Retour à la table des matières

Configurer la sécurité des profils

Utiliser le logiciel Intel(R) PROSet/Wireless
Sécurité personnelle
Paramètres de sécurité personnelle
Configurer le chiffrement des données et l'authentification

Sécurité d'entreprise
Paramètres de sécurité d'entreprise

Authentification réseau

Types d'authentification 802.1X

Utilisation du logiciel Intel(R) PROSet/Wireless

La section suivante décrit comment utiliser Intel(R) PROSet/Wireless pour configurer les paramètres de sécurité nécessaires de votre carte sans fil. Voir Sécurité personnelle.

Elle fournit également des informations sur la configuration des paramètres de sécurité avancés de la carte sans fil. Cette opération nécessite des informations de l'administrateur système (en entreprise) ou les paramètres de sécurité avancés du point d'accès (utilisateurs domestiques). Reportez-vous à la section Sécurité d'entreprise.

Pour obtenir des informations générales sur les paramètres de sécurité, reportez-vous à la section Présentation générale de la sécurité.

Sécurité personnelle

Utilisez la sécurité personnelle si vous êtes un utilisateur domestique ou travaillant dans une petite entreprise pouvant utiliser différentes procédures de sécurité simples pour protéger votre connexion sans fil. Sélectionnez dans la liste des paramètres de sécurité ne nécessitant pas la configuration d'une infrastructure extensive pour votre réseau sans fil. Aucun serveur RADIUS ou AAA n'est nécessaire.

Paramètres de sécurité personnelle

Description des paramètres de sécurité personnelle

Nom Paramètre

Sécurité personnelle

Sélectionnez cette option pour ouvrir la boîte de dialogue Sécurité personnelle. Les paramètres de sécurité disponibles dépendent du mode opérationnel sélectionné dans les paramètres de sécurité de Création de profil sans fil.

Poste à poste (ad hoc) : En mode poste à poste, également appelé mode ad hoc, les ordinateurs sans fil envoient les informations directement à d'autres ordinateurs sans fil. Vous pouvez utiliser le mode ad hoc pour mettre plusieurs ordinateurs en réseau à la maison ou dans un petit bureau, ou pour établir un réseau sans fil temporaire lors d'une réunion.

REMARQUE : les réseaux poste à poste (ad hoc) sont identifiés à l'aide d'une icône d'ordinateur portable (portable) dans la liste des réseaux sans fil et dans la Liste des profils.

Réseau (Infrastructure) : Un réseau d'infrastructure est constitué de un ou plusieurs points d'accès et de un ou plusieurs ordinateurs équipés de cartes sans fil. Au moins un point d'accès doit également posséder une connexion sans fil. Pour les utilisateurs domestiques, il s'agit habituellement d'un réseau haut débit ou par câble.

REMARQUE : les réseaux d'infrastructure sont identifiés à l'aide d'une icône de point d'accès (point d'accès) dans la liste des réseaux sans fil et des profils.

Paramètres de sécurité

Si vous configurez un profil de réseau Poste à poste (ad hoc), sélectionnez l'un des paramètres de chiffrement suivants :

  • Aucun : aucune authentification nécessaire.
  • WEP-64 bits ou WEP-128 bits une clé réseau ou un mot de passe est utilisé pour le chiffrement.

Si vous configurez un profil Résau (infrastructure), sélectionnez :

Bouton Avancé

 Cliquez sur ce bouton pour accéder aux Paramètres avancés et configurer les options suivantes :
  • Connexion automatique : sélectionnez cette option pour vous connecter automatiquement ou manuellement à un profil.
  • Importation automatique : l'administrateur réseau peut exporter un profil vers un autre ordinateur.
  • Point d'accès obligatoire : sélectionnez cette option pour associer la carte sans fil à un point d'accès spécifique.
  • Protection par mot de passe : sélectionnez cette option pour protéger un profil avec un mot de passe.
  • Application de démarrage : spécifiez un programme à démarrer lorsqu'une connexion sans fil est établie.
  • Maintenir la connexion : Sélectionnez cette option pour maintenir la connexion sans fil d'un profil utilisateur après la fermeture de session.
  • Format des noms d'utilisateur: Sélectionnez le format des noms d'utilisateur pour le serveur d'authentification.
  • Vérification du domaine PLC : Sélectionnez cette option pour vérifier la présence du serveur de domaine avant la fin du processus de connexion. Si le serveur n’est pas trouvé, le processus d’identification peut être retardé d’une ou plusieurs minutes.

Précédent

Permet d'afficher la page précédente de l'Assistant Création d’un profil sans fil.

OK

Ferme l'Assistant Profil et enregistre le profil.

Annuler

Ferme l'Assistant Profil et annule toutes les modifications.

Aide?

Affiche l'aide en ligne de la page active.

Configuration du chiffrement de données et de l'authentification

Différentes procédures de sécurité simples peuvent être utilisées pour protéger la connexion sans fil d'un réseau sans fil domestique. Elles comprennent :

Le chiffrement WPA (Wi-Fi Protected Access) permet de protéger les données du réseau. WPA utilise une clé de chiffrement appelée « clé communiquée à l'avance » (ou PSK pour Pre-Shared Key) pour chiffrer les données avant leur transmission. Entrez le même mot de passe dans tous les ordinateurs et points d'accès du réseau de votre maison ou petite entreprise. Seuls les périphériques utilisant la même clé de chiffrement peuvent accéder au réseau ou déchiffrer les données chiffrées transmises par d'autres ordinateurs. Le mot de passe lance automatiquement le protocole de chiffrement des données TKIP (Temporal Key Integrity Protocol) ou AES-CCMP.

Clés réseau

Le chiffrement WEP fournit deux niveaux de sécurité :

Pour une sécurité accrue, utilisez la clé 128 bits. Si le chiffrement est utilisé, tous les périphériques sans fil de votre réseau sans fil doivent utiliser des clés de chiffrement identiques.

Vous pouvez créer la clé vous-même et spécifier la longueur de la clé (64 bits ou 128 bits) et l'index de clé (l'emplacement de stockage d'une clé spécifique). Plus une clé est longue, plus elle est sûre.

Longueur de la clé : 64 bits

Expression de passe (64 bits) : entrez cinq (5) caractères alphanumériques, 0-9, a-z ou A-Z.
Clé hexadécimale (64 bits) : entrez 10 caractères hexadécimaux (0-9, A-F).

