Voltar ao índice

Configurar a segurança dos perfis

Utilizar o software Intel(R) PROSet/Wireless
Segurança pessoal
Definições da segurança pessoal
Configurar a encriptação e autenticação de dados

Segurança empresarial
Definições da segurança empresarial

Utilizar o software Intel(R) PROSet/Wireless

As seguintes secções descrevem como utilizar o Intel(R) PROSet/Wireless para configurar as definições de segurança necessárias para a sua placa sem fios. Consulte Segurança pessoal.

Também fornece informações sobre como configurar definições de segurança avançadas para a sua placa sem fios. Isto requer informação por parte de um administrador de sistema (ambiente empresarial) ou definições de segurança avançadas no seu ponto de acesso (para utilizadores domésticos). Consulte Segurança empresarial.

Para obter informações gerais sobre definições de segurança, consulte Perspectiva geral de segurança.

Segurança pessoal

Utilize a opção 'Segurança pessoal' se for um utilizador doméstico ou de uma pequena empresa que possa utilizar uma variedade de simples procedimentos de segurança para proteger a sua ligação sem fios. Seleccione na lista de definições de segurança que não exijam uma extensa configuração da infra-estrutura para a sua rede sem fios. Não é necessário um servidor RADIUS ou AAA.

NOTA: As opções de segurança pessoal não estão disponíveis na Ferramenta do Administrador quando se criam perfis de administrador para o Windows Vista*.

Definições da segurança pessoal

Descrição das definições da segurança pessoal

Nome Configuração

Segurança pessoal

Seleccione para abrir as definições de segurança pessoal. As definições de segurança disponíveis dependem do modo de funcionamento seleccionado nas Definições de segurança de 'Criar perfil sem fios'.

Dispositivo para dispositivo (ad hoc): No modo de dispositivo para dispositivo, também denominado modo ad hoc, os computadores sem fios enviam informações directamente para outros computadores sem fios. Pode utilizar o modo ad hoc para estabelecer uma rede de computadores em casa ou num escritório pequeno ou para configurar uma rede sem fios temporária para uma reunião.

NOTA: As redes (ad hoc) de dispositivo para dispositivo são identificadas através de uma imagem de notebook (notebook) na lista de redes sem fios e de perfis.

Rede (Infra-estrutura): Uma rede de infra-estrutura é composta por um ou mais pontos de acesso e um ou mais computadores com placas sem fios instaladas. Pelo menos um ponto de acesso também deverá ter uma ligação com fios. Para os utilizadores domésticos, isto é normalmente uma rede de banda larga ou por cabo.

NOTA: As redes de infra-estrutura são identificadas através de uma imagem de ponto de acesso (ponto de acesso) na lista de redes sem fios e de perfis.

Definições de segurança

Se estiver a configurar um perfil (ad hoc) de dispositivo para dispositivo, seleccione uma das seguintes definições de encriptação de dados:

Se estiver a configurar um perfil de rede (infra-estrutura), seleccione:

Botão 'Avançadas'

 Clique para aceder às Definições avançadas e configure as seguintes opções:

Retroceder

Ver a página anterior do Assistente de perfis.

&OK

Fecha o assistente de perfis e guarda o perfil.

Cancelar

Fecha o assistente de perfis e cancela as alterações efectuadas.

Ajuda?

Proporciona as informações de ajuda para a página actual.

Configurar a encriptação e autenticação dos dados

Numa rede sem fios doméstica, pode utilizar uma variedade de simples procedimentos de segurança para proteger a sua ligação sem fios. Estes incluem:

A encriptação WPA (Wi-Fi Protected Access) proporciona protecção aos seus dados na rede. O WPA utiliza uma chave de encriptação chamada chave pré-partilhada (PSK, Pre-Shared Key) para encriptar os dados antes de serem transmitidos. Introduza a mesma palavra-passe em todos os computadores e ponto de acesso na sua rede doméstica ou na rede de uma pequena empresa. Apenas os dispositivos que utilizem a mesma chave de encriptação podem aceder à rede ou desencriptar os dados encriptados transmitidos por outros computadores. A palavra-passe inicia automaticamente o protocolo TKIP (Temporal Key Integrity Protocol) ou o protocolo AES-CCMP para o processo de encriptação de dados.

Chaves da rede

A encriptação WEP proporciona dois níveis de segurança:

Para maior segurança, utilize uma chave de 128 bits. Se utilizar a encriptação, todos os dispositivos sem fios da rede sem fios têm de utilizar as mesmas chaves de encriptação.

Pode criar a chave e especificar o comprimento da chave (64 ou 128 bits) e o índice da chave (a localização onde uma determinada chave está guardada). Quanto maior o comprimento da chave, mais segura será a chave.

Comprimento da chave: 64 bits

Frase da palavra-passe (64 bits): Introduza cinco (5) caracteres alfanuméricos, 0-9, a-z ou A-Z.
Chave hexadecimal (64 bits): Introduza 10 caracteres hexadecimais, 0-9, A-F.

Comprimento da chave: 128 bits

Frase da palavra-passe (128 bits): Introduza 13 caracteres alfanuméricos, 0-9, a-z ou A-Z.
Chave hexadecimal (128 bits): Introduza 26 caracteres hexadecimais, 0-9, A-F.

Com a encriptação de dados WEP, é possível configurar uma estação sem fios com um máximo de quatro chaves (os valores do índice das chaves são 1, 2, 3 e 4). Quando um ponto de acesso ou uma estação sem fios transmite uma mensagem encriptada que utiliza uma chave guardada num determinado índice de chave, a mensagem transmitida indica o índice de chave utilizado para encriptar o corpo da mensagem. O ponto de acesso receptor ou a estação sem fios receptora poderá então obter a chave que está guardada no índice de chave e utilizá-la para descodificar o corpo da mensagem encriptada.

Configurar um cliente com autenticação aberta e sem encriptação de dados (nenhuma)

No modo de dispositivo para dispositivo, também denominado modo ad hoc, os computadores sem fios enviam informações directamente para outros computadores sem fios. Pode utilizar o modo ad hoc para estabelecer uma rede de computadores em casa ou num escritório pequeno ou para configurar uma rede sem fios temporária para uma reunião.

Na janela principal do Intel(R)PROSet/Wireless, utilize um dos seguintes métodos para estabelecer a ligação a uma rede de dispositivo para dispositivo:

Para criar um perfil para uma ligação de rede sem fios sem encriptação:

  1. Clique em Perfis na janela principal do Intel(R) PROSet/Wireless.
  2. Na lista 'Perfis', clique em Adicionar para abrir as Definições gerais de perfis sem fios.
  3. Nome do perfil: Introduza um nome de perfil descritivo.
  4. Nome da rede sem fios (SSID): Introduza o nome da sua rede sem fios.
  5. Modo de funcionamento: Clique em Dispositivo para dispositivo (ad hoc).
  6. Clique em Seguinte para abrir as Definições de segurança.
  7. A opção Segurança pessoal está seleccionada por predefinição.
  8. Definições de segurança: A predefinição é Nenhuma, o que indica que não há segurança nesta rede sem fios.
  9. Clique em OK. O perfil é adicionado à lista 'Perfis' e estabelece a ligação à rede sem fios.

Configurar um cliente com encriptação de dados WEP de 64 bits ou WEP de 128 bits

Quando a encriptação de dados WEP for activada, é utilizada uma chave ou palavra-passe de rede para a encriptação.

É-lhe fornecida uma chave de rede automaticamente (por exemplo, poderá ser fornecida pelo fabricante da sua placa de rede sem fios) ou pode introduzi-la e especificar o comprimento da chave (64 ou 128 bits), o formato da chave (caracteres ASCII ou dígitos hexadecimais) e o índice da chave (a localização de uma determinada chave). Quanto maior o comprimento da chave, mais segura será a chave.

