarjeta inteligente, Utilizar el certificado emitido para este equipo o Utilizar un certificado de usuario en este equipo.
  3. Haga clic en Siguiente para abrir las Opciones de servidor de PEAP.

Paso 2 de 2: Servidor PEAP

Servidor PEAP
  1. Seleccione uno de los siguientes métodos de recuperación de credenciales: Validar certificado de servidor o Especificar nombre de servidor o certificado.
  2. Haga clic en Aceptar. El perfil se añade a la Lista de perfiles.
  3. Haga clic en el perfil nuevo en la parte final de la Lista de perfiles. Utilice las flechas de arriba y abajo para cambiar la prioridad del perfil nuevo.
  4. Haga clic en Conectar para establecer conexión con la red inalámbrica seleccionada.

Si no seleccionó Usar el inicio de sesión de Windows en la página Opciones de seguridad y tampoco configuró las credenciales de usuario, no se guarda ninguna credencial para este perfil. Escriba sus credenciales para autenticar con la red.

  1. Haga clic en Aceptar para cerrar Intel(R) PROSet/Wireless.

Inscripción automática de certificados PEAP-TLS

En las Opciones de la aplicación, seleccione Activar la notificación de certificados TLS rechazados si desea que se emita una advertencia cuando se rechace un certificado PEAP-TLS. Si un certificado tiene una fecha de vencimiento no válida, se le informará que debe realizar una de la acciones siguientes: Se ha detectado un posible problema de autenticación en el perfil <nombre de perfil>. Quizá la fecha de vencimiento del certificado asociado no es válida. Elija una de la opciones siguientes:

Control Descripción
Continuar con los parámetros actuales. Continúa con el certificado actual.
Actualizar manualmente el certificado Se abre la página Seleccionar certificado para que elija otro certificado.
Actualizar automáticamente el certificado según los certificados del almacén local. Esta opción se activa sólo si el almacén local contiene uno o más certificados cuyos campos "emitido para" y "emitido por" coinciden con el certificado actual y cuya "fecha de vencimiento" no ha llegado. Si elige esta opción, la aplicación selecciona el primer certificado válido.
Cerrar sesión para obtener certificado durante el inicio de sesión (no actualiza el perfil y sólo se aplica a certificados configurados para el registro automático). Cierra la sesión del usuario, el cual debe obtener un certificado adecuado en el proceso de inicio de sesión siguiente. El perfil debe actualizarse para seleccionar un certificado nuevo.
Registro automático Se le notifica: Espera mientras el sistema intenta obtener el certificado automáticamente. Haga clic en Cancelar para detener la obtención del certificado.
No es necesario mostrar este mensaje otra vez. El usuario puede evitar este paso en sesiones subsiguientes. Se recuerda la opción seleccionada en las sesiones futuras.

Configurar un cliente con autenticación de red LEAP

LEAP (Protocolo de autenticación ampliable ligero) de Cisco es un tipo de autenticación 802.1X que admite autenticación mutua sólida entre el cliente y un servidor RADIUS. Las opciones de perfiles LEAP incluyen LEAP y CKIP con detección automática de Rogue AP. Configurar un cliente con Autenticación LEAP:

  1. Haga clic en Perfiles en la ventana principal de Intel(R) PROSet/Wireless.
  2. En la página Perfil, haga clic en Agregar. Se abrirán las Opciones generales de Crear perfil inalámbrico.
  3. Nombre del perfil: Escriba un nombre de perfil descriptivo.
  4. Nombre de la red inalámbrica (SSID): Escriba el identificador de red.
  5. Modo de operación: Haga clic en Red (infraestructura).
  6. Haga clic en Siguiente para acceder a las Opciones de seguridad.
  7. Seleccione Seguridad empresarial.
  8. Autenticación de redes: Seleccione WPA-Empresa o WPA2-Empresa.
  9. Codificación de datos: Seleccione uno de los siguientes:
  10. Activar 802.1X: Seleccionado.
  11. Tipo de autenticación: Seleccione LEAP para utilizarlo en la conexión.
  12. Haga clic en Opciones de Cisco.
  13. Haga clic en Activar Cisco Compatible Extensions para activar la seguridad de Cisco Compatible Extensions (CCX) (Permitir itinerancia rápida (CCKM), Activar la gestión del aparato de radio, Activar el modo de celda mixta.).