Longueur de la clé : 128 bits

Expression de passe (128 bits) : entrez 13 caractères alphanumériques, 0-9, a-z ou A-Z.
Clé hexadécimale (128 bits) : entrez 26 caractères hexadécimaux (0-9, A-F).

Avec le chiffrement de données WEP, une station sans fil peut être configurée avec un maximum de quatre clés (la valeur d'index des clés est 1, 2, 3 et 4). Lorsqu'un point d'accès ou une station sans fil transmet un message chiffré à l'aide d'une clé stockée dans un index de clé spécifique, le message transmis indique l'index de clé utilisé pour le chiffrement du corps du message. Le point d'accès ou la station sans fil de réception peuvent alors extraire la clé stockée dans l'index de clé et l'utiliser pour déchiffrer le corps du message chiffré.

Configuration d'un client avec l'authentification Ouverte et sans (Aucun) chiffrement des données

Dans la page principale de Intel(R)PROSet/Wireless, sélectionnez une des méthodes suivantes pour vous connecter à un réseau d'infrastructure :

Si aucune authentification n'est nécessaire, le réseau se connecte sans vous inviter à entrer d'informations d'authentification. Tout périphérique disposant du nom réseau (SSID) correct est en mesure de s'associer aux autres périphériques du réseau.

CAUTION: Les réseaux n'utilisant aucune authentification ou chiffrement sont hautement vulnérables aux utilisateurs non autorisés.

Pour créer un profil pour une connexion réseau sans fil sans chiffrement, procédez comme suit :

  1. Cliquez sur Profils dans la fenêtre principale d'Intel(R) PROSet/Wireless.
  2. Dans la liste des profils, cliquez sur Ajouter pour ouvrir les Paramètres généraux.
  3. Nom du profil : entrez un nom de profil descriptif.
  4. Nom du réseau sans fil (SSID) : entrez le nom du réseau sans fil.
  5. Mode opérationnel : cliquez sur Poste à poste (ad hoc).
  6. Cliquez sur Suivant pour ouvrir les Paramètres de sécurité.
  7. Sécurité personnelle est sélectionné par défaut.
  8. Paramètres de sécurité : le paramètre par défaut est Aucun, ce qui indique qu'aucune sécurité n'est configurée sur ce réseau sans fil.
  9. Cliquez sur OK. Le profil est ajouté à la Liste des profils et se connecte au réseau sans fil.

Configuration d'un client avec le chiffrement de données WEP 64 bits ou WEP 128 bits

Lorsque le chiffrement de données WEP est activé, une clé réseau ou un mot de passe est utilisé pour le chiffrement.

Une clé réseau peut vous être fournie automatiquement (par exemple, elle peut être fournie par le fabricant de votre carte réseau sans fil), ou vous pouvez la fournir vous-même et spécifier la longueur de la clé (64 bits ou 128 bits), le format de la clé (caractères ASCII ou hexadécimaux), et l'index de clé (l'emplacement où est stocké une clé spécifique). Plus une clé est longue, plus elle est sûre.

Pour ajouter une clé réseau pour une connexion réseau Poste à poste (ad hoc) :

  1. Dans la fenêtre principale d'Intel(R) PROSet/Wireless, double-cliquez sur un réseau Poste à poste (ad hoc) dans la liste Réseaux sans fil ou sélectionnez le réseau et cliquez sur Connexion.
  2. Cliquez sur Profils pour accéder à la liste des profils.
  3. Cliquez sur Propriétés pour ouvrir les Paramètres généraux du profil sans fil. Le nom du profil et du réseau sans fil (SSID) s'affiche. Sélectionnez le mode opérationnel Poste à poste (ad hoc).
  4. Cliquez sur Suivant pour ouvrir les Paramètres de sécurité.
  5. Sécurité personnelle est sélectionné par défaut.
  6. Paramètres de sécurité : le paramètre par défaut est Aucun, ce qui indique qu'aucune sécurité n'est configurée sur ce réseau sans fil.

Pour ajouter un mot de passe ou une clé réseau :

  1. Paramètres de sécurité : sélectionnez l'authentification WEP 64 bits ou WEP 128 bits pour configurer un chiffrement de données avec une clé de WEP de  bits ou de  bits.

    2. Lorsque le chiffrement WEP est activé sur un point d'accès, la clé WEP est utilisée pour vérifier l'accès au réseau. Si le périphérique sans fil ne possède pas la clé WEP correcte, bien que l'authentification soit réussie, le périphérique n'est pas en mesure de transmettre des données via le point d'accès ni de déchiffrer les données en provenance du point d'accès.

Nom Description

Mot de passe

Entrez le mot de passe de sécurité sans fil (expression de passe) ou la clé de chiffrement (clé WEP).

Expression de passe (64 bits)

entrez cinq (5) caractères alphanumériques, 0-9, a-z ou A-Z.

Clé WEP (64 bits)

entrez 10 caractères hexadécimaux (0-9, A-F).

Expression de passe (128 bits)

Entrez 13 caractères alphanumériques, 0-9, a-z ou A-Z.

Clé WEP (128 bits)

entrez 26 caractères hexadécimaux (0-9, A-F).
  1. Index de clé : changez d'index de clé pour définir jusqu'à quatre mots de passe.
  2. Cliquez sur OK pour revenir à la Liste des profils.

Pour ajouter plusieurs mots de passe :

  1. Sélectionnez le numéro de l'index de clé : 1, 2, 3, ou 4.
  2. Entrez le mot de passe de sécurité sans fil.
  3. Sélectionnez un autre numéro d'index de clé.
  4. Entrez un autre mot de passe de sécurité sans fil.

Configuration d'un client avec les paramètres de sécurité WPA* - Personnel (TKIP) ou WPA2* - Personnel (TKIP)

Le mode WPA* Personnel nécessite la configuration manuelle d'une clé communiquée à l'avance (PSK) sur le pont d'accès et les clients. La clé communiquée à l'avance permet d'authentifier les utilisateurs à l'aide d'un mot de passe ou d'un code d'identification, sur la station cliente comme sur le point d'accès. Un serveur d'authentification est nécessaire. Le mode WPA Personnel est destiné aux réseaux domestiques et de petites entreprises.