Para adicionar uma chave de rede a uma ligação de rede (ad hoc) de dispositivo para dispositivo:

  1. Na janela principal do Intel(R) PROSet/Wireless, faça duplo clique numa rede (ad hoc) de dispositivo para dispositivo na lista de redes sem fios ou seleccione a rede e clique em Ligar.
  2. Clique em Perfis para aceder à lista de perfis.
  3. Clique em Propriedades para abrir as Definições gerais dos perfis sem fios. Aparece o nome do perfil e o nome da rede sem fios (SSID). Dispositivo para dispositivo (ad hoc) deve estar seleccionado como o modo de funcionamento.
  4. Clique em Seguinte para abrir as Definições de segurança.
  5. A opção Segurança pessoal está seleccionada por predefinição.
  6. Definições de segurança: A predefinição é Nenhuma, o que indica que não há segurança nesta rede sem fios.

Para adicionar uma palavra-chave ou chave de rede:

  1. Definições de segurança: Seleccione WEP de 64 bits ou WEP de 128 bits para configurar a encriptação de dados WEP com uma chave de 64 ou 128 bits.

    2. Quando a encriptação WEP for activada num ponto de acesso, a chave WEP é utilizada para verificar o acesso à rede. Apesar de a autenticação ter êxito, se o dispositivo sem fios não tiver a chave WEP correcta, o dispositivo não consegue transmitir os dados através do ponto de acesso nem desencriptar dados recebidos a partir do ponto de acesso.

Nome Descrição

Palavra-passe

Introduza a palavra-passe de segurança sem fios (frase de palavra-passe) ou chave de encriptação (chave WEP).

Frase da palavra-passe (64 bits)

Introduza cinco (5) caracteres alfanuméricos, 0-9, a-z ou A-Z.

Chave WEP (64 bits)

Introduza 10 caracteres hexadecimais, 0-9, A-F.

Frase da palavra-passe (128 bits)

Introduza 13 caracteres alfanuméricos, 0-9, a-z ou A-Z.

Chave WEP (128 bits)

Introduza 26 caracteres hexadecimais, 0-9, A-F.
  1. Índice de chave: Altere o índice da chave para configurar até quatro palavras-passe.
  2. Clique em OK para voltar à lista de perfis.

Para adicionar mais de uma palavra-passe:

  1. Seleccione o número do índice de chave: 1, 2, 3 ou 4.
  2. Introduza a palavra-passe de segurança sem fios.
  3. Seleccione outro número do índice de chave.
  4. Introduza outra palavra-passe de segurança sem fios.

Configurar um cliente com as definições de segurança de WPA*-Pessoal (TKIP) ou de WPA2*-Pessoal (TKIP)

O modo WPA-Pessoal requer uma configuração manual de uma chave pré-partilhada (PSK) no ponto de acesso e nos clientes. Esta PSK autentica a palavra-passe ou código de identificação de um utilizador tanto na estação cliente como no ponto de acesso. Não é necessário um servidor de autenticação. O modo WPA-Pessoal é destinado aos ambientes domésticos e de pequenas empresas.

O WPA2 é a segunda geração de segurança WPA que proporciona aos utilizadores empresariais e domésticos sem fios um elevado nível de garantia de que apenas os utilizadores autorizados poderão aceder às suas redes sem fios. O WPA2 proporciona um forte mecanismo de encriptação através da norma AES (Advanced Encryption Standard) de encriptação avançada, que é um requisito para alguns utilizadores empresariais e governamentais.

Para configurar um perfil com autenticação de rede WPA-Pessoal e encriptação de dados TKIP:

  1. Na janela principal do Intel(R) PROSet/Wireless, faça duplo clique numa rede de infra-estrutura na lista de redes sem fios ou seleccione a rede e clique em Ligar.
  2. Clique em Perfis para aceder à lista de perfis.
  3. Clique em Propriedades para abrir as Definições gerais dos perfis sem fios. Aparece o nome do perfil e o nome da rede sem fios (SSID). Rede (infra-estrutura) deve estar seleccionado como o modo de funcionamento.
  4. Clique em Seguinte para abrir as Definições de segurança.
  5. A opção Segurança pessoal está seleccionada por predefinição.
  6. Definições de segurança: Seleccione WPA-Pessoal (TKIP) para proporcionar segurança a uma rede de pequena empresa ou a um ambiente doméstico. É utilizada uma palavra-passe chamada chave pré-partilhada (PSK). Quanto maior for a palavra-passe, mais forte será a segurança da rede sem fios.

Se o ponto de acesso sem fios ou o router suportar WPA2-Pessoal, active-o no ponto de acesso e especifique uma palavra-passe longa e forte. Quanto maior for a palavra-passe, mais forte será a segurança da rede sem fios. A palavra-passe introduzida no ponto de acesso tem de ser também utilizada neste computador e em todos os outros dispositivos sem fios com acesso à rede sem fios.

NOTA: O WPA-Pessoal e o WPA2-Pessoal são interoperáveis.

  1. Palavra-passe da segurança sem fios (Chave de encriptação): Introduza uma frase de texto com oito a 63 caracteres. Verifique se a chave da rede corresponde à palavra-passe no ponto de acesso sem fios.
  2. Clique em OK para voltar à lista de perfis.

Configurar um cliente com as definições de segurança de WPA-Pessoal (AES-CCMP) ou de WPA2-Pessoal (AES-CCMP)

O Wi-Fi Protected Access (WPA) é uma melhoria de segurança que aumenta significativamente o nível de protecção de dados e o controlo de acesso a uma rede sem fios. O WPA impõe a autenticação 802.1X e o intercâmbio de chaves, funcionando apenas com chaves de encriptação dinâmica. Para um utilizador doméstico ou de uma pequena empresa, a WPA-Pessoal utiliza o AES-CCMP (Advanced Encryption Standard - Counter CBC-MAC Protocol ) ou o protocolo TKIP (Temporal Key Integrity Protocol).

NOTA: Relativamente à placa de ligação WiFi sem fios Intel(R) 4965AGN, para alcançar taxas de transferência superiores a 54 Mbps em ligações 802.11n, a definição de segurança WPA2-AES tem de estar seleccionada. Pode seleccionar nenhuma segurança (Nenhum) para permitir a configuração e a resolução de problemas da rede.

Para criar um perfil com autenticação de rede WPA2-Pessoal e encriptação de dados AES-CCMP:

  1. Na janela principal do Intel(R) PROSet/Wireless, faça duplo clique numa rede de infra-estrutura na lista de redes sem fios ou seleccione a rede e clique em Ligar.
  2. Clique em Propriedades para abrir as Definições gerais dos perfis sem fios. Aparece o nome do perfil e o nome da rede sem fios (SSID). Rede (infra-estrutura) deve estar seleccionado como o modo de funcionamento.
  3. Clique em Seguinte para abrir as Definições de segurança.
  4. A opção Segurança pessoal está seleccionada por predefinição.
  5. Definições de segurança: Seleccione WPA2-Pessoal (AES-CCMP) para proporcionar este nível de segurança na pequena rede ou no ambiente doméstico. Utiliza uma palavra-passe também denominada chave pré-partilhada (PSK). Quanto maior for a palavra-passe, mais forte será a segurança da rede sem fios.

O AES-CCMP (Advanced Encryption Standard - Counter CBC-MAC Protocol) é o novo método de protecção da privacidade em transmissões sem fios especificado na norma IEEE 802.11i. O AES-CCMP fornece um método de encriptação mais forte do que o TKIP. Escolha o AES-CCMP como método de encriptação de dados sempre que a protecção de dados forte for importante.

