Voltar ao Índice

Configurar a segurança do perfil

Usar o software Intel(R) PROSet/Wireless
Segurança pessoal
Configurações da segurança pessoal
Configurar a criptografia de dados e a autenticação

Segurança corporativa
Configurações de segurança corporativa

Usar o software Intel(R) PROSet/Wireless

As seções a seguir descrevem como usar o Intel(R) PROSet/Wireless para configurar os parâmetros de segurança necessários para o adaptador sem fio. Consulte Segurança pessoal.

Esta seção também contém informações sobre como configurar parâmetros avançados de segurança para o adaptador sem fio. Isso requer informações de um administrador do sistema (ambiente corporativo) ou parâmetros avançados de segurança sobre seu ponto de acesso (para usuários residenciais). Consulte Segurança corporativa.

Para obter informações gerais sobre as configurações de segurança, consulte Visão geral sobre a segurança.

Segurança pessoal

Use a Segurança pessoal se você é um usuário residencial ou um pequeno empresário que pode utilizar diversos procedimentos de segurança simples para proteger sua conexão sem fio. Selecione na lista de configurações de segurança que não exigem a instalação de uma infra-estrutura abrangente para sua rede sem fio. Não é necessário um servidor RADIUS ou AAA.

NOTA: As opções de Segurança pessoal não estão disponíveis na Ferramenta do administrador ao criar perfis do Administrador do Windows Vista*.

Configurações de segurança pessoal

Descrição das Configurações de segurança pessoal

Nome Configuração

Segurança pessoal

Selecione esta opção para abrir as configurações da Segurança pessoal. As configurações de segurança disponíveis dependem do Modo de operação selecionado nas Configurações de segurança para a criação de perfil de conexões sem fio.

Dispositivo-->dispositivo (ad-hoc): No modo dispositivo-->dispositivo, também chamado de Ad-hoc, os computadores sem fio enviam informações diretamente para outros computadores sem fio. Você pode usar o modo ad-hoc para conectar vários computadores em rede em casa ou em um pequeno escritório, ou para configurar uma rede sem fio temporária para uma reunião.

NOTA: As redes dispositivo->dispositivo (ad-hoc) são identificadas com a imagem de um notebook (notebook) em Redes sem fio e na Lista de perfis.

Rede (Infra-estrutura): Uma rede de infra-estrutura consiste em um ou mais pontos de acesso e um ou mais computadores com adaptadores sem fio. Pelo menos um ponto de acesso deve ter também uma conexão com fios. Para os usuários residenciais, geralmente é uma rede de banda larga ou a cabo.

NOTA: As redes do tipo Rede (Infra-estrutura) são identificadas com uma imagem de um ponto de acesso (ponto de acesso) na lista Redes sem fio e na Lista de perfis.

Configurações de segurança

Se você configurar um perfil Dispositivo-->Dispositivo (ad-hoc), selecione uma das seguintes configurações de criptografia de dados.

Se estiver configurando um perfil de Rede (Infra-estrutura, selecione:

Botão Avançado

 Clique para acessar as Configurações avançadas para configurar as seguintes opções:
  • Auto conexão: Selecione a opção para conectar-se a um perfil de modo automático ou manual.
  • Importação automática: O administrador da rede pode exportar um perfil em outro computador.
  • Ponto de acesso obrigatório: Selecione esta opção para associar o adaptador sem fio a um ponto de acesso específico. 
  • Proteção por senha: Selecione a opção para proteger um perfil com senha.
  • Abrir o aplicativo: Especifique um programa a ser iniciado quando uma conexão sem fio for estabelecida.
  • Manter conexão: Selecione para preservar a conexão sem fio com um perfil do usuário, após fazer logoff.

Voltar

Visualize a página anterior no Assistente de perfil.

OK

Fecha o Assistente de perfil e salva o perfil.

Cancelar

Fecha o Assistente de perfil e cancela as mudanças feitas.

Ajuda?

Mostra as informações da Ajuda da página atual.

Configurar a criptografia de dados e a autenticação

Em uma rede sem fio residencial, é possível usar diversos procedimentos de segurança simples para proteger uma conexão sem fio. Isso inclui:

A criptografia WPA (Wi-Fi Protected Access) fornece proteção para os dados na rede. A WEP usa uma chave de criptografia denominada PSK (Pre-Shared Key) para codificar os dados antes da transmissão. Digite a mesma senha em todos os computadores e ponto de acesso em sua rede residencial ou de pequena empresa. Apenas os dispositivos que usam a mesma chave de criptografia podem acessar a rede ou decodificar os dados transmitidos por outros computadores. A senha inicializa automaticamente o protocolo TKIP (Temporal Key Integrity Protocol) ou o protocolo AES-CCMP para o processo de criptografia de dados.

Chaves de rede

A criptografia WEP fornece dois níveis de segurança:

Para aumentar a segurança, use uma chave de 128 bits. Se você usar criptografia, todos os dispositivos sem fio precisarão ter as mesmas chaves de criptografia.

Você mesmo pode criar a chave e especificar o seu tamanho (64 ou 128 bits) e o índice de chave (o local onde uma chave específica está armazenada). Quanto maior o comprimento da chave, maior a sua segurança.

Comprimento da chave: 64 bits

Senha (64 bits): Digite cinco (5) caracteres alfanuméricos, 0-9, a-z ou A-Z.
Chave hexa (64 bits): Digite 10 caracteres hexadecimais, 0-9, A-F.

Comprimento da chave: 128 bits

Senha (128 bits): Digite 13 caracteres alfanuméricos, 0-9, a-z ou A-Z.
Chave hexa (128 bits): Digite 26 caracteres hexadecimais, 0-9, A-F.

Com a criptografia de dados WEP, pode ser configurada uma estação sem fio com até quatro chaves (os valores de índice de chave são 1, 2, 3 e 4). Quando um ponto de acesso ou uma estação sem fio transmite uma mensagem encriptografada usando uma chave armazenada em um índice específico, a mensagem transmitida indica o índice de chave usado para encriptografar o corpo da mensagem. O ponto de acesso ou estação sem fio receptora pode recuperar a chave armazenada nesse índice de chave e usá-la para decodificar o corpo da mensagem encriptografada.

Configurar um cliente com autenticação aberta e sem criptografia de dados (opção Nenhuma)

No modo dispositivo-->dispositivo, também chamado de Ad-hoc, os computadores sem fio enviam informações diretamente para outros computadores sem fio. Você pode usar o modo ad-hoc para conectar vários computadores em rede em casa ou em um pequeno escritório, ou para configurar uma rede sem fio temporária para uma reunião.

Na janela principal do Intel(R) PROSet/Wireless, selecione um dos seguintes métodos para estabelecer uma conexão com uma rede do tipo dispositivo-->dispositivo:

Para criar um perfil para uma conexão de rede sem fio sem criptografia:

  1. Clique em Perfis na janela principal do Intel(R) PROSet/Wireless.
  2. Na Lista de perfis, clique em Adicionar para abrir as Configurações gerais do perfil de conexões sem fio.
  3. Nome do perfil: Digite um nome descritivo do perfil.
  4. Nome da rede sem fio (SSID): Digite o nome da rede sem fio.
  5. Modo de operação: Clique em Dispositivo-->Dispositivo (ad-hoc).
  6. Clique em Avançar para abrir as Configurações de segurança.
  7. Segurança pessoal está selecionada, por padrão.
  8. Configurações de segurança: A configuração padrão é Nenhuma, que indica a inexistência de segurança nessa rede sem fio.
  9. Clique em OK. O perfil é adicionado à Lista de perfis e conecta-se à rede sem fio.