Extensiones compatibles con Cisco

  1. Haga clic en Activar la gestión del aparato de radio. Utilice la Gestión de radio para detectar los puntos de acceso dudosos.
  2. Haga clic en Aceptar para regresar a las Opciones de seguridad.

Usuario LEAP

Usuario LEAP

  1. Seleccione uno de los siguientes métodos de autenticación: Usar el nombre de usuario y la contraseña de Windows, Pedir el nombre de usuario y la contraseña o Usar el nombre de usuario y la contraseña siguientes.
  2. Haga clic en Aceptar para guardar la configuración y cerrar la página.

Opciones de Cisco Compatible Extensions

Opciones de Cisco: Utilice esta opción para activar o desactivar Gestión del aparato de radio y Modo de celda mixta o Permitir itinerancia rápida (CCKM).

NOTA: Las Cisco Compatible Extensions se activan automáticamente para los perfiles CKIP, LEAP o EAP-FAST. Para ignorar este comportamiento, seleccione o desmarque las opciones de esta página.

Activar Cisco Compatible Extensions: Seleccione para activar las Cisco Compatible Extensions para este perfil de conexión inalámbrica.

Configurar un cliente con autenticación de red EAP-FAST

En Cisco Compatible Extensions, Versión 3 (CCXv3), Cisco añadió soporte para EAP-FAST (Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling), que utiliza PAC (credenciales de acceso protegido) para establecer un túnel autenticado entre un cliente y un servidor.

Cisco Compatible Extensions, Versión 4 (CCXv4) mejora los métodos de suministro para seguridad mejorada y proporciona innovaciones para seguridad, movilidad, calidad de servicio y gestión de red mejoradas.

Cisco Compatible Extensions, versión 3 (CCXv3)

Para configurar un cliente con autenticación EAP-FAST con Cisco Compatible Extensions, versión 3 (CCXv3):

  1. Haga clic en Perfiles en la ventana principal de Intel(R) PROSet/Wireless.
  2. En la página Perfil, haga clic en Agregar para abrir las Opciones generales de creación de perfiles inalámbricos.
  3. Nombre de la red inalámbrica (SSID): Escriba el identificador de red.
  4. Nombre del perfil: Escriba un nombre de perfil descriptivo.
  5. Modo de operación: Haga clic en Red (infraestructura).
  6. Haga clic en Siguiente para abrir las Opciones de seguridad.
  7. Seleccione Seguridad empresarial.
  8. Autenticación de redes: Seleccione WPA-Empresa o WPA2-Empresa.
  9. Codificación de datos: Seleccione uno de los siguientes:
  10. Activar 802.1X: Seleccionado.
  11. Tipo de autenticación: Seleccione EAP-FAST para utilizarla en la conexión.

Suministro EAP-FAST

NOTA: Si la opción de aplicación CCXv4 no se instaló mediante un Paquete de administración, sólo las opciones de usuario de EAP-FAST están disponibles para configuración. Consulte Configuración de usuario EAP-FAST.

Paso 1 de 2: Suministro EAP-FAST

  1. Haga clic en Desactivar las mejoras EAP-FAST (CCXv4) para permitir el suministro dentro de un túnel TLS no autenticado por el servidor (modo de suministro de servidor TLS no autenticado).
  2. Haga clic en Seleccionar servidor para ver cualquier PAC no autenticada que ya haya sido suministrada y que resida en este equipo.

NOTA: Si la PAC suministrada es válida, Intel(R) PROSet/Wireless no indica al usuario la aceptación de la PAC. Si la PAC no es válida, Intel(R) PROSet/Wireless abandona la provisión automáticamente. Se muestra un mensaje de estado en el Visor de sucesos inalámbricos indicando que un administrador puede revisar en el equipo del usuario.

Para importar una PAC:

PAC

  1. Haga clic en Siguiente para seleccionar el método de recuperación de credenciales, o haga clic en Aceptar para guardar la configuración EAP-FAST y volver a la Lista de perfiles. La PAC se utiliza con este perfil inalámbrico.

Paso 2 de 2: Información adicional EAP-FAST

Para realizar la autenticación de cliente en el túnel establecido, un cliente envía un nombre de usuario y contraseña para autenticar y establecer la política de autorización de cliente.