Se o ponto de acesso sem fios ou o router suportar WPA2-Pessoal, active-o no ponto de acesso e especifique uma palavra-passe longa e forte. A palavra-passe introduzida no ponto de acesso tem de ser também utilizada neste computador e em todos os outros dispositivos sem fios com acesso à rede sem fios.

NOTA: O WPA-Pessoal e o WPA2-Pessoal são interoperáveis.

Algumas soluções de segurança poderão não ser suportadas pelo sistema operativo do seu computador. Poderá precisar de software ou hardware adicional, bem como suporte para uma infra-estrutura LAN sem fios. Contacte o fabricante do computador para obter mais detalhes.

  1. Palavra-passe: Palavra-passe da segurança sem fios (Chave de encriptação): Introduza uma frase de texto (comprimento entre oito e 63 caracteres). Verifique se a chave de rede utilizada corresponde à chave do ponto de acesso sem fios.
  2. Clique em OK para voltar à lista de perfis.

Segurança empresarial

A página Definições de segurança permite a introdução das definições de segurança necessárias para a rede sem fios seleccionada.

Utilize a opção 'Segurança empresarial' se o ambiente da sua rede requer a autenticação 802.1X.

Definições de segurança empresarial

Descrição das definições de segurança empresarial

Nome Configuração
Segurança empresarial

Seleccione para abrir as definições da 'Segurança empresarial'.
Autenticação de rede

Seleccione um dos seguintes métodos de autenticação:
Encriptação de dados

Clique para abrir os seguintes tipos de encriptação de dados:
Activar 802.1X (tipo de autenticação) Clique para abrir os seguintes tipos de autenticação 802.1X:
Opções da Cisco Clique para ver as Extensões compatíveis da Cisco.

NOTA: as extensões compatíveis da Cisco são activadas automaticamente para os perfis CKIP e LEAP.
Botão 'Avançadas' Seleccione para aceder às Definições avançadas de modo a configurar as seguintes opções:
Credenciais do utilizador

Um perfil configurado para autenticação TTLS, PEAP ou EAP-FAST requer um dos seguintes métodos de autenticação do início de sessão:

Utilizar início de sessão do Windows: As credenciais 802.1X correspondem ao nome de utilizador e palavra-passe do Windows. Antes de efectuar a ligação, é-lhe solicitado que introduza as credenciais de início de sessão do Windows.

NOTA: Esta opção não está disponível se a opção de ligação de pré-início de sessão não for seleccionada durante a instalação do Intel(R) PROSet/Wireless. Consulte Instalar ou desinstalar a funcionalidade de início de sessão único.

NOTA: Para perfis LEAP, esta opção está listada como Utilizar o nome do utilizador e a palavra-passe de início de sessão do Windows.

Pedir cada vez que ligar: Solicitar o seu nome de utilizador e palavra-passe sempre que iniciar sessão na rede sem fios.

NOTA: Para perfis LEAP, esta opção está listada como Pedir nome de utilizador e palavra-passe.

Utilizar o seguinte: Utilize as suas credenciais guardadas para iniciar sessão na rede.

  • Nome do utilizador: Este nome de utilizador deve corresponder ao nome de utilizador definido no servidor de autenticação pelo administrador antes da autenticação do cliente. O nome de utilizador é sensível a maiúsculas e minúsculas. Este nome especifica a identidade fornecida ao autenticador pelo protocolo de autenticação utilizado no túnel TLS. A identidade é transmitida com segurança ao servidor apenas depois de um canal encriptado ter sido estabelecido.
  • Domínio: Nome do domínio no servidor de autenticação. O nome do servidor identifica um domínio ou um dos seus subdomínios (por exemplo, zeelans.com, em que o servidor é blueberry.zeelans.com).
  • Palavra-passe: Especifica a palavra-passe do utilizador. Os caracteres da palavra-passe são apresentados em formato de asterisco. Esta palavra-passe deve corresponder à palavra-passe definida no servidor de autenticação.
  • Confirmar palavra-passe: Volte a introduzir a palavra-passe do utilizador.

NOTA: Contacte o seu administrador para obter o nome do domínio.

NOTA: Para perfis LEAP, esta opção está listada como Utilizar o seguinte nome do utilizador e palavra-passe.
Opções de servidor

Seleccione um dos seguintes métodos de obtenção de credenciais:

Validar certificado do servidor: Seleccione para verificar o certificado do servidor.

Emissor do certificado: O certificado de servidor recebido durante o intercâmbio de mensagens TLS tem de ser emitido por esta autoridade de certificação (AC). As autoridades de certificação intermédias e as autoridades de raiz fidedignas, cujos certificados existem no arquivo do sistema, estão disponíveis para serem seleccionadas. Se a opção Qualquer AC fidedigna estiver seleccionada, qualquer AC existente na lista é aceitável. Clique em Qualquer CA confiável como predefinição, ou seleccione um emissor do certificado a partir da lista.

Especificar nome do servidor ou do certificado: Introduza o nome do servidor.

O nome do servidor ou o domínio a que pertence o servidor. Isto depende da opção seleccionada abaixo.

  • O nome do servidor tem de corresponder exactamente à entrada especificada: Quando seleccionado, o nome do servidor tem de corresponder exactamente ao nome de servidor constante do certificado. O nome do servidor deve incluir o nome de domínio completo (por exemplo, nomeservidor.nomedomínio).
  • O nome do domínio tem de terminar com a entrada especificada: Quando seleccionar esta opção, o nome do servidor identifica um domínio e o certificado tem de ter um nome de servidor pertencente a este domínio ou a um dos respectivos subdomínios (por exemplo, zeelans.com, em que o servidor é blueberry.zeelans.com).

NOTA: Estes parâmetros devem ser obtidos junto do administrador.
Opções de certificado Para obter um certificado para autenticação TLS, seleccione uma das seguintes opções:

Utilizar o meu cartão inteligente: Seleccione se o certificado residir num cartão inteligente.

Utilizar o certificado emitido para este computador: Selecciona um certificado que reside no arquivo do computador.

Utilizar um certificado de utilizador neste computador: Clique em Seleccionar para escolher um certificado que resida neste computador.

NOTA: O Intel(R) PROSet/Wireless suporta certificados de computador. Contudo, não aparecem nas listagens de certificados.

Notas sobre os certificados: A identidade especificada deve corresponder à identidade Emitido para do certificado e estar registada no servidor de autenticação (por exemplo, servidor RADIUS) utilizado pelo autenticador. O certificado deve ser válido para o servidor de autenticação. Este requisito depende do servidor de autenticação e, geralmente, significa que o servidor de autenticação deve reconhecer o emissor do certificado como uma autoridade de certificação. Utilize o mesmo nome de utilizador que utilizou para iniciar a sessão quando o certificado foi instalado.
Retroceder Ver a página anterior do assistente de criação de perfis sem fios.
Seguinte Ver a página seguinte do assistente de criação de perfis sem fios. Se forem necessárias mais informações de segurança, será apresentado o passo seguinte da página Segurança.
&OK Fecha o assistente de criação de perfis sem fios e guarda o perfil.
Cancelar Fecha o assistente de criação de perfis sem fios e cancela as alterações efectuadas.
Ajuda? Proporciona as informações de ajuda para a página actual.

Configurar perfis para redes de infra-estrutura

Uma rede de infra-estrutura é composta por um ou mais pontos de acesso e um ou mais computadores com placas sem fios instaladas. Cada ponto de acesso tem de ter uma ligação com fios a uma rede sem fios.

Configurar um cliente com autenticação de rede aberta ou partilhada

Quando a autenticação de Chave partilhada é utilizada, parte-se do princípio de que cada estação sem fios recebeu uma chave partilhada confidencial através de um canal seguro independente do canal de comunicações de rede sem fios 802.11. A autenticação de chave partilhada requer que o cliente configure uma chave WEP ou CKIP estática. O acesso de cliente só é concedido se passar numa autenticação baseada em desafios. O CKIP proporciona uma encriptação de dados mais forte do que o WEP, mas nem todos os sistemas operativos e pontos de acesso o suportam.