Configurar um cliente com criptografia de dados WEP 64 bits ou WEP 128 bits

Quando a criptografia de dados WEP é ativada, é usada uma chave de rede ou senha para a criptografia.

A chave de rede é fornecida automaticamente (por exemplo, pelo fabricante do adaptador de rede sem fio) ou você mesmo pode digitá-la e especificar seu comprimento (64 ou 128 bits), seu formato (caracteres ASCII ou algarismos hexadecimais) e seu índice (o local onde uma chave específica está armazenada). Quanto maior o comprimento da chave, maior a sua segurança.

Para adicionar uma chave de rede a uma conexão de rede dispositivo->dispositivo (ad-hoc):

  1. Na janela principal do Intel(R) PROSet/Wireless, clique duas vezes em uma rede dispositivo-->dispositivo (ad-hoc) na lista Redes sem fio ou selecione a rede e clique em Conectar.
  2. Clique em Perfis para acessar a Lista de perfis.
  3. Clique em Propriedades para abrir as Configurações gerais do perfil de conexões sem fio. São exibidos o nome do perfil e o nome da rede sem fio (SSID). A opção Dispositivo-->Dispositivo (ad-hoc) deve ser selecionada como o Modo de operação.
  4. Clique em Avançar para abrir as Configurações de segurança.
  5. Segurança pessoal está selecionada, por padrão.
  6. Configurações de segurança: A configuração padrão é Nenhuma, que indica a inexistência de segurança nessa rede sem fio.

Para adicionar uma senha ou chave de rede:

  1. Configurações de segurança: Selecione WEP 64 bits ou WEP 128 bits para configurar a criptografia de dados WEP com uma chave de 64 ou 128 bits.

    2. Quando a criptografia WEP está ativada em um ponto de acesso, a chave WEP é usada para verificar o acesso à rede. Se o dispositivo sem fio não tiver acesso à chave WEP correta, mesmo que a autenticação seja bem-sucedida, não conseguirá transmitir dados pelo ponto de acesso nem decodificar os dados recebidos desse ponto.

Nome Descrição

Senha

Digite a Senha de segurança da conexão sem fio (Senha) ou a Chave de criptografia (Chave WEP).

Senha (64 bits)

Digite cinco (5) caracteres alfanuméricos, 0-9, a-z ou A-Z.

Chave WEP (64 bits)

Digite 10 caracteres hexadecimais, 0-9, A-F.

Senha (128 bits)

Digite 13 caracteres alfanuméricos, 0-9, a-z ou A-Z.

Chave WEP (128 bits)

Digite 26 caracteres hexadecimais, 0-9, A-F.
  1. Índice de chave: Altere o Índice de chave para configurar até quatro senhas.
  2. Clique em OK para retornar à Lista de perfis.

Para adicionar mais de uma senha:

  1. Selecione o número do índice da chave: 1, 2, 3 ou 4.
  2. Digite a Senha de segurança da conexão sem fio.
  3. Selecione outro número do índice da chave:
  4. Digite outra Senha de segurança da conexão sem fio.

Configurar um cliente com as configurações de segurança WPA*-Pessoal (TKIP) ou WPA2*-Pessoal (TKIP)

O Modo WPA-Pessoal requer a configuração manual de uma chave pré-compartilhada (PSK) no ponto de acesso e nos clientes. Essa PSK autentica a senha ou código de identificação de um usuário, na estação cliente e no ponto de acesso. Não é necessário um servidor de autenticação. O Modo WPA-Pessoal é destinado aos ambientes residenciais e de pequenas empresas.

WPA2 é a segunda geração de segurança WPA que fornece aos usuários de conexões sem fio em empresas e individuais um alto nível de certeza de que somente os usuários autorizados poderão acessar suas redes sem fio. O WPA2 dispõe de um mecanismo de criptografia mais seguro através do padrão AES (Advanced Encryption Standard), que é uma exigência para alguns usuários corporativos e do governo.

Para configurar um perfil com a autenticação de rede WPA-Pessoal e criptografia de dados TKIP:

  1. Na janela principal do Intel(R) PROSet/Wireless, clique duas vezes em uma rede de Infra-estrutura na lista Redes sem fio ou selecione a rede e clique em Conectar.
  2. Clique em Perfis para acessar a Lista de perfis.
  3. Clique em Propriedades para abrir as Configurações gerais do perfil de conexões sem fio. São exibidos o nome do perfil e o nome da rede sem fio (SSID). A Rede (Infra-estrutura) deve ser selecionada como Modo de operação.
  4. Clique em Avançar para abrir as Configurações de segurança.
  5. Segurança pessoal está selecionada, por padrão.
  6. Configurações de segurança: Selecione WPA2-Pessoal (TKIP) para oferecer segurança a uma rede de pequena empresa ou a um ambiente residencial. É utilizada uma senha, também chamada Chave pré-compartilhada (PSK). Quanto mais longa for a senha, tanto mais confiável será a segurança da rede sem fio.

Se o ponto de acesso sem fio ou o roteador suportar o WPA2-Pessoal, você deverá ativá-lo no ponto de acesso e fornecer uma senha longa e de alta segurança. Quanto mais longa for a senha, tanto mais confiável será a segurança da rede sem fio. É necessário usar a mesma senha inserida no ponto de acesso, neste computador e em todos os outros dispositivos sem fio que acessam a rede sem fio.

NOTA: WPA-Pessoal e WPA2-Pessoal são interoperáveis.

  1. Senha de segurança de rede sem fio (Chave de criptografia): Digite uma frase de texto com 8 a 63 caracteres. Verifique se a chave da rede corresponde à senha especificada para o ponto de acesso sem fio.
  2. Clique em OK para retornar à Lista de perfis.

Configurar um cliente com as configurações de segurança WPA-Pessoal (AES-CCMP) ou WPA2-Pessoal (AES-CCMP)

O WPA (Wi-Fi Protected Access) é uma melhoria de segurança que aumenta significativamente o nível de proteção de dados e de controle de acesso de uma rede sem fio. O modo WPA usa a autenticação 802.1X e a troca de chaves e só funciona com chaves de criptografia dinâmicas. Para um usuário residencial ou pequena empresa, o modo WPA-Pessoal usa o protocolo AES-CCMP (Advanced Encryption Standard - Counter CBC-MAC Protocol) ou o TKIP (Temporal Key Integrity Protocol).

NOTA: No adaptador Intel(R) Wireless WiFi Link 4965AGN, para alcançar taxas de transferência acima de 54 Mbps nas conexões do 802.11n, deve ser selecionada a segurança WPA2-AES. É possível não selecionar qualquer tipo de segurança (Nenhuma) para permitir a instalação da rede e o diagnóstico de problemas.

Para criar um perfil com a autenticação de rede WPA2-Pessoal e criptografia de dados AES-CCMP:

  1. Na janela principal do Intel(R) PROSet/Wireless, clique duas vezes em uma rede de Infra-estrutura na lista Redes sem fio ou selecione a rede e clique em Conectar.
  2. Clique em Propriedades para abrir as Configurações gerais do perfil de conexões sem fio. São exibidos o nome do perfil e o nome da rede sem fio (SSID). A Rede (Infra-estrutura) deve ser selecionada como Modo de operação.
  3. Clique em Avançar para abrir as Configurações de segurança.
  4. Segurança pessoal está selecionada, por padrão.
  5. Configurações de segurança: Selecione WPA2-Pessoal (AES-CCMP) para propiciar esse nível de segurança ao ambiente de pequena empresa ou residencial. Utiliza uma senha também chamada Chave pré-compartilhada (PSK). Quanto mais longa for a senha, tanto mais confiável será a segurança da rede sem fio.