  1. Haga clic en Credenciales del usuario para seleccionar uno de los siguientes métodos de recuperación de credenciales: Usar el inicio de sesión de Windows, Pedir al establecer conexión o Utilizar lo siguiente.
  2. Haga clic en Aceptar para guardar la configuración y cerrar la página. No se requiere la verificación del servidor.

Cisco Compatible Extensions, Versión 4 (CCXv4)

Para configurar un cliente con autenticación EAP-FAST con Cisco Compatible Extensions, versión 4 (CCXv4):

  1. Haga clic en Perfiles en la ventana principal de Intel(R) PROSet/Wireless.
  2. En la página Perfil, haga clic en Agregar para abrir las Opciones generales del Asistente Crear perfil inalámbrico.
  3. Nombre de la red inalámbrica (SSID): Escriba el identificador de red.
  4. Nombre del perfil: Escriba un nombre de perfil descriptivo.
  5. Modo de operación: Haga clic en Red (infraestructura).
  6. Haga clic en Siguiente para abrir las Opciones de seguridad.
  7. Seleccione Seguridad empresarial.
  8. Autenticación de redes: Seleccione WPA-Empresa o WPA2-Empresa.
  9. Codificación de datos: Seleccione uno de los siguientes:
  10. Codificación de datos Seleccione AES-CCMP.
  11. Activar 802.1X: Seleccionado.
  12. Tipo de autenticación: Seleccione EAP-FAST para utilizarla en la conexión.

Paso 1 de 3: Suministro EAP-FAST

Con CCXv4, EAP-FAST admite dos modos de suministro:

NOTA: Modo autenticado por el servidor proporciona ventajas significativas de seguridad sobre el Modo no autenticado por el servidor incluso cuando EAP-MS-CHAP-V2 se utilice como método interno. Esto modo protege los intercambios de EAP-MS-CHAP-V2 de ataques posibles del tipo Man-in-the-Middle al verificar la autenticidad del servidor antes de intercambiar MS-CHAP-V2. Por consiguiente, se prefiere el Modo autenticado por el servidor cuando sea posible. El par de EAP-FAST debe utilizar el Modo autenticado por el servidor siempre que haya un certificado o clave pública disponible para autenticar el servidor y garantizar las mejores prácticas de seguridad.

Suministro de Credenciales de acceso protegido (PAC):

EAP-FAST utiliza una clave PAC para proteger las credenciales de usuario que se intercambian. Todos los autenticadores EAP-FAST son identificados por una Identidad de autoridad (A-ID). El autenticador local envía su A-ID a un cliente de autenticación y el cliente comprueba si hay un A-ID coincidente en su base de datos. Si el cliente no reconoce el A-ID, solicita un PAC nuevo.

NOTA: Si la Credencial de acceso protegido (PAC) proporcionada es válida, Intel(R) PROSet/Wireless no indica al usuario la aceptación de la PAC. Si la PAC no es válida, Intel(R) PROSet/Wireless abandona la provisión automáticamente. Se muestra un mensaje de estado en el Visor de sucesos inalámbricos indicando que un administrador puede revisar en el equipo del usuario.

  1. Compruebe que Desactivar las mejoras de EAP-FAST (CCXv4) no se ha seleccionado. De forma predeterminada se seleccionan las opciones Permitir suministro no autentificado y Permitir suministro autentificado. Una vez se selecciona una PAC del Servidor predeterminado, se puede anular la selección de cualquiera de estos métodos de suministro.
  2. Servidor predeterminado: Ninguna es el valor seleccionado como predeterminado. Haga clic en Seleccionar servidor para seleccionar una PAC del servidor de autoridad PAC o seleccione un servidor de la lista Grupo de servidores. Se abrirá la página de selección del Servidor predeterminado EAP-FAST (Autoridad PAC).

NOTA: Sólo aparecerán grupos de servidores en la lista si ha instalado un Paquete de administración que contenga valores de Grupo A-ID (identificador de autoridad) EAP-FAST.

La distribución de la PAC también se puede completar manualmente (fuera de banda). La provisión manual le permite crear una PAC para un usuario en un servidor ACS y después importarla al equipo de un usuario. Un archivo de PAC se puede proteger con una contraseña, que el usuario necesita introducir durante una importación de PAC.

