Zpět na obsah

Nastavení zabezpečení profilu

Použití aplikace Intel(R) PROSet/Wireless
Osobní zabezpečení
Nastavení osobního zabezpečení
Nastavení šifrování dat a ověření totožnosti

Podnikové zabezpečení
Nastavení podnikového zabezpečení

Použití aplikace Intel(R) PROSet/Wireless

Následující části popisují způsob použití aplikace Intel(R) PROSet/Wireless k natavení požadovaného zabezpečení bezdrátového adaptéru. Viz Osobní zabezpečení.

Jsou zde také uvedeny informace o způsobu konfigurace rozšířeného nastavení zabezpečení bezdrátového adaptéru. Tyto postupy vyžadují informace od správce systému (podnikové prostředí) nebo rozšířené nastavení zabezpečení přístupového bodu (domácí uživatelé). Viz Podnikové zabezpečení.

Všeobecné informace o nastavení zabezpečení jsou uvedeny v části Přehled zabezpečení.

Osobní zabezpečení

Osobní zabezpečení použijte, jste-li domácí uživatel nebo malý podnik, který může chránit bezdrátové připojení pomocí různých jednoduchých postupů zabezpečení. Vyberte v seznamu nastavení zabezpečení, které nevyžaduje instalaci rozsáhlé infrastruktury bezdrátové sítě. Server RADIUS nebo AAA není vyžadován.

POZNÁMKA: Možnosti osobního zabezpečení v Nástroji správce nejsou k dispozici při vytváření profilů správce pro systém Windows Vista*.

Nastavení osobního zabezpečení

Popis okna Nastavení osobního zabezpečení

Název Nastavení

Osobní zabezpečení

Výběrem zobrazíte nastavení osobního zabezpečení. Dostupné možnosti zabezpečení závisí na provozním režimu vybraném okně Vytvořit profil bezdrátové sítě – Nastavení zabezpečení.

Zařízení-zařízení (ad hoc): Režim zařízení-zařízení (rovněž ad hoc) umožňuje výměnu informací přímo mezi bezdrátovými počítači. Režim ad hoc lze použít k vytvoření sítě více počítačů doma, v malé firmě nebo k vytvoření dočasné bezdrátové sítě při schůzce.

POZNÁMKA: Sítě Zařízení-zařízení (ad hoc) jsou v seznamu bezdrátových sítí a profilů označeny obrázkem notebooku (notebook).

Síť (infrastruktura): Síť typu infrastruktura sestává z jednoho nebo více přístupových bodů a jednoho nebo více počítačů s nainstalovanými bezdrátovými adaptéry. Alespoň jeden přístupový bod by také měl mít kabelové připojení. V případě domácích uživatelů se obvykle jedná o širokopásmovou nebo kabelovou síť.

POZNÁMKA: Sítě typu infrastruktura jsou v seznamu bezdrátových sítí a profilů označeny obrázkem přístupového bodu (přístupový bod).

Nastavení zabezpečení

Jestliže konfigurujete profil pro síť zařízení-zařízení (ad hoc), vyberte jedno z následujících nastavení šifrování dat:

Jestliže konfigurujete profil Síť (infrastruktura), vyberte možnost:

Tlačítko Upřesnit

 Klepnutím na toto tlačítko zobrazíte okno Upřesnit nastavení, kde můžete nakonfigurovat následující možnosti:
  • Automatické připojení: Výběrem této možnosti nastavíte automatické nebo ruční připojení k profilu.
  • Automatický import: Správce sítě může exportovat profil do jiného počítače.
  • Povinný přístupový bod: Výběrem této možnosti přidružíte bezdrátový adaptér ke konkrétnímu přístupovému bodu.
  • Ochrana heslem: Zadejte heslo, kterým bude profil chráněn.
  • Spustit aplikaci: Uveďte název programu, který má být spuštěn po navázání bezdrátového připojení.
  • Udržovat připojení: Tuto možnost vyberte, chcete-li po odhlášení udržovat bezdrátové připojení s uživatelským profilem.

Zpět

Zobrazí předchozí stranu v Průvodci profilem.

OK

Zavře Průvodce profilem a uloží profil.

Storno

Zavře Průvodce profilem a zruší veškeré změny.

Nápověda?

Zobrazí informace nápovědy pro aktuální stranu.

Nastavení šifrování dat a ověření totožnosti

V domácí bezdrátové síti můžete chránit bezdrátové připojení pomocí různých jednoduchých postupů zabezpečení. Patří k nim:

Šifrování WPA zajišťuje ochranu dat v síti. Toto šifrování používá tzv. předsdílený šifrovací klíč (PSK) k zašifrování dat před provedením přenosu. Zadejte stejné heslo do všech počítačů a přístupového bodu v domácí nebo malé podnikové síti. K síti nebo k datům, která byla zašifrována a odeslána jinými počítači, mají přístup pouze zařízení se stejným šifrovacím klíčem. Při použití hesla je k šifrování dat automaticky použit protokol TKIP (Temporal Key Integrity Protocol) nebo AES-CCMP.

Síťové klíče

Šifrování WEP poskytuje dva stupně zabezpečení:

K zajištění vyššího zabezpečení používejte 128bitový klíč. Pokud použijete šifrování, všechna bezdrátová zařízení v bezdrátové síti musí používat stejné nastavení šifrování.

Klíč můžete vytvořit sami; dále je třeba zadat délku klíče (64 nebo 128 bitů) a index klíče (umístění, kde je daný klíč uložen). S délkou klíče se zvyšuje jeho bezpečnost.

Délka klíče: 64bitový

Heslo (64bitové): Zadejte 5 alfanumerických znaků, 0-9, a-z nebo A-Z.
Hexadecimální klíč (64bitový): Zadejte 10 šestnáctkových znaků, 0-9, A-F.

Délka klíče: 128bitový

Heslo (128bitové): Zadejte 13 alfanumerických znaků, 0-9, a-z nebo A-Z.
Hexadecimální klíč (128bitový): Zadejte 26 šestnáctkových znaků, 0-9, A-F.

Při použití šifrování dat WEP lze pro bezdrátovou stanici standardu nakonfigurovat až čtyři klíče (hodnoty indexu klíče jsou 1, 2, 3 a 4). Jestliže přístupový bod nebo bezdrátová stanice odesílá zprávu, která byla zašifrována pomocí klíče uloženého v konkrétním indexu, obsahuje odesílaná zpráva informaci o indexu klíče, který byl použit k zašifrování. Příjemce (přístupový bod nebo bezdrátová stanice) může načíst uložený klíč z indexu a použít jej k dekódování zašifrované zprávy.

Nastavení klienta s otevřeným ověřováním a žádným šifrováním dat (možnost Žádné)

Režim zařízení-zařízení (rovněž ad hoc) umožňuje výměnu informací přímo mezi bezdrátovými počítači. Režim ad hoc lze použít k vytvoření sítě více počítačů doma, v malé firmě nebo k vytvoření dočasné bezdrátové sítě při schůzce.

V hlavním okně aplikace Intel(R) PROSet/Wireless použijte některou z následujících metod připojení k síti typu zařízení-zařízení:

Vytvoření profilu připojení k bezdrátové síti bez šifrování:

  1. Klepněte na tlačítko Profily v hlavním okně aplikace Intel(R) PROSet/Wireless.
  2. V seznamu profilů klepnutím na tlačítko Přidat otevřete okno Obecná nastavení profilu bezdrátové sítě.
  3. Název profilu: Zadejte popisný název profilu.
  4. Název bezdrátové sítě (SSID): Zadejte název bezdrátové sítě.
  5. Provozní režim: Klepněte na možnost Zařízení-zařízení (ad hoc).
  6. Klepnutím na tlačítko Další přejděte na stranu Nastavení zabezpečení.
  7. Jako výchozí je vybrána možnost Osobní zabezpečení.
  8. Nastavení zabezpečení: Výchozí nastavení je Žádné, což znamená, že v dané bezdrátové síti není použito žádné zabezpečení.
  9. Klepněte na tlačítko OK. Profil bude přidán do seznamu profilů a adaptér se připojí k bezdrátové síti.

Nastavení klienta se 64bitovým nebo 128bitovým šifrováním dat WEP

Je-li povoleno šifrování dat WEP, používá se k šifrování síťový klíč nebo heslo.