AES-CCMP (Advanced Encryption Standard - Counter CBC-MAC Protocol) é o novo método de proteção da privacidade das transmissão sem fio especificadas no padrão IEEE 802.11i. AES-CCMP fornece um método de criptografia mais seguro do que o TKIP. Escolha AES-CCMP como método de criptografia de dados sempre que a proteção de dados de alta segurança for importante.

Se o ponto de acesso sem fio ou o roteador suportar o modo WPA2-Pessoal, você deverá ativá-lo no ponto de acesso e fornecer uma senha longa e de alta segurança. É necessário usar a mesma senha inserida no ponto de acesso, neste computador e em todos os outros dispositivos sem fio que acessam a rede sem fio.

NOTA: WPA-Pessoal e WPA2-Pessoal são interoperáveis.

É possível que algumas soluções de segurança não sejam suportadas pelo sistema operacional de seu computador. Talvez seja necessário software ou hardware adicional, assim como suporte para infra-estrutura de rede sem fio. Entre em contato com o fabricante de seu computador para obter detalhes.

  1. Senha: Senha de segurança de rede sem fio (Chave de criptografia): Digite uma frase de texto (com 8 a 63 caracteres). Verifique se a chave da rede usada corresponde à chave especificada para o ponto de acesso sem fio.
  2. Clique em OK para retornar à Lista de perfis.

Segurança corporativa

Na página Configurações de segurança, você pode digitar as configurações de segurança de perfil necessárias para a rede sem fio selecionada.

Use a Segurança Corporativa se o ambiente da rede exigir a autenticação do 802.1X.

Configurações da Segurança corporativa

Descrição das Configurações da segurança corporativa

Nome Configuração
Segurança corporativa

Selecione esta opção para abrir as configurações da Segurança corporativa.
Autenticação de rede

Selecione um dos seguintes métodos de autenticação:
Criptografia de dados

Clique para abrir os seguintes tipos de criptografia de dados:
Ativar 802.1X (tipo de autenticação) Clique para abrir os seguintes tipos de autenticação do 802.1X:
Opções Cisco Clique para visualizar as Cisco Compatible Extensions.

NOTA: As Cisco Compatible Extensions são ativadas automaticamente para os perfis CKIP e LEAP.
Botão Avançado Selecione a opção para acessar as Configurações avançadas para configurar as seguintes opções:
  • Auto conexão: Selecione a opção para conectar-se a um perfil de modo automático ou manual.
  • Importação automática: O administrador da rede pode exportar um perfil em outro computador.
  • Ponto de acesso obrigatório: Selecione esta opção para associar o adaptador sem fio a um ponto de acesso específico. 
  • Proteção por senha: Selecione a opção para proteger um perfil com senha.
  • Abrir o aplicativo: Especifique um programa a ser iniciado quando uma conexão sem fio for estabelecida.
  • Manter conexão: Selecione para preservar a conexão sem fio com um perfil do usuário, após fazer logoff.
Credenciais do usuário

Um perfil configurado para a autenticação TTLS, PEAP ou EAP-FAST exige um dos seguintes métodos de autenticação de logon:

Usar o login do Windows: As credenciais do 802.1X correspondem a seu nome de usuário e senha do Windows. Antes da conexão, você é solicitado a informar suas credenciais de login do Windows.

NOTA: Esta opção não estará disponível se a Conexão Pré-login não for selecionada durante a instalação do software Intel(R) PROSet/Wireless. Consulte Instalar ou desinstalar o recurso Sign-on único.

NOTA: Para os perfis LEAP, esta opção está listada como Usar o nome de usuário e senha de login do Windows.

Avisar sempre que eu conectar: Solicita o nome de usuário e senha sempre que você fizer login na rede sem fio.

NOTA: Para os perfis LEAP, esta opção está listada como Solicitar o nome do usuário e senha.

Use o seguinte: Use suas credenciais gravadas para se conectar à rede.

  • Nome do usuário: Este nome de usuário deve ser igual ao definido no servidor de autenticação pelo administrador antes da autenticação do cliente. O recurso distingue maiúsculas de minúsculas no nome de usuário. Este nome especifica a identidade fornecida ao autenticador pelo protocolo de autenticação que está ativo no túnel TLS. A identidade é transmitida com segurança ao servidor somente depois que um canal criptografado tenha sido estabelecido.
  • Domínio: Nome do domínio no servidor de autenticação. O nome do servidor identifica um domínio ou um de seus subdomínios (por exemplo, zeelans.com, onde o servidor é blueberry.zeelans.com).
  • Senha: Especifica a senha de usuário. Os caracteres da senha são exibidos como uma seqüência de asteriscos. Esta senha deve ser igual à definida no servidor de autenticação.
  • Confirme a senha: Redigite a senha do usuário.

NOTA: Entre em contato com o administrador para obter o nome do domínio.

NOTA: Para os perfis LEAP, esta opção está listada como Usar o nome de usuário e senha a seguir.
Nome do servidor

Selecione um dos seguintes métodos de recuperação de credenciais:

Validar o certificado do servidor: Selecione esta opção para validar o certificado do usuário.

Emissor do certificado: O certificado de servidor recebido durante o intercâmbio de mensagens TLS deve ter sido emitido por esta autoridade de certificação (AC). As autoridades de certificação confiáveis intermediárias e da raiz cujos certificados estão no armazenamento do sistema estarão disponíveis. Se a opção Qualquer AC acreditada estiver selecionada, qualquer AC contida na lista será aceitável. Clique em Qualquer AC acreditada como opção padrão ou selecione um emissor de certificados na lista.

Especifique o nome do servidor ou certificado: Digite o nome do servidor.

Nome do servidor ou domínio ao qual o servidor pertence. Isso depende de qual opção abaixo foi selecionada.

  • O Nome do servidor deve ser exatamente igual: Quando selecionado, o nome do servidor digitado deve ser exatamente igual ao encontrado no certificado. O nome do servidor deve conter o nome de domínio completo (por exemplo, Nome do servidor.Nome do domínio).
  • Nome do domínio deve terminar com a entrada especificada: Quando selecionada, o nome do servidor identifica um domínio e o certificado deve ter um nome de um servidor pertencente a este domínio ou a um de seus subdomínios (por exemplo, zeelans.com, onde o servidor é blueberry.zeelans.com).

NOTA: Estes parâmetros devem ser obtidos com o administrador do sistema.
Opções de certificado Para obter um certificado para autenticação TLS, selecione uma das seguintes opções:

Usar meu smart card: Selecione se o certificado residir em um smart card.

Usar o certificado emitido para este computador: Seleciona um certificado que reside no armazenamento do computador.

Usar um certificado do usuário neste computador: Clique em Selecionar para escolher um certificado que reside neste computador.

NOTA: O Intel(R) PROSet/Wireless suporta certificados de máquina. Contudo, eles não constam nas listas de certificados.

Notas sobre Certificados: A identidade especificada deve ser igual ao conteúdo do campo Emitido para no certificado e deve estar registrada no servidor de autenticação (por exemplo, servidor RADIUS) usado pelo autenticador. Seu certificado precisa ser válido em relação ao servidor de autenticação. Este requisito depende do servidor de autenticação e geralmente significa que este servidor de autenticação deve reconhecer o emissor do certificado como a Autoridade de certificação. Use o mesmo nome de usuário utilizado para o login quando o certificado foi instalado.
Voltar Visualize a página anterior no Assistente para criação de perfis de conexões sem fio.
Próxima Visualize a página seguinte no Assistente para criação de perfis de conexões sem fio. Se forem necessárias mais informações de segurança, será exibida a próxima etapa da página Segurança.
OK Fecha o Assistente para criação de perfis de conexões sem fio e salva o perfil.
Cancelar Fecha o Assistente para criação de perfis de conexões sem fio e cancela as mudanças feitas.
Ajuda? Mostra as informações da Ajuda da página atual.