Para importar una PAC:

  1. Haga clic en Importar para importar una PAC del servidor PAC.
  2. Haga clic en Abrir.
  3. Escriba la contraseña PAC (opcional).
  4. Haciendo clic en OK se cierra la página. La PAC seleccionada se utiliza con este perfil inalámbrico.

EAP-FAST CCXv4 activa el soporte del suministro de otras credenciales más allá de la PAC suministrada actualmente para el establecimiento de túnel. Los tipos de credenciales soportados incluyen el certificado de CA fiable, credenciales de máquina para la autentificación de máquina y credenciales de usuario temporal utilizado para eludir la autentificación de usuario.

Utilizar certificado (Autenticación TLS)

  1. Haga clic en Utilizar certificado (Autenticación TLS).
  2. Haga clic en Protección de identidad si el túnel está protegido.
  3. Seleccione uno de los siguientes:
  4. Nombre de usuario: Escriba el nombre de usuario asignado al certificado de usuario.
  5. Haga clic en Siguiente.

Paso 2 de 3: Información adicional EAP-FAST

Si ha seleccionado Utilizar un certificado (Autenticación TLS) y Utilizar un certificado de usuario en este equipo, haga clic en Siguiente (no se necesita identidad de itinerancia) y continúe en el paso 3 para realizar la configuración de certificado de servidor EAP-FAST. Si no tiene que realizar la configuración de servidor EAP-FAST, haga clic en Aceptar para guardar la configuración y volver a la página Perfiles.

Si ha seleccionado utilizar una tarjeta inteligente, añada la identidad de itinerancia, si es necesario. Haga clic en Aceptar para guardar la configuración y regresar a la página Perfiles.

Si no ha seleccionado Utilizar certificado (Autenticación TLS), haga clic en Siguiente para seleccionar un Protocolo de autenticación. CCXv4 permite que credenciales adicionales o conjuntos cifrados TLS establezcan el túnel.

Protocolo de autenticación: Seleccione GTC o MS-CHAP-V2 (predeterminado).

Tarjeta de testigo genérico (GTC)

GTC puede utilizarse con el Modo autenticado por el servidor. Esto permite que participantes que utilicen otras bases de datos de usuario como LDAP (Lightweight Directory Access Protocol) y tecnología OTP (contraseña de una sola vez) reciban suministro en banda. Sin embargo, sólo puede conseguirse la sustitución cuando se utiliza con los conjuntos cifrados TLS que garantizan la autenticación de usuario.

Para configurar una contraseña única:

  1. Protocolo de autenticación: Seleccione GTC (Tarjeta de testigo genérico).
  2. Credenciales de usuario: Seleccione Pedir al establecer conexión.
  3. Mostrar indicador al conectar: Seleccione uno de los siguientes:
Nombre Descripción
Contraseña estática Al establecer la conexión, escriba las credenciales de usuario.
Contraseña temporal (OTP) Obtenga la contraseña de un dispositivo de testigo de hardware.
PIN (testigo lógico) Obtenga la contraseña de un programa de testigo lógico.
  1. Haga clic en Aceptar.
  2. Seleccione el perfil en la Lista de redes inalámbricas.
  3. Haga clic en Conectar. Cuando se le pida, escriba el nombre de usuario, el dominio y la contraseña única (OTP).
  4. Haga clic en Aceptar.

MS-CHAP-V2

Este parámetro especifica el protocolo de autenticación que opera sobre el túnel PEAP.

  1. Seleccione las credenciales de usuario: Usar el inicio de sesión de Windows, Pedir al establecer conexión o Utilizar lo siguiente.
  2. Identidad de itinerancia: Este campo puede rellenarse con una Identidad de itinerancia, o puede utilizar %domain%\%username% como formato predeterminado para especificar una identidad de itinerancia.

Cuando se utiliza 802.1X Microsoft IAS RADIUS como servidor de autenticación, éste autentica el dispositivo haciendo uso de la Identidad de itinerancia del software Intel(R) PROSet/Wireless y hace caso omiso del nombre de usuario Protocolo de autenticación MS-CHAP-V2. Microsoft IAS RADIUS acepta sólo un nombre de usuario válido (usuario dotNet) para la Identidad de itinerancia. Para los demás servidores de autenticación, la Identidad de itinerancia es optativa. Por lo tanto, se recomienda utilizar el dominio deseado (por ejemplo, anónimo@midominio) para la Identidad de itinerancia en lugar de una identidad real.

