К содержанию

Настройка защиты профиля

Использование программного обеспечения Intel(R) PROSet/Wireless
Персональная защита
Настройка персональной защиты
Настройка шифрования данных и аутентификации

Корпоративная защита
Настройки корпоративной защиты

Сетевая аутентификация

Типы аутентификации 802.1X

Использование программного обеспечения Intel(R) PROSet/Wireless

В следующих разделах рассказано, как использовать Intel(R) PROSet/Wireless для установки необходимых параметров безопасности вашего беспроводного сетевого адаптера. См. раздел Персональная защита.

В них также приведена информация о том, как сконфигурировать дополнительные параметры безопасности для вашего беспроводного адаптера. Настройка указанных параметров требует получения дополнительной информации от системного администратора (для корпоративных систем) или дополнительной настройки безопасности вашей точки доступа (для частных пользователей). См. раздел Корпоративная защита.

Общая информация о настройках защиты приведена в разделе Обзор возможностей защиты.

Персональная защита

Персональная защита используется в домашних условиях или для пользователей малого бизнеса, которые могут использовать разнообразие простых процедур настройки системы безопасности для обеспечения защиты беспроводного подключения. Выберите этот параметр из списка настроек системы безопасности, которые не требуют сложной инфраструктуры для вашей беспроводной сети. Использование серверов RADIUS или AAA не требуется.

Настройки персональной защиты

Описание настроек персональной защиты

Имя Параметр

Персональная защита

Используется для открытия страницы настроек "Персональная защита". Выбор настроек защиты зависит от выбранного режима работы на странице "Настройки защиты" в менеджере создания беспроводных профилей:

Одноранговая сеть (ad hoc): В режиме одноранговой сети, также называемом режимом "ad hoc", компьютеры беспроводной сети отправляют информацию непосредственно другим компьютерам сети. Вы можете использовать режим ad hoc для сети из нескольких компьютеров, расположенных дома, в небольших офисах или для создания временной сети при проведении собраний.

ПРИМЕЧАНИЕ. Одноранговые сети (ad hoc) отображаются в списке беспроводных сетей и списке профилей значком ноутбука (ноутбук).

Сеть (Infrastructure): Сеть типа "Infrastructure" состоит из одной или нескольких точек доступа и одного или нескольких компьютеров с установленными адаптерами беспроводной сети. По меньшей мере, одна точка доступа должна также обеспечивать проводное соединение. В домашних условиях это обычно кабельное подключение к Интернету или сети.

ПРИМЕЧАНИЕ. Сети "Infrastructure" отображаются в списке беспроводных сетей и списке профилей значком точки доступа (точка доступа).

Настройки защиты

Если выполняется конфигурация профиля одноранговой сети (ad hoc), выберите один из следующих параметров шифрования данных:

  • Нет: Аутентификация не требуется.
  • WEP 64 бита или WEP 128 бит: Для шифрования используется сетевой ключ или пароль.

Если выполняется настройка профиля сети (Infrastructure), выберите:

Кнопка "Дополнительно"

 Используется для доступа к дополнительным настройкам и конфигурации следующих параметров:
  • Авто-подключение: Используется для автоматического подключения к профилю или подключения вручную.
  • Автоимпорт: Сетевой администратор может экспортировать профиль в другой компьютер.
  • Главная точка доступа: Используется для подключения беспроводного адаптера к определенной точке доступа.
  • Защита паролем: Используется для защиты профиля паролем.
  • Запуск приложения: Используется для указания программы, которую нужно запускать при выполнении беспроводного подключения.
  • Обслуживание подключения: Выберите для обслуживания беспроводного подключения с профилем пользователя после выхода того из системы.

Назад

Отображает предыдущую страницу в мастере профилей.

ОК

Закрывает мастер профилей и сохраняет профиль.

Отмена

Закрывает мастер профилей и отменяет любые выполненные изменения.

Справка

Отображает информацию справки для текущей страницы.

Настройка шифрования данных и аутентификации

В домашних условиях можно использовать разнообразие простых процедур настройки системы безопасности для обеспечения защиты беспроводного подключения. В их число входит:

Шифрование WPA (Wi-Fi Protected Access), которое обеспечивает защиту ваших данных и сети. WPA использует ключ шифрования, называемый предварительно опубликованным ключом PSK (Pre-Shared Key), для шифрования данных перед их отправкой. Для доступа к этим данным необходимо ввести этот же пароль на всех компьютерах и в точке доступа вашей домашней или офисной сети. Только компьютеры, использующие этот же ключ, могут получить доступ к сети и расшифровать переданные другими компьютерами данные. Для шифрования данных пароль автоматически инициирует протокол целостности временного ключа (Temporal Key Integrity Protocol - TKIP) или протокол AES-CCMP.

Сетевые ключи

WEP-шифрование представляет два уровня защиты:

Для повышения безопасности необходимо использовать 128-битный ключ. Если вы используете шифрование, все устройства в беспроводной сети должны использовать одинаковые ключи шифрования.

Необходимо создать ключ и указать его длину (64 или 128 бит) и индекс ключа (местоположение хранения ключа). Ключ, имеющий большую длину, наиболее защищен.

Длина ключа: 64 бит

Контрольная фраза (64 бита): Введите пять (5) алфавитно-цифровых символов: 0-9, a-z или A-Z.
Шестнадцатеричный ключ (64 бита): Ведите 10 шестнадцатиричных символов: 0-9, A-F.

Длина ключа: 128 бит

Контрольная фраза (128 бит): Введите тринадцать (13) алфавитно-цифровых символов, 0-9, a-z или A-Z.
Шестнадцатиричный ключ (128 бит): Ведите 26 шестнадцатиричных символов: 0-9, A-F.

С WEP-шифрованием данных станция беспроводной сети может иметь в конфигурации до четырех ключей (значения индекса ключа: 1, 2, 3 и 4). Когда точка доступа или станция беспроводной сети передает шифрованное сообщение, использующее ключ, хранящийся в указанном индексе ключа, переданное сообщение будет указывать на индекс ключа, использованного для шифрования сообщения. Принимающая точка доступа или станция беспроводной сети может найти ключ, хранящийся в индексе, и использовать его для дешифрования сообщения.

Настройка клиента с открытой аутентификацией и без шифрования данных

В главном окне программы Intel(R) PROSet/Wireless можно выбрать один их следующих способов подключения к сети "Infrastructure":

Если аутентификация в сети не требуется, подключение будет выполнено без запроса идентификационной информации. Любое беспроводное устройство, использующее корректное имя сети (SSID), сможет подключиться к другим устройствам сети.

Внимание! Сети, не использующие аутентификации или шифрования, особенно уязвимы в отношении доступа неавторизованных пользователей.

Для создания профиля для подключения к беспроводной сети без шифрования:

  1. Выберите параметр Профили в главном окне программы Intel(R) PROSet/Wireless.
  2. На странице "Профили" щелкните Добавить для открытия страницы беспроводных профилей Общие настройки.
  3. Имя профиля: Введите описательное имя.
  4. Имя беспроводной сети (SSID): Введите имя своей беспроводной сети.
  5. Режим работы: Щелкните Одноранговая сеть (Ad hoc).
  6. Нажмите Далее для открытия страницы Настройки защиты.
  7. Параметр Персональная защита выбран по умолчанию.
  8. Настройки защиты: По умолчанию установлено Нет, что указывает, что в этой беспроводной сети нет защиты.
  9. Щелкните OK. Теперь профиль добавлен в список профилей и может использоваться для подключения к сети.

Настройка клиента с 64- или 128-битным WEP-шифрованием данных

Если включено шифрование данных (WEP), для этой цели используется сетевой ключ или пароль.

Сетевой ключ предоставляется автоматически (например, он может быть предоставлен производителем адаптера беспроводной сети) или вы можете ввести его самостоятельно, указав длину ключа (64 или 128 бит), формат ключа (ASCII-символы или шестнадцатиричные цифры) и индекс ключа (место хранения ключа). Ключ, имеющий большую длину, наиболее защищен.