Configurar perfis para redes Infra-estrutura

Uma rede de infra-estrutura consiste em um ou mais pontos de acesso e um ou mais computadores com adaptadores sem fio. Cada ponto de acesso deve ter uma conexão a cabo com uma rede sem fio.

Configurar um cliente com autenticação Aberta ou de rede compartilhada

Na autenticação de Chave compartilhada, presume-se que cada estação sem fio tenha recebido uma chave compartilhada secreta por um canal seguro que é independente do canal de comunicação da rede sem fio 802.11. A autenticação por chave compartilhada exige que o cliente configure uma chave CKIP ou WEP estática. O acesso do cliente só será concedido se ele passar por uma autenticação baseada em desafios. O CKIP oferece uma criptografia de dados mais forte do que o padrão WEP, mas nem todo sistema operacional e ponto de acesso dispõe de suporte para esta opção.

NOTA: Embora a chave compartilhada pareça ser a melhor opção para se obter um nível mais alto de segurança, uma deficiência já conhecida é gerada pela transmissão clara do texto da string de desafio para o cliente. Assim que o invasor farejar a string de desafio, a engenharia da chave de autenticação compartilhada poderá ser facilmente revertida. Portanto, a autenticação aberta é, na realidade, ao contrário do que se poderia supor, mais segura. Para criar um perfil com autenticação compartilhada:

  1. Clique em Perfis na janela principal do Intel(R) PROSet/Wireless.
  2. Na página Perfil, clique em Adicionar para abrir as Configurações gerais do Assistente para criação de perfis de rede sem fio.
  3. Nome do perfil: Digite um nome descritivo do perfil.
  4. Nome da rede sem fio (SSID): Digite o identificador da rede.
  5. Modo de operação: Clique em Rede (Infra-estrutura).
  6. Clique em Avançar para acessar as Configurações de segurança.
  7. Selecione Segurança corporativa.
  8. Autenticação da rede: Selecione Compartilhada. A autenticação compartilhada acontece com uma chave WEP pré-configurada.
  9. Criptografia de dados: Selecione Nenhuma, WEP (64 ou 128 bits) ou CKIP (64 ou 128 bits).
  10. Ativar 802.1X: Desativado.
  11. Nível de criptografia: 64 ou 128 bits: Ao alternar entre a criptografia de 64 e de 128 bits, as configurações anteriores são apagadas e é necessário digitar uma nova chave.
  12. Senha de segurança de rede sem fio (Chave de criptografia): Digite a senha da rede sem fio (chave de criptografia WEP). Esta senha é o mesmo valor usado pelo PA sem fio ou pelo roteador. Entre em contato com o administrador para obter esta senha.
Nome Descrição
Senha

Digite a Senha de segurança da conexão sem fio (Senha) ou a Chave de criptografia (Chave WEP).
Senha (64 bits)

Digite cinco (5) caracteres alfanuméricos, 0-9, a-z ou A-Z.
Chave WEP (64 bits)

Digite 10 caracteres hexadecimais, 0-9, A-F.
Senha (128 bits)

Digite 13 caracteres alfanuméricos, 0-9, a-z ou A-Z.
Chave WEP (128 bits)

Digite 26 caracteres hexadecimais, 0-9, A-F.
  1. Índice de chave: Selecione 1,2, 3 ou 4. Altere o Índice de chave para especificar até quatro senhas.
  2. Clique em OK.

Configurar um cliente com a autenticação de rede WPA*-Empresa ou WPA2*-Empresa

WPA2-Empresa exige um servidor de autenticação.

NOTA: WPA-Empresa e WPA2-Empresa são interoperáveis.

Para adicionar um perfil que usa autenticação WPA-Empresa ou WPA2-Empresa:

  1. Obter um nome de usuário e senha no servidor RADIUS, junto ao administrador.
  2. Determinados tipos de autenticação exigem a obtenção e instalação de um certificado de cliente. Consulte Configurar o cliente para a autenticação TLS ou consulte o administrador da rede.
  3. Clique em Perfis na janela principal do Intel(R) PROSet/Wireless.
  4. Na página Perfis, clique em Adicionar para abrir as Configurações gerais do Assistente para criação de perfis de rede sem fio.
  5. Nome do perfil: Digite um nome descritivo do perfil.
  6. Nome da rede sem fio (SSID): Digite o identificador da rede.
  7. Modo de operação: Clique em Rede (Infra-estrutura).
  8. Clique em Avançar.
  9. Selecione Segurança corporativa.
  10. Autenticação da rede: Selecione WPA-Empresa ou WPA2-Empresa.
  11. Criptografia de dados: Selecione uma das seguintes opções:
  12. Ativar 802.1X: Selecionado.
  13. Tipo de autenticação: Selecione uma das seguintes opções: EAP-SIM, LEAP, TLS, TTLS, PEAP, EAP-FAST.

Configurar um cliente com autenticação de rede EAP-SIM

EAP-SIM usa uma chave dinâmica WEP baseada em sessão, originária do adaptador do cliente e do servidor RADIUS, para codificar os dados. O EAP-SIM exige que você insira um código de verificação do usuário, ou PIN (Personal Identification Number), para a comunicação com o cartão SIM (Subscriber Identity Module). Um cartão SIM é um smart card especial usado pelas redes de celulares digitais baseadas em GSM (Global System for Mobile Communications). Para adicionar um perfil com autenticação EAP-SIM:

  1. Na página Perfis, clique em Adicionar para abrir as Configurações gerais do Assistente para criação de perfis de rede sem fio.
  2. Nome do perfil: Digite um nome do perfil.
  3. Nome da rede sem fio (SSID): Digite o identificador da rede.
  4. Modo de operação: Clique em Rede (Infra-estrutura).
  5. Clique em Avançar para acessar as Configurações de segurança.
  6. Selecione Segurança corporativa.
  7. Autenticação da rede: Selecione Aberta (recomendado).
  8. Criptografia de dados: Selecione WEP.
  9. Clique em Ativar 802.1X.
  10. Tipo de autenticação: Selecione EAP-SIM.

A autenticação de EAP-SIM pode ser usada com:

Autenticação EAP-SIM (opcional):

  1. Especificar o nome do usuário (identidade): Clique para especificar o nome do usuário.
  2. Clique em OK.

Configurar um cliente com autenticação de rede TLS

Estas configurações definem o protocolo e as credenciais usadas para autenticar o usuário. TLS (Transport Layer Security) é um método de autenticação bidirecional que usa exclusivamente certificados digitais para confirmar a identidade de um cliente e um servidor.

Para adicionar um perfil com autenticação TLS:

  1. Clique em Perfis na janela principal do Intel(R) PROSet/Wireless.
  2. Na página Perfis, clique em Adicionar para abrir as Configurações gerais do Assistente para criação de perfis de rede sem fio.
  3. Nome do perfil: Digite um nome descritivo do perfil.
  4. Nome da rede sem fio (SSID): Digite o identificador da rede.
  5. Modo de operação: Clique em Rede (Infra-estrutura).
  6. Clique em Avançar para acessar as Configurações de segurança.
  7. Selecione Segurança corporativa.
  8. Autenticação da rede: Selecione WPA-Empresa ou WPA2-Empresa.
  9. Criptografia de dados: Selecione AES-CCMP (recomendado).
  10. Ativar 802.1X: Selecionado.
  11. Tipo de autenticação: Selecione TLS para ser usado com esta conexão.