NOTA: Embora a chave partilhada pudesse parecer a melhor opção para um nível de segurança mais elevado, é criada uma falha conhecida pela transmissão de texto claro da cadeia de caracteres de desafio para o cliente. Assim que um invasor encontrar a cadeia de caracteres de desafio, a chave de autenticação partilhada pode ser facilmente submetida a engenharia inversa. Por isso, a autenticação aberta é na realidade, e contra a intuição, mais segura. Para criar um perfil com autenticação partilhada:

  1. Clique em Perfis na janela principal do Intel(R) PROSet/Wireless.
  2. Na página 'Perfil', clique em Adicionar para abrir as definições gerais de 'Criar perfil sem fios'.
  3. Nome do perfil: Introduza um nome de perfil descritivo.
  4. Nome da rede sem fios (SSID): Introduza o identificador da rede.
  5. Modo de funcionamento: Clique em Rede (Infra-estrutura).
  6. Clique em Seguinte para aceder às definições de segurança.
  7. Seleccione Segurança empresarial.
  8. Autenticação de rede: Seleccione Partilhada. A autenticação partilhada é efectuada com uma chave WEP pré-configurada.
  9. Encriptação de dados: Seleccione Nenhuma, WEP (64 ou 128 bits) ou CKIP (64 ou 128 bits).
  10. Activar 802.1X: Desactivado.
  11. Nível de encriptação: 64 ou 128 bits: Quando alterna entre a encriptação de 64 bits e de 128 bits, as definições anteriores são apagadas e é necessário introduzir uma nova chave.
  12. Palavra-passe da segurança sem fios (Chave de encriptação): Introduza a palavra-passe da rede sem fios (chave de encriptação WEP). Esta palavra-passe tem o mesmo valor utilizado pelo ponto de acesso sem fios ou pelo router. Contacte o administrador para obter esta palavra-passe.
Nome Descrição
Palavra-passe

Introduza a palavra-passe de segurança sem fios (frase de palavra-passe) ou chave de encriptação (chave WEP).
Frase da palavra-passe (64 bits)

Introduza cinco (5) caracteres alfanuméricos, 0-9, a-z ou A-Z.
Chave WEP (64 bits)

Introduza 10 caracteres hexadecimais, 0-9, A-F.
Frase da palavra-passe (128 bits)

Introduza 13 caracteres alfanuméricos, 0-9, a-z ou A-Z.
Chave WEP (128 bits)

Introduza 26 caracteres hexadecimais, 0-9, A-F.
  1. Índice de chave: Seleccione 1,2, 3 ou 4. Altere o índice da chave para especificar até quatro palavras-passe.
  2. Clique em OK.

Configurar um cliente com autenticação de rede WPA*-Empresarial ou WPA2*-Empresarial

O WPA2-Empresarial requer um servidor de autenticação.

NOTA: O WPA-Empresarial e o WPA2-Empresarial são interoperáveis.

Para adicionar um perfil que utilize a autenticação WPA-Empresarial ou WPA2-Empresarial:

  1. Obtenha do seu administrador um nome de utilizador e palavra-passe no servidor RADIUS.
  2. Determinados tipos de autenticação requerem que obtenha e instale um certificado de cliente. Consulte Configurar um cliente para autenticação TLS ou contacte o seu administrador.
  3. Clique em Perfis na janela principal do Intel(R) PROSet/Wireless.
  4. Na página 'Perfil', clique em Adicionar para abrir as definições gerais de 'Criar perfil sem fios'.
  5. Nome do perfil: Introduza um nome de perfil descritivo.
  6. Nome da rede sem fios (SSID): Introduza o identificador da rede.
  7. Modo de funcionamento: Clique em Rede (Infra-estrutura).
  8. Clique em Seguinte.
  9. Seleccione Segurança empresarial.
  10. Autenticação de rede: Seleccione WPA-Empresarial ou WPA2-Empresarial.
  11. Encriptação de dados: Seleccione uma das seguintes opções:
  12. Activar 802.1X: Seleccionado.
  13. Tipo de autenticação: Seleccione uma das seguintes opções: EAP-SIM, LEAP, TLS, TTLS, PEAP, EAP-FAST.

Configurar um cliente com autenticação de rede EAP-SIM

O EAP-SIM utiliza uma chave WEP dinâmica baseada na sessão, que é derivada da placa do cliente e do servidor RADIUS, para encriptar os dados. O EAP-SIM requer a introdução de um código de verificação do utilizador, ou PIN (número de identificação pessoal, para comunicação com o cartão SIM (Subscriber Identity Module). Um cartão SIM é um cartão especial utilizado pelas redes celulares digitais baseadas no GSM (Global System for Mobile Communications). Para adicionar um perfil com autenticação EAP-SIM:

  1. Na página 'Perfil', clique em Adicionar para abrir as definições gerais de 'Criar perfil sem fios'.
  2. Nome do perfil: Introduza o nome de um perfil.
  3. Nome da rede sem fios (SSID): Introduza o identificador da rede.
  4. Modo de funcionamento: Clique em Rede (Infra-estrutura).
  5. Clique em Seguinte para aceder às definições de segurança.
  6. Seleccione Segurança empresarial.
  7. Autenticação de rede: Seleccione Aberta (Recomendado).
  8. Encriptação de dados: Seleccione WEP.
  9. Clique em Activar 802.1X.
  10. Tipo de autenticação: Seleccione EAP-SIM.

A autenticação EAP-SIM pode ser utilizada com:

Utilizador EAP-SIM (opcional)

  1. Especificar nome do utilizador (identidade): Clique para especificar o nome de utilizador.
  2. Clique em OK.

Configurar um cliente com autenticação de rede TLS

Estas configurações definem o protocolo e as credenciais utilizados na autenticação de um utilizador. A autenticação TLS (Transport Layer Security) é um método de autenticação bidireccional que utiliza apenas certificados digitais para verificar a identidade de um cliente e de um servidor.

Para adicionar um perfil com autenticação TLS:

  1. Clique em Perfis na janela principal do Intel(R) PROSet/Wireless.
  2. Na página 'Perfil', clique em Adicionar para abrir as definições gerais de 'Criar perfil sem fios'.
  3. Nome do perfil: Introduza um nome de perfil descritivo.
  4. Nome da rede sem fios (SSID): Introduza o identificador da rede.
  5. Modo de funcionamento: Clique em Rede (Infra-estrutura).
  6. Clique em Seguinte para aceder às definições de segurança.
  7. Seleccione Segurança empresarial.
  8. Autenticação de rede: Seleccione WPA-Empresarial ou WPA2-Empresarial.
  9. Encriptação de dados: Seleccione AES-CCMP (Recomendado).
  10. Activar 802.1X: Seleccionado.
  11. Tipo de autenticação: Seleccione TLS a ser utilizado com esta ligação.

Utilizador TLS

Passo 1 de 2: Utilizador TLS

  1. Obtenha e instale um certificado de cliente. Consulte Configurar um cliente para autenticação TLS ou informe-se junto do administrador do sistema.
  2. Seleccione uma das seguintes opções para obter um certificado: Utilizar o meu cartão inteligente, Utilizar o certificado emitido para este computador ou Utilizar um certificado de utilizador neste computador.
  3. Clique em Seguinte para abrir as definições do servidor TLS.

Servidor TLS

Passo 2 de 2: Servidor TLS

  1. Seleccione um dos seguintes métodos de obtenção de credenciais: Validar certificado do servidor ou Especificar nome do servidor ou do certificado.
  2. Clique em OK. O perfil é adicionado à lista de perfis.
  3. Clique no novo perfil no fim da lista de perfis. Utilize as setas para cima e para baixo para alterar a prioridade do novo perfil.
  4. Clique em Ligar para estabelecer a ligação a uma rede sem fios seleccionada.
  5. Clique em OK para fechar o Intel(R) PROSet/Wireless.