Paso 3 de 3: Servidor EAP-FAST

El Modo de suministro de servidor TLS autenticado está soportado mediante un certificado CA fiable, un certificado de servidor autofirmado o claves públicas de servidor y GTC como método EAP interno.

  1. Seleccione uno de los siguientes métodos de recuperación de credenciales: Validar certificado de servidor o Especificar nombre de servidor o certificado.
  2. Haga clic en Aceptar para cerrar las opciones de seguridad.

Configuración de usuario EAP-FAST

NOTA: Si se ha instalado un Paquete de administración en el equipo de un usuario que no aplicó la opción de aplicación Cisco Compatible Extensions, Versión 4, sólo hay opciones de usuario EAP-FAST disponibles para la configuración.

Para configurar un cliente con autenticación EAP-FAST:

  1. Haga clic en Perfiles en la ventana principal de Intel(R) PROSet/Wireless.
  2. En la página Perfil, haga clic en Agregar para abrir las Opciones generales de creación de perfiles inalámbricos.
  3. Nombre de la red inalámbrica (SSID): Escriba el identificador de red.
  4. Nombre del perfil: Escriba un nombre de perfil descriptivo.
  5. Modo de operación: Haga clic en Red (infraestructura).
  6. Haga clic en Siguiente para abrir las Opciones de seguridad.
  7. Haga clic en Seguridad empresarial.
  8. Autenticación de redes: Seleccione WPA-Empresa o WPA2-Empresa.
  9. Codificación de datos: Seleccione uno de los siguientes:
  10. Activar 802.1X: Seleccionado.
  11. Tipo de autenticación: Seleccione EAP-FAST para utilizarla en la conexión.
  12. Haga clic en Opciones de Cisco para seleccionar Permitir itinerancia rápida (CCKM), que permite al adaptador inalámbrico del cliente una itinerancia rápida segura.

Usuario EAP-FAST

Seleccione el método de obtención de credenciales:

  1. Seleccione las credenciales de usuario: Usar el inicio de sesión de Windows, Pedir al establecer conexión o Utilizar lo siguiente.
  2. Permitir la provisión automática de Credenciales de acceso protegido (PAC):

EAP-FAST utiliza una clave PAC para proteger las credenciales de usuario que se intercambian. Todos los autenticadores EAP-FAST son identificados por una Identidad de autoridad (A-ID). El autenticador local envía su A-ID a un cliente de autenticación y el cliente comprueba si hay un A-ID coincidente en su base de datos. Si el cliente no reconoce el A-ID, solicita un PAC nuevo.

Haga clic en el botón PACs para ver cualquier PAC que ya haya sido proporcionada y que resida en este equipo. Ya debe haber obtenido una PAC para deseleccionar la opción Permitir la provisión automática en las Opciones de seguridad.

NOTA: Si la Credencial de acceso protegido (PAC) proporcionada es válida, Intel(R) PROSet/Wireless no indica al usuario la aceptación de la PAC. Si la PAC no es válida, Intel(R) PROSet/Wireless abandona la provisión automáticamente. Se muestra un mensaje de estado en el Visor de sucesos inalámbricos indicando que un administrador puede revisar en el equipo del usuario.

La distribución de la PAC también se puede completar manualmente (fuera de banda). La provisión manual le permite crear una PAC para un usuario en un servidor ACS y después importarla al equipo de un usuario. Un archivo de PAC se puede proteger con una contraseña, que el usuario necesita introducir durante una importación de PAC.

Para importar una PAC:

  1. Haga clic en PACs para abrir la lista de Credenciales de acceso protegido (PAC).
  2. Haga clic en Importar para importar una PC que resida en este equipo o en un servidor.
  3. Seleccione la PAC y haga clic en Abrir.
  4. Escriba la contraseña PAC (opcional).
  5. Haga clic en Aceptar para cerrar esta página. La PAC seleccionada se agrega a la lista de PAC.
  6. Haga clic en Aceptar para guardar las opciones de EAP-FAST y regresar a la lista de Perfiles. La PAC se utiliza con este perfil inalámbrico.

Volver al inicio

Volver al índices

Marcas comerciales y cláusula de exención de la responsabilidad