Usuário TLS

Etapa 1 de 2: Usuário TLS

  1. Obtenha e instale um certificado de cliente, consulte Configurar o cliente para a autenticação TLS ou consulte o administrador do sistema.
  2. Selecione uma das seguintes opções para obter um certificado: Usar meu smart card, Usar o certificado emitido para este compurador, ou Usar um certificado do usuário neste computador.
  3. Clique em Avançar para abrir as Configurações do servidor TLS.

Servidor TLS

Etapa 2 de 2: Servidor TLS

  1. Selecione um dos seguintes métodos de recuperação de credenciais: Validar o certificado do servidor ou Especificar o nome do servidor ou do certificado.
  2. Clique em OK. Um perfil é adicionado à Lista de perfis.
  3. Clique no novo perfil no final da Lista de perfis. Use as setas para cima e para baixo para mudar a prioridade do novo perfil na lista.
  4. Clique em Conectar para conectar-se à rede sem fio selecionada.
  5. Clique em OK para fechar o Intel(R) PROSet/Wireless.

Configurar um cliente com autenticação de rede TTLS

Autenticação TTLS: Estas configurações definem o protocolo e as credenciais usadas para autenticar um usuário. O cliente usa EAP-TLS para validar o servidor e criar um canal criptografado por TLS entre o cliente e o servidor. O cliente pode usar outro protocolo de autenticação, geralmente protocolos baseados em senhas. Os pacotes de desafio e resposta são enviados por um canal TLS não exposto e encriptografado. O exemplo a seguir descreve como usar o WPA com a criptografia AES-CCMP e autenticação TTLS.

Para configurar um cliente com autenticação de rede TTLS:

  1. Clique em Perfis na janela principal do Intel(R) PROSet/Wireless.
  2. Na página Perfis, clique em Adicionar para abrir as Configurações gerais do Assistente para criação de perfis de rede sem fio.
  3. Nome do perfil: Digite um nome descritivo do perfil.
  4. Nome da rede sem fio (SSID): Digite o identificador da rede.
  5. Modo de operação: Clique em Rede (Infra-estrutura).
  6. Clique em Avançar para acessar as Configurações de segurança.
  7. Selecione Segurança corporativa.
  8. Autenticação da rede: Selecione WPA-Empresa ou WPA2-Empresa.
  9. Criptografia de dados: Selecione uma das seguintes opções:
  10. Ativar 802.1X: Selecionado.
  11. Tipo de autenticação: Selecione TTLS para ser usado com esta conexão.

Etapa 1 de 2: Usuário TTLS

  1. Protocolo de autenticação: Este parâmetro especifica o protocolo de autenticação em operação no túnel TTLS. Os protocolos são: PAP (padrão), CHAP, MS-CHAP e MS-CHAP-V2. Consulte Visão geral sobre segurança para obter mais informações.
  2. Credenciais do usuário: Para os protocolos PAP, CHAP, MS-CHAP e MS-CHAP-V2, selecione um dos seguintes métodos de autenticação: Usar o login do Windows, Avisar sempre que eu conectar ou Use o seguinte.
  3. Identidade de roaming: Uma Identidade de roaming pode ser preenchida neste campo ou você pode usar %domínio%\%nome_do_usuário% como formato padrão para inserir essa identidade.

Ao usar a opção 802.1X Microsoft IAS RADIUS como servidor de autenticação, esse servidor autentica o dispositivo utilizando a Identidade de roaming do software Intel(R) PROSet/Wireless e ignora o nome de usuário do Protocolo de autenticação MS-CHAP-V2. O Microsoft IAS RADIUS só aceita um nome de usuário válido (usuário dotNet) para a Identidade de roaming. Para todos os outros servidores de autenticação, a Identidade de roaming é opcional. Portanto, é recomendável usar o domínio desejado (por exemplo, anonymous@myrealm) na Identidade de roaming, em vez de uma identidade real.

  1. Clique em Avançar para acessar as Configurações do servidor TTLS.

Etapa 2 de 2: Servidor TTLS

  1. Selecione um dos seguintes métodos de recuperação de credenciais: Validar o certificado do servidor ou Especificar o nome do servidor ou do certificado.
  2. Para salvar a configuração e fechar a página, clique em OK.

Configurar um cliente com autenticação de rede PEAP

Autenticação PEAP: As configurações do PEAP são necessárias para a autenticação do cliente junto ao servidor de autenticação. O cliente usa EAP-TLS para validar o servidor e criar um canal criptografado por TLS entre o cliente e o servidor. O cliente pode usar outro mecanismo EAP (como o MSCHAP [Microsoft Challenge Authentication Protocol — Protocolo de autenticação de desafios da Microsoft]) Versão 2, neste canal criptografado para ativar a validação do servidor. Os pacotes de desafio e resposta são enviados por um canal TLS não exposto e encriptografado. O exemplo a seguir descreve como usar o WPA com criptografia AES-CCMP ou TKIP e autenticação PEAP.

Para configurar um cliente com autenticação PEAP:

Obter e instalar um certificado de cliente. Consulte Configurar o cliente para a autenticação TLS ou consulte o administrador.

  1. Clique em Perfis na janela principal do Intel(R) PROSet/Wireless.
  2. Na página Perfis, clique em Adicionar para abrir as Configurações gerais do Assistente para criação de perfis de rede sem fio.
  3. Nome do perfil: Digite um nome descritivo do perfil.
  4. Nome da rede sem fio (SSID): Digite o identificador da rede.
  5. Modo de operação: Clique em Rede (Infra-estrutura).
  6. Clique em Avançar para acessar as Configurações de segurança.
  7. Selecione Segurança corporativa.
  8. Autenticação da rede: Selecione WPA-Empresa ou WPA2-Empresa.
  9. Criptografia de dados: Selecione uma das seguintes opções:
  10. Ativar 802.1X: Selecionado.
  11. Tipo de autenticação: Selecione PEAP para ser usado com esta conexão.

Etapa 1 de 2: Usuário PEAP

O PEAP depende da Transport Layer Security (TLS) para permitir os tipos de autenticação descriptografadas (como o EAP-Generic Token Card (GTC) e suporte para OTP (One-Time Password — Senha ocasional)).

  1. Protocolo de autenticação: Selecione GTC, MS-CHAP-V2 (Padrão) ou TLS. Consulte Protocolos de autenticação.
  2. Credenciais do usuário: Selecione uma das seguintes opções: Usar o login do Windows, Avisar sempre que eu conectar ou Use o seguinte.
  3. Identidade de roaming: Uma Identidade de roaming pode ser preenchida neste campo ou você pode usar %domínio%\%nome_do_usuário% como formato padrão para inserir essa identidade.

Ao usar a opção 802.1X Microsoft IAS RADIUS como servidor de autenticação, esse servidor autentica o dispositivo utilizando a Identidade de roaming do software Intel(R) PROSet/Wireless e ignora o nome de usuário do Protocolo de autenticação MS-CHAP-V2. O Microsoft IAS RADIUS só aceita um nome de usuário válido (usuário dotNet) para a Identidade de roaming. Para todos os outros servidores de autenticação, a Identidade de roaming é opcional. Portanto, é recomendável usar o domínio desejado (por exemplo, anonymous@myrealm) na Identidade de roaming, em vez de uma identidade real.

Configurar a identidade de roaming para suportar vários usuários

Se você usar um perfil Pré-login/Comum que exige que a identidade de roaming se baseie nas credenciais de login do Windows, o criador do perfil poderá adicionar uma identidade de roaming que use %nome_do_usuário% e %domínio%. A identidade de roaming é analisada e as informações de login adequadas substituem as palavras chave. Isso permite flexibilidade máxima ao configurar a identidade de roaming, além de aceitar que vários usuários compartilhem o perfil.