Síťový klíč můžete dostat automaticky (může ho například poskytnout výrobce bezdrátového síťového adaptéru) nebo ho můžete zadat sami a specifikovat jeho délku (64 nebo 128 bitů), formát (znaky ASCII nebo šestnáctkové číslice) a index (umístění, kde je konkrétní klíč uložen). S délkou klíče se zvyšuje jeho bezpečnost.

Přidání síťového klíče k síťovému připojení zařízení-zařízení (ad hoc):

  1. V hlavním okně aplikace Intel(R) PROSet/Wireless poklepejte v seznamu bezdrátových sítí na síť Zařízení-zařízení (ad hoc) nebo vyberte síť a klepněte na tlačítko Připojit.
  2. Klepnutím na tlačítko Profily zobrazte seznam profilů.
  3. Klepnutím na tlačítko Vlastnosti otevřete okno Obecná nastavení profilu bezdrátové sítě. Zobrazí se název profilu a název bezdrátové sítě (SSID). Měl by být vybrán provozní režim Zařízení-zařízení (ad hoc).
  4. Klepnutím na tlačítko Další přejděte na stranu Nastavení zabezpečení.
  5. Jako výchozí je vybrána možnost Osobní zabezpečení.
  6. Nastavení zabezpečení: Výchozí nastavení je Žádné, což znamená, že v dané bezdrátové síti není použito žádné zabezpečení.

Přidání hesla nebo síťového klíče:

  1. Nastavení zabezpečení: Výběrem možnosti WEP 64bitové nebo WEP 128bitové nakonfigurujte šifrování dat WEP s klíčem délky 64 nebo 128 bitů.

    2. Pokud je na přístupovém bodu povoleno šifrování WEP, je přístup k síti ověřován pomocí klíče WEP. Pokud bezdrátové zařízení nemá správný klíč WEP, ani po úspěšném ověření nemůže prostřednictvím přístupového bodu vysílat data nebo dešifrovat data přijatá z přístupového bodu.

Název Popis

Heslo

Zadejte Heslo bezdrátového zabezpečení (textové heslo) nebo Šifrovací klíč (klíč WEP).

Heslo (64bitové)

Zadejte 5 alfanumerických znaků, 0-9, a-z nebo A-Z.

Klíč WEP (64bitový)

Zadejte 10 šestnáctkových znaků, 0-9, A-F.

Heslo (128bitové)

Zadejte 13 alfanumerických znaků, 0-9, a-z nebo A-Z.

Klíč WEP (128bitový)

Zadejte 26 šestnáctkových znaků, 0-9, A-F.
  1. Index klíče: Změnou indexu klíče můžete nakonfigurovat až čtyři hesla.
  2. Klepnutím na tlačítko OK se vraťte na stranu Profily.

Přidání více než jednoho hesla:

  1. Vyberte číslo indexu klíče: 1, 2, 3 nebo 4.
  2. Zadejte Heslo bezdrátového zabezpečení.
  3. Vyberte další číslo indexu klíče.
  4. Zadejte další Heslo bezdrátového zabezpečení.

Nastavení klienta se zabezpečením WPA* – osobní (TKIP) nebo WPA2* – osobní (TKIP)

Osobní režim WPA vyžaduje ruční konfiguraci předsdíleného klíče (PSK) na přístupovém bodu a klientech. Tento klíč PSK ověřuje heslo uživatele nebo identifikační kód, a to na klientské stanici i na přístupovém bodu. Ověřovací server není vyžadován. Osobní režim WPA je určen pro domácí a malé podnikové prostředí.

Šifrování WPA2 je druhou generací zabezpečení WPA, která poskytuje podnikovým i domácím uživatelům bezdrátových sítí vysoký stupeň jistoty, že k jejich bezdrátovým sítím budou moci přistupovat pouze oprávnění uživatelé. Metoda WPA2 poskytuje silnější mechanismus šifrování prostřednictvím standardu AES (Advanced Encryption Standard), který je vyžadován v některých podnikových a vládních sítích.

Konfigurace profilu s ověřením v síti WPA – osobní a šifrováním dat TKIP:

  1. V hlavním okně aplikace Intel(R) PROSet/Wireless poklepejte v seznamu bezdrátových sítí na síť typu infrastruktura nebo vyberte síť a klepněte na tlačítko Připojit.
  2. Klepnutím na tlačítko Profily zobrazte seznam profilů.
  3. Klepnutím na tlačítko Vlastnosti otevřete okno Obecná nastavení profilu bezdrátové sítě. Zobrazí se název profilu a název bezdrátové sítě (SSID). Měl by být vybrán provozní režim Síť (infrastruktura).
  4. Klepnutím na tlačítko Další přejděte na stranu Nastavení zabezpečení.
  5. Jako výchozí je vybrána možnost Osobní zabezpečení.
  6. Nastavení zabezpečení: Vyberte možnost WPA – osobní (TKIP), která poskytuje zabezpečení malým podnikovým sítím nebo domácímu prostředí. Používá se heslo zvané předsdílený klíč (PSK). Čím delší je toto heslo, tím je bezdrátová síť lépe zabezpečena.

Pokud bezdrátový přístupový bod nebo směrovač podporuje šifrování WPA2 – osobní, je třeba jej povolit na přístupovém bodu a zadat dlouhé a bezpečné heslo. Čím delší je toto heslo, tím je bezdrátová síť lépe zabezpečena. Stejné heslo, které zadáte na přístupovém bodu, musíte použít v tomto počítači a ve všech ostatních bezdrátových zařízeních, která přistupují k bezdrátové síti.

POZNÁMKA: Šifrování WPA – osobní a WPA2 – osobní mohou vzájemně spolupracovat.

  1. Heslo bezdrátového zabezpečení (šifrovací klíč): Zadejte textový výraz obsahující 8 až 63 znaků. Ověřte, ze se síťový klíč shoduje s heslem v bezdrátovém přístupovém bodu.
  2. Klepnutím na tlačítko OK se vraťte na stranu Profily.

Nastavení klienta se zabezpečením WPA – osobní (AES-CCMP) nebo WPA2 – osobní (AES-CCMP)

Šifrování WPA (Wi-Fi Protected Access) představuje rozšíření zabezpečení, které podstatně zvyšuje ochranu dat a kontrolu přístupu do bezdrátové sítě. Toto šifrování vyžaduje ověření 802.1X a výměnu klíčů a funguje pouze s dynamickými šifrovacími klíči. V případě domácích uživatelů a malých firem režim WPA – osobní používá protokol AES-CCMP (Advanced Encryption Standard – Counter CBC-MAC) nebo TKIP (Temporal Key Integrity Protocol).

POZNÁMKA: K dosažení přenosových rychlostí vyšších než 54 Mb/s na připojeních 802.11n u adaptéru Intel(R) Wireless WiFi Link 4965AGN je nutné vybrat zabezpečení WPA2-AES. Lze vybrat žádné zabezpečení (Žádné), aby bylo možné provádět nastavení sítě a odstraňování potíží.

Vytvoření profilu s ověřením v síti WPA2 – osobní a šifrováním dat AES-CCMP:

  1. V hlavním okně aplikace Intel(R) PROSet/Wireless poklepejte v seznamu bezdrátových sítí na síť typu infrastruktura nebo vyberte síť a klepněte na tlačítko Připojit.
  2. Klepnutím na tlačítko Vlastnosti otevřete okno Obecná nastavení profilu bezdrátové sítě. Zobrazí se název profilu a název bezdrátové sítě (SSID). Měl by být vybrán provozní režim Síť (infrastruktura).
  3. Klepnutím na tlačítko Další přejděte na stranu Nastavení zabezpečení.
  4. Jako výchozí je vybrána možnost Osobní zabezpečení.
  5. Nastavení zabezpečení: Výběrem možnosti WPA2 – osobní (AES-CCMP) aktivujte tento stupeň zabezpečení pro malé sítě nebo domácí prostředí. Používá heslo, které se rovněž nazývá předsdílený klíč (PSK). Čím delší je toto heslo, tím je bezdrátová síť lépe zabezpečena.

AES-CCMP (Advanced Encryption Standard – Counter CBC-MAC Protocol) je novou metodou ochrany důvěrných informací při bezdrátovém přenosu specifikovanou standardem IEEE 802.11i. Protokol AES-CCMP poskytuje silnější metodu šifrování než protokol TKIP. Metodu ochrany dat AES-CCMP zvolte vždy, když je zapotřebí silná ochrana dat.