La sécurité WPA2* est la sécurité WPA de deuxième génération, fournissant aux utilisateurs de réseaux sans fil personnels ou d'entreprise un niveau d'assurance élevé que seuls les utilisateurs autorisés peuvent accéder à leurs réseaux sans fil. WPA2 fournit un mécanisme de chiffrement plus robuste via la norme AEX (Advanced Encryption Standard), qui constitue une exigence de certains utilisateurs d'entreprise et de l'administration.

REMARQUE : pour atteindre des débits supérieurs à 54 Mbit/s sur des connexions 802.11n, la sécurité WPA2-AES doit être sélectionnée. Il est possible de ne sélectionner aucune sécurité (Aucun) afin de permettre l'installation réseau et le dépannage.

Pour configurer un profil avec une authentification réseau WPA - Personnel et un chiffrement de données TKIP, procédez comme suit :

  1. dans la fenêtre principale de Intel(R) PROSet/Wireless, double-cliquez sur un réseau d'infrastructure dans la liste des réseaux sans fil ou sélectionnez le réseau et cliquez sur Connexion.
  2. Cliquez sur Profils pour accéder à la liste des profils.
  3. Cliquez sur Propriétés pour ouvrir les Paramètres généraux du profil sans fil. Le nom du profil et du réseau sans fil (SSID) s'affiche. Réseau (Infrastructure) doit être sélectionné comme mode opérationnel.
  4. Cliquez sur Suivant pour ouvrir les Paramètres de sécurité.
  5. Sélectionnez Sécurité personnelle.
  6. Paramètres de sécurité : sélectionnez WPA - Personnel (TKIP) pour la sécurité d'un réseau de petite entreprise ou domestique. Un mot de passe, appelé « clé communiquée à l'avance » ou PSK (Pre-Shared Key), est utilisé. Plus le mot de passe est long, plus la sécurité du réseau sans fil est renforcée.

Si votre point d'accès sans fil ou votre routeur prend en charge WPA2 - Personnel, vous devriez l'activer sur le point d'accès et entrer un mot de passe long et sûr. Plus le mot de passe est long, plus la sécurité du réseau sans fil est renforcée. Le mot de passe entré sur le point d'accès doit être utilisé sur l'ordinateur et sur tous les autres périphériques sans fil accédant au réseau sans fil.

REMARQUE : WPA - Personnel et WPA2 - Personnel ne peuvent pas fonctionner conjointement.

  1. Mot de passe de sécurité sans fil (Clé de chiffrement) : entrez une expression comportant de huit à 63 caractères. Vérifiez que la clé réseau correspond au mot de passe du point d'accès sans fil.
  2. Cliquez sur OK pour revenir à la Liste des profils.

Configuration d'un client avec les paramètres de sécurité WPA* - Personnel (AES-CCMP) ou WPA2* - Personnel (AES-CCMP)

L'accès protégé Wi-Fi (WPA*) est une amélioration de la sécurité renforçant considérablement le niveau de protection des données et le contrôle de l'accès à un réseau sans fil. WPA applique l'authentification 802.1X et l'échange de clé, et fonctionne uniquement avec des clés de chiffrement dynamiques. Pour un utilisateur domestique ou une petite entreprise, WPA - Personnel utilise le protocole AES-CCMP (Advanced Encryption Standard - Counter CBC-MAC Protocol) ou le protocole TKIP (Temporal Key Integrity Protocol).

REMARQUE : pour que la carte Intel(R) Wireless WiFi Link 4965AGN atteigne des débits supérieurs à 54 Mbit/s sur des connexions 802.11n, la sécurité WPA2-AES doit être sélectionnée. Il est possible de ne sélectionner aucune sécurité (Aucun) afin de permettre l'installation réseau et le dépannage.

Pour créer un profil avec une authentification réseau WPA2* - Personnel et un chiffrement de données AES-CCMP, procédez comme suit :

  1. dans la fenêtre principale de Intel(R) PROSet/Wireless, double-cliquez sur un réseau d'infrastructure dans la liste des réseaux sans fil ou sélectionnez le réseau et cliquez sur Connexion.
  2. S'ils sont transmis, le nom de profil et le nom du réseau sans fil (SSID) doivent s'afficher sur l'écran Paramètres généraux. Réseau (Infrastructure) doit être sélectionné comme mode opérationnel. Cliquez sur Suivant pour ouvrir les Paramètres de sécurité.
  3. Sélectionnez Sécurité personnelle.
  4. Paramètres de sécurité : sélectionnez WPA2- Personnel (AES-CCMP) pour fournir ce niveau de sécurité sur un réseau de petite entreprise ou domestique. Ce mode utilise un mot de passe, également appelé « clé communiquée à l'avance » (PSK). Plus le mot de passe est long, plus la sécurité du réseau sans fil est renforcée.

AES-CCMP (Advanced Encryption Standard - Counter CBC-MAC Protocol) est une nouvelle méthode de protection de la confidentialité des transmissions sans fil spécifiée dans la norme IEEE 802.11i. AES-CCMP offre une méthode de chiffrement renforcée par rapport à TKIP. Sélectionnez AES-CCMP comme méthode de chiffrement des données lorsqu'une protection renforcée des données est essentielle.

Si votre point d'accès sans fil ou votre routeur prend en charge WPA2 - Personnel, vous devriez l'activer sur le point d'accès et entrer un mot de passe long et sûr. Le mot de passe entré sur le point d'accès doit être utilisé sur l'ordinateur et sur tous les autres périphériques sans fil accédant au réseau sans fil.

REMARQUE : WPA - Personnel et WPA2 - Personnel ne peuvent pas fonctionner conjointement.

Il est possible que certaines solutions de sécurité ne soient pas prises en charge par le système d'exploitation de votre ordinateur. Des logiciels et du matériel supplémentaires, ainsi que la prise en charge d'une infrastructure de réseau local sans fil, peuvent être nécessaires. Contactez le fabricant de votre ordinateur pour davantage de détails.

  1. Mot de passe : Mot de passe de sécurité sans fil (Clé de chiffrement) : Entrez une expression (composée de huit à 63 caractères). Vérifiez que la clé réseau utilisée correspond à la clé du point d'accès sans fil.
  2. Cliquez sur OK pour revenir à la Liste des profils.