Consulte o guia do usuário do servidor de autenticação para obter instruções sobre como formatar uma identidade de roaming adequada. Os possíveis formatos são:

Se o campo Identidade de roaming estiver vazio, o formato %domínio%\%nome-do-usuário% será o padrão.

Notas sobre as credenciais: Este nome de usuário e domínio devem ser iguais ao nome de usuário definido no servidor de autenticação pelo administrador antes da autenticação do cliente. O recurso distingue maiúsculas de minúsculas no nome de usuário. Este nome especifica a identidade fornecida ao autenticador pelo protocolo de autenticação que está ativo no túnel TLS. A identidade deste usuário é transmitida com segurança ao servidor somente depois que um canal criptografado tenha sido verificado e estabelecido.

Protocolos de autenticação: Este parâmetro especifica os protocolos de autenticação que podem operar no túnel do TTLS. A seguir, instruções sobre como configurar um perfil que usa a autenticação PEAP com

os protocolos de autenticação GTC, MS-CHAP-V2 (padrão) ou TLS.

Generic Token Card (GTC)

Usuário PEAP

Para configurar uma senha ocasional:

  1. Protocolo de autenticação: Selecione GTC (Generic Token Card).
  2. Credenciais do usuário: Selecione Avisar sempre que eu conectar.
  3. No aviso de conexão para: Selecione uma das seguintes opções:
Nome Descrição
Senha estática Ao conectar, digite as credenciais do usuário.
Senha ocasional (OTP) Obtenha a senha de um dispositivo de símbolos do hardware.
PIN (Soft Token) Obtenha a senha de um programa de soft token.
  1. Clique em OK.

NOTA: A opção Avisar sempre que eu conectar não estará disponível se um Administrador desmarcar a configuração Guardar credenciais na Ferramenta do administrador. Consulte Configurações do administrador para obter mais informações.

Senha ocasional

MS-CHAP-V2

Este parâmetro especifica o protocolo de autenticação em operação no túnel PEAP.

  1. Credenciais do usuário: Selecione uma das seguintes opções: Usar o login do Windows, Avisar sempre que eu conectar ou Use o seguinte.
  2. Clique em Avançar para abrir as Configurações do servidor PEAP.

TLS

Transport Layer Security é um método de autenticação bidirecional que usa exclusivamente certificados digitais para confirmar a identidade de um cliente e um servidor.

  1. Obtenha e instale um certificado de cliente, consulte Configurar o cliente para a autenticação TLS ou consulte o administrador do sistema.
  2. Selecione uma das seguintes opções para obter um certificado: Usar meu smart card, Usar o certificado emitido para este compurador ou Usar um certificado do usuário neste computador.
  3. Clique em Avançar para abrir as Configurações do servidor PEAP.

Etapa 2 de 2: Servidor PEAP

Servidor PEAP
  1. Selecione um dos seguintes métodos de recuperação de credenciais: Validar o certificado do servidor ou Especificar o nome do servidor ou do certificado.
  2. Clique em OK. Um perfil é adicionado à Lista de perfis.
  3. Clique no novo perfil no final da Lista de perfis. Use as setas para cima e para baixo para mudar a prioridade do novo perfil na lista.
  4. Clique em Conectar para conectar-se à rede sem fio selecionada.

Se você não marcou a opção Usar o login do Windows na página Configurações de segurança e também não configurou as credenciais do usuário, nenhuma credencial será gravada para este perfil. Digite suas credenciais para autenticar-se junto à rede.

  1. Clique em OK para fechar o Intel(R) PROSet/Wireless.

Inscrição automática de certificado PEAP-TLS

Em Configurações do aplicativo, selecione Ativar notificação de certificados recusados pelo TLS, se quiser que um aviso seja emitido quando um certificado PEAP-TLS for recusado. Quando um certificado apresentar um campo com data de vencimento inválida, você será instruído a tomar uma das seguintes ações: Foi detectado um possível problema de autenticação do perfil <nome do perfil>. A data de vencimento no certificado associado pode ser inválida. Escolha uma das seguintes opções:

Controle Descrição
Continue com os parâmetros atuais. Continuar com o certificado atual.
Atualizar manualmente o certificado. A página Selecionar certificado se abre para que você escolha outro certificado.
Atualizar automaticamente o certificado com base nos certificados no armazenamento local. Esta opção só é ativada quando o armazenamento local possui um ou mais certificados cujos campos “Emitido para” e “Emitido por” correspondem ao certificado atual e cuja “data de vencimento” não tenha expirado. Se você escolher esta opção, o aplicativo selecionará o primeiro certificado válido.
Faça o logoff para obter o certificado durante o processo de logon (isto não atualiza o perfil e aplica-se somente aos certificados configurados para o registro automático). Desconecta o usuário, que deverá obter um certificado correto no próximo processo de login. Para selecionar o novo certificado, o perfil deve ser atualizado.
Registro automático Você receberá a seguinte notificação: Aguarde enquanto o sistema está tentando obter automaticamente o certificado. Clique em Cancelar para encerrar o recuperação do certificado.
Não mostrar esta mensagem novamente. O usuário pode evitar esta etapa nas sessões subseqüentes. A opção selecionada é memorizada para as futuras sessões.

Configurar um cliente com autenticação de rede LEAP

Cisco LEAP (Light Extensible Authentication Protocol) é um tipo de autenticação do 802.1X que suporta autenticação mútua de alta segurança entre o cliente e um servidor  RADIUS. As configurações de perfis LEAP abrangem LEAP, CKIP com detecção automática de Rogue AP. Para configurar um cliente com autenticação LEAP:

  1. Clique em Perfis na janela principal do Intel(R) PROSet/Wireless.
  2. Na página Perfil, clique em Adicionar. São abertas as Configurações gerais para a criação de perfis de conexões sem fio.
  3. Nome do perfil: Digite um nome descritivo do perfil.
  4. Nome da rede sem fio (SSID): Digite o identificador da rede.
  5. Modo de operação: Clique em Rede (Infra-estrutura).
  6. Clique em Avançar para acessar as Configurações de segurança.
  7. Selecione Segurança corporativa.
  8. Autenticação da rede: Selecione WPA-Empresa ou WPA2-Empresa.
  9. Criptografia de dados: Selecione uma das seguintes opções:
  10. Ativar 802.1X: Selecionado.
  11. Tipo de autenticação: Selecione LEAP para ser usado com esta conexão.
  12. Clique em Opções Cisco.
  13. Clique em Ativar Cisco Compatible Extensions para ativar a segurança Cisco Compatible Extensions (CCX) (Permitir roaming rápida (CCKM), Ativar o suporte para gerenciamento de rádio, Ativar modo de células mistas.).

Cisco Compatible Extensions

  1. Clique em Ativar o suporte para gerenciamento de rádio. Use o Gerenciamento de rádio para detectar pontos de acesso não autorizados.
  2. Clique em OK para retornar às Configurações de segurança.

Usuário LEAP

Usuário LEAP

  1. Selecione um dos seguintes métodos de autenticação: Usar o nome de usuário e senha de login do Windows, Solicitar o nome do usuário e senha ou Usar o nome de usuário e senha a seguir.
  2. Para salvar a configuração e fechar a página, clique em OK.

Opções Cisco Compatible Extensions

Opções Cisco: Use esta opção para ativar ou desativar o Gerenciamento de rádio e o Modo de células mistas ou o recurso Permitir roaming rápida (CCKM).

NOTA: As Cisco Compatible Extensions são habilitadas automaticamente para os perfis CKIP, LEAP ou EAP-FAST. Para substituir este comportamento, marque ou desmarque opções nesta página.

Ativar Cisco Compatible Options: Selecione esta opção para ativar as Cisco Compatible Extensions para este perfil de conexão sem fio.