Для добавления ключа для подключения к одноранговой сети (ad hoc):

  1. В главном окне программы Intel(R) PROSet/Wireless в списке беспроводных сетей дважды щелкните параметр одноранговой сети ("ad hoc") или выберите сеть и щелкните Подключить.
  2. Щелкните Профили для доступа к списку профилей.
  3. Щелкните Свойства для открытия страницы Общие настройки. Отобразится имя профиля и имя беспроводной сети (SSID). Для режима работы должен быть выбран режим одноранговой сети (ad Hoc).
  4. Нажмите Далее для открытия страницы Настройки защиты.
  5. Параметр Персональная защита выбран по умолчанию.
  6. Настройки защиты: По умолчанию установлено Нет, что указывает, что в этой беспроводной сети нет защиты.

Для добавления пароля или сетевого ключа:

  1. Настройки защиты: Выберите 64- или 128-битное WEP-шифрование для настройки шифрования данных с 64- или 128-битным ключом.

    2. Когда в точке доступа разрешено WEP-шифрование, WEP-ключ использует способ проверки доступа к сети. Если беспроводное устройство не имеет правильного WEP-ключа, даже при успешной аутентификации устройство не может передавать данные через точку доступа или дешифровать полученные от нее данные.

Имя Описание

Пароль

Введите пароль сетевой защиты (контрольная фраза) или ключ шифрования (WEP-ключ).

Контрольная фраза (64 бита)

Введите пять (5) алфавитно-цифровых символов: 0-9, a-z или A-Z.

WEP-ключ (64 бита)

Ведите 10 шестнадцатиричных символов: 0-9, A-F.

Контрольная фраза (128 бит)

Введите 13 алфавитно-цифровых символов, 0-9, a-z или A-Z.

WEP-ключ (128 бит)

Ведите 26 шестнадцатиричных символов: 0-9, A-F.
  1. Индекс ключа: Можно изменить индекс ключа для установки до четырех паролей.
  2. Щелкните OK для возврата к списку "Профили".

Для добавления нескольких паролей:

  1. Выберите число индекса ключа: 1, 2, 3 или 4.
  2. Введите пароль сетевой защиты.
  3. Выберите другое число индекса ключа.
  4. Введите другой пароль сетевой защиты.

Настройка клиента с WPA*-персональной (TKIP) или WPA2*-персональной защитой

Для режима персональной защиты WPA* необходимо вручную сконфигурировать предварительно опубликованный общий ключ (PSK) в точке доступа или клиентах. Этот ключ PSK аутентифицирует пользователей с помощью пароля или кода идентификации на обеих сторонах - станции клиента и в точке доступа. Сервер аутентификации не требуется. Режим персональной защиты WPA используется в домашних условиях или сетях малого бизнеса.

WPA2* - это второе поколение WPA-защиты, обеспечивающее предприятия и отдельных пользователей беспроводных сетей наивысшим уровнем безопасности, гарантирующим лишь санкционированный доступ к их беспроводным сетям. WPA2 обеспечивает усиленный режим шифрования с помощью AES (Advanced Encryption Standard), необходимый для использования в корпоративных сетях и сетях государственных учреждений.

ПРИМЕЧАНИЕ. Для обеспечения скоростей передачи более 54 Мб/c при подключениях 802.11n необходимо выбрать параметр защиты WPA2-AES. Отсутствие защиты (Нет) может быть выбрано для включения настройки сети и поиска и устранения неисправностей.

Для конфигурации профиля с сетевой аутентификацией WPA-персональная и шифрованием данных TKIP:

  1. В главном окне программы Intel(R) PROSet/Wireless в списке беспроводных сетей дважды щелкните параметр сети "Infrastructure" или выберите сеть и щелкните Подключить.
  2. Щелкните Профили для доступа к списку профилей.
  3. Щелкните Свойства для открытия страницы Общие настройки. Отобразится имя профиля и имя беспроводной сети (SSID). Сеть (Infrastructure) необходимо выбрать в качестве режима работы.
  4. Нажмите Далее для открытия страницы Настройки защиты.
  5. Щелкните Персональная защита.
  6. Настройки защиты: Выберите WPA-персональная (TKIP) для обеспечения уровня защиты в небольших сетях или в домашних условиях. Она использует пароль, который называется предварительно опубликованным ключом (pre-shared key - PSK). Чем больше длина используемого пароля, тем надежнее защита беспроводной сети.

Если ваша беспроводная точка доступа или маршрутизатор поддерживают WPA2-персональную аутентификацию, тогда вы должны использовать ее в точке доступа, а также назначить длинный и надежный пароль. Чем больше длина используемого пароля, тем надежнее защита беспроводной сети. Этот пароль, введенный в точке доступа, должен использоваться в этом компьютере и на всех беспроводных устройствах сети для подключения к этой точке доступа.

ПРИМЕЧАНИЕ. WPA- и WPA2-персональная совместимы друг с другом.

  1. Пароль защиты беспроводной сети (ключ шифрования): Введите текстовую фразу от восьми до 63 символов. Убедитесь, что сетевой ключ соответствует паролю в беспроводной точке доступа.
  2. Щелкните OK для возврата к списку "Профили".

Настройка клиента с WPA*-персональной (AES-CCMP) или WPA2*-персональной (AES-CCMP) защитой

Стандарт Wi-Fi Protected Access (WPA*) - усовершенствованный стандарт безопасности, который значительно поднимает уровень защищенности и управления доступом к данным беспроводных локальных сетей. WPA активизирует аутентификацию по стандарту 802.1x, обмен ключами и может работать только с динамическими ключами шифрования. Во время использования в домашних условиях или в небольших корпоративных сетях защита WPA-персональная использует стандарт шифрования AES-CCMP (Advanced Encryption Standard - Counter CBC-MAC Protocol) или протокол TKIP (Temporal Key Integrity Protocol).

ПРИМЕЧАНИЕ. Адаптер Intel(R) Wireless WiFi Link 4965AGN: Для обеспечения скоростей передачи более 54 Мб/c при подключениях 802.11n необходимо выбрать параметр защиты WPA2-AES. Отсутствие защиты (Нет) может быть выбрано для включения настройки сети и поиска и устранения неисправностей.

Для создания профиля с сетевой аутентификацией WPA2-персональная и шифрованием данных AES-CCMP:

  1. В главном окне программы Intel(R) PROSet/Wireless в списке беспроводных сетей дважды щелкните параметр сети "Infrastructure" или выберите сеть и щелкните Подключить.
  2. Если профиль уже получен, его имя и имя беспроводной сети (SSID) должно отображаться на экране Общие настройки. Сеть (Infrastructure) необходимо выбрать в качестве режима работы. Нажмите Далее для открытия страницы Настройки защиты.
  3. Щелкните Персональная защита.
  4. Настройки защиты: Выберите WPA2-персональная (AES-CCMP) для обеспечения уровня защиты в небольших сетях или в домашних условиях. Она использует пароль, который называется предварительно опубликованным ключом (pre-shared key - PSK). Чем больше длина используемого пароля, тем надежнее защита беспроводной сети.

AES-CCMP (Advanced Encryption Standard - Counter CBC-MAC Protocol) - это новейший метод защиты конфиденциальности при беспроводной передаче данных, определенный в стандарте IEEE 802.11i. Протокол AES-CCMP обеспечивает более надежный метод шифрования в сравнении с TKIP. Выберите AES-CCMP в качестве метода шифрования, когда необходима повышенная безопасность данных.

Если ваша беспроводная точка доступа или маршрутизатор поддерживают WPA2-персональную защиту, тогда вы должны использовать ее в точке доступа, а также назначить длинный и надежный пароль. Этот пароль, введенный в точке доступа, должен использоваться в этом компьютере и на всех беспроводных устройствах сети для подключения к этой точке доступа.

ПРИМЕЧАНИЕ. WPA- и WPA2-персональная совместимы друг с другом.