Configurar um cliente com autenticação de rede TTLS

Autenticação TTLS: Estas definições definem o protocolo e as credenciais utilizados para autenticar um utilizador. O cliente utiliza EAP-TLS para validar o servidor e criar um canal encriptado TLS entre o cliente e o servidor. O cliente pode utilizar outro protocolo de autenticação, normalmente protocolos baseados em palavra-passe. Os pacotes de desafio e resposta são enviados num canal encriptado TLS não exposto. O seguinte exemplo descreve como utilizar o WPA com encriptação AES-CCMP com autenticação TLS.

Para configurar um cliente com autenticação de rede TTLS:

  1. Clique em Perfis na janela principal do Intel(R) PROSet/Wireless.
  2. Na página 'Perfil', clique em Adicionar para abrir as definições gerais de 'Criar perfil sem fios'.
  3. Nome do perfil: Introduza um nome de perfil descritivo.
  4. Nome da rede sem fios (SSID): Introduza o identificador da rede.
  5. Modo de funcionamento: Clique em Rede (Infra-estrutura).
  6. Clique em Seguinte para aceder às definições de segurança.
  7. Seleccione Segurança empresarial.
  8. Autenticação de rede: Seleccione WPA-Empresarial ou WPA2-Empresarial.
  9. Encriptação de dados: Seleccione uma das seguintes opções:
  10. Activar 802.1X: Seleccionado.
  11. Tipo de autenticação: Seleccione TTLS a utilizar com esta ligação.

Passo 1 de 2: Utilizador TTLS

  1. Protocolo de autenticação: Este parâmetro especifica o protocolo de autenticação utilizado no túnel TTLS. Os protocolos são: PAP (Predefinição), CHAP, MS-CHAP e MS-CHAP-V2. Consulte Perspectiva geral de segurança para obter mais informações.
  2. Credenciais do utilizador: Para os protocolos PAP, CHAP, MS-CHAP e MS-CHAP-V2, seleccione um destes métodos de autenticação: Utilizar início de sessão do Windows, Pedir cada vez que ligar ou Utilizar o seguinte.
  3. Identidade do roaming: Uma identidade de roaming pode ser preenchida neste campo ou pode utilizar %domínio%\%nomedeutilizador% como formato predefinido para introduzir uma identidade de roaming.

Quando utilizar o 802.1X Microsoft IAS RADIUS como servidor de autenticação, este autentica o dispositivo que utiliza a Identidade do roaming do Intel(R) PROSet/Wireless e ignora o nome de utilizador do Protocolo de autenticação MS-CHAP-V2. O Microsoft IAS RADIUS aceita apenas um nome de utilizador válido (utilizador dotNet) para a identidade de roaming. Para os restantes servidores de autenticação, a identidade de roaming é opcional. Portanto, recomenda-se a utilização do domínio pretendido (por exemplo, anónimo@meudomínio) para a identidade de roaming, em vez de uma verdadeira identidade.

  1. Clique em Seguinte para aceder às definições do servidor TTLS.

Passo 2 de 2: Servidor TTLS

  1. Seleccione um dos seguintes métodos de obtenção de credenciais: Validar certificado do servidor ou Especificar nome do servidor ou do certificado.
  2. Clique em OK para guardar a definição e fechar a página.

Configurar um cliente com autenticação de rede PEAP

Autenticação PEAP: As definições PEAP são necessárias para a autenticação do cliente junto do servidor de autenticação. O cliente utiliza EAP-TLS para validar o servidor e criar um canal encriptado TLS entre o cliente e o servidor. O cliente pode utilizar outro mecanismo EAP (por exemplo, o protocolo de autenticação por desafio da Microsoft (MS-CHAP, Microsoft Challenge Authentication Protocol) versão 2), neste canal encriptado para activar a validação do servidor. Os pacotes de desafio e resposta são enviados num canal encriptado TLS não exposto. O seguinte exemplo descreve como utilizar o WPA com encriptação AES-CCMP ou TKIP com autenticação PEAP.

Para configurar um cliente com autenticação PEAP:

Obtenha e instale um certificado de cliente. Consulte Configurar um cliente para autenticação TLS ou contacte o seu administrador.

  1. Clique em Perfis na janela principal do Intel(R) PROSet/Wireless.
  2. Na página 'Perfil', clique em Adicionar para abrir as definições gerais de 'Criar perfil sem fios'.
  3. Nome do perfil: Introduza um nome de perfil descritivo.
  4. Nome da rede sem fios (SSID): Introduza o identificador da rede.
  5. Modo de funcionamento: Clique em Rede (Infra-estrutura).
  6. Clique em Seguinte para aceder às definições de segurança.
  7. Seleccione Segurança empresarial.
  8. Autenticação de rede: Seleccione WPA-Empresarial ou WPA2-Empresarial.
  9. Encriptação de dados: Seleccione uma das seguintes opções:
  10. Activar 802.1X: Seleccionado.
  11. Tipo de autenticação: Seleccione PEAP a utilizar com esta ligação.

Passo 1 de 2: Utilizador PEAP

O PEAP depende do TLS (Transport Layer Security) para permitir tipos de autenticação não encriptados (por exemplo, GTC (EAP-Generic Token Card) e OTP (palavra-passe única).

  1. Protocolo de autenticação: Seleccione GTC, MS-CHAP-V2 (Predefinição) ou TLS. Consulte Protocolos de autenticação.
  2. Credenciais do utilizador: Seleccione uma das seguintes opções: Utilizar início de sessão do Windows, Pedir cada vez que ligar ou Utilizar o seguinte.
  3. Identidade do roaming: Uma identidade de roaming pode ser preenchida neste campo ou pode utilizar %domínio%\%nomedeutilizador% como formato predefinido para introduzir uma identidade de roaming.

Quando utilizar o 802.1X Microsoft IAS RADIUS como servidor de autenticação, este autentica o dispositivo que utiliza a Identidade do roaming do Intel(R) PROSet/Wireless e ignora o nome de utilizador do Protocolo de autenticação MS-CHAP-V2. O Microsoft IAS RADIUS aceita apenas um nome de utilizador válido (utilizador dotNet) para a identidade de roaming. Para os restantes servidores de autenticação, a identidade de roaming é opcional. Portanto, recomenda-se a utilização do domínio pretendido (por exemplo, anónimo@meudomínio) para a identidade de roaming, em vez de uma verdadeira identidade.

Configurar a identidade do roaming para suportar vários utilizadores

Se utilizar um perfil de pré-início de sessão/comum que exija que a identidade do roaming seja baseada nas credenciais de início de sessão do Windows, o criador do perfil pode adicionar uma identidade do roaming que utilize o %nomedeutilizador% e o %domínio%. A identidade do roaming é analisada e as informações de início de sessão são substituídas por palavras-chave. Isto proporciona o máximo de flexibilidade na configuração da identidade do roaming, ao mesmo tempo que permite a vários utilizadores partilharem o perfil.

Consulte o manual do utilizador do servidor de autenticação para obter instruções sobre como formatar uma identidade de roaming adequada. Os formatos possíveis são:

Se a opção 'Identidade do roaming' não for seleccionada, %domínio%\%nomedeutilizador% é a predefinição.

Notas sobre as credenciais: Este nome de utilizador e domínio devem corresponder ao nome de utilizador definido no servidor de autenticação pelo administrador antes da autenticação do cliente. O nome de utilizador é sensível a maiúsculas e minúsculas. Este nome especifica a identidade fornecida ao autenticador pelo protocolo de autenticação utilizado no túnel TLS. A identidade deste utilizador é transmitida com segurança ao servidor apenas depois de um canal encriptado ter sido verificado e estabelecido.