Sécurité d'entreprise

Depuis la fenêtre Paramètres de sécurité, vous pouvez entrer les paramètres de sécurité requis pour le réseau sans fil sélectionné.

Utilisez la sécurité d'entreprise si votre environnement réseau nécessite une authentification 802.1X.

Paramètres de sécurité d'entreprise

Description des paramètres de sécurité d'entreprise

Nom Paramètre
Sécurité d'entreprise

Sélectionnez cette option pour ouvrir les Paramètres de sécurité d'entreprise.
Authentification réseau

Sélectionnez une des méthodes d'authentification suivantes :
Chiffrement des données

Cliquez sur cette option pour ouvrir les types de chiffrement suivants :
Activer 802.1X (Type d'authentification) Cliquez sur cette option pour ouvrir les types d'authentification 802.1X suivants :
Options Cisco Cliquez sur cette option pour afficher les Extensions compatibles Cisco.

REMARQUE : les extensions compatibles Cisco sont activées automatiquement pour les profils CKIP et LEAP.
Bouton Avancé Sélectionnez ce bouton pour accéder aux Paramètres avancés permettant de configurer les options suivantes :
Références de l'utilisateur

Un profil configuré pour l'authentification TTLS, PEAP ou EAP-FAST nécessite une des méthodes d'authentification à l'ouverture de session suivantes :

Utiliser l'ouverture de session Windows : permet aux informations d'authentification 802.1X de correspondre au nom d'utilisateur et au mot de passe Windows. Avant la connexion, vous êtes invité à saisir vos informations d'authentification Windows.

REMARQUE : pour les profils LEAP, cette option est répertoriée comme Utiliser le nom d'utilisateur et le mot de passe Windows.

Demander à chaque connexion : Vous êtes invité à entrer votre nom d'utilisateur et votre mot de passe chaque fois que vous vous connectez au réseau sans fil.

REMARQUE : pour les profils LEAP, cette option est répertoriée comme Demander le nom d'utilisateur et le mot de passe.

Utiliser : Utilisez vos informations d'authentification enregistrées pour vous connecter au réseau.

  • Nom d'utilisateur : Le nom d'utilisateur doit correspondre au nom utilisateur défini par l'administrateur système sur le serveur d'authentification avant l'authentification client. Le nom d'utilisateur est sensible à la casse. Ce nom spécifie l'identité fournie à l'authentificateur par le protocole d'authentification contrôlant le tunnel TLS. L'identité de cet utilisateur est transmise de façon sécurisée au serveur uniquement après qu'un canal chiffré a été établi.
  • Domaine : Nom du domaine sur le serveur d'authentification. Le nom du serveur identifie un domaine ou l'un de ses sous-domaines (par exemple, zeelans.com où le serveur est blueberry.zeelans.com).
  • Mot de passe : spécifie le mot de passe de l'utilisateur. Les caractères du mot de passe sont affichés sous forme d'astérisques. Ce mot de passe doit correspondre à celui défini sur le serveur d'authentification.
  • Confirmer le mot de passe : Entrez le mot de passe utilisateur.

REMARQUE : contactez votre administrateur pour obtenir le nom du domaine.

REMARQUE : pour les profils LEAP, cette option est répertoriée comme Utiliser le nom d'utilisateur et le mot de passe suivants.
Options du serveur

Sélectionnez une des méthodes d'obtention des informations d'authentification suivantes :

Valider le certificat serveur : Sélectionnez cette option pour vérifier le certificat du serveur.

Émetteur du certificat : le certificat serveur reçu lors de l'échange de messages TLS doit être émis par cet organisme de certification. Les organismes de certification intermédiaires et organismes de certification des sources sûrs dont les certificats sont stockés dans le magasin du système sont disponibles. Si Toute autorité de certification approuvée est sélectionné, toute autorité de certification de la liste est acceptable. Cliquez sur Toute autorité de certification approuvée comme valeur par défaut ou sélectionnez un émetteur de certificat dans la liste.

Spécifier le nom du serveur ou du certificat : entrez le nom du serveur.

Le nom du serveur ou du domaine auquel appartient le serveur. Cela dépend de l'option sélectionnée parmi les options ci-dessous.

  • Le nom du serveur doit correspondre exactement à l'entrée spécifiée : lorsque cette option est sélectionnée, le nom de serveur doit correspondre exactement au nom de serveur se trouvant sur le certificat. Le nom du serveur doit comprendre le nom de domaine complet (par ex., Nomduserveur.Nom du domaine).
  • Le nom de domaine doit se terminer par l'entrée spécifiée : lorsque cette option est sélectionnée, le nom du serveur identifie un domaine et le certificat doit posséder un nom de serveur appartenant à ce domaine ou à un de ses sous-domaines (par ex., zeelans.com, où le serveur est myrtille.zeelans.com).

REMARQUE : ces paramètres doivent être obtenus de l'administrateur.
Options de certificat Pour obtenir un certificat pour l'authentification TLS, sélectionnez une des options suivantes :

Utiliser ma carte à puce : Sélectionnez cette option si le certificat réside sur une carte à puce.

Utiliser le certificat émis pour cet ordinateur : Sélectionnez un certificat résidant dans le magasin de l'ordinateur.

Utiliser un certificat utilisateur sur cet ordinateur : Cliquez sur Sélectionner pour choisir un certificat résidant sur cet ordinateur.

REMARQUE : Intel(R) PROSet/Wireless prend en charge les certificats machine. Cependant, ils ne sont pas affichés dans les listes de certificats.

Remarques sur les certificats : l'identité spécifiée doit correspondre à l'identité Émis pour du certificat et doit être enregistrée sur le serveur d'authentification (par ex., le serveur RADIUS) utilisé par l'authentificateur. Le certificat doit être valide en ce qui concerne le serveur d'authentification. Cette exigence dépend du serveur d'authentification et signifie habituellement que le serveur d'authentification doit connaître le récepteur du certificat en tant qu'organisme de certification. Utilisez le même nom d'utilisateur que celui utilisé pour de l'ouverture de session lors de l'installation du certificat.
Précédent Permet d'afficher la page précédente de l'Assistant Création de profil sans fil.
Suivant Permet d'afficher la page suivante de l'Assistant Création de profil sans fil. Si des informations de sécurité supplémentaires sont requises, l'étape suivante de la page Sécurité s'affiche.
OK Ferme l'Assistant Création d'un profil sans fil et enregistre le profil.
Annuler Ferme l'Assistant Création d'un profil sans fil et annule toutes les modifications.
Aide? Affiche l'aide en ligne de la page active.