Некоторые решения в области безопасности могут не поддерживаться операционной системой вашего компьютера. Для поддержки инфраструктуры беспроводной сети может потребоваться установка дополнительного программного обеспечения или оборудования. За информацией обратитесь к производителю своего компьютера.

  1. Пароль: Пароль защиты беспроводной сети (ключ шифрования): Введите текстовую фразу (от 8 до 63 символов). Убедитесь, что сетевой ключ соответствует паролю в беспроводной точке доступа.
  2. Щелкните OK для возврата к списку "Профили".

Корпоративная защита

На странице "Настройки защиты" можно ввести необходимые настройки защиты для выбранной беспроводной сети.

Параметр "Корпоративная защита" необходим, если в сети требуется аутентификация 802.1x.

Настройки корпоративной защиты

Описание настроек корпоративной защиты

Имя Параметр
Корпоративная защита

Используется для открытия страницы настроек "Корпоративная защита".
Сетевая аутентификация

Выберите один из следующих способов аутентификации:
Шифрование данных

Выберите для открытия следующих типов шифрования данных:
Включить 802.1x (Тип аутентификации) Используется для активизации следующих типов аутентификации 802.1x:
Параметры Cisco Щелкните для отображения страницы Cisco Compatible Extensions.

ПРИМЕЧАНИЕ. Использование Cisco Compatible Extensions автоматически включено для профилей CKIP и LEAP.
Кнопка "Дополнительно" Используется для доступа к дополнительным настройкам и конфигурации следующих параметров:
  • Авто-подключение: Используется для автоматического подключения к профилю или подключения вручную.
  • Автоимпорт: Сетевой администратор может экспортировать профиль в другой компьютер.
  • Главная точка доступа: Используется для подключения беспроводного адаптера к определенной точке доступа.
  • Защита паролем: Используется для защиты профиля паролем.
  • Запуск приложения: Используется для указания программы, которую нужно запускать при выполнении беспроводного подключения.
  • Обслуживание подключения: Выберите для обслуживания беспроводного подключения с профилем пользователя после выхода того из системы.
Учетные данные пользователя

Профиль, сконфигурированный для аутентификации типов TTLS, PEAP или EAP-FAST, требует входа с использованием одного из следующих методов аутентификации:

Использовать вход Windows: Идентификационная информация 802.1x соответствует вашему имени пользователя и паролю для Windows. Перед подключением вам будет предложено ввести имя пользователя и пароль для входа в Windows.

ПРИМЕЧАНИЕ. Этот параметр недоступен, если поддержка предварительного подключения не была установлена во время установки программного обеспечения Intel(R) PROSet/Wireless. Подробную информацию см. в разделе Установка и удаление функций единого входа (Single Sign On).

ПРИМЕЧАНИЕ. Для профилей LEAP этот параметр отображается как Использовать имя пользователя и пароль входа в Windows.

Запрашивать при каждом подключении: Выполняет запрос имени пользователя и пароля во время подключения пользователя к беспроводной сети.

ПРИМЕЧАНИЕ. Для профилей LEAP этот параметр отображается как Запрашивать имя пользователя и пароль.

Используйте следующее: Используется для входа в сеть с применением сохраненной идентификационной информации.

  • Имя пользователя: Имя пользователя должно соответствовать имени, которое предварительно занесено администратором в сервер аутентификации для аутентификации клиента. Имя пользователя зависит от регистра ввода. Это имя определяет идентификационную информацию, предоставляемую аутентификатору через протокол аутентификации, который функционирует через TLS-туннель. Эта идентификационная информация безопасно передается в сервер только после установления защищенного канала.
  • Домен: Имя домена, в котором находится сервер аутентификации. Имя сервера идентифицирует домен или один из двух поддоменов (например, zeelans.com, где сервер это blueberry.zeelans.com).
  • Пароль: Определяет пароль пользователя. Символы пароля отображаются в виде звездочек. Этот пароль должен соответствовать паролю, установленному в сервере аутентификации.
  • Подтвердите пароль: Введите пароль пользователя еще раз.

ПРИМЕЧАНИЕ. Имя домена получите у сетевого администратора.

ПРИМЕЧАНИЕ. Для профилей LEAP этот параметр отображается как Использовать следующие имя пользователя и пароль.
Параметры сервера

Выберите один из следующих методов запроса идентификации:

Проверить сертификат сервера: Выберите для проверки сертификата сервера.

Поставщик сертификата: Сертификат сервера, полученный во время обмена сообщениями TLS, должен быть предоставлен этим центром сертификации (ЦС). В системе существуют и доступны для выбора центры сертификации для оперативной выдачи доверенных сертификатов и корневые центры сертификации. Если будет выбран Любой доверенный центр сертификации, в списке будет доступен любой центр сертификации. По умолчанию выберите любой доверенный центр сертификации или выберите из списка поставщика сертификата.

Указать имя сервера/сертификата: Введите имя сервера.

Имя сервера или домена, в который входит компьютер. Это зависит от выбранного далее параметра.

  • Имя сервера должно быть идентичным указанному: После выбора сервера его имя должно точно соответствовать имени сервера в сертификате. Имя сервера должно включать полное имя домена (например, имя_сервера.имя_домена).
  • Указанное имя должно завершаться именем домена: После выбора сервера его имя указывает на домен, а сертификат должен содержать имя сервера, принадлежащего к этому домену или одному из поддоменов (например, zeelans.com, где сервер - blueberry.zeelans.com).

ПРИМЕЧАНИЕ. Эти параметры нужно получить у сетевого администратора.
Параметры сертификата Выберите одно из следующих действий для получения сертификата TLS-аутентификации:

Использовать смарт-карту: Выберите этот параметр, если сертификат находится на смарт-карте.

Использовать сертификат, выданный для этого компьютера: Используется для выбора сертификата, находящегося в хранилище машины.

Использовать сертификат пользователя в этом компьютере: Щелкните Выбор для выбора сертификата, находящегося в этом компьютере.

ПРИМЕЧАНИЕ. Приложение Intel(R) PROSet имеет поддержку сертификатов компьютера. Однако они не отображаются в списке сертификатов.

Примечание о сертификатах: Указанная идентификационная информация должна соответствовать полю сертификата Выдан для и должна быть зарегистрирована в сервере аутентификации, который используется аутентификатором (например, сервер RADIUS). Ваш сертификат должен быть "действителен" с подтверждением сервера аутентификации. Это требование зависит от сервера аутентификации и обычно означает, что сервер аутентификации должен знать поставщика вашего сертификата (ЦС). Используйте тоже имя пользователя, которое использовалось для установки сертификата.
Назад Отображает предыдущую страницу в мастере создания беспроводных профилей.
Далее Отображает следующую страницу в мастере создания беспроводных профилей. Если необходимо получить более подробную информацию о защите, нужно отобразить следующее действие на странице "Защита".
ОК Закрывает мастер профилей и сохраняет профиль.
Отмена Закрывает мастера создания профилей и отменяет любые выполненные изменения.
Справка Отображает информацию справки для текущей страницы.

Конфигурация профилей для сетей "Infrastructure"

Сеть типа "Infrastructure" состоит из одной или нескольких точек доступа и одного или нескольких компьютеров с установленными адаптерами беспроводной сети. Каждая точка доступа должна иметь проводное соединение с беспроводной сетью.

Настройка клиента с открытой и общей сетевой аутентификацией

С использованием общей аутентификации каждая станция обязана получить секретный общий ключ через защищенный канал, который независим от коммуникационного канала беспроводной сети 802.11. Для аутентификации по общему ключу необходимо, чтобы клиент сконфигурировал статический WEP- или CKIP-ключ. Клиент получит доступ к сети только в случае, если он выполнит предложенную процедуру аутентификации. CKIP обеспечивает более надежное шифрование данных, в сравнении с WEP, однако данную систему поддерживают не все операционные системы и точки доступа.