Protocolos de autenticação: Este parâmetro especifica os protocolos de autenticação utilizados no túnel TTLS. Seguem-se instruções sobre como configurar um perfil que utiliza a autenticação PEAP com

protocolos de autenticação GTC, MS-CHAP-V2 (predefinição) ou TLS.

Generic Token Card (GTC)

Utilizador PEAP

Para configurar uma palavra-passe única:

  1. Protocolo de autenticação: Seleccione GTC (Generic Token Card).
  2. Credenciais do utilizador: Seleccione Pedir cada vez que ligar.
  3. Pedido de ligação para: Seleccione uma das seguintes opções:
Nome Descrição
Palavra-passe estática No momento da ligação, introduza as credenciais do utilizador.
Palavra-passe única (OTP) Obtenha a palavra-passe de um dispositivo de tokens de hardware.
PIN (soft token) Obtenha a palavra-passe de um programa de soft tokens.
  1. Clique em OK.

NOTA: A opção Pedir cada vez que ligar deixa de estar disponível se um administrador tiver limpo a definição 'Credenciais da cache' na Ferramenta do Administrador. Consulte Definições do Administrador para obter mais informações.

Palavra-passe única

MS-CHAP-V2

Este parâmetro especifica o protocolo de autenticação utilizado no túnel PEAP.

  1. Credenciais do utilizador: Seleccione uma das seguintes opções: Utilizar início de sessão do Windows, Pedir cada vez que ligar ou Utilizar o seguinte.
  2. Clique em Seguinte para abrir as definições do servidor PEAP.

TLS

A autenticação TLS (Transport Layer Security) é um método de autenticação bidireccional que utiliza apenas certificados digitais para verificar a identidade de um cliente e de um servidor.

  1. Obtenha e instale um certificado de cliente. Consulte Configurar um cliente para autenticação TLS ou informe-se junto do administrador do sistema.
  2. Seleccione uma das seguintes opções para obter um certificado: Utilizar o meu cartão inteligente, Utilizar o certificado emitido para este computador ou Utilizar um certificado de utilizador neste computador.
  3. Clique em Seguinte para abrir as definições do servidor PEAP.

Passo 2 de 2: Servidor PEAP

Servidor PEAP
  1. Seleccione um dos seguintes métodos de obtenção de credenciais: Validar certificado do servidor ou Especificar nome do servidor ou do certificado.
  2. Clique em OK. O perfil é adicionado à lista de perfis.
  3. Clique no novo perfil no fim da lista de perfis. Utilize as setas para cima e para baixo para alterar a prioridade do novo perfil.
  4. Clique em Ligar para estabelecer a ligação a uma rede sem fios seleccionada.

Se não seleccionou Utilizar início de sessão do Windows na página de definições de segurança e também não configurou as credenciais do utilizador, não são guardadas credenciais para este perfil. Introduza as suas credenciais para efectuar a autenticação na rede.

  1. Clique em OK para fechar o Intel(R) PROSet/Wireless.

Registo automático do certificado PEAP-TLS

Em Definições da aplicação, seleccione Activar notificação de certificados TLS rejeitados, se quiser que seja emitido um aviso quando o certificado PEAP-TLS for rejeitado. Quando um certificado tem uma data de expiração inválida, o utilizador é informado de que tem de tomar uma das seguintes medidas: Foi detectado um potencial problema de autenticação para o perfil <nome do perfil>. A data de expiração no certificado associado pode ser inválida. Escolha uma das seguintes opções:

Controlo Descrição
Continuar com os parâmetros actuais. Continuar com o certificado actual.
Actualizar certificado manualmente. Aparece a página 'Seleccionar certificado' para escolher outro certificado.
Actualizar certificado automaticamente com base nos certificados no armazenamento local. Esta opção só é activada quando o armazenamento local contém um ou mais certificados cujos campos "emitido para" e "emitido por" correspondem ao certificado actual e cuja "data de expiração" não expirou. Se escolher esta opção, a aplicação selecciona o primeiro certificado válido.
Termine a sessão para obter o certificado durante o processo de início de sessão (isto não actualiza o perfil e apenas se aplica aos certificados configurados para o registo automático). Termina a sessão do utilizador, que tem de obter um certificado adequado no próximo processo de início de sessão. O perfil tem de ser actualizado para seleccionar o novo certificado.
Registo automático Ser-lhe-á pedido o seguinte: Aguarde enquanto o sistema está a tentar obter o certificado automaticamente. Clique em Cancelar para terminar a obtenção de certificados.
Não voltar a mostrar esta mensagem. Um utilizador pode evitar este passo em sessões posteriores. A opção seleccionada fica memorizada para futuras sessões.

Configurar um cliente com autenticação de rede LEAP

O Cisco LEAP (Light Extensible Authentication Protocol) é um tipo de autenticação 802.1X que suporta uma forte autenticação mútua entre o cliente e um servidor RADIUS. As definições dos perfis LEAP incluem LEAP, CKIP com integração da detecção de pontos de acesso não controlados. Para configurar um cliente com autenticação LEAP:

  1. Clique em Perfis na janela principal do Intel(R) PROSet/Wireless.
  2. Na página 'Perfil', clique em Adicionar. As definições gerais de 'Criar perfil sem fios' abrem-se.
  3. Nome do perfil: Introduza um nome de perfil descritivo.
  4. Nome da rede sem fios (SSID): Introduza o identificador da rede.
  5. Modo de funcionamento: Clique em Rede (Infra-estrutura).
  6. Clique em Seguinte para aceder às definições de segurança.
  7. Seleccione Segurança empresarial.
  8. Autenticação de rede: Seleccione WPA-Empresarial ou WPA2-Empresarial.
  9. Encriptação de dados: Seleccione uma das seguintes opções:
  10. Activar 802.1X: Seleccionado.
  11. Tipo de autenticação: Seleccione LEAP a utilizar com esta ligação.
  12. Clique em Opções Cisco.
  13. Clique em Activar extensões compatíveis da Cisco para activar a segurança das extensões compatíveis da Cisco (CCX) (Permitir roaming rápido (CCKM), Activar suporte de gestão de rádio, Activar modo de células mistas.).

Extensões compatíveis com a Cisco

  1. Clique em Activar suporte de gestão de rádio. Utilize a gestão de rádio para detectar pontos de acesso não controlados.
  2. Clique em OK para voltar às definições de segurança.

Utilizador LEAP

Utilizador LEAP

  1. Seleccione um dos seguintes métodos de autenticação: Utilizar o nome do utilizador e a palavra-passe de início de sessão do Windows, Pedir nome de utilizador e palavra-passe ou Utilizar o seguinte nome do utilizador e palavra-passe.
  2. Clique em OK para guardar a definição e fechar a página.

Opções de extensões compatíveis da Cisco

Opções da Cisco: Utilize para activar ou desactivar a 'Gestão de rádio' e o 'Modo de células mistas' ou 'Permitir roaming rápido (CCKM)'.

NOTA: as extensões compatíveis da Cisco são activadas automaticamente para os perfis CKIP, LEAP ou EAP-FAST. Para ignorar este comportamento, seleccione ou anule a selecção das opções nesta página.

Activar opções compatíveis da Cisco: Seleccione para activar as Extensões compatíveis com a Cisco para este perfil de ligação sem fios.

Para configurar um cliente com autenticação de rede EAP-FAST

Nas Extensões compatíveis da Cisco, Versão 3 (CCXv3), a Cisco adicionou suporte para o EAP-FAST (Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling - Protocolo de autenticação extensível-Autenticação flexível através de túnel seguro), que utiliza credenciais de acesso protegidas (PACs) para estabelecer um túnel autenticado entre um cliente e um servidor.