Configuration de profils pour des réseaux Infrastructure

Un réseau d'infrastructure est constitué de un ou plusieurs points d'accès et de un ou plusieurs ordinateurs équipés de cartes sans fil. Chaque point d'accès doit être connecté sans fil à un réseau sans fil.

Configuration d'un client avec l'authentification ouverte ou l'authentification réseau partagée

Avec l'authentification par clé communiquée, chaque station sans fil doit avoir reçu une clé communiquée secrète par un canal sécurisé indépendant du canal de communication du réseau sans fil 802.11. L'authentification partagée nécessite que le client configure une clé WEP ou CKIP statique. L'accès est accordé au client uniquement s'il peut répondre correctement à une stimulation d'authentification. Le chiffrement CKIP est plus robuste que le chiffrement WEP, mais certains systèmes d'exploitation et points d'accès ne le prennent pas en charge.

REMARQUE : bien que l'authentification par clés communiquées semble offrir un plus haut niveau de sécurité, elle possède une faiblesse connue. La transmission en texte clair de la chaîne de stimulation au client. Une fois qu'un envahisseur trouve la chaîne de stimulation, la clé d'authentification communiquée peut facilement être déduite. En conséquence, l'authentification ouverte est en fait plus sûre. Pour créer un profil avec authentification partagée.

  1. Cliquez sur Profils dans la fenêtre principale d'Intel(R) PROSet/Wireless. Ou, si vous êtes administrateur, ouvrez l'Outil Administration système.
  2. Dans la page Profil, cliquez sur Ajouter pour ouvrir les Paramètres généraux de création d'un profil sans fil.
  3. Nom du profil : entrez un nom de profil descriptif.
  4. Nom du réseau sans fil (SSID) : entrez l'identificateur réseau.
  5. Mode opérationnel : cliquez sur Réseau (Infrastructure).
  6. Type de profil d'administration : sélectionnez Permanent ou Connexion avant ouverture de session/commun. (Cette étape est possible uniquement si vous utilisez l'Outil d'administration.)
  7. Cliquez sur Suivant pour ouvrir les Paramètres de sécurité.
  8. Sélectionnez Sécurité d'entreprise.
  9. Authentification réseau : sélectionnez Partagée. L'authentification Partagée est réalisée à l'aide d'une clé WEP préconfigurée.
  10. Chiffrement des données : sélectionnez Aucun, WEP (64 bits ou 128 bits) ou CKIP ( bits ou  bits).
  11. Activer 802.1X : désactivé.
  12. Niveau de chiffrement: 64 ou 128 bits : en cas de commutation entre le chiffrement 64 bits et le chiffrement 128 bits, les paramètres précédents sont effacés et une nouvelle clé doit être saisie.
  13. Mot de passe de sécurité sans fil (Clé de chiffrement) : entrez le mot de passe du réseau sans fil (clé de chiffrement WEP). Ce mot de passe est identique au mot de passe du point d'accès ou du routeur sans fil. Contactez votre administrateur pour obtenir ce mot de passe.
Nom Description
Mot de passe

Entrez le mot de passe de sécurité sans fil (expression de passe) ou la clé de chiffrement (clé WEP).
Expression de passe (64 bits)

entrez cinq (5) caractères alphanumériques, 0-9, a-z ou A-Z.
Clé WEP (64 bits)

entrez 10 caractères hexadécimaux (0-9, A-F).
Expression de passe (128 bits)

Entrez 13 caractères alphanumériques, 0-9, a-z ou A-Z.
Clé WEP (128 bits)

entrez 26 caractères hexadécimaux (0-9, A-F).
  1. Index de clé : Sélectionnez 1,2, 3 ou 4. Changez d'index de clé pour définir jusqu'à quatre mots de passe.
  2. Cliquez sur OK.

Configuration d'un client avec l'authentification réseau WPA* - Entreprise ou WPA2* - Entreprise

Le mode WPA2 - Entreprise requiert un serveur d'authentification.

REMARQUE : WPA- Entreprise et WPA2 - Entreprise peuvent fonctionner conjointement.

Pour ajouter un profil utilisant l'authentification WPA - Entreprise ou WPA2 - Entreprise, procédez comme suit :

  1. Obtenez un nom utilisateur et un mot de passe de votre administrateur sur le serveur RADIUS.
  2. Certains types d'authentification nécessitent l'obtention et l'installation d'un certificat client. Reportez-vous à la section Configuration d'un client avec l'authentification réseau TLS ou contactez votre administrateur.
  3. Cliquez sur Profils dans la fenêtre principale d'Intel(R) PROSet/Wireless. Ou, si vous êtes administrateur, ouvrez l'Outil Administration système.
  4. Dans la page Profil, cliquez sur Ajouter pour ouvrir les Paramètres généraux de création d'un profil sans fil.
  5. Nom du profil : entrez un nom de profil descriptif.
  6. Nom du réseau sans fil (SSID) : entrez l'identificateur réseau.
  7. Mode opérationnel : cliquez sur Réseau (Infrastructure).
  8. Type de profil d'administration : sélectionnez Permanent ou Connexion avant ouverture de session/commun. (Cette étape est possible uniquement si vous utilisez l'Outil d'administration.)
  9. Cliquez sur Suivant.
  10. Sélectionnez Sécurité d'entreprise.
  11. Authentification réseau : sélectionnez WPA - Entreprise ou WPA2 - Entreprise.
  12. Chiffrement des données : Sélectionnez une des options suivantes :
  13. Activer 802.1X : sélectionné.
  14. Type d'authentification : Sélectionnez une des options suivantes : EAP-SIM, LEAP, TLS, TTLS, PEAP, EAP-FAST.