ПРИМЕЧАНИЕ. Общий ключ может показаться лучшим способом для повышенного уровня защиты, однако существует известная проблема уязвимости, так как секретный код передается клиенту в виде открытого текста. В случае несанкционированного поиска контрольной строки, можно легко сгенерировать новый общий ключ аутентификации. Поэтому, открытая аутентификация считается более защищенной. Для создания профиля с настройкой общей аутентификации:

  1. Выберите параметр Профили в главном окне программы Intel(R) PROSet/Wireless. Если у вас есть административные права, откройте программу Администратор.
  2. В окне списка профилей щелкните Добавить для открытия окна "Создать профиль беспроводной сети" на странице "Общие настройки".
  3. Имя профиля: Введите описательное имя.
  4. Имя беспроводной сети (SSID): Введите идентификатор сети.
  5. Режим работы: Щелкните Сеть (Infrastructure).
  6. Тип профиля администратора: Выберите Постоянный или Предварительный/Общий. (Это действие возможно только в случае использования программы Администратор).
  7. Нажмите Далее для открытия страницы Настройки защиты.
  8. Щелкните Корпоративная защита.
  9. Сетевая аутентификация: Выберите Общая. Общая аутентификация выполняется с предварительно сконфигурированным WEP-ключом.
  10. Шифрование данных: Выберите Нет, WEP (64 или 128 бит) или CKIP (64 или 128 бит).
  11. Включить 802.1X: Выключено.
  12. Уровень шифрования: 64 или 128 бит: При переключении между 64- и 128-битным шифрованием предыдущие настройки удаляются, и нужно ввести новый ключ.
  13. Пароль защиты беспроводной сети (ключ шифрования): Введите пароль сетевой защиты (ключ WEP-шифрования). Значение этого пароля должно быть идентично значению, используемому ТД или беспроводным маршрутизатором. За паролем обратитесь к администратору беспроводной сети.
Имя Описание
Пароль

Введите пароль сетевой защиты (контрольная фраза) или ключ шифрования (WEP-ключ).
Контрольная фраза (64 бита)

Введите пять (5) алфавитно-цифровых символов: 0-9, a-z или A-Z.
WEP-ключ (64 бита)

Ведите 10 шестнадцатиричных символов: 0-9, A-F.
Контрольная фраза (128 бит)

Введите 13 алфавитно-цифровых символов, 0-9, a-z или A-Z.
WEP-ключ (128 бит)

Ведите 26 шестнадцатиричных символов: 0-9, A-F.
  1. Индекс ключа: Выберите 1,2, 3 или 4. Можно изменить индекс ключа для установки до четырех паролей.
  2. Щелкните OK.

Настройка клиента с сетевой аутентификацией WPA*-предприятие или WPA2*-предприятие

Для защиты "WPA2-предприятие" необходима аутентификация в сервере.

ПРИМЕЧАНИЕ. WPA- и WPA2-предприятие совместимы друг с другом.

Для добавления профиля, использующего аутентификацию WPA-предприятие или WPA2-предприятие:

  1. Перед тем, как начать, вы должны получить у системного администратора имя пользователя и пароль в сервере RADIUS.
  2. Некоторые типы аутентификации требуют получения и установки сертификата клиента. Дополнительную информацию см. в разделе Настройка клиента с TLS-аутентификацией или обратитесь за помощью к системному администратору.
  3. Выберите параметр Профили в главном окне программы Intel(R) PROSet/Wireless. Если у вас есть административные права, откройте программу Администратор.
  4. В окне списка профилей щелкните Добавить для открытия окна "Создать профиль беспроводной сети" на странице "Общие настройки".
  5. Имя профиля: Введите описательное имя.
  6. Имя беспроводной сети (SSID): Введите идентификатор сети.
  7. Режим работы: Щелкните Сеть (Infrastructure).
  8. Тип профиля администратора: Выберите Постоянный или Предварительный/Общий. (Это действие возможно только в случае использования программы Администратор).
  9. Щелкните Далее.
  10. Щелкните Корпоративная защита.
  11. Сетевая аутентификация: Выберите WPA-предприятие или WPA2-предприятие.
  12. Шифрование данных: Выберите одно из следующих:
  13. Включить 802.1X: Выбрано.
  14. Тип аутентификации: Выберите одно из следующих: EAP-SIM, LEAP, TLS, TTLS, PEAP, EAP-FAST.

Настройка клиента с сетевой EAP-SIM-аутентификацией

Аутентификация EAP-SIM использует динамический WEP-ключ, созданный специально для сеанса, полученный для шифрования данных от адаптера клиента или сервера RADIUS. Для EAP-SIM необходим специальный код проверки пользователя или PIN-код (Personal Identification Number) для обеспечения взаимодействия с SIM-картой (Subscriber Identity Module). SIM-карта - это специальная смарт-карта, которая используется в беспроводных цифровых сетях стандарта GSM (Global System for Mobile Communications). Для добавления профиля с EAP-SIM-аутентификацией:

  1. Выберите параметр Профили в главном окне программы Intel(R) PROSet/Wireless. Если у вас есть административные права, откройте программу Администратор.
  2. В окне списка профилей щелкните Добавить для открытия окна "Создать профиль беспроводной сети" на странице "Общие настройки".
  3. Имя профиля: Введите имя профиля.
  4. Имя беспроводной сети (SSID): Введите идентификатор сети.
  5. Режим работы: Щелкните Сеть (Infrastructure).
  6. Тип профиля администратора: Выберите Предварительное/общее подключение. (Это действие возможно только в случае использования программы Администратор. EAP-SIM-аутентификация не может использоваться с постоянными профилями).
  7. Нажмите Далее для открытия страницы Настройки защиты.
  8. Щелкните Корпоративная защита.
  9. Сетевая аутентификация: Выберите Открытая (рекомендуется).
  10. Шифрование данных: Выберите WEP.
  11. Щелкните Включить 802.1X.
  12. Тип аутентификации: Выберите EAP-SIM.

EAP-SIM-аутентификация может использоваться с:

Пользователь EAP-SIM (необязательный параметр)

  1. Указывать имя пользователя (идентификация): Выберите для ввода имени пользователя.
  2. Щелкните OK.

Настройка клиента с сетевой TLS-аутентификацией

Эти настройки определяют протокол и идентификационную информацию, используемую для аутентификации пользователя. TLS-аутентификация (Transport Layer Security) - это метод двухсторонней аутентификации, который эксклюзивно использует цифровые сертификаты для проверки идентификации клиента и сервера.

Для добавления профиля с настройкой аутентификации TLS:

  1. Выберите параметр Профили в главном окне программы Intel(R) PROSet/Wireless. Если у вас есть административные права, откройте программу Администратор.
  2. В окне списка профилей щелкните Добавить для открытия окна "Создать профиль беспроводной сети" на странице "Общие настройки".
  3. Имя профиля: Введите описательное имя.
  4. Имя беспроводной сети (SSID): Введите идентификатор сети.
  5. Режим работы: Щелкните Сеть (Infrastructure).
  6. Тип профиля администратора: Выберите Постоянный или Предварительный/Общий. (Это действие возможно только в случае использования программы Администратор).
  7. Нажмите Далее для открытия страницы Настройки защиты.
  8. Щелкните Корпоративная защита.
  9. Сетевая аутентификация: Выберите WPA-предприятие или WPA2-предприятие.
  10. Шифрование данных: Выберите AES-CCMP (рекомендуется).
  11. Включить 802.1X: Выбрано.
  12. Тип аутентификации: Выберите TLS для использования с этим подключением.

Пользователь TLS

Действие 1 из 2: Пользователь TLS

  1. Получите и установите сертификат клиента. См. раздел Настройка клиента с TLS-аутентификацией или обратитесь за помощью к системному администратору.
  2. Выберите одно из следующих действий для получения сертификата: Использовать смарт-карту, Использовать сертификат, выданный для этого компьютера, или Использовать сертификат пользователя в этом компьютере.
  3. Нажмите Далее для открытия страницы настроек "Сервер TLS".