Pokud bezdrátový přístupový bod nebo směrovač podporuje šifrování WPA2 – osobní, je třeba jej povolit na přístupovém bodu a zadat dlouhé a bezpečné heslo. Stejné heslo, které zadáte na přístupovém bodu, musíte použít v tomto počítači a ve všech ostatních bezdrátových zařízeních, která přistupují k bezdrátové síti.

POZNÁMKA: Šifrování WPA – osobní a WPA2 – osobní mohou vzájemně spolupracovat.

Některá řešení zabezpečení nemusí být podporována konkrétními operačními systémy. Může být zapotřebí dodatečný software nebo hardware a také podpora infrastruktury bezdrátové sítě LAN. Podrobné informace získáte od výrobce počítače.

  1. Heslo: Heslo bezdrátového zabezpečení (šifrovací klíč): Zadejte textový výraz obsahující 8 až 63 znaků. Ověřte, ze se použitý síťový klíč shoduje s klíčem v bezdrátovém přístupovém bodu.
  2. Klepnutím na tlačítko OK se vraťte na stranu Profily.

Podnikové zabezpečení

Na straně Nastavení zabezpečení můžete provádět požadovaná nastavení zabezpečení pro vybranou bezdrátovou síť.

Podnikové zabezpečení použijte, pokud vaše síťové prostředí vyžaduje ověřování 802.1X.

Nastavení podnikového zabezpečení

Popis okna Nastavení podnikového zabezpečení

Název Nastavení
Podnikové zabezpečení

Výběrem zobrazíte nastavení podnikového zabezpečení.
Ověření v síti

Vyberte jednu z následujících možností ověření:
Šifrování dat

Klepnutím otevřete následující typy šifrování dat:
Povolit 802.1X (typ ověření) Klepnutím otevřete následující typy ověřování 802.1X:
Možnosti Cisco Klepnutím zobrazíte stránku Kompatibilní rozšíření Cisco.

POZNÁMKA: Rozšíření kompatibilní se standardem Cisco (Cisco Compatible Extensions) jsou automaticky povolena pro profily CKIP a LEAP.
Tlačítko Upřesnit Stisknutím tohoto tlačítka zobrazíte okno Upřesnit nastavení, kde můžete nakonfigurovat následující možnosti:
  • Automatické připojení: Výběrem této možnosti nastavíte automatické nebo ruční připojení k profilu.
  • Automatický import: Správce sítě může exportovat profil do jiného počítače.
  • Povinný přístupový bod: Výběrem této možnosti přidružíte bezdrátový adaptér ke konkrétnímu přístupovému bodu.
  • Ochrana heslem: Zadejte heslo, kterým bude profil chráněn.
  • Spustit aplikaci: Uveďte název programu, který má být spuštěn po navázání bezdrátového připojení.
  • Udržovat připojení: Tuto možnost vyberte, chcete-li po odhlášení udržovat bezdrátové připojení s uživatelským profilem.
Pověření uživatele

Profil nakonfigurovaný pro ověřování TTLS, PEAP nebo EAP-FAST vyžaduje jednu z následujících metod ověřování při přihlášení:

Použít přihlášení systému Windows: Pověření 802.1X se shoduje s uživatelským jménem a heslem systému Windows. Před připojením budete vyzvání k zadání přihlašovacích údajů systému Windows.

POZNÁMKA: Tato možnost není k dispozici, pokud jste během instalace softwaru Intel(R) PROSet/Wireless nevybrali možnost Připojení před přihlášením. Viz téma Instalace nebo odinstalování funkce Jednotné přihlášení.

POZNÁMKA: U profilů LEAP je tato možnost uvedena jako Použít přihlašovací jméno a heslo systému Windows.

Zobrazit výzvu při každém připojení: Zobrazení výzvy k zadání uživatelského jména a hesla při každém přihlášení do bezdrátové sítě.

POZNÁMKA: U profilů LEAP je tato možnost uvedena jako Vyzvat k zadání uživatelského jména a hesla.

Použít následující: Použít k přihlášení do sítě uložené pověření.

  • Uživatelské jméno: Toto uživatelské jméno musí být totožné s uživatelským jménem, které před ověřováním klienta nastavil správce na ověřovacím serveru. Uživatelské jméno rozlišuje velká a malá písmena. Tento název určuje identitu, kterou ověřovateli dodal ověřovací protokol, který funguje v tunelu TLS. Identita je bezpečně přenesena na server pouze poté, co byl zřízen šifrovaný kanál.
  • Doména: Název domény ověřovacího serveru. Název serveru označuje doménu nebo některou její poddoménu (například zeelans.com, kde server je blueberry.zeelans.com).
  • Heslo: Specifikuje heslo uživatele. Zadané znaky hesla se zobrazí jako hvězdičky. Toto heslo musí odpovídat heslu nastavenému na ověřovacím serveru.
  • Potvrzení hesla: Zadejte heslo uživatele znovu.

POZNÁMKA: Název domény vám sdělí správce.

POZNÁMKA: U profilů LEAP je tato možnost uvedena jako Použít následující uživatelské jméno a heslo.
Možnosti serveru

Vyberte jednu z následujících metod získání pověření:

Ověřit certifikát serveru: Výběrem této možnosti povolíte ověření certifikátu serveru.

Vydavatel certifikátu: Certifikát serveru přijatý během výměny zpráv TLS musí být vystaven tímto certifikačním úřadem. Vybrat lze důvěryhodné zprostředkované certifikační úřady a kořenové úřady, jejichž certifikáty existují v systémovém úložišti. Vyberete-li možnost Jakýkoli důvěryhodný certifikační úřad, je přijatelný libovolný úřad v seznamu. Klepněte na možnost Jakýkoli důvěryhodný certifikační úřad jako výchozí nebo vyberte vydavatele certifikátu v seznamu.

Zadat název serveru nebo certifikátu: Zadejte název serveru.

Název serveru nebo domény, ke které server patří. Tento údaj závisí na tom, která z následujících možností byla vybrána.

  • Název serveru se musí přesně shodovat s uvedeným zadáním: Vyberte-li tuto možnost, musí název serveru přesně odpovídat názvu serveru uvedenému v certifikátu. Název serveru musí obsahovat úplný název domény (například název_serveru.název_domény).
  • Název domény musí končit uvedeným zadáním: Vyberte-li tuto možnost, název serveru označuje doménu a certifikát musí mít název serveru, který patří do této domény nebo do některé poddomény (například zeelans.com, kde server je blueberry.zeelans.com).

POZNÁMKA: Tyto parametry získáte od správce.
Možnosti certifikátu Chcete-li získat certifikát pro ověřování TLS, vyberte jednu z následujících možností:

Použít moji kartu Smart: Klepněte na tuto možnost, pokud se certifikát nachází na kartě Smart.

Použít certifikát vystavený pro tento počítač: Vybere certifikát, který je uložen v úložišti počítače.

Použít certifikát uživatele v tomto počítači: Klepnutím na tlačítko Vybrat zvolte certifikát, který je uložen v tomto počítači.

POZNÁMKA: Aplikace Intel(R) PROSet/Wireless podporuje certifikáty počítače. Tyto certifikáty však nejsou zobrazeny v seznamech certifikátů.

Poznámky o certifikátech: Specifikovaná identita musí být totožná s identitou Vystaveno pro v certifikátu a musí být zaregistrována na ověřovacím serveru (například serveru RADIUS), který používá ověřovatel. Certifikát musí být platný vůči ověřovacímu serveru. Tento požadavek závisí na ověřovacím serveru a obecně znamená, že ověřovací server musí znát vystavitele certifikátu jako certifikační úřad. Použijte stejné uživatelské jméno, které jste použili k přihlášení při instalaci certifikátu.
Zpět Zobrazí předchozí stranu Průvodce vytvořením profilu bezdrátové sítě.
Další Zobrazí další stranu Průvodce vytvořením profilu bezdrátové sítě. Pokud jsou požadovány další informace o zabezpečení, bude na stránce Zabezpečení zobrazen další krok.
OK Zavře Průvodce vytvořením profilu bezdrátové sítě a uloží profil.
Storno Zavře Průvodce vytvořením profilu bezdrátové sítě a zruší veškeré provedené změny.
Nápověda? Zobrazí informace nápovědy pro aktuální stranu.

Konfigurace profilů pro sítě typu Infrastruktura

Síť typu infrastruktura sestává z jednoho nebo více přístupových bodů a jednoho nebo více počítačů s nainstalovanými bezdrátovými adaptéry. Každý přístupový bod musí mít kabelové připojení k bezdrátové síti.