As Extensões compatíveis da Cisco, Versão 4 (CCXv4) melhoram os métodos de provisionamento para melhor segurança e fornece inovações para melhor segurança, mobilidade, qualidade de serviço e gestão da rede.

Extensões compatíveis da Cisco, Versão 3 (CCXv3)

Para configurar um cliente com uma autenticação EAP-FAST com as Extensões compatíveis da Cisco, versão 3 (CCXv3):

  1. Clique em Perfis na janela principal do Intel(R) PROSet/Wireless.
  2. Na página 'Perfil', clique em Adicionar para abrir as definições gerais de 'Criar perfil sem fios'.
  3. Nome da rede sem fios (SSID): Introduza o identificador da rede.
  4. Nome do perfil: Introduza um nome de perfil descritivo.
  5. Modo de funcionamento: Clique em Rede (Infra-estrutura).
  6. Clique em Seguinte para abrir as definições de segurança.
  7. Seleccione Segurança empresarial.
  8. Autenticação de rede: Seleccione WPA-Empresarial ou WPA2-Empresarial.
  9. Encriptação de dados: Seleccione uma das seguintes opções:
  10. Activar 802.1X: Seleccionado.
  11. Tipo de autenticação: Seleccione EAP-FAST a utilizar com esta ligação.

Fornecimento EAP-FAST

NOTA: Se a definição da aplicação CCXv4 não for instalada através de um Pacote de Administrador, só estão disponíveis das definições do utilizador EAP-FAST para configuração. Consulte Definições do utilizador EAP-FAST.

Passo 1 de 2: Fornecimento EAP-FAST

  1. Clique em Desactivar as melhorias EAP-FAST (CCXv4) para permitir o aprovisionamento no interior de um túnel TLS não autenticado pelo servidor (Unauthenticated-TLS-Server Provisioning Mode).
  2. Clique em Seleccionar servidor para visualizar quaisquer PACs não autenticadas que já tenham sido fornecidas e residem neste computador.

NOTA: Se a PAC aprovisionada for válida, o Intel(R) PROSet/Wireless não solicita ao utilizador para aceitar a PAC. Se a PAC não for válida, o Intel(R) PROSet/Wireless falha automaticamente o aprovisionamento. Aparece uma mensagem de estado no 'Visualizador de eventos sem fios' informando que um administrador pode rever no computador do utilizador.

Para importar uma PAC:

PAC

  1. Clique em Seguinte para seleccionar o método de recuperação da credencial ou clique em OK para guardar as definições EAP-FAST e regressar à lista de Perfis. A PAC é utilizada para este perfil sem fios.

Passo 2 de 2: Informações adicionais de EAP-FAST

Para efectuar a autenticação do cliente no túnel estabelecido, um cliente envia um nome do utilizador e palavra-passe para autenticar e estabelecer a política de autorização do cliente.

  1. Clique em Credenciais do utilizador para seleccionar um dos seguintes métodos de obtenção de credenciais: Utilizar início de sessão do Windows, Pedir cada vez que ligar ou Utilizar o seguinte.
  2. Clique em OK para guardar as definições e fechar a página. A verificação do servidor não é necessária.

Extensões compatíveis da Cisco, Versão 4 (CCXv4)

Para configurar um cliente com uma autenticação EAP-FAST com as Extensões compatíveis da Cisco, versão 4 (CCXv4):

  1. Clique em Perfis na janela principal do Intel(R) PROSet/Wireless.
  2. Na página 'Perfil', clique em Adicionar para abrir as definições gerais do assistente de criação de perfis sem fios.
  3. Nome da rede sem fios (SSID): Introduza o identificador da rede.
  4. Nome do perfil: Introduza um nome de perfil descritivo.
  5. Modo de funcionamento: Clique em Rede (Infra-estrutura).
  6. Clique em Seguinte para abrir as definições de segurança.
  7. Seleccione Segurança empresarial.
  8. Autenticação de rede: Seleccione WPA-Empresarial ou WPA2-Empresarial.
  9. Encriptação de dados: Seleccione uma das seguintes opções:
  10. Encriptação de dados Seleccione AES-CCMP.
  11. Activar 802.1X: Seleccionado.
  12. Tipo de autenticação: Seleccione EAP-FAST a utilizar com esta ligação.

Passo 1 de 3: Fornecimento EAP-FAST

Com o CCXv4, o EAP-FAST suporta dois modos de aprovisionamento:

NOTA: O Modo autenticado pelo servidor fornece vantagens de segurança significativa em relação ao Modo não autenticado do servidor mesmo quando o EAP-MS-CHAP-V2 está a ser utilizado como um método interior. Este modo protege as trocas do EAP-MS-CHAP-V2 de potenciais ataques efectuados por intermediários ao verificar a autenticidade do servidor antes de trocar o MS-CHAP-V2. Assim sendo, o Modo autenticado pelo servidor é o preferido sempre que possível. O par EAP-FAST deve utilizar o Modo autenticado pelo servidor sempre que se encontra disponível um certificado ou chave pública para autenticar o servidor e assegurar as melhores práticas de segurança.

Modo de fornecimento de Credenciais de Acesso Protegido (PAC):

O EAP-FAST utiliza uma chave PAC para proteger as credenciais do utilizador que são trocadas. Todos os autenticadores EAP-FAST estão identificados por uma identidade de autoridade (ID-A). O autenticador local envia o seu ID-A para um cliente de autenticação e o cliente verifica a sua base de dados para localizar um ID-A correspondente. Se o cliente não reconhecer o ID-A, pede uma nova PAC.

NOTA: Se a PAC (Credencial de Acesso Protegido) aprovisionada for válida, o Intel(R) PROSet/Wireless não solicita ao utilizador para aceitar a PAC. Se a PAC não for válida, o Intel(R) PROSet/Wireless falha automaticamente o aprovisionamento. Aparece uma mensagem de estado no Visualizador de eventos sem fios informando que um administrador pode rever no computador do utilizador.

  1. Certifique-se de que a opção Desactivar melhorias de EAP-FAST (CCXv4) não se encontra seleccionada. Permitir aprovisionamento não autenticado e Permitir aprovisionamento autenticado são seleccionados por predefinição. Uma vez seleccionada uma PAC no servidor predefinido, o utilizador pode anular a selecção de qualquer um destes métodos de aprovisionamento.
  2. Servidor predefinido: 'Nenhuma' está seleccionado como predefinição. Clique em Seleccionar servidor para seleccionar uma PAC no servidor de autoridade PAC predefinido ou seleccione um servidor na lista Grupo de servidores. Abre-se a página de selecção do servidor EAP-FAST predefinido (autoridade PAC).

NOTA: Os grupos de servidores só são listados se tiver instalado um Pacote de Administrador que contenha as definições de grupos de ID-A do EAP-FAST.

A distribuição de PACs também pode ser terminada manualmente (fora de banda). O fornecimento manual permite-lhe criar uma PAC para um utilizador num servidor ACS e depois importá-la para o computador de um utilizador. Um ficheiro PAC pode ser protegido por uma palavra-passe, a qual o utilizador tem de introduzir durante a importação da PAC.

Para importar uma PAC:

  1. Clique em Importar para importar uma PAC do servidor de PAC.
  2. Clique em Abrir.
  3. Introduza a palavra-passe da PAC (opcional).
  4. Clique em OK para fechar esta página. A PAC seleccionada é utilizada para este perfil sem fios.

O EAP-FAST CCXv4 permite o suporte para o provisionamento de outras credenciais para além da PAC actualmente provisionada para estabelecimento do túnel. Os tipos de credencial suportados incluem uma certificado AC fidedigno, credenciais da máquina para a autenticação da máquina e credenciais do utilizador temporárias utilizadas para contornar a autenticação do utilizador.