Сервер TLS

Действие 2 из 2: Сервер TLS

  1. Выберите один из следующих методов запроса идентификации: Проверить сертификат сервера или Указать имя сервера/сертификат.
  2. Щелкните OK. Профиль будет добавлен в список профилей.
  3. Выберите новый профиль в конце списка "Профили". Используйте клавиши со стрелками вверх и вниз для установки приоритета нового профиля в списке приоритетов.
  4. Нажмите кнопку Подключить для подключения к выбранной беспроводной сети.
  5. Щелкните OK для закрытия программы Intel(R) PROSet/Wireless.

Настройка клиента с сетевой TTLS-аутентификацией

Аутентификация TTLS: Ее настройки определяют протокол и идентификационную информацию, используемую для аутентификации пользователя. Клиент использует EAP-TLS для проверки подлинности сервера и создания канала между сервером и клиентом, шифрованного с помощью TLS. Клиент может использовать другой аутентификационный протокол; обычно это протокол с использованием пароля. Пакеты запросов и ответов отправляются через защищенный, TLS-шифрованный канал. В следующем примере показано, как использовать WPA с AES-CCMP-шифрованием, использующим TTLS-аутентификацию.

Чтобы настроить клиента с сетевой аутентификацией TTLS:

  1. Выберите параметр Профили в главном окне программы Intel(R) PROSet/Wireless. Если у вас есть административные права, откройте программу Администратор.
  2. В окне списка профилей щелкните Добавить для открытия окна "Создать профиль беспроводной сети" на странице "Общие настройки".
  3. Имя профиля: Введите описательное имя.
  4. Имя беспроводной сети (SSID): Введите идентификатор сети.
  5. Режим работы: Щелкните Сеть (Infrastructure).
  6. Тип профиля администратора: Выберите Постоянный или Предварительный/Общий. (Это действие возможно только в случае использования программы Администратор).
  7. Нажмите Далее для открытия страницы Настройки защиты.
  8. Щелкните Корпоративная защита.
  9. Сетевая аутентификация: Выберите WPA-предприятие или WPA2-предприятие.
  10. Шифрование данных: Выберите одно из следующих:
  11. Включить 802.1X: Выбрано.
  12. Тип аутентификации: Выберите TTLS для использования с этим подключением.

Действие 1 из 2: Пользователь TTLS

  1. Протокол аутентификации: Этот параметр определяет протокол аутентификации, работающий через туннель TTLS. Используемые протоколы: PAP (по умолчанию), CHAP, MS-CHAP и MS-CHAP-V2. Дополнительную информацию см. в разделе Обзор возможностей защиты.
  2. Идентификационная информация пользователя: Для протоколов PAP, CHAP, MS-CHAP и MS-CHAP-V2 выберите один из следующих методов аутентификации: Использовать вход Windows, Запрашивать при каждом подключении или Использовать следующее.
  3. Идентификация роуминга: В этом поле может быть указана идентификация роуминга или имя %domain%\%username% в качестве формата по умолчанию для ввода идентификации.

Когда используется сервер аутентификации 802.1X Microsoft IAS RADIUS, он выполняет аутентификацию устройства, используя для этого идентификацию роуминга в программе Intel(R) PROSet/Wireless, и игнорирует имя пользователя аутентификационного протокола MS-CHAP-V2. Сервер Microsoft IAS RADIUS принимает только допустимые имена пользователей (пользователи dotNet) для идентификации роуминга. Для всех других серверов аутентификации идентификация роуминга необязательна. Поэтому, для идентификации роуминга рекомендуется вместо истинных имен использовать образные имена (например, anonymous@myrealm).

  1. Нажмите Далее для открытия страницы настроек "Сервер TTLS".

Действие 2 из 2: Сервер TTLS

  1. Выберите один из следующих методов запроса идентификации: Проверить сертификат сервера или Указать имя сервера/сертификат.
  2. Щелкните OK для сохранения настроек и закрытия страницы.

Настройка клиента с сетевой PEAP-аутентификацией

Аутентификация PEAP. Настройки PEAP-аутентификации необходимы для установления подлинности клиента в сервере аутентификации. Клиент использует EAP-TLS для проверки подлинности сервера и создания канала между сервером и клиентом, шифрованного с помощью TLS. Клиент может использовать другой аутентификационный механизм EAP, (например, Microsoft Challenge Authentication Protocol (MS-CHAP) версии 2) через шифрованный канал для проверки подлинности сервера. Пакеты запросов и ответов отправляются через защищенный, TLS-шифрованный канал. В следующем примере показано, как использовать WPA с AES-CCMP- или TKIP-шифрованием, использующим PEAP-аутентификацию.

Чтобы настроить клиента с аутентификацией PEAP:

Получите и установите сертификат клиента. Дополнительную информацию см. в разделе Настройка клиента с TLS-аутентификацией или обратитесь за помощью к системному администратору.

  1. Выберите параметр Профили в главном окне программы Intel(R) PROSet/Wireless. Если у вас есть административные права, откройте программу Администратор.
  2. В окне списка профилей щелкните Добавить для открытия окна "Создать профиль беспроводной сети" на странице "Общие настройки".
  3. Имя профиля: Введите описательное имя.
  4. Имя беспроводной сети (SSID): Введите идентификатор сети.
  5. Режим работы: Щелкните Сеть (Infrastructure).
  6. Тип профиля администратора: Выберите Постоянный или Предварительный/Общий. (Это действие возможно только в случае использования программы Администратор).
  7. Нажмите Далее для открытия страницы Настройки защиты.
  8. Щелкните Корпоративная защита.
  9. Сетевая аутентификация: Выберите WPA-предприятие или WPA2-предприятие.
  10. Шифрование данных: Выберите одно из следующих:
  11. Включить 802.1X: Выбрано.
  12. Тип аутентификации: Выберите PEAP для использования с этим подключением.

Действие 1 из 2: Пользователь PEAP

Протокол PEAP работает с защитой Transport Layer Security (TLS) для разрешения использования типов нешифрованной аутентификации (например, EAP-Generic Token Card (GTC) и поддержки One-Time Password (одноразовый пароль - OTP)).

  1. Протокол аутентификации: Выберите GTC, MS-CHAP-V2 (по умолчанию) или TLS. См. раздел Протоколы аутентификации.
  2. Идентификационная информация пользователя: Выберите одно из следующих: Использовать вход Windows, Запрашивать при каждом подключении или Использовать следующее.
  3. Идентификация роуминга: В этом поле может быть указана идентификация роуминга или имя %domain%\%username% в качестве формата по умолчанию для ввода идентификации.

Когда используется сервер аутентификации 802.1X Microsoft IAS RADIUS, он выполняет аутентификацию устройства, используя для этого идентификацию роуминга в программе Intel(R) PROSet/Wireless, и игнорирует имя пользователя аутентификационного протокола MS-CHAP-V2. Сервер Microsoft IAS RADIUS принимает только допустимые имена пользователей (пользователи dotNet) для идентификации роуминга. Для всех других серверов аутентификации идентификация роуминга необязательна. Поэтому, для идентификации роуминга рекомендуется вместо истинных имен использовать образные имена (например, anonymous@myrealm).

Конфигурация идентификации роуминга для поддержки нескольких пользователей

Если используется профиль предварительного/общего подключения или общий профиль, которому необходима идентификация роуминга для применения идентификационной информации входа Windows, создатель профиля может добавить идентификацию роуминга, которая использует формат имени %username% и %domain%. Далее выполняется идентификация роуминга, а ее ключевые слова заменяются соответствующей идентификационной информацией. Это позволяет с максимальной гибкостью конфигурировать идентификацию роуминга для совместного использования профиля несколькими пользователями.

См. руководство пользователя для вашего сервера аутентификации о том, как выполнить форматирование настроек идентификации роуминга. Возможные виды формата:

Если поле "Идентификация роуминга" не заполнено, по умолчанию используется формат %domain%\%username%.