Nastavení klienta s otevřeným nebo sdíleným ověřováním v síti

Při použití ověřování sdíleným klíčem se předpokládá, že každá bezdrátová stanice obdržela tajný sdílený kód prostřednictvím zabezpečeného kanálu nezávislého na bezdrátovém komunikačním kanálu 802.11. Ověřování pomocí sdíleného klíče vyžaduje, aby klient nakonfiguroval statický klíč WEP nebo CKIP. Přístup je klientovi udělen pouze tehdy, pokud splní podmínky ověřování. Protokol CKIP poskytuje silnější šifrování dat než protokol WEP, ale není podporován všemi operačními systémy a přístupovými body.

POZNÁMKA: Sdílený klíč se může jevit jako lepší možnost poskytující vyšší zabezpečení, existuje zde však slabé místo spočívající v přenosu ověřovacího řetězce klientovi v podobě prostého textu. Pokud útočník zjistí ověřovací řetězec, lze zpětnou analýzou snadno získat sdílený ověřovací klíč. Otevřené ověřování je tak ve skutečnosti (a neintuitivně) bezpečnější. Vytvoření profilu se sdíleným ověřováním:

  1. Klepněte na tlačítko Profily v hlavním okně aplikace Intel(R) PROSet/Wireless.
  2. Na stránce Profil klepnutím na tlačítko Přidat otevřete stránku Obecná nastavení okna Vytvořit profil bezdrátové sítě.
  3. Název profilu: Zadejte popisný název profilu.
  4. Název bezdrátové sítě (SSID): Zadejte identifikátor sítě.
  5. Provozní režim: Klepněte na možnost Síť (Infrastruktura).
  6. Klepnutím na tlačítko Další přejděte na stranu Nastavení zabezpečení.
  7. Vyberte položku Podnikové zabezpečení.
  8. Ověření v síti: Vyberte možnost Sdílené. Sdílené ověřování je prováděno pomocí předem nakonfigurovaného klíče WEP.
  9. Šifrování dat: Vyberte možnost Žádné, WEP (64bitové nebo 128bitové) nebo CKIP (64bitové nebo 128bitové).
  10. Povolit 802.1X: Zakázáno.
  11. Úroveň šifrování: 64bitové nebo 128bitové: Při přepínání mezi 64bitovým a 128bitovým šifrováním budou předchozí nastavení vymazána a je třeba zadat nové heslo.
  12. Heslo bezdrátového zabezpečení (šifrovací klíč): Zadejte heslo bezdrátové sítě (šifrovací klíč WEP). Toto heslo má stejnou hodnotu, jakou používá bezdrátový přístupový bod nebo směrovač. Toto heslo vám sdělí správce sítě.
Název Popis
Heslo

Zadejte Heslo bezdrátového zabezpečení (textové heslo) nebo Šifrovací klíč (klíč WEP).
Heslo (64bitové)

Zadejte 5 alfanumerických znaků, 0-9, a-z nebo A-Z.
Klíč WEP (64bitový)

Zadejte 10 šestnáctkových znaků, 0-9, A-F.
Heslo (128bitové)

Zadejte 13 alfanumerických znaků, 0-9, a-z nebo A-Z.
Klíč WEP (128bitový)

Zadejte 26 šestnáctkových znaků, 0-9, A-F.
  1. Index klíče: Vyberte hodnotu 1,2, 3 nebo 4. Změnou indexu klíče můžete nakonfigurovat až čtyři hesla.
  2. Klepněte na tlačítko OK.

Nastavení klienta s ověřováním v síti WPA* – podniky nebo WPA2* – podniky

Režim WPA2 – podniky vyžaduje ověřovací server.

POZNÁMKA: Šifrování WPA – podniky a WPA2 – podniky mohou vzájemně spolupracovat.

Přidání profilu s ověřováním WPA – podniky nebo WPA2 – podniky:

  1. Získejte od správce systému uživatelské jméno a heslo na server RADIUS.
  2. Některé typy ověřování vyžadují získání a instalaci klientského certifikátu. Další informace najdete v části Nastavení klienta na ověřování TLS nebo se obraťte na správce.
  3. Klepněte na tlačítko Profily v hlavním okně aplikace Intel(R) PROSet/Wireless.
  4. Na stránce Profil klepnutím na tlačítko Přidat otevřete stránku Obecná nastavení okna Vytvořit profil bezdrátové sítě.
  5. Název profilu: Zadejte popisný název profilu.
  6. Název bezdrátové sítě (SSID): Zadejte identifikátor sítě.
  7. Provozní režim: Klepněte na možnost Síť (Infrastruktura).
  8. Klepněte na tlačítko Další.
  9. Vyberte položku Podnikové zabezpečení.
  10. Ověření v síti: Vyberte možnost WPA – podniky nebo WPA2 – podniky.
  11. Šifrování dat: Vyberte jednu z následujících možností:
  12. Povolit 802.1X: Vybrané.
  13. Typ ověření: Vyberte jednu z následujících možností: EAP-SIM, LEAP, TLS, TTLS, PEAP, EAP-FAST.

Nastavení klienta s ověřováním v síti EAP-SIM

Ověřování EAP-SIM používá k šifrování dat dynamický relační klíč WEP, který je odvozen od klientského adaptéru a serveru RADIUS. Šifrování EAP-SIM vyžaduje ke komunikaci s kartou SIM (Subscriber Identity Module) zadání kódu ověření uživatele (Personal Identification Number, PIN). Karta SIM je speciální karta Smart používaná digitálními mobilními sítěmi standardu GSM (Global System for Mobile Communications). Přidání profilu s ověřováním EAP-SIM:

  1. Na stránce Profil klepnutím na tlačítko Přidat otevřete stránku Obecná nastavení okna Vytvořit profil bezdrátové sítě.
  2. Název profilu: Zadejte název profilu.
  3. Název bezdrátové sítě (SSID): Zadejte identifikátor sítě.
  4. Provozní režim: Klepněte na možnost Síť (Infrastruktura).
  5. Klepnutím na tlačítko Další přejděte na stranu Nastavení zabezpečení.
  6. Vyberte položku Podnikové zabezpečení.
  7. Ověření v síti: Vyberte možnost Otevřené (doporučeno).
  8. Šifrování dat: Vyberte možnost WEP.
  9. Klepněte na políčko Povolit 802.1X.
  10. Typ ověření: Vyberte možnost EAP-SIM.

Ověřování EAP-SIM lze kombinovat s následujícími možnostmi:

Uživatel EAP-SIM (volitelné)

  1. Zadat uživatelské jméno (identitu): Klepnutím zadejte uživatelské jméno.
  2. Klepněte na tlačítko OK.

Nastavení klienta s ověřováním v síti TLS

Tato nastavení definují protokol a pověření používané k ověření uživatele. Ověřování TLS (Transport Layer Security) je obousměrná metoda ověřování, která pro ověření identity klienta a serveru používá výhradně digitální certifikáty.

Přidání profilu s ověřováním TLS:

  1. Klepněte na tlačítko Profily v hlavním okně aplikace Intel(R) PROSet/Wireless.
  2. Na stránce Profil klepnutím na tlačítko Přidat otevřete stránku Obecná nastavení okna Vytvořit profil bezdrátové sítě.
  3. Název profilu: Zadejte popisný název profilu.
  4. Název bezdrátové sítě (SSID): Zadejte identifikátor sítě.
  5. Provozní režim: Klepněte na možnost Síť (Infrastruktura).
  6. Klepnutím na tlačítko Další přejděte na stranu Nastavení zabezpečení.
  7. Vyberte položku Podnikové zabezpečení.
  8. Ověření v síti: Vyberte možnost WPA – podniky nebo WPA2 – podniky.
  9. Šifrování dat: Vyberte možnost AES-CCMP (doporučeno).
  10. Povolit 802.1X: Vybrané.
  11. Typ ověření: Vyberte ověřování TLS, které má být použito s tímto připojením.

Uživatel TLS

Krok 1 z 2: Uživatel TLS

  1. Získejte a nainstalujte klientský certifikát. Další informace najdete v části Nastavení klienta na ověřování TLS nebo se obraťte na správce systému.
  2. Vyberte některou z následujících možností získání certifikátu: Použít moji kartu Smart, Použít certifikát vystavený pro tento počítač nebo Použít certifikát uživatele v tomto počítači.
  3. Klepnutím na tlačítko Další přejděte na nastavení Server TLS.