Configuration d'un client avec l'authentification réseau EAP-SIM

EAP-SIM utilise une clé WEP dynamique de session, dérivée de la carte client et du serveur RADIUS, pour chiffrer les données. EAP-SIM requiert la saisie d'un code de vérification utilisateur ou PIN pour communiquer avec la carte SIM (Subscriber Identity Module, ou module d'identification des abonnés). Une carte SIM est une carte à puce spéciale utilisée par les réseaux cellulaires numériques basés sur la technologie GSM (Système global de communications mobiles). Pour ajouter un profil avec authentification EAP-SIM :

  1. Cliquez sur Profils dans la fenêtre principale d'Intel(R) PROSet/Wireless. Ou, si vous êtes administrateur, ouvrez l'Outil Administration système.
  2. Dans la page Profil, cliquez sur Ajouter pour ouvrir les Paramètres généraux de création d'un profil sans fil.
  3. Nom du profil : entrez un nom de profil.
  4. Nom du réseau sans fil (SSID) : entrez l'identificateur réseau.
  5. Mode opérationnel : cliquez sur Réseau (Infrastructure).
  6. Type de profil d'administration : sélectionnez Connexion avant ouverture de session/commun. (Cette étape est possible uniquement si vous utilisez l'Outil d'administration. EAP-SIM ne peut pas être utilisé pour des profils permanents.)
  7. Cliquez sur Suivant pour ouvrir les Paramètres de sécurité.
  8. Sélectionnez Sécurité d'entreprise.
  9. Authentification réseau : sélectionnez Ouverte (recommandé).
  10. Chiffrement des données : sélectionnez WEP.
  11. Cliquez sur Activer 802.1X.
  12. Type d'authentification : sélectionnez EAP-SIM.

L'authentification EAP-SIM peut être utilisée avec :

Utilisateur EAP-SIM (optionnel)

  1. Spécifier le nom d'utilisateur (identité) : cliquez sur cette option pour spécifier le nom utilisateur.
  2. Cliquez sur OK.

Configuration d'un client avec l'authentification réseau TLS

Ces paramètres permettent de définir le protocole et les données d'identification utilisés pour authentifier un utilisateur. L'authentification TLS (Transport Layer Security) est une méthode d'authentification bidirectionnelle utilisant exclusivement des certificats numériques pour vérifier l'identité d'un client et d'un serveur.

Pour ajouter un profil avec authentification TLS :

  1. Cliquez sur Profils dans la fenêtre principale d'Intel(R) PROSet/Wireless. Ou, si vous êtes administrateur, ouvrez l'Outil Administration système.
  2. Dans la page Profil, cliquez sur Ajouter pour ouvrir les Paramètres généraux de création d'un profil sans fil.
  3. Nom du profil : entrez un nom de profil descriptif.
  4. Nom du réseau sans fil (SSID) : entrez l'identificateur du réseau.
  5. Mode opérationnel : cliquez sur Réseau (Infrastructure).
  6. Type de profil d'administration : sélectionnez Permanent ou Connexion avant ouverture de session/commun. (Cette étape est possible uniquement si vous utilisez l'Outil d'administration.)
  7. Cliquez sur Suivant pour ouvrir les Paramètres de sécurité.
  8. Sélectionnez Sécurité d'entreprise.
  9. Authentification réseau : sélectionnez WPA - Entreprise ou WPA2 - Entreprise.
  10. Chiffrement des données : sélectionnez AES-CCMP (recommandé).
  11. Activer 802.1X : sélectionné.
  12. Type d'authentification : sélectionnez TLS pour l'utiliser avec cette connexion.

Utilisateur TLS

Étape 1 sur 2 : Utilisateur TLS

  1. Pour obtenir et installer un certificat client, reportez-vous à la section Configuration d'un client avec l'authentification réseau TLS ou contactez votre administrateur système.
  2. Sélectionnez une des options suivantes pour obtenir un certificat : Utiliser ma carte à puce, Utiliser le certificat émis pour cet ordinateur, ou Utiliser un certificat utilisateur sur cet ordinateur.
  3. Cliquez sur Suivant pour ouvrir les Paramètres du serveur TLS.

Serveur TLS

Étape 2 sur 2 : Serveur TLS

  1. Sélectionnez une des méthodes d'obtention des informations d'authentification suivantes : Valider le certificat serveur ou Spécifier le nom du serveur ou du certificat.
  2. Cliquez sur OK. Le profil est ajouté à la Liste des profils.
  3. Cliquez sur le nouveau profil situé au bas de la Liste des profils. Utilisez les flèches haut et bas pour modifier la priorité du nouveau profil.
  4. Cliquez sur le bouton Connexion pour vous connecter au réseau sans fil sélectionné.
  5. Cliquez sur OK pour fermer Intel(R) PROSet/Wireless.

Configuration d'un client avec l'authentification réseau TTLS

Authentification TTLS : Ces paramètres permettent de définir le protocole et les données d'identification utilisés pour authentifier un utilisateur. Le client utilise EAP-TLS pour valider le serveur et créer un canal à chiffrement TLS entre le client et le serveur. Le client peut utiliser d'autres protocoles d'authentification, habituellement des protocoles à mot de passe. Les paquets de stimulations et de réponses sont envoyés via un canal à chiffrement TLS non exposé. L'exemple suivant décrit comment utiliser WPA avec le chiffrement AES-CCMP et l'authentification TTLS.

Pour configurer un client avec l'authentification réseau TTLS :

  1. Cliquez sur Profils dans la fenêtre principale d'Intel(R) PROSet/Wireless. Ou, si vous êtes administrateur, ouvrez l'Outil Administration système.
  2. Dans la page Profil, cliquez sur Ajouter pour ouvrir les Paramètres généraux de création d'un profil sans fil.
  3. Nom du profil : entrez un nom de profil descriptif.
  4. Nom du réseau sans fil (SSID) : entrez l'identificateur réseau.
  5. Mode opérationnel : Réseau (Infrastructure) est sélectionné par défaut.
  6. Type de profil d'administration : sélectionnez Permanent ou Connexion avant ouverture de session/commun. (Cette étape est possible uniquement si vous utilisez l'Outil d'administration.)
  7. Cliquez sur Suivant pour ouvrir les Paramètres de sécurité.
  8. Sélectionnez Sécurité d'entreprise.
  9. Authentification réseau : sélectionnez WPA - Entreprise ou WPA2 - Entreprise (recommandé).
  10. Chiffrement des données : Sélectionnez une des options suivantes :
  11. Activer 802.1X : sélectionné par défaut.
  12. Type d'authentification : sélectionnez TTLS pour l'utiliser avec cette connexion.