Utilizar um certificado (Autenticação TLS)

  1. Clique em Utilizar um certificado (Autenticação TLS).
  2. Clique em Protecção da identidade quando o túnel estiver protegido.
  3. Seleccione uma das seguintes opções:
  4. Nome do utilizador: Introduza o nome de utilizador atribuído ao certificado de utilizador.
  5. Clique em Seguinte.

Passo 2 de 3: Informações adicionais de EAP-FAST

Se seleccionou a opção Utilizar um certificado (Autenticação TLS) e Utilizar um certificado de utilizador neste computador, clique em Seguinte (não é necessária uma identidade do roaming) e avance para Passo 3 para configurar as definições do certificado do servidor EAP-FAST. Se não precisar de configurar as definições do servidor EAP-FAST, clique em OK para memorizar as suas definições e regressar à página dos Perfis.

Se optar por utilizar um cartão inteligente, adicione a identidade do roaming, se necessário. Clique em OK para guardar as definições e regressar à página dos Perfis.

Se não seleccionou Utilizar um certificado (Autenticação TLS), clique em Seguinte para seleccionar um protocolo de autenticação. O CCXv4 permite a credenciais adicionais ou suites de cifra TLS para estabelecer o túnel.

Protocolo de autenticação: Seleccione GTC ou MS-CHAP-V2 (Predefinição).

Generic Token Card (GTC)

O GTC pode ser utilizado com um Modo autenticado pelo servidor. Isto permite que os pares que utilizem outras bases de dados, tais como o LDAP (Lightweight Directory Access Protocol) e a tecnologia de palavra-passe única (OTP), sejam provisionados na banda. No entanto, a substituição só pode ser alcançada quando utilizada com as suites de cifra TLS que asseguram a autenticação do servidor.

Para configurar uma palavra-passe única:

  1. Protocolo de autenticação: Seleccione GTC (Generic Token Card).
  2. Credenciais do utilizador: Seleccione Pedir cada vez que ligar.
  3. Pedido de ligação para: Seleccione uma das seguintes opções:
Nome Descrição
Palavra-passe estática No momento da ligação, introduza as credenciais do utilizador.
Palavra-passe única (OTP) Obtenha a palavra-passe de um dispositivo de tokens de hardware.
PIN (soft token) Obtenha a palavra-passe de um programa de soft tokens.
  1. Clique em OK.
  2. Seleccione o perfil na lista de redes sem fios.
  3. Clique em Ligar. Quando solicitado, introduza o nome de utilizador, o domínio e a palavra-passe única (OTP).
  4. Clique em OK.

MS-CHAP-V2

Este parâmetro especifica o protocolo de autenticação utilizado no túnel PEAP.

  1. Seleccione as credenciais do utilizador: Utilizar início de sessão do Windows, Pedir cada vez que ligar ou Utilizar o seguinte.
  2. Identidade do roaming: Uma identidade de roaming pode ser preenchida neste campo ou pode utilizar %domínio%\%nomedeutilizador% como formato predefinido para introduzir uma identidade de roaming.

Quando utilizar o 802.1X Microsoft IAS RADIUS como servidor de autenticação, este autentica o dispositivo que utiliza a Identidade do roaming do Intel(R) PROSet/Wireless e ignora o nome de utilizador do Protocolo de autenticação MS-CHAP-V2. O Microsoft IAS RADIUS aceita apenas um nome de utilizador válido (utilizador dotNet) para a identidade de roaming. Para os restantes servidores de autenticação, a identidade de roaming é opcional. Portanto, recomenda-se a utilização do domínio pretendido (por exemplo, anónimo@meudomínio) para a identidade de roaming, em vez de uma verdadeira identidade.

Passo 3 de 3: Servidor EAP-FAST

O Modo de provisionamento do servidor TLS autenticado é suportado utilizando um certificado de AC fidedigno, um certificado de servidor com assinatura própria ou chaves públicas do servidor e o GTC como o método EAP interno.

  1. Seleccione um dos seguintes métodos de obtenção de credenciais: Validar certificado do servidor ou Especificar nome do servidor ou do certificado.
  2. Clique em OK para fechar as definições de segurança.

Definições do utilizador EAP-FAST:

NOTA: Se um Pacote de administrador for instalado no computador de um utilizador que não tenha aplicado a definição de aplicação 'Extensões compatíveis com a Cisco', versão 4, só as definições EAP-FAST do utilizador é que se encontram disponíveis para serem configuradas.

Para configurar um cliente com autenticação EAP-FAST:

  1. Clique em Perfis na janela principal do Intel(R) PROSet/Wireless.
  2. Na página 'Perfil', clique em Adicionar para abrir as definições gerais de 'Criar perfil sem fios'.
  3. Nome da rede sem fios (SSID): Introduza o identificador da rede.
  4. Nome do perfil: Introduza um nome de perfil descritivo.
  5. Modo de funcionamento: Clique em Rede (Infra-estrutura).
  6. Clique em Seguinte para abrir as definições de segurança.
  7. Clique em Segurança empresarial.
  8. Autenticação de rede: Seleccione WPA-Empresarial ou WPA2-Empresarial.
  9. Encriptação de dados: Seleccione uma das seguintes opções:
  10. Activar 802.1X: Seleccionado.
  11. Tipo de autenticação: Seleccione EAP-FAST a utilizar com esta ligação.
  12. Clique em Opções da Cisco para seleccionar Permitir roaming rápido (CCKM), o que activa a placa sem fios do cliente para um roaming seguro e rápido.

Utilizador EAP-FAST

Seleccione o método de recuperação das credenciais:

  1. Seleccione as credenciais do utilizador: Utilizar início de sessão do Windows, Pedir cada vez que ligar ou Utilizar o seguinte.
  2. Permitir fornecimento automático de Credenciais de Acesso Protegido (PAC):

O EAP-FAST utiliza uma chave PAC para proteger as credenciais do utilizador que são trocadas. Todos os autenticadores EAP-FAST estão identificados por uma identidade de autoridade (ID-A). O autenticador local envia o seu ID-A para um cliente de autenticação e o cliente verifica a sua base de dados para localizar um ID-A correspondente. Se o cliente não reconhecer o ID-A, pede uma nova PAC.

Clique em PACs para visualizar quaisquer PACs que já tenham sido fornecidas e residem neste computador. Já deve ter obtida uma PAC para limpar a opção Permitir fornecimento automático nas 'Definições de segurança'.

NOTA: Se a PAC (Credencial de Acesso Protegido) aprovisionada for válida, o Intel(R) PROSet/Wireless não solicita ao utilizador para aceitar a PAC. Se a PAC não for válida, o Intel(R) PROSet/Wireless falha automaticamente o aprovisionamento. Aparece uma mensagem de estado no Visualizador de eventos sem fios informando que um administrador pode rever no computador do utilizador.

A distribuição de PACs também pode ser terminada manualmente (fora de banda). O fornecimento manual permite-lhe criar uma PAC para um utilizador num servidor ACS e depois importá-la para o computador de um utilizador. Um ficheiro PAC pode ser protegido por uma palavra-passe, a qual o utilizador tem de introduzir durante a importação da PAC.

Para importar uma PAC:

  1. Clique em PACs para abrir a lista Credenciais de Acesso Protegido (PAC).
  2. Clique em Importar para importar uma PAC que resida neste computador ou num servidor.
  3. Seleccione a PAC e clique em Abrir.
  4. Introduza a palavra-passe da PAC (opcional).
  5. Clique em OK para fechar esta página. A PAC seleccionada é adicionada à lista de PACs.
  6. Clique em OK para guardar as definições de EAP-FAST e voltar à lista dos perfis. A PAC é utilizada para este perfil sem fios.

Voltar ao topo

Voltar ao índice

Marcas comerciais e exonerações de responsabilidade