Server TLS

Krok 2 z 2: Server TLS

  1. Vyberte jednu z následujících metod získání pověření: Ověřit certifikát serveru nebo Zadat název serveru nebo certifikátu.
  2. Klepněte na tlačítko OK. Profil bude přidán do seznamu profilů.
  3. Klepněte na nový profil na konci seznamu profilů. Ke změně priority nového profilu použijte šipky nahoru a dolů.
  4. Připojte se k vybrané bezdrátové síti klepnutím na tlačítko Připojit.
  5. Klepnutím na tlačítko OK zavřete okno Intel(R) PROSet/Wireless.

Nastavení klienta s ověřováním v síti TTLS

Ověřování TTLS: Toto nastavení definuje protokol a identifikační informace použité k ověření uživatele. Klient používá protokol EAP-TLS k ověření serveru a vytvoření kanálu se šifrováním TLS mezi klientem a serverem. Klient může použít jiný ověřovací protokol, typicky protokoly založené na heslu. Balíčky s dotazem a odpovědí jsou odesílány šifrovaným neveřejným kanálem TLS. Následující příklad popisuje použití WPA se šifrováním AES-CCMP s použitím ověřování TTLS.

Nastavení klienta s ověřováním v síti TTLS:

  1. Klepněte na tlačítko Profily v hlavním okně aplikace Intel(R) PROSet/Wireless.
  2. Na stránce Profil klepnutím na tlačítko Přidat otevřete stránku Obecná nastavení okna Vytvořit profil bezdrátové sítě.
  3. Název profilu: Zadejte popisný název profilu.
  4. Název bezdrátové sítě (SSID): Zadejte identifikátor sítě.
  5. Provozní režim: Klepněte na možnost Síť (Infrastruktura).
  6. Klepnutím na tlačítko Další přejděte na stranu Nastavení zabezpečení.
  7. Vyberte položku Podnikové zabezpečení.
  8. Ověření v síti: Vyberte možnost WPA – podniky nebo WPA2 – podniky.
  9. Šifrování dat: Vyberte jednu z následujících možností:
  10. Povolit 802.1X: Vybrané.
  11. Typ ověření: Vyberte ověřování TTLS, které má být použito s tímto připojením.

Krok 1 z 2: Uživatel TTLS

  1. Protokol pro ověřování: Tento parametr určuje protokol pro ověřování, který funguje v tunelu TTLS. Jedná se o tyto protokoly: PAP (výchozí), CHAP, MS-CHAP a MS-CHAP-V2. Další informace najdete v části Přehled zabezpečení.
  2. Pověření uživatele: Pro protokoly PAP, CHAP, MS-CHAP a MS-CHAP-V2 vyberte jeden z následujících způsobů ověřování: Použít přihlášení systému Windows, Zobrazit výzvu při každém připojení nebo Použít následující.
  3. Identita pro roaming: Do tohoto pole lze zadat identitu pro roaming nebo můžete použít formát %domain%\%username% jako výchozí formát pro zadání identity pro roaming.

Používáte-li server 802.1X Microsoft IAS RADIUS jako ověřovací, tento server ověřuje zařízení pomocí uživatelského jména Identita pro roaming z aplikace Intel(R) PROSet/Wireless a ignoruje uživatelské jméno Protokol pro ověřování MS-CHAP-V2. Jako identitu pro roaming přijímá server Microsoft IAS RADIUS pouze platné uživatelské jméno (uživatel dotNet). U všech ostatních ověřovacích serverů je identita pro roaming volitelná. Z tohoto důvodu doporučujeme nepoužívat jako identitu pro roaming skutečnou identitu, ale požadovanou sféru (například anonym@sfera).

  1. Klepnutím na tlačítko Další přejděte na nastavení Server TTLS.

Krok 2 z 2: Server TTLS

  1. Vyberte jednu z následujících metod získání pověření: Ověřit certifikát serveru nebo Zadat název serveru nebo certifikátu.
  2. Klepnutím na tlačítko OK uložíte nastavení a zavřete stránku.

Nastavení klienta s ověřováním v síti PEAP

Ověřování PEAP: Nastavení PEAP je vyžadováno pro ověření klienta na ověřovacím serveru. Klient používá protokol EAP-TLS k ověření serveru a vytvoření kanálu šifrovaného v TLS mezi klientem a serverem. Klient může v šifrovacím kanálu k aktivaci ověření serveru použít jiný mechanismus EAP, například protokol MS-CHAP (Microsoft Challenge Authentication Protocol) verze 2. Balíčky s dotazem a odpovědí jsou odesílány šifrovaným neveřejným kanálem TLS. Následující příklad popisuje použití WPA se šifrováním AES-CCMP nebo TKIP s použitím ověřování PEAP.

Nastavení klienta s ověřováním PEAP:

Získejte a nainstalujte klientský certifikát. Další informace najdete v části Nastavení klienta na ověřování TLS nebo se obraťte na správce.

  1. Klepněte na tlačítko Profily v hlavním okně aplikace Intel(R) PROSet/Wireless.
  2. Na stránce Profil klepnutím na tlačítko Přidat otevřete stránku Obecná nastavení okna Vytvořit profil bezdrátové sítě.
  3. Název profilu: Zadejte popisný název profilu.
  4. Název bezdrátové sítě (SSID): Zadejte identifikátor sítě.
  5. Provozní režim: Klepněte na možnost Síť (Infrastruktura).
  6. Klepnutím na tlačítko Další přejděte na stranu Nastavení zabezpečení.
  7. Vyberte položku Podnikové zabezpečení.
  8. Ověření v síti: Vyberte možnost WPA – podniky nebo WPA2 – podniky.
  9. Šifrování dat: Vyberte jednu z následujících možností:
  10. Povolit 802.1X: Vybrané.
  11. Typ ověření: Vyberte ověřování PEAP, které má být použito s tímto připojením.

Krok 1 z 2: Uživatel PEAP

Protokol PEAP využívá protokol TLS (Transport Layer Security) k zajišťování podpory nezašifrovaných typů ověřování, jako je například karta EAP GTC Generic Token Card) a jednorázové heslo OTP (One-Time Password).

  1. Protokol pro ověřování: Vyberte možnost GTC, MS-CHAP-V2 (výchozí) nebo TLS. Viz Ověřovací protokoly.
  2. Pověření uživatele: Vyberte jednu z následujících možností: Použít přihlášení systému Windows, Zobrazit výzvu při každém připojení nebo Použít následující.
  3. Identita pro roaming: Do tohoto pole lze zadat identitu pro roaming nebo můžete použít formát %domain%\%username% jako výchozí formát pro zadání identity pro roaming.

Používáte-li server 802.1X Microsoft IAS RADIUS jako ověřovací, tento server ověřuje zařízení pomocí uživatelského jména Identita pro roaming z aplikace Intel(R) PROSet/Wireless a ignoruje uživatelské jméno Protokol pro ověřování MS-CHAP-V2. Jako identitu pro roaming přijímá server Microsoft IAS RADIUS pouze platné uživatelské jméno (uživatel dotNet). U všech ostatních ověřovacích serverů je identita pro roaming volitelná. Z tohoto důvodu doporučujeme nepoužívat jako identitu pro roaming skutečnou identitu, ale požadovanou sféru (například anonym@sfera).

Konfigurace identity pro roaming k podpoře více uživatelů

Jestliže používáte profil Před přihlášením/Běžný, který vyžaduje identitu pro roaming založenou na přihlašovacích údajích systému Windows, může autor profilu přidat identitu pro roaming, která používá proměnné %username% a %domain%. Identita pro roaming bude analyzována a klíčová slova budou nahrazena příslušnými přihlašovacími informacemi. Tento způsob poskytuje maximální flexibilitu při konfiguraci identity pro roaming a současně umožňuje sdílení profilu mezi více uživateli.

Informace o vhodném formátu identity pro roaming naleznete v uživatelské příručce k ověřovacímu serveru. Možné formáty jsou:

Není-li políčko Identita pro roaming zaškrtnuto, je jako výchozí použita identita %domain%\%username%.

Poznámky k pověření: Toto uživatelské jméno a doména musí být totožné s uživatelským jménem, které před ověřováním klienta nastavil správce na ověřovacím serveru. Uživatelské jméno rozlišuje velká a malá písmena. Tento název určuje identitu, kterou ověřovateli dodal ověřovací protokol, který funguje v tunelu TLS. Identita uživatele je bezpečně přenesena na server pouze poté, co byl ověřen a zřízen šifrovaný kanál.