Étape 1 sur 2 : Utilisateur TTLS

  1. Protocole d'authentification : ce paramètre spécifie le protocole d'authentification contrôlant le tunnel TTLS. Les protocoles sont les suivants : PAP (par défaut), CHAP, MS-CHAP et MS-CHAP-V2. Reportez-vous à la section Présentation générale de la sécurité pour davantage d'informations.
  2. Références de l'utilisateur : avec les protocoles PAP, CHAP, MS-CHAP et MS-CHAP-V2, sélectionnez une des méthodes d'authentification suivantes : Utiliser l'ouverture de session Windows, Demander à chaque connexion ou Utiliser.
  3. Identité d'itinérance : Ce champ peut contenir une identité d'itinérance ou vous pouvez utiliser %domain%\%user_name% comme format par défaut pour entrer une identité d'itinérance.

Si vous utilisez un serveur Microsoft IAS RADIUS 802.1X comme serveur d'authentification, le serveur authentifie le périphérique en utilisant l'identité d'itinérance du logiciel Intel(R) PROSet/Wireless et ignore le nom utilisateur du protocole d'authentification MS-CHAP-V2. Le serveur Microsoft IAS RADIUS accepte uniquement un nom utilisateur valide (utilisateur dotNet) comme identité d'itinérance. Pour tous les autres serveurs d'authentification, l'identité d'itinérance est optionnelle. En conséquence, nous vous recommandons d'utiliser le domaine voulu (par exemple, anonyme@mondomaine) comme identité d'itinérance plutôt que l'identifiant réel.

  1. Cliquez sur Suivant pour accéder aux paramètres du serveur TTLS.

Étape 2 sur 2 : Serveur TTLS

  1. Sélectionnez une des méthodes d'obtention des informations d'authentification suivantes : Valider le certificat serveur ou Spécifier le nom du serveur ou du certificat.
  2. Cliquez sur OK pour enregistrer le paramètre et fermer la page.

Configuration d'un client avec l'authentification réseau PEAP

Authentification PEAP : Les paramètres PEAP sont nécessaires pour que le client puisse être authentifié par le serveur d'authentification. Le client utilise EAP-TLS pour valider le serveur et créer un canal à chiffrement TLS entre le client et le serveur. Le client peut utiliser un autre mécanisme EAP (par exemple, MS-CHAP [Microsoft Challenge Authentication Protocol] version 2) sur ce canal chiffré pour activer la validation par le serveur. Les paquets de stimulations et de réponses sont envoyés via un canal à chiffrement TLS non exposé. L'exemple suivant décrit comment utiliser WPA avec le chiffrement AES-CCMP ou TKIP et l'authentification PEAP.

Pour configurer un client avec l'authentification PEAP :

Obtenez et installez un certificat client. Reportez-vous à la section Configuration d'un client avec l'authentification réseau TLS ou contactez votre administrateur.

  1. Cliquez sur Profils dans la fenêtre principale d'Intel(R) PROSet/Wireless. Ou, si vous êtes administrateur, ouvrez l'Outil Administration système.
  2. Dans la page Profil, cliquez sur Ajouter pour ouvrir les Paramètres généraux de création d'un profil sans fil.
  3. Nom du profil : entrez un nom de profil descriptif.
  4. Nom du réseau sans fil (SSID) : entrez l'identificateur réseau.
  5. Mode opérationnel : cliquez sur Réseau (Infrastructure).
  6. Type de profil d'administration : sélectionnez Permanent ou Connexion avant ouverture de session/commun. (Cette étape est possible uniquement si vous utilisez l'Outil d'administration.)
  7. Cliquez sur Suivant pour ouvrir les Paramètres de sécurité.
  8. Sélectionnez Sécurité d'entreprise.
  9. Authentification réseau : sélectionnez WPA - Entreprise ou WPA2 - Entreprise.
  10. Chiffrement des données : Sélectionnez une des options suivantes :
  11. Activer 802.1X : sélectionné.
  12. Type d'authentification : sélectionnez PEAP pour l'utiliser avec cette connexion.

Étape 1 sur 2 : Utilisateur PEAP

PEAP utilise TLS (Transport Layer Security) pour la prise en charge des types d'authentification non chiffrée (par exemple, EAP-GTC [carte à jetons générique] et Mot de passe unique).

  1. Protocole d'authentification : sélectionnez GTC, MS-CHAP-V2 (par défaut), ou TLS. Reportez-vous à la section Protocoles d'authentification.
  2. Références de l'utilisateur : Sélectionnez une des options suivantes : Utiliser l'ouverture de session Windows, Demander à chaque connexion ou Utiliser.
  3. Identité d'itinérance : Ce champ peut contenir une identité d'itinérance ou vous pouvez utiliser %domain%\%user_name% comme format par défaut pour entrer une identité d'itinérance.

Si vous utilisez un serveur Microsoft IAS RADIUS 802.1X comme serveur d'authentification, le serveur authentifie le périphérique en utilisant l'identité d'itinérance du logiciel Intel(R) PROSet/Wireless et ignore le nom utilisateur du protocole d'authentification MS-CHAP-V2. Le serveur Microsoft IAS RADIUS accepte uniquement un nom utilisateur valide (utilisateur dotNet) comme identité d'itinérance. Pour tous les autres serveurs d'authentification, l'identité d'itinérance est optionnelle. En conséquence, nous vous recommandons d'utiliser le domaine voulu (par exemple, anonyme@mondomaine) comme identité d'itinérance plutôt que l'identifiant réel.

Configuration de l'identité d'itinérance pour la prise en charge d'utilisateurs multiples

Si vous utilisez un profil de Connexion avant ouverture de session/commun dont l'identité d'itinérance doit être basée sur les informations d'identification Windows, le créateur du profil peut ajouter une identité d'itinérance sous la forme %nom utilisateur% et %domaine%. L'identité d'itinérance est alors analysée et les informations de connexion appropriées sont remplacées par les mots clés. Cette méthode permet de configurer l'identité d'itinérance avec une souplesse optimale, tout en permettant à des utilisateurs multiples de partager le profil.

Reportez-vous au guide de l'utilisateur du serveur d'authentification pour obtenir des instructions sur le formatage de l'identité d'itinérance. Les formats acceptés sont les suivants :

Si le champ Identité d'itinérance est effacé, %domain%\%user_name% est utilisé par défaut.