Примечания об идентификационной информации: Имя пользователя и домен должны соответствовать имени, которое предварительно занесено администратором в сервер аутентификации для аутентификации клиента. Имя пользователя зависит от регистра ввода. Это имя определяет идентификационную информацию, предоставляемую аутентификатору через протокол аутентификации, который функционирует через TLS-туннель. Эта идентификационная информация пользователя безопасно передается в сервер только после установления и проверки защищенного канала.

Протоколы аутентификации: Этот параметр определяет протокол аутентификации, который может работать через туннель TTLS. Ниже приведены инструкции по конфигурации профиля, использующего аутентификацию PEAP с протоколами аутентификации

GTC, MS-CHAP-V2 (по умолчанию) или TLS.

Generic Token Card (GTC)

Пользователь PEAP

Для конфигурации одноразового пароля:

  1. Протокол аутентификации: Выберите GTC (Generic Token Card).
  2. Идентификационная информация пользователя: Выберите Запрашивать при каждом подключении.
  3. Вкл. приглашение подключения для: Выберите одно из следующих:
Имя Описание
Статический пароль При подключении пользователь должен ввести свои учетные данные.
Одноразовый пароль (OTP) Получает пароль из аппаратного устройства или программы выдачи идентификационной информации.
PIN-код (простая идентификация) Получает пароль из программы выдачи простой идентификационной информации.
  1. Щелкните OK.

ПРИМЕЧАНИЕ. Параметр Запрашивать при каждом подключении будет недоступен, если в программе Администратор не выбрана функция кэширования идентификационной информации. См. раздел Настройки программы "Администратор" для получения дополнительной информации.

Одноразовый пароль

MS-CHAP-V2

Этот параметр определяет протокол аутентификации, работающий через туннель PEAP.

  1. Идентификационная информация пользователя: Выберите один из следующих параметров: Использовать вход Windows, Запрашивать при каждом подключении или Использовать следующее.
  2. Нажмите Далее для открытия страницы настроек "Сервер PEAP".

TLS

TLS-аутентификация (Transport Layer Security) - это метод двухсторонней аутентификации, который эксклюзивно использует цифровые сертификаты для проверки идентификации клиента и сервера.

  1. Получите и установите сертификат клиента. См. раздел Настройка клиента с TLS-аутентификацией или обратитесь за помощью к системному администратору.
  2. Выберите одно из следующих действий для получения сертификата: Использовать смарт-карту, Использовать сертификат, выданный для этого компьютера или Использовать сертификат пользователя в этом компьютере.
  3. Нажмите Далее для открытия страницы настроек "Сервер PEAP".

Действие 2 из 2: Сервер PEAP

Сервер PEAP
  1. Выберите один из следующих методов запроса идентификации: Проверить сертификат сервера или Указать имя сервера/сертификат.
  2. Щелкните OK. Профиль будет добавлен в список профилей.
  3. Выберите новый профиль в конце списка "Профили". Используйте клавиши со стрелками вверх и вниз для установки приоритета нового профиля в списке приоритетов.
  4. Нажмите кнопку Подключить для подключения к выбранной беспроводной сети.

Если на странице Настройки защиты не было выбрано Использовать вход Windows, а также не проведена конфигурация идентификационной информации пользователя, идентификационная информация для профиля не будет сохранена. Пожалуйста, введите свои учетные данные для аутентификации в сети.

  1. Щелкните OK для закрытия программы Intel(R) PROSet/Wireless.

Автоподписка на сертификат PEAP-TLS

На странице Настройки приложения выберите Включить оповещение в случае отклонения TLS сертификатов, если вы хотите получать оповещения об отклонении сертификата PEAP-TLS. Вы будете оповещены, когда сертификат содержит неверную информацию в поле завершения срока действия, и вам нужно выполнить одно из следующих действий: A potential authentication problem for profile <profile name> has been detected. The expiration date in the associated certificate may be invalid. (Обнаружена потенциальная проблема аутентификации для профиля. Возможно, неверна дата завершения действия в соответствующем сертификате). Выберите один из следующих параметров:

Функция Описание
Продолжить с текущими параметрами. Продолжите работу с текущим сертификатом.
Обновить сертификат вручную. Будет открыта страница "Выбор сертификата" для выбора другого сертификата.
Обновить сертификат автоматически, используя сертификаты локального хранилища. Этот параметр доступен только в случае, когда локальное хранилище содержит один или несколько сертификатов, для которых поля "кому выдан" и "выдан" соответствуют полям текущего сертификата и для которых еще не прошла дата завершения действия. Если вы установите этот параметр, приложение выберет первый допустимый сертификат.
Выйти для автоматического получения сертификата во время входа (это действие не обновляет профиль и применяется только к сертификатам, сконфигурированным для автоматической подписки). Завершите сеанс пользователя, который должен получить действительный сертификат во время следующего входа. Профиль должен быть обновлен для выбора нового сертификата.
Автоподписка Отобразится сообщение: Дождитесь автоматического получения сертификата системой. Нажмите Отмена для отмены запроса сертификата.
Больше не показывать это сообщение. Пользователь может избежать выполнения этого действия при последовательных сеансах. Выполненный выбор запоминается для следующих сеансов.

Настройка клиента с сетевой LEAP-аутентификацией

Cisco LEAP (протокол Light Extensible Authentication Protocol) - это тип аутентификации 802.1X, которая поддерживает надежную взаимную аутентификацию между клиентом и сервером RADIUS. Настройки профиля LEAP включают установки для определения настроек ТД LEAP, CKIP и Rogue. Чтобы настроить клиента с аутентификацией LEAP:

  1. Выберите параметр Профили в главном окне программы Intel(R) PROSet/Wireless. Если у вас есть административные права, откройте программу Администратор.
  2. Щелкните Добавить на странице "Профили". Откроется страница создания беспроводного профиля в модуле общих настроек.
  3. Имя профиля: Введите описательное имя.
  4. Имя беспроводной сети (SSID): Введите идентификатор сети.
  5. Режим работы: Щелкните Сеть (Infrastructure).
  6. Тип профиля администратора: Выберите Постоянный или Предварительный/Общий. (Это действие возможно только в случае использования программы Администратор).
  7. Нажмите Далее для открытия страницы Настройки защиты.
  8. Щелкните Корпоративная защита.
  9. Сетевая аутентификация: Выберите WPA-предприятие или WPA2-предприятие.
  10. Шифрование данных: Выберите одно из следующих:
  11. Включить 802.1X: Выбрано.
  12. Тип аутентификации: Выберите LEAP для использования с этим подключением.
  13. Щелкните Параметры Cisco.
  14. Выберите Включить Cisco Compatible Extensions для включения защиты Cisco Compatible Extensions (CCX) (Быстрый роуминг (CCKM), Включить поддержку управления радиообменом, Включить режим смешанной сети)

Cisco Compatible Extensions

  1. Щелкните Включить поддержку управления радиообменом. Используйте функцию управления радиообменом, чтобы обнаруживать фальшивые точки доступа.
  2. Щелкните OK для возврата на страницу Настройки защиты.

Пользователь LEAP

Пользователь LEAP

  1. Выберите один из способов аутентификации перечисленных далее.
    2. Если в диалоге Тип профиля администратора выбрано Постоянный, останется доступен только параметр Использовать следующие имя пользователя и пароль. Если выбрано Предварительное подключение/общий, тогда будут доступны оба метода аутентификации.
  2. Щелкните OK для сохранения настроек и закрытия страницы.

Параметры Cisco Compatible Extensions

Параметры Cisco: Используется для включения или отключения управления радиообменом, режимом работы в смешанных сетях или быстрым роумингом (CCKM).

ПРИМЕЧАНИЕ. Использование функции Cisco Compatible Extensions автоматически включено для профилей CKIP, LEAP или EAP-FAST. Для того чтобы изменить настройки, выберите или отмените выбор параметров на этой странице.

Включить параметры Cisco: Выберите эту функцию для включения функций Cisco Compatible Extensions для данного профиля беспроводного подключения.