Protokoly pro ověřování: Tento parametr určuje protokol pro ověřování, který může fungovat v tunelu TTLS. Následují pokyny k nakonfigurování profilu, který používá ověřování PEAP s ověřovacími protokoly

GTC, MS-CHAP-V2 (výchozí) nebo TLS.

GTC (Generic Token Card)

Uživatel PEAP

Konfigurace jednorázového hesla:

  1. Protokol pro ověřování: Vyberte možnost GTC (Generic Token Card).
  2. Pověření uživatele: Vyberte možnost Zobrazit výzvu při každém připojení.
  3. Po připojení vyžádat: Vyberte jednu z následujících možností:
Název Popis
Statické heslo Při připojení zadejte pověření uživatele.
Jednorázové heslo (OTP) Získání hesla z hardwarového tokenu.
Kód PIN (softwarový token) Získání hesla ze softwarového tokenu.
  1. Klepněte na tlačítko OK.

POZNÁMKA: Jestliže správce v Nástroji správce zrušil výběr nastavení Ukládat pověření do mezipaměti, nebude možnost Zobrazit výzvu při každém připojení k dispozici. Další informace najdete v části Nastavení správce.

Jednorázové heslo

MS-CHAP-V2

Tento parametr určuje protokol pro ověřování, který funguje v tunelu PEAP.

  1. Pověření uživatele: Vyberte jednu z následujících možností: Použít přihlášení systému Windows, Zobrazit výzvu při každém připojení nebo Použít následující.
  2. Klepnutím na tlačítko Další přejděte na stránku Server PEAP.

TLS

Ověřování TLS (Transport Layer Security) je obousměrná metoda ověřování, která pro ověření identity klienta a serveru používá výhradně digitální certifikáty.

  1. Získejte a nainstalujte klientský certifikát. Další informace najdete v části Nastavení klienta na ověřování TLS nebo se obraťte na správce systému.
  2. Vyberte některou z následujících možností získání certifikátu: Použít moji kartu Smart, Použít certifikát vystavený pro tento počítač nebo Použít certifikát uživatele v tomto počítači.
  3. Klepnutím na tlačítko Další přejděte na stránku Server PEAP.

Krok 2 z 2: Server PEAP

Server PEAP
  1. Vyberte jednu z následujících metod získání pověření: Ověřit certifikát serveru nebo Zadat název serveru nebo certifikátu.
  2. Klepněte na tlačítko OK. Profil bude přidán do seznamu profilů.
  3. Klepněte na nový profil na konci seznamu profilů. Ke změně priority nového profilu použijte šipky nahoru a dolů.
  4. Připojte se k vybrané bezdrátové síti klepnutím na tlačítko Připojit.

Jestliže jste na stránce Nastavení zabezpečení nevybrali možnost Použít přihlášení systému Windows ani jste nenakonfigurovali pověření uživatele, nebude pro tento profil uloženo žádné pověření. Zadejte pověření k ověření přístupu do sítě.

  1. Klepnutím na tlačítko OK zavřete okno Intel(R) PROSet/Wireless.

Automatický zápis certifikátu PEAP-TLS

Chcete-li, aby se při odmítnutí certifikátu PEAP-TLS zobrazilo upozornění, vyberte v okně Nastavení aplikace možnost Povolit oznámení odmítnutých certifikátů TLS. Pokud má certifikát neplatné datum vypršení platnosti, zobrazí se upozornění, že je třeba provést některou z následujících akcí: Byl zjištěn možný problém s ověřením profilu <název profilu>. Pravděpodobně je neplatné datum vypršení platnosti v přiřazeném certifikátu. Zvolte jednu z následujících možností:

Ovládací prvek Popis
Pokračovat s aktuálními parametry Pokračovat s aktuálním certifikátem.
Ručně zaktualizovat certifikát Otevře se stránka Výběr certifikátu, kde můžete vybrat jiný certifikát.
Automaticky zaktualizovat certifikát podle certifikátů v místním úložišti Tato možnost je dostupná, jen pokud místní úložiště obsahuje alespoň jeden certifikát, jehož pole Vystaveno pro a Vystavitel se shodují s aktuálním certifikátem a jehož datum vypršení platnosti dosud nenastalo. Jestliže vyberete tuto možnost, aplikace vybere první platný certifikát.
Odhlásit se a získat certifikát během procesu přihlášení (tato operace nezaktualizuje profil a platí pouze pro certifikáty nakonfigurované pro automatický zápis). Uživatel bude odhlášen a bude muset získat řádný certifikát během dalšího přihlášení. Profil musí být aktualizován k výběru nového certifikátu.
Automatický zápis Zobrazí se upozornění: Počkejte, dokud se systém nepokusí získat certifikát automaticky. Chcete-li ukončit načítání certifikátu, klepněte na tlačítko Storno.
Tuto zprávu již příště nezobrazovat. Uživatel může tento krok v dalších relacích vynechat. Vybraná možnost bude zapamatována pro budoucí relace.

Nastavení klienta s ověřováním v síti LEAP

Protokol Cisco LEAP (Light Extensible Authentication Protocol) je ověřování typu 802.1X, které podporuje silné vzájemné ověřování mezi klientem a serverem RADIUS. Nastavení profilů LEAP zahrnuje LEAP, CKIP se zabudovaným zjišťováním nebezpečných přístupových bodů. Nastavení klienta s ověřováním LEAP:

  1. Klepněte na tlačítko Profily v hlavním okně aplikace Intel(R) PROSet/Wireless.
  2. Na stránce Profil klepněte na tlačítko Přidat. Otevře se stránka Obecná nastavení okna Vytvořit profil bezdrátové sítě.
  3. Název profilu: Zadejte popisný název profilu.
  4. Název bezdrátové sítě (SSID): Zadejte identifikátor sítě.
  5. Provozní režim: Klepněte na možnost Síť (Infrastruktura).
  6. Klepnutím na tlačítko Další přejděte na stranu Nastavení zabezpečení.
  7. Vyberte položku Podnikové zabezpečení.
  8. Ověření v síti: Vyberte možnost WPA – podniky nebo WPA2 – podniky.
  9. Šifrování dat: Vyberte jednu z následujících možností:
  10. Povolit 802.1X: Vybrané.
  11. Typ ověření: Vyberte ověřování LEAP, které má být použito s tímto připojením.
  12. Klepněte na tlačítko Možnosti Cisco.
  13. Klepnutím na možnost Povolit kompatibilní rozšíření Cisco povolte zabezpečení CCX (Cisco Compatible Extensions) (Povolit rychlý roaming (CCKM), Povolit podporu řízení rádia, Povolit režim smíšených buněk).

Cisco Compatible Extensions

  1. Klepněte na možnost Povolit podporu řízení rádia. Řízení rádia použijte ke zjištění nebezpečných přístupových bodů.
  2. Klepnutím na tlačítko OK se vraťte na stranu Nastavení zabezpečení.

Uživatel LEAP

Uživatel LEAP

  1. Vyberte jednu z následujících možností ověření: Použít přihlašovací jméno a heslo systému Windows, Vyzvat k zadání uživatelského jména a hesla nebo Použít následující uživatelské jméno a heslo.
  2. Klepnutím na tlačítko OK uložíte nastavení a zavřete stránku.

Možnosti rozšíření Cisco Compatible Extensions

Možnosti Cisco: Umožňují povolit nebo zakázat řízení rádia a režim smíšených buněk nebo povolit rychlý roaming (CCKM).

POZNÁMKA: Rozšíření Cisco Compatible Extensions jsou automaticky povolena pro profily CKIP, LEAP a EAP-FAST. Chcete-li toto chování změnit, vyberte nebo zrušte výběr možností v tomto okně.

Povolit Cisco Compatible Extensions: Výběrem této funkce povolíte kompatibilní rozšíření se standardem Cisco (Cisco Compatible Extensions) pro tento profil bezdrátového připojení.

Nastavení klienta s ověřováním v síti EAP-FAST

V kompatibilních rozšířeních Cisco verze 3 (CCXv3) společnost Cisco přidala podporu protokolu EAP-FAST (Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling), který používá certifikáty PAC (Protected Access Credentials) k vytvoření ověřeného tunelu mezi klientem a serverem.