Configurar um cliente com autenticação de rede EAP-FAST

Em Cisco Compatible Extensions, Versão 3 (CCXv3), a Cisco incluiu suporte para EAP-FAST (Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling), que usa as PACs (Protected Access Credentials) para estabelecer um túnel autenticado entre um cliente e um servidor.

Cisco Compatible Extensions, Versão 4 (CCXv4) melhora os métodos de provisionamento para aumentar a segurança, e traz inovações para se obter mais segurança, mobilidade, qualidade do atendimento e gerenciamento de rede.

Cisco Compatible Extensions, Versão 3 (CCXv3)

Para configurar um cliente com a autenticação EAP-FAST com Cisco Compatible Extensions, versão 3 (CCXv3):

  1. Clique em Perfis na janela principal do Intel(R) PROSet/Wireless.
  2. Na página Perfis, clique em Adicionar para abrir as Configurações gerais do Assistente para criação de perfis de rede sem fio.
  3. Nome da rede sem fio (SSID): Digite o identificador da rede.
  4. Nome do perfil: Digite um nome descritivo do perfil.
  5. Modo de operação: Clique em Rede (Infra-estrutura).
  6. Clique em Avançar para abrir as Configurações de segurança.
  7. Selecione Segurança corporativa.
  8. Autenticação da rede: Selecione WPA-Empresa ou WPA2-Empresa.
  9. Criptografia de dados: Selecione uma das seguintes opções:
  10. Ativar 802.1X: Selecionado.
  11. Tipo de autenticação: Selecione a opção EAP-FAST para ser usada nesta conexão.

Fornecimento de EAP-FAST

NOTA: Se a Configuração do Aplicativo CCXv4 não foi instalada através de um Pacote do Administrador, somente as Configurações do usuário EAP-FAST estarão disponíveis para configuração. Consulte Configurações do usuário EAP-FAST.

Etapa 1 de 2: Fornecimento de EAP-FAST

  1. Clique em Desativar otimizações de EAP-FAST (CCXv4) para permitir o provisionamento dentro de túnel TLS não autenticado pelo servidor (Modo de Provisionamento de Servidor TLS não autenticado).
  2. Clique em Selecione o servidor para ver as PACs não autenticadas já fornecidas e residentes nesse computador.

NOTA: Se a PAC fornecida for válida, o Intel(R) PROSet/Wireless não solicitará a aceitação da PAC. Se a PAC for inválida, o Intel(R) PROSet/Wireless não a fornecerá automaticamente. Será exibida uma mensagem de status no Event Viewer para conexões sem fio informando que um administrador pode examinar o computador do usuário.

Para importar uma PAC:

PAC

  1. Clique em Avançar para selecionar o método de recuperação de credenciais ou clique em OK para salvar as configurações EAP-FAST e voltar à Lista de perfis. A PAC é usada neste perfil de conexão sem fio.

Etapa 2 de 2: Informações adicionais sobre EAP-FAST

Para fazer a autenticação do cliente no túnel estabelecido, um cliente envia um nome de usuário e senha para autenticar-se e define a política de autorização do cliente.

  1. Clique em Credenciais do usuário para selecionar um dos seguintes métodos de recuperação de credenciais: Usar o login do Windows, Avisar sempre que eu conectar ou Use o seguinte.
  2. Para salvar as configurações e fechar a página, clique em OK. Não é necessária a verificação do servidor.

Cisco Compatible Extensions, versão 4 (CCXv4)

Para configurar um cliente com a autenticação EAP-FAST com Cisco Compatible Extensions, versão 4 (CCXv4):

  1. Clique em Perfis na janela principal do Intel(R) PROSet/Wireless.
  2. Na página Perfil, clique em Adicionar para abrir as Configurações gerais do Assistente para criação de perfis de conexões sem fio.
  3. Nome da rede sem fio (SSID): Digite o identificador da rede.
  4. Nome do perfil: Digite um nome descritivo do perfil.
  5. Modo de operação: Clique em Rede (Infra-estrutura).
  6. Clique em Avançar para abrir as Configurações de segurança.
  7. Selecione Segurança corporativa.
  8. Autenticação da rede: Selecione WPA-Empresa ou WPA2-Empresa.
  9. Criptografia de dados: Selecione uma das seguintes opções:
  10. Criptografia de dados Selecione AES-CCMP.
  11. Ativar 802.1X: Selecionado.
  12. Tipo de autenticação: Selecione a opção EAP-FAST para ser usada nesta conexão.

Etapa 1 de 3: Fornecimento de EAP-FAST

Com a CCXv4, a EAP-FAST suporta dois modos de provisionamento:

NOTA: O Modo autenticado pelo servidor oferece mais vantagens de segurança em relação ao Modo não autenticado pelo servidor, inclusive quando o EAP-MS-CHAP-V2 estiver sendo usado como um método mais interno. Esse modo protege os intercâmbios de EAP-MS-CHAP-V2 contra os possíveis ataques do tipo Man-in-the-Middle (indiretos), verificando a autenticidade do servidor antes de trocar o MS-CHAP-V2. Sendo assim, o Modo autenticado pelo servidor é o preferido, sempre que possível. O par de EAP-FAST deve usar o Modo autenticado pelo servidor, sempre que um certificado ou chave pública estiver disponível para autenticar o servidor e assegurar as melhores práticas de segurança.

Modo de fornecimento PAC (Protected Access Credentials):

EAP-FAST uma chave de PAC (Protected Access Credentials) para proteger as credenciais do usuário que são trocadas. Todos os autenticadores EAP-FAST são identificados por uma identidade de autoridade (A-ID). O autenticador local envia sua A-ID para um cliente de autenticação e o cliente procura em seu banco de dados uma A-ID correspondente. Se o cliente não reconhecer a A-ID, ele solicitará uma nova PAC.

NOTA: Se a PAC fornecida for válida, o Intel(R) PROSet/Wireless não solicitará a sua aceitação por parte do usuário. Se a PAC for inválida, o Intel(R) PROSet/Wireless não a fornecerá automaticamente. Será exibida uma mensagem de status no Event Viewer para conexões sem fio informando que um administrador examine o computador do usuário.

  1. Certifique-se de que a opção Desativar otimizações de EAP-FAST (CCXv4) não esteja selecionada. Por padrão, as opções Permitir fornecimento não autenticado e Permitir fornecimento autenticado estarão selecionadas. Assim que uma PAC for selecionada no Servidor Padrão, você poderá desmarcar qualquer um desses métodos de fornecimento.
  2. Servidor padrão: Nenhuma é a opção padrão selecionada. Clique em Selecione o servidor para selecionar uma PAC no servidor padrão de autoridades PAC ou selecione um servidor na lista Grupo de servidores. É exibida a página de seleção Servidor Padrão EAP-FAST (Autoridade PAC).

NOTA: Os Grupos de servidores só serão listados se você instalou um Pacote do administrador que contém as configurações de Grupo A-ID (Authority ID) de EAP-FAST.

Também é possível fazer a distribuição da PAC manualmente (fora da faixa). O fornecimento manual permite criar uma PAC para um usuário em um servidor ACS e depois importá-la para um computador do usuário. Um arquivo de PAC pode ser protegido por uma senha, que o usuário deve inserir durante a importação da PAC.

Para importar uma PAC:

  1. Clique em Importar para importar uma PAC do servidor de PACs.
  2. Clique em Abrir.
  3. Digite a senha da PAC (opcional).
  4. Clique em OK para fechar esta página. A PAC selecionada é usada neste perfil de conexão sem fio.