Настройка клиента с сетевой EAP-FAST-аутентификацией

В ПО Cisco Compatible Extensions версии 3 (CCXv3) компания Cisco добавила поддержку протокола EAP-FAST (Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling), который использует идентификационную информацию защищенного доступа ключей (PAC) для установления аутентифицированного туннеля между клиентом и сервером.

Cisco Compatible Extensions версии 4 (CCXv4) совершенствует методы идентификации для усиления защиты и предоставляет новые средства для защиты, мобильности, качества обслуживания и сетевого управления.

Cisco Compatible Extensions версии 3 (CCXv3)

Для настройки клиента с EAP-FAST-аутентификацией и функциями Cisco Compatible Extensions версии 3 (CCXv3):

  1. Выберите параметр Профили в главном окне программы Intel(R) PROSet/Wireless. Если у вас есть административные права, откройте программу Администратор.
  2. В окне списка профилей щелкните Добавить для открытия окна "Создать профиль беспроводной сети" на странице "Общие настройки".
  3. Имя беспроводной сети (SSID): Введите идентификатор сети.
  4. Имя профиля: Введите описательное имя.
  5. Режим работы: Щелкните Сеть (Infrastructure).
  6. Тип профиля администратора: Выберите Постоянный или Предварительный/Общий. (Это действие возможно только в случае использования программы Администратор).
  7. Нажмите Далее для открытия страницы Настройки защиты.
  8. Щелкните Корпоративная защита.
  9. Сетевая аутентификация: Выберите WPA-предприятие или WPA2-предприятие.
  10. Шифрование данных: Выберите одно из следующих:
  11. Включить 802.1X: Выбрано.
  12. Тип аутентификации: Выберите EAP-FAST для использования с этим подключением.

Идентификация EAP-FAST

ПРИМЕЧАНИЕ. Если параметры CCXv4 приложения не были установлены вместе с пакетом администратора, для конфигурации будут доступны только настройки пользователя EAP-FAST. См. раздел Настройки пользователя EAP-FAST.

Действие 1 из 2: Идентификация EAP-FAST

  1. Выберите Отключить дополнения EAP-FAST (CCXv4) для разрешения доступа в неаутентифицированном TLS-туннеле сервера (режим Unauthenticated-TLS-Server Provisioning).
  2. Нажмите кнопку Выбрать сервер для отображения любых неаутентифицированных ключей PAC, которые уже были утверждены и находятся в этом компьютере.

ПРИМЕЧАНИЕ. Если идентификационные учетные данные (PAC) верны, программа Intel(R) PROSet/Wireless не запрашивает пользователя подтвердить их. Если информация PAC недействительна, Intel(R) PROSet/Wireless автоматически блокирует доступ. В программе просмотра событий появится сообщение состояния, которое может быть проверено администратором этого компьютера.

Для импорта ключа PAC:

PAC

  1. Нажмите Далее для выбора метода получения идентификации или нажмите OK для сохранения настроек EAP-FAST и возврата в список профилей. Ключ PAC будет использоваться с этим профилем беспроводной сети.

Действие 2 из 2: Дополнительная информация EAP-FAST

Для аутентификации клиента в установленном туннеле клиентская станция отправляет имя пользователя и пароль для установления политики идентификации клиента.

  1. Нажмите Идентификационная информация пользователя для выбора одного из следующих методов запроса идентификационной информации: Использовать вход Windows, Запрашивать при каждом подключении или Использовать следующее.
  2. Щелкните "OK" для сохранения настроек и закрытия страницы. Проверка сервера не требуется.

Cisco Compatible Extensions версии 4 (CCXv4)

Для настройки клиента с EAP-FAST-аутентификацией и функциями Cisco Compatible Extensions версии 4 (CCXv4):

  1. Выберите параметр Профили в главном окне программы Intel(R) PROSet/Wireless. Если у вас есть административные права, откройте программу Администратор.
  2. В окне списка профилей щелкните Добавить для открытия окна мастера создания профилей "Общие настройки".
  3. Имя беспроводной сети (SSID): Введите идентификатор сети.
  4. Имя профиля: Введите описательное имя.
  5. Режим работы: Щелкните Сеть (Infrastructure).
  6. Тип профиля администратора: Выберите Постоянный или Предварительный/Общий. (Это действие возможно только в случае использования программы Администратор).
  7. Нажмите Далее для открытия страницы Настройки защиты.
  8. Щелкните Корпоративная защита.
  9. Сетевая аутентификация: Выберите WPA-предприятие или WPA2-предприятие.
  10. Шифрование данных: Выберите одно из следующих:
  11. Шифрование данных. Выберите AES-CCMP.
  12. Включить 802.1X: Выбрано.
  13. Тип аутентификации: Выберите EAP-FAST для использования с этим подключением.

Действие 1 из 3: Идентификация EAP-FAST

EAP-FAST с функцией CCXv4 поддерживает два режима аутентификации:

ПРИМЕЧАНИЕ. Метод аутентификации в сервере обеспечивает преимущества в защите перед способом без аутентификации в сервере даже, когда применяется протокол EAP-MS-CHAP-V2. В этом режиме обеспечивается защита обмена по протоколу EAP-MS-CHAP-V2 от атак нарушителей с помощью проверки идентификации сервера перед выполнением обмена MS-CHAP-V2. Поэтому, метод аутентификации в сервере наиболее предпочтителен. Протокол EAP-FAST должен использовать метод аутентификации в сервере, если для этого доступны сертификат или общий ключ, что гарантирует усиление безопасности.

Идентификация безопасного доступа (PAC):

EAP-FAST использует ключ идентификационной информации безопасного доступа PAC для защиты учетных данных пользователя, передаваемых для обмена в сети. Подлинность всех аутентификаторов EAP-FAST подтверждается с помощью центра идентификации (A-ID). Локальный идентификатор отправляет собственный A-ID клиенту, выполняющему аутентификацию, после чего клиент проверяет свою базу данных на соответствие этому A-ID. Если клиент не обнаружит такой же A-ID, он запрашивает новый ключ PAC.

ПРИМЕЧАНИЕ. Если идентификационные учетные данные (PAC) верны, программа Intel(R) PROSet/Wireless не запрашивает пользователя подтвердить их. Если информация PAC недействительна, Intel(R) PROSet/Wireless автоматически блокирует доступ. В программе просмотра событий появится сообщение состояния, которое может быть проверено администратором этого компьютера.

  1. Проверьте, что не выбран параметр Отключить дополнения EAP-FAST (CCXv4). Параметры Вход без аутентификации и Вход с аутентификацией установлены по умолчанию. После выбора ключа PAC в сервере по умолчанию можно отменить выбор этих методов аутентификации.
  2. Сервер по умолчанию: По умолчанию ничего не выбрано. Щелкните Выбрать сервер для выбора ключа PAC в сервере PAC-аутентификации по умолчанию или выберите сервер из списка Группа сервера. Будет открыта страница сервера по умолчанию EAP-FAST (центр сертификации PAC).

ПРИМЕЧАНИЕ. Группы серверов отображаются в списке только, если установлен пакет администратора, содержащий настройки группы идентификации (A-ID) EAP-FAST.

Рассылка ключей PAC может быть выполнена вручную (внеполосное управление). Идентификация, выполняемая вручную, позволяет создавать файл PAC для пользователя в сервере аутентификации ACS, а затем импортировать в компьютер пользователя. Файл PAC может быть защищен паролем, который пользователь должен будет ввести перед началом импорта ключа PAC.

Для импорта ключа PAC:

  1. Щелкните Импорт для импорта ключа PAC из сервера PAC.
  2. Щелкните Открыть.
  3. Введите пароль PAC (необязательно).
  4. Щелкните OK для закрытия страницы. Выбранный ключ PAC будет использоваться с этим профилем беспроводной сети.