Kompatibilní rozšíření Cisco verze 4 (CCXv4) zlepšují metody zajišťování pro zvýšení zabezpečení a poskytují nové funkce k dosažení vyššího zabezpečení, mobility, kvality služeb a správy sítě.

Kompatibilní rozšíření Cisco verze 3 (CCXv3)

Nastavení klienta s ověřováním EAP-FAST a kompatibilními rozšířeními Cisco verze 3 (CCXv3):

  1. Klepněte na tlačítko Profily v hlavním okně aplikace Intel(R) PROSet/Wireless.
  2. Na stránce Profil klepnutím na tlačítko Přidat otevřete stránku Obecná nastavení okna Vytvořit profil bezdrátové sítě.
  3. Název bezdrátové sítě (SSID): Zadejte identifikátor sítě.
  4. Název profilu: Zadejte popisný název profilu.
  5. Provozní režim: Klepněte na možnost Síť (Infrastruktura).
  6. Klepnutím na tlačítko Další přejděte na stranu Nastavení zabezpečení.
  7. Vyberte položku Podnikové zabezpečení.
  8. Ověření v síti: Vyberte možnost WPA – podniky nebo WPA2 – podniky.
  9. Šifrování dat: Vyberte jednu z následujících možností:
  10. Povolit 802.1X: Vybrané.
  11. Typ ověření: Vyberte ověřování EAP-FAST, které má být použito s tímto připojením.

Zajišťování EAP-FAST

POZNÁMKA: Pokud nebylo prostřednictvím Balíčku správce nainstalováno nastavení aplikace CCXv4, lze konfigurovat jen uživatelské nastavení EAP-FAST. Viz Uživatelské nastavení EAP-FAST.

Krok 1 z 2: Zajišťování EAP-FAST

  1. Klepnutím na možnost Zakázat rozšíření EAP-FAST (CCXv4) povolíte zajišťování v tunelu TLS neověřovaném serverem (režim zajišťování bez ověřování serverem TLS).
  2. Klepnutím na tlačítko Vybrat server zobrazíte všechny neověřené certifikáty PAC, které již byly zajištěny a nacházejí se v tomto počítači.

POZNÁMKA: Je-li zajištěný certifikát PAC platný, aplikace Intel(R) PROSet/Wireless nevyzve uživatele k jeho přijetí. Je-li certifikát PAC neplatný, aplikace Intel(R) PROSet/Wireless automaticky ukončí zajišťování s neúspěchem. V Prohlížeči událostí Wireless Event Viewer se zobrazí stavová zpráva, kterou si může správce přečíst v počítači uživatele.

Import certifikátu PAC:

PAC

  1. Klepnutím na tlačítko Další vyberte metodu získání pověření nebo klepnutím na tlačítko OK uložte nastavení EAP-FAST a vraťte se do seznamu profilů. Certifikát PAC bude použit pro tento profil bezdrátové komunikace.

Krok 2 z 2: Další informace EAP-FAST

Ověření klienta ve vytvořeném tunelu bude provedeno tak, že klient odešle uživatelské jméno a heslo k ověření a vytvoření zásad schválení klienta.

  1. Klepnutím na položku Pověření uživatele vyberte jednu z následujících metod získání pověření: Použít přihlášení systému Windows, Zobrazit výzvu při každém připojení nebo Použít následující.
  2. Klepnutím na tlačítko OK uložíte nastavení a zavřete stránku. Ověření serveru není vyžadováno.

Kompatibilní rozšíření Cisco verze 4 (CCXv4)

Nastavení klienta s ověřováním EAP-FAST a kompatibilními rozšířeními Cisco verze 4 (CCXv4):

  1. Klepněte na tlačítko Profily v hlavním okně aplikace Intel(R) PROSet/Wireless.
  2. Na stránce Profil klepnutím na tlačítko Přidat otevřete stránku Obecná nastavení Průvodce vytvořením profilu bezdrátové sítě.
  3. Název bezdrátové sítě (SSID): Zadejte identifikátor sítě.
  4. Název profilu: Zadejte popisný název profilu.
  5. Provozní režim: Klepněte na možnost Síť (Infrastruktura).
  6. Klepnutím na tlačítko Další přejděte na stranu Nastavení zabezpečení.
  7. Vyberte položku Podnikové zabezpečení.
  8. Ověření v síti: Vyberte možnost WPA – podniky nebo WPA2 – podniky.
  9. Šifrování dat: Vyberte jednu z následujících možností:
  10. Šifrování dat Vyberte možnost AES-CCMP.
  11. Povolit 802.1X: Vybrané.
  12. Typ ověření: Vyberte ověřování EAP-FAST, které má být použito s tímto připojením.

Krok 1 z 3: Zajišťování EAP-FAST

Při použití rozšíření CCXv4 protokol EAP-FAST podporuje dva režimy zajišťování:

POZNÁMKA: Režim s ověřováním pomocí serveru poskytuje značné bezpečnostní výhody oproti režimu bez ověřování pomocí serveru, a to i v případě, že je jako vnitřní metoda použit protokol EAP-MS-CHAP-V2. Tento režim chrání datové výměny EAP-MS-CHAP-V2 před potenciálními útoky prostředníků ověřením pravosti serveru před výměnou MS-CHAP-V2. Režim s ověřováním pomocí serveru je proto upřednostňován, kdykoli jej lze použít. V rámci bezpečnostních zásad musí druhá strana komunikující pomocí protokolu EAP-FAST použít režim s ověřováním pomocí serveru, kdykoli je k dispozici certifikát nebo veřejný klíč k ověření serveru.

Zajišťování certifikátu PAC (Protected Access Credentials):

Ověřování EAP-FAST používá klíč PAC pro ochranu vyměňovaných pověření uživatele. Všichni ověřovatelé EAP-FAST jsou identifikováni identitou certifikačního úřadu (A-ID). Místní ověřovatel odešle jeho A-ID schvalovacímu klientovi a tento klient vyhledá ve své databázi shodné A-ID. Pokud klient nerozpozná A-ID, vyžádá nový certifikát PAC.

POZNÁMKA: Je-li zajištěný certifikát PAC platný, aplikace Intel(R) PROSet/Wireless nevyzve uživatele k jeho přijetí. Je-li certifikát PAC neplatný, aplikace Intel(R) PROSet/Wireless automaticky ukončí zajišťování s neúspěchem. V Prohlížeči událostí Wireless Event Viewer se zobrazí stavová zpráva, kterou si může správce přečíst v počítači uživatele.

  1. Ověřte, že není vybrána možnost Zakázat rozšíření EAP-FAST (CCXv4). Možnosti Povolit neověřené zajišťování a Povolit ověřené zajišťování jsou vybrány jako výchozí. Po výběru certifikátu PAC v poli Výchozí server můžete výběr kterékoli z těchto metod zajišťování zrušit.
  2. Výchozí server: Výchozí nastavení je Žádné. Klepnutím na tlačítko Vybrat server vyberte certifikát PAC z výchozího serveru certifikačního úřadu PAC nebo vyberte server v seznamu Skupina serverů. Zobrazí se okno výběru Výchozí server EAP-FAST (certifikační úřad PAC).

POZNÁMKA: Skupiny serverů jsou uvedeny, jen pokud jste nainstalovali Balíček správce obsahující nastavení skupin identifikátorů certifikačního úřadu (A-ID) EAP-FAST.

Certifikát PAC lze také distribuovat ručně (bez síťového přenosu). Pomocí ručního zajištění lze vytvořit certifikát PAC pro uživatele na serveru ACS a potom jej naimportovat do počítače uživatele. Soubor PAC může být chráněn heslem, které musí uživatel zadat při importu souboru.

Import certifikátu PAC:

  1. Klepnutím na tlačítko Importovat naimportujte certifikát PAC ze serveru PAC.
  2. Klepněte na tlačítko Otevřít.
  3. Zadejte heslo certifikátu PAC (volitelné).
  4. Zavřete stránku klepnutím na tlačítko OK. Vybraný certifikát PAC bude použit pro tento profil bezdrátové komunikace.

Protokol EAP-FAST CCXv4 umožňuje podporovat zajišťování dalších pověření kromě certifikátu PAC, který je aktuálně zajištěn k vytvoření tunelu. K podporovaným typům pověření patří certifikát důvěryhodného certifikačního úřadu, pověření počítače pro ověření počítače a dočasná pověření uživatele používaná k obcházení ověřování uživatele.