Remarques concernant les informations d'authentification : le nom d'utilisateur et le domaine doivent correspondre à ceux définis par l'administrateur système sur le serveur d'authentification avant l'authentification client. Le nom d'utilisateur est sensible à la casse. Ce nom spécifie l'identité fournie à l'authentificateur par le protocole d'authentification contrôlant le tunnel TLS. L'identité de cet utilisateur est transmise de façon sécurisée au serveur uniquement après qu'un canal chiffré a été vérifié et établi.

Protocoles d'authentification : Ce paramètre spécifie les protocoles d'authentification pouvant fonctionner sur le tunnel TTLS. Vous trouverez ci-dessous des instructions sur la configuration d'un profil utilisant l'authentification PEAP avec

les protocoles d'authentification GTC, MS-CHAP-V2 (Default), ou TLS.

Carte à jetons générique (GTC)

Utilisateur PEAP

Pour configurer un mot de passe unique :

  1. Protocole d'authentification : sélectionnez GTC (Carte à jetons générique).
  2. Références de l'utilisateur : sélectionnez Demander à chaque connexion.
  3. Lors de la connexion, demander : Sélectionnez une des options suivantes :
Nom Description
Mot de passe statique Entrez les informations d'authentification de l'utilisateur lors de la connexion.
Mot de passe unique : Obtenez le mot de passe d'un périphérique à jetons matériel.
Code PIN (clé logicielle) Obtenez le mot de passe d'un programme génération de clés logicielles.
  1. Cliquez sur OK.

REMARQUE : l'option Demander à chaque connexion n'est pas disponible si un administrateur a effacé le paramètre de mise en mémoire cache des informations d'authentification dans l'outil Administration système. Reportez-vous à la section Paramètres d'administration pour davantage d'informations.

Mot de passe unique

MS-CHAP-V2

Ce paramètre spécifie le protocole d'authentification contrôlant le tunnel PEAP.

  1. Références de l'utilisateur : Sélectionnez une des options suivantes : Utiliser l'ouverture de session Windows, Demander à chaque connexion ou Utiliser.
  2. Cliquez sur Suivant pour ouvrir les Paramètres du serveur PEAP.

TLS

L'authentification TLS (Transport Layer Security) est une méthode d'authentification bidirectionnelle utilisant exclusivement des certificats numériques pour vérifier l'identité d'un client et d'un serveur.

  1. Pour obtenir et installer un certificat client, reportez-vous à la section Configuration d'un client avec l'authentification réseau TLS ou contactez votre administrateur système.
  2. Sélectionnez une des options suivantes pour obtenir un certificat : Utiliser ma carte à puce, Utiliser le certificat émis pour cet ordinateur ou Utiliser un certificat utilisateur sur cet ordinateur.
  3. Cliquez sur Suivant pour ouvrir les Paramètres du serveur PEAP.

Étape 2 sur 2 : Serveur PEAP

Serveur PEAP
  1. Sélectionnez une des méthodes d'obtention des informations d'authentification suivantes : Valider le certificat serveur ou Spécifier le nom du serveur ou du certificat.
  2. Cliquez sur OK. Le profil est ajouté à la Liste des profils.
  3. Cliquez sur le nouveau profil situé au bas de la Liste des profils. Utilisez les flèches haut et bas pour modifier la priorité du nouveau profil.
  4. Cliquez sur le bouton Connexion pour vous connecter au réseau sans fil sélectionné.

Si vous n'avez pas sélectionné l'option Utiliser l'ouverture de session Windows de la page Paramètres de sécurité et n'avez pas non plus configuré les informations d'authentification utilisateur, aucune information d'authentification n'est enregistrée pour ce profil. Entrez vos informations d'authentification pour vous authentifier sur le réseau.

  1. Cliquez sur OK pour fermer Intel(R) PROSet/Wireless.

Inscription automatique du certificat PEAP-TLS

Dans les Paramètres d'application, sélectionnez Activer les notifications en cas de rejet des certificats TLS si vous souhaitez qu'un avertissement s'affiche lorsqu'un certificat PEAP-TLS est rejeté. Lorsque la date d'expiration d'un champ d'un certificat n'est pas valide, un message s'affiche vous demandant d'effectuer l'une des actions suivantes : Un problème d'authentification potentiel a été détecté pour le profil <nom du profil>. La date d'expiration du certificat associé n'est peut-être pas valide. Sélectionnez l'une des options suivantes :

Commande Description
Continuer avec les paramètres actuels. Continuer avec le certificat actuel.
Mettre à jour le certificat manuellement. La page Sélectionner un certificat s'ouvre vous permettant de choisir un autre certificat.
Mettre à jour le certificat automatiquement sur base des certificats du magasin local. Cette option n'est activée que lorsque le magasin local contient un ou plusieurs certificats dont les champs « Délivré à » et « Émis par » correspondent à ceux du certificat en cours, et dont la date d'expiration est valide. Si vous choisissez cette option, l'application sélectionne le premier certificat valide.
Se déconnecter pour obtenir le certificat lors du processus de connexion (cette opération ne met pas le profil à jour et ne s'applique qu'aux certificats configurés pour l'inscription automatique). Déconnecte l'utilisateur, qui doit obtenir un certificat approprié lors du processus d'ouverture de session suivant. Le profil doit être mis à jour pour sélectionner le nouveau certificat.
Inscription automatique Le message suivant s'affiche : Veuillez patienter pendant que le système essaie d'obtenir le certificat automatiquement. Cliquez sur Annuler pour annuler la tentative d'obtention du certificat.
Ne plus afficher ce message. L'utilisateur peut ignorer cette étape lors des sessions ultérieures. La sélection est enregistrée pour les sessions futures.

Configuration d'un client avec l'authentification réseau LEAP

Cisco LEAP (Light Extensible Authentication Protocol) est un type d'authentification 802.1X prenant en charge une authentification mutuelle robuste entre le client et un serveur RADIUS. Les paramètres des profils LEAP incluent les protocoles LEAP et CKIP avec détection des points d'accès non autorisés. Pour configurer un client avec l'authentification LEAP :

  1. Cliquez sur Profils dans la fenêtre principale d'Intel(R) PROSet/Wireless. Ou, si