EAP-FAST CCXv4 ativa o suporte para o fornecimento de outras credenciais além da PAC atualmente fornecida para estabelecimento do túnel. Os tipos de credenciais suportados são o Certificado reconhecido pela AC, credenciais de máquina para autenticação de máquina e credenciais temporárias do usuário, utilizadas para ignorar a autenticação do usuário.

Usar um certificado (Autenticação TLS)

  1. Clique em Usar um certificado (Autenticação TLS).
  2. Clique em Proteção de identidade quando o túnel estiver protegido.
  3. Selecione uma das seguintes opções:
  4. Nome do usuário: Digite o nome do usuário atribuído ao certificado do usuário.
  5. Clique em Avançar.

Etapa 2 de 3: Informações adicionais sobre EAP-FAST

Se você selecionou Usar um certificado (Autenticação TLS) e Usar um certificado do usuário neste computador, clique em Avançar (não é necessária uma identidade de roaming) e vá para a Etapa 3 para configurar as configurações de certificados do servidor EAP-FAST. Se você não precisa configurar as configurações do servidor EAP-FAST, clique em OK para salvar as configurações e voltar à página Perfis.

Se você selecionou a opção para usar um smart card, adicione a identidade de roaming, se necessária. Clique em OK para salvar as configurações e voltar à página Perfis.

Se você não selecionou Usar um certificado (Autenticação TLS), clique em Avançar para selecionar um Protocolo de Autenticação. O CCXv4 permite credenciais adicionais ou conjuntos de cifras de TLS para estabelecer o túnel.

Protocolo de autenticação: Selecione GTC ou MS-CHAP-V2 (padrão). 

Generic Token Card (GTC)

É possível usar o GTC com o Modo autenticado pelo servidor. Isso permite que os pares usando outros bancos de dados do usuário, como o LDAP (Lightweight Directory Access Protocol) e a tecnologia de senha ocasional (OTP), sejam aprovisionados dentro da faixa. Contudo, a substituição só pode ser feita quando utilizado com conjuntos de cifras de TLS que garantam a autenticação do servidor.

Para configurar uma senha ocasional:

  1. Protocolo de autenticação: Selecione GTC (Generic Token Card).
  2. Credenciais do usuário: Selecione Avisar sempre que eu conectar.
  3. No aviso de conexão para: Selecione uma das seguintes opções:
Nome Descrição
Senha estática Ao conectar, digite as credenciais do usuário.
Senha ocasional (OTP) Obtenha a senha de um dispositivo de símbolos do hardware.
PIN (Soft Token) Obtenha a senha de um programa de soft token.
  1. Clique em OK.
  2. Selecione o perfil na lista Redes sem fio.
  3. Clique em Conectar. Quando instruído, digite o nome do usuário, domínio e a senha ocasional (OTP).
  4. Clique em OK.

MS-CHAP-V2

Este parâmetro especifica o protocolo de autenticação em operação no túnel PEAP.

  1. Selecione as credenciais do usuário: Usar o login do Windows, Avisar sempre que eu conectar ou Use o seguinte.
  2. Identidade de roaming: Uma Identidade de roaming pode ser preenchida neste campo ou você pode usar %domínio%\%nome_do_usuário% como formato padrão para inserir essa identidade.

Ao usar a opção 802.1X Microsoft IAS RADIUS como servidor de autenticação, esse servidor autentica o dispositivo utilizando a Identidade de roaming do software Intel(R) PROSet/Wireless e ignora o nome de usuário do Protocolo de autenticação MS-CHAP-V2. O Microsoft IAS RADIUS só aceita um nome de usuário válido (usuário dotNet) para a Identidade de roaming. Para todos os outros servidores de autenticação, a Identidade de roaming é opcional. Portanto, é recomendável usar o domínio desejado (por exemplo, anonymous@myrealm) na Identidade de roaming, em vez de uma identidade real.

Etapa 3 de 3: Servidor EAP-FAST

O Modo de provisionamento por servidor de TLS autenticado é suportado ao usar um Certificado reconhecido pela AC, um certificado do servidor assinado automaticamente ou chaves públicas do servidor e GTC como método EAP mais interno.

  1. Selecione um dos seguintes métodos de recuperação de credenciais: Validar o certificado do servidor ou Especificar o nome do servidor ou do certificado.
  2. Clique em OK para fechar as Configurações de segurança.

Configuração do usuário EAP-FAST

NOTA: Se um Pacote do Administrador foi instalado no computador do usuário que não aplica as Configurações do aplicativo Cisco Compatible Extensions, Versão 4, somente as Configurações do usuário EAP-FAST estarão disponíveis para configuração.

Para configurar um cliente com autenticação EAP-FAST:

  1. Clique em Perfis na janela principal do Intel(R) PROSet/Wireless.
  2. Na página Perfis, clique em Adicionar para abrir as Configurações gerais do Assistente para criação de perfis de rede sem fio.
  3. Nome da rede sem fio (SSID): Digite o identificador da rede.
  4. Nome do perfil: Digite um nome descritivo do perfil.
  5. Modo de operação: Clique em Rede (Infra-estrutura).
  6. Clique em Avançar para abrir as Configurações de segurança.
  7. Clique em Segurança corporativa.
  8. Autenticação da rede: Selecione WPA-Empresa ou WPA2-Empresa.
  9. Criptografia de dados: Selecione uma das seguintes opções:
  10. Ativar 802.1X: Selecionado.
  11. Tipo de autenticação: Selecione a opção EAP-FAST para ser usada nesta conexão.
  12. Clique em Opções Cisco para selecionar Permitir roaming rápida (CCKM) que permite a roaming rápida segura para o adaptador sem fio do cliente.

Usuário EAP-FAST

Selecione o método de recuperação de credenciais:

  1. Selecione as credenciais do usuário: Usar o login do Windows, Avisar sempre que eu conectar ou Use o seguinte.
  2. Permite o provisionamento automático de PAC (Protected Access Credentials):

EAP-FAST uma chave de PAC (Protected Access Credentials) para proteger as credenciais do usuário que são trocadas. Todos os autenticadores EAP-FAST são identificados por uma identidade de autoridade (A-ID). O autenticador local envia sua A-ID para um cliente de autenticação e o cliente procura em seu banco de dados uma A-ID correspondente. Se o cliente não reconhecer a A-ID, ele solicitará uma nova PAC.

Clique em PACs para ver as PACs já fornecidas e residentes nesse computador. Uma PAC já deverá ter sido obtida, para se desmarcar a opção Permitir fornecimento automático nas Configurações de segurança.

NOTA: Se a PAC fornecida for válida, o Intel(R) PROSet/Wireless não solicitará a sua aceitação por parte do usuário. Se a PAC for inválida, o Intel(R) PROSet/Wireless não a fornecerá automaticamente. Será exibida uma mensagem de status no Event Viewer para conexões sem fio informando que um administrador examine o computador do usuário.

Também é possível fazer a distribuição da PAC manualmente (fora da faixa). O fornecimento manual permite criar uma PAC para um usuário em um servidor ACS e depois importá-la para um computador do usuário. Um arquivo de PAC pode ser protegido por uma senha, que o usuário deve inserir durante a importação da PAC.

Para importar uma PAC:

  1. Clique em PACs para abrir a lista PAC (Protected Access Credentials).
  2. Clique em Importar para importar uma PAC residente nesse computador ou em um servidor.
  3. Selecione a PAC e clique em Abrir.
  4. Digite a senha da PAC (opcional).
  5. Clique em OK para fechar esta página. A PAC selecionada é incluída na lista PAC.
  6. Clique em OK para salvar as configurações EAP-FAST e voltar à lista de perfis. A PAC é usada neste perfil de conexão sem fio.

Voltar ao Início

Voltar ao Índice

Marcas comerciais e isenções de responsabilidade