Použít certifikát (ověřování TLS)

  1. Klepněte na možnost Použít certifikát (ověřování TLS).
  2. Pokud je tunel chráněn, klepněte na možnost Ochrana identity.
  3. Vyberte jednu z následujících možností:
  4. Uživatelské jméno: Zadejte uživatelské jméno přiřazené uživatelskému certifikátu.
  5. Klepněte na tlačítko Další.

Krok 2 z 3: Další informace EAP-FAST

Pokud jste vybrali možnost Použít certifikát (ověřování TLS) a Použít certifikát uživatele v tomto počítači, klepněte na tlačítko Další (identita pro roaming není vyžadována) a pokračujte krokem 3, kde nakonfigurujete nastavení certifikátu serveru EAP-FAST. Jestliže konfigurace nastavení serveru EAP-FAST není nutná, klepnutím na tlačítko OK uložte nastavení a vraťte se na stránku Profily.

Pokud jste vybrali použití karty Smart, přidejte identitu pro roaming, je-li vyžadována. Klepnutím na tlačítko OK uložte nastavení a vraťte se na stránku Profily.

Jestliže jste nevybrali možnost Použít certifikát (ověřování TLS), klepněte na tlačítko Další a vyberte ověřovací protokol. Rozšíření CCXv4 umožňují vytvořit tunel pomocí dalších pověření nebo šifrovacích sad TLS.

Protokol pro ověřování: Vyberte možnost GTC nebo MS-CHAP-V2 (výchozí).

GTC (Generic Token Card)

Možnost GTC lze použít s režimem ověřováním pomocí serveru. Lze tak v pásmu zajišťovat subjekty, které používají jiné uživatelské databáze, například LDAP (Lightweight Directory Access Protocol), a technologii jednorázového hesla (OTP). Této náhrady je však možné dosáhnout jen při použití šifrovacích sad TLS, které zajišťují ověření serveru.

Konfigurace jednorázového hesla:

  1. Protokol pro ověřování: Vyberte možnost GTC (Generic Token Card).
  2. Pověření uživatele: Vyberte možnost Zobrazit výzvu při každém připojení.
  3. Po připojení vyžádat: Vyberte jednu z následujících možností:
Název Popis
Statické heslo Při připojení zadejte pověření uživatele.
Jednorázové heslo (OTP) Získání hesla z hardwarového tokenu.
Kód PIN (softwarový token) Získání hesla ze softwarového tokenu.
  1. Klepněte na tlačítko OK.
  2. Vyberte profil ze seznamu bezdrátových sítí.
  3. Klepněte na tlačítko Připojit. Po zobrazení výzvy zadejte uživatelské jméno, doménu a jednorázové heslo (OTP).
  4. Klepněte na tlačítko OK.

MS-CHAP-V2

Tento parametr určuje protokol pro ověřování, který funguje v tunelu PEAP.

  1. Vyberte pověření uživatele: Použít přihlášení systému Windows, Zobrazit výzvu při každém připojení nebo Použít následující.
  2. Identita pro roaming: Do tohoto pole lze zadat identitu pro roaming nebo můžete použít formát %domain%\%username% jako výchozí formát pro zadání identity pro roaming.

Používáte-li server 802.1X Microsoft IAS RADIUS jako ověřovací, tento server ověřuje zařízení pomocí uživatelského jména Identita pro roaming z aplikace Intel(R) PROSet/Wireless a ignoruje uživatelské jméno Protokol pro ověřování MS-CHAP-V2. Jako identitu pro roaming přijímá server Microsoft IAS RADIUS pouze platné uživatelské jméno (uživatel dotNet). U všech ostatních ověřovacích serverů je identita pro roaming volitelná. Z tohoto důvodu doporučujeme nepoužívat jako identitu pro roaming skutečnou identitu, ale požadovanou sféru (například anonym@sfera).

Krok 3 z 3: Server EAP-FAST

Režim zajišťování s ověřováním serverem TLS je podporován s použitím certifikátu důvěryhodného certifikačního úřadu, certifikátu serveru s vlastním podpisem nebo veřejných klíčů serveru a GTC jako vnitřní metody EAP.

  1. Vyberte jednu z následujících metod získání pověření: Ověřit certifikát serveru nebo Zadat název serveru nebo certifikátu.
  2. Klepnutím na tlačítko OK zavřete nastavení zabezpečení.

Uživatelské nastavení EAP-FAST

POZNÁMKA: Pokud byl do počítače uživatele nainstalován Balíček správce bez použití rozšíření Cisco Compatible Extensions verze 4, lze konfigurovat jen uživatelské nastavení EAP-FAST.

Nastavení klienta s ověřováním EAP-FAST:

  1. Klepněte na tlačítko Profily v hlavním okně aplikace Intel(R) PROSet/Wireless.
  2. Na stránce Profil klepnutím na tlačítko Přidat otevřete stránku Obecná nastavení okna Vytvořit profil bezdrátové sítě.
  3. Název bezdrátové sítě (SSID): Zadejte identifikátor sítě.
  4. Název profilu: Zadejte popisný název profilu.
  5. Provozní režim: Klepněte na možnost Síť (Infrastruktura).
  6. Klepnutím na tlačítko Další přejděte na stranu Nastavení zabezpečení.
  7. Klepněte na položku Podnikové zabezpečení.
  8. Ověření v síti: Vyberte možnost WPA – podniky nebo WPA2 – podniky.
  9. Šifrování dat: Vyberte jednu z následujících možností:
  10. Povolit 802.1X: Vybrané.
  11. Typ ověření: Vyberte ověřování EAP-FAST, které má být použito s tímto připojením.
  12. Klepněte na tlačítko Možnosti Cisco a vyberte možnost Povolit rychlý roaming (CCKM), která umožní rychlý zabezpečený roaming klientského bezdrátového adaptéru.

Uživatel EAP-FAST

Vyberte metodu získání pověření:

  1. Vyberte pověření uživatele: Použít přihlášení systému Windows, Zobrazit výzvu při každém připojení nebo Použít následující.
  2. Povolit automatické zajišťování pověření zabezpečeného přístupu PAC:

Ověřování EAP-FAST používá klíč PAC pro ochranu vyměňovaných pověření uživatele. Všichni ověřovatelé EAP-FAST jsou identifikováni identitou certifikačního úřadu (A-ID). Místní ověřovatel odešle jeho A-ID schvalovacímu klientovi a tento klient vyhledá ve své databázi shodné A-ID. Pokud klient nerozpozná A-ID, vyžádá nový certifikát PAC.

Klepnutím na tlačítko Certifikáty PAC zobrazíte všechny certifikáty PAC, které již byly zajištěny a nacházejí se v tomto počítači. Aby bylo možné zrušit výběr možnosti Povolit automatické zajišťování v okně Nastavení zabezpečení, musí již být získán nějaký certifikát PAC.

POZNÁMKA: Je-li zajištěný certifikát PAC platný, aplikace Intel(R) PROSet/Wireless nevyzve uživatele k jeho přijetí. Je-li certifikát PAC neplatný, aplikace Intel(R) PROSet/Wireless automaticky ukončí zajišťování s neúspěchem. V Prohlížeči událostí Wireless Event Viewer se zobrazí stavová zpráva, kterou si může správce přečíst v počítači uživatele.

Certifikát PAC lze také distribuovat ručně (bez síťového přenosu). Pomocí ručního zajištění lze vytvořit certifikát PAC pro uživatele na serveru ACS a potom jej naimportovat do počítače uživatele. Soubor PAC může být chráněn heslem, které musí uživatel zadat při importu souboru.

Import certifikátu PAC:

  1. Klepnutím na tlačítko Certifikáty PAC otevřete seznam Pověření zabezpečeného přístupu (PAC).
  2. Klepnutím na tlačítko Importovat naimportujte certifikát PAC, který se nachází v počítači nebo na serveru.
  3. Vyberte certifikát PAC a klepněte na tlačítko Otevřít.
  4. Zadejte heslo certifikátu PAC (volitelné).
  5. Zavřete stránku klepnutím na tlačítko OK. Vybraný certifikát PAC bude přidán do seznamu certifikátů PAC.
  6. Klepnutím na tlačítko OK uložte nastavení EAP-FAST a vraťte se do seznamu profilů. Certifikát PAC bude použit pro tento profil bezdrátové komunikace.

Zpět na začátek

Zpět na obsah

Ochranné známky a právní dodatky