Протокол EAP-FAST CCXv4 обеспечивает поддержку идентификации с помощью других данных в отличие от ключа PAC, используемого для проверки подлинности в подключении через туннель. Типы поддерживаемой идентификации включают доверенный сертификат ЦС, идентификационные данные машины, временные учетные данные пользователя, используемые вместо аутентификации пользователя.

Использовать сертификат (TLS-аутентификация)

  1. Щелкните Использовать сертификат (TLS-аутентификация).
  2. Выберите Защита идентификации для защищенного туннеля.
  3. Выберите одно из следующих:
  4. Имя пользователя: Введите имя пользователя, назначенное для сертификата пользователя.
  5. Щелкните Далее.

Действие 2 из 3: Дополнительная информация EAP-FAST

Если будут выбраны параметры Использовать сертификат (TLS-аутентификация) и Использовать сертификат пользователя в этом компьютере, нажмите Далее (идентификация роуминга не требуется) и перейдите к действию 3 и конфигурации сертификата EAP-FAST для сервера. Если нет необходимости в конфигурации параметров сервера EAP-FAST, нажмите OK для сохранения настроек и возврата на страницу профилей.

Если будет выбрано использование смарт-карты, добавьте идентификацию роуминга (если нужно). Щелкните OK для сохранения настроек и возврата на предыдущую страницу.

Если вы не выбрали Использовать сертификат (TLS-аутентификация), нажмите Далее для выбора протокола аутентификации. Функции CCXv4 разрешают использование дополнительных идентификационных данных для установления подключения через туннель.

Протокол аутентификации: Выберите GTC или MS-CHAP-V2 (по умолчанию).

Generic Token Card (GTC)

GTC может использоваться с режимом аутентификации в сервере. Это позволяет узлам при подключении и аутентификации использовать другие базы данных пользователей, например LDAP (Lightweight Directory Access Protocol) и технологию одноразового пароля (OTP). Однако для аутентификации в сервере замена достигается только в случае получения разрешения от кодировщика TLS.

Для конфигурации одноразового пароля:

  1. Протокол аутентификации: Выберите GTC (Generic Token Card).
  2. Идентификационная информация пользователя: Выберите Запрашивать при каждом подключении.
  3. Вкл. приглашение подключения для: Выберите одно из следующих:
Имя Описание
Статический пароль При подключении пользователь должен ввести свои учетные данные.
Одноразовый пароль (OTP) Получает пароль из аппаратного устройства или программы выдачи идентификационной информации.
PIN-код (простая идентификация) Получает пароль из программы выдачи простой идентификационной информации.
  1. Щелкните OK.
  2. На странице "Беспроводные сети" выберите профиль.
  3. Щелкните Подключить. У вас будет запрошено ввести имя пользователя, имя домена и одноразовый пароль (OTP).
  4. Щелкните OK.

MS-CHAP-V2

Этот параметр определяет протокол аутентификации, работающий через туннель PEAP.

  1. Выберите идентификационную информацию пользователя: Использовать вход Windows, Запрашивать при каждом подключении или Использовать следующее.
  2. Идентификация роуминга: В этом поле может быть указана идентификация роуминга или имя %domain%\%username% в качестве формата по умолчанию для ввода идентификации.

Когда используется сервер аутентификации 802.1X Microsoft IAS RADIUS, он выполняет аутентификацию устройства, используя для этого идентификацию роуминга в программе Intel(R) PROSet/Wireless, и игнорирует имя пользователя аутентификационного протокола MS-CHAP-V2. Сервер Microsoft IAS RADIUS принимает только допустимые имена пользователей (пользователи dotNet) для идентификации роуминга. Для всех других серверов аутентификации идентификация роуминга необязательна. Поэтому, для идентификации роуминга рекомендуется вместо истинных имен использовать образные имена (например, anonymous@myrealm).

Действие 3 из 3: Сервер EAP-FAST

Режим TLS-аутентификации в сервере поддерживает использование сертификата ЦС, сертификата с собственной подписью или общих ключей сервера, а также метода GTC, в качестве внутренней аутентификации EAP.

  1. Выберите один из следующих методов запроса идентификации: Проверить сертификат сервера или Указать имя сервера/сертификат.
  2. Щелкните OK для закрытия окна настроек защиты.

Настройки пользователя EAP-FAST

ПРИМЕЧАНИЕ. Если пакет администратора предназначенный для экспорта в компьютер пользователя не использует параметр Включить CCXv4 в настройках приложения программы Администратор, для конфигурации будут доступны только параметры пользователя EAP-FAST.

Чтобы настроить клиента с аутентификацией EAP-FAST:

  1. Выберите параметр Профили в главном окне программы Intel(R) PROSet/Wireless. Если у вас есть административные права, откройте программу Администратор.
  2. В окне списка профилей щелкните Добавить для открытия окна "Создать профиль беспроводной сети" на странице "Общие настройки".
  3. Имя беспроводной сети (SSID): Введите идентификатор сети.
  4. Имя профиля: Введите описательное имя.
  5. Режим работы: Щелкните Сеть (Infrastructure).
  6. Тип профиля администратора: Выберите Постоянный или Предварительный/Общий. (Это действие возможно только в случае использования программы Администратор).
  7. Нажмите Далее для открытия страницы Настройки защиты.
  8. Щелкните Корпоративная защита.
  9. Сетевая аутентификация: Выберите WPA-предприятие или WPA2-предприятие.
  10. Шифрование данных: Выберите одно из следующих:
  11. Включить 802.1X: Выбрано.
  12. Тип аутентификации: Выберите EAP-FAST для использования с этим подключением.
  13. Щелкните Функции Cisco для выбора параметра Разрешить быстрый роуминг (CCKM), который позволяет беспроводному адаптеру выполнять быстрый защищенный роуминг.

Пользователь EAP-FAST

Выберите метод запроса идентификационных данных:

  1. Выберите идентификационную информацию пользователя: Использовать вход Windows, Запрашивать при каждом подключении или Использовать следующее.
  2. Идентификация безопасного доступа ( PAC):

EAP-FAST использует ключ идентификационной информации безопасного доступа PAC для защиты учетных данных пользователя, передаваемых для обмена в сети. Подлинность всех аутентификаторов EAP-FAST подтверждается с помощью центра идентификации (A-ID). Локальный идентификатор отправляет собственный A-ID клиенту, выполняющему аутентификацию, после чего клиент проверяет свою базу данных на соответствие этому A-ID. Если клиент не обнаружит такой же A-ID, он запрашивает новый ключ PAC.

Нажмите кнопку PAC для отображения любых ключей PAC, которые уже были использованы для входа и находятся в этом компьютере. Ключ PAC должен быть уже получен для отмены выбора параметра Разрешить вход автоматически на странице Настройки защиты.

ПРИМЕЧАНИЕ. Если идентификационные учетные данные (PAC) верны, программа Intel(R) PROSet/Wireless не запрашивает пользователя подтвердить их. Если информация PAC недействительна, Intel(R) PROSet/Wireless автоматически блокирует доступ. В программе просмотра событий появится сообщение состояния, которое может быть проверено администратором этого компьютера.

Рассылка ключей PAC может быть выполнена вручную (внеполосное управление). Идентификация, выполняемая вручную, позволяет создавать файл PAC для пользователя в сервере аутентификации ACS, а затем импортировать в компьютер пользователя. Файл PAC может быть защищен паролем, который пользователь должен будет ввести перед началом импорта ключа PAC.

Для импорта ключа PAC:

  1. Нажмите кнопку PAC для открытия списка Идентификация безопасного доступа (PAC).
  2. Щелкните Импорт для импорта ключа PAC, который находится в этом компьютере.
  3. Выберите ключ PAC и нажмите Открытая.
  4. Введите пароль PAC (необязательно).
  5. Щелкните OK для закрытия страницы. Выбранный ключ PAC будет добавлен в список.
  6. Щелкните OK для сохранения настроек EAP-FAST и возврата на страницу "Профили". Ключ PAC будет использоваться с этим профилем беспроводной сети.

К началу страницы

К содержанию

Товарные знаки и отказ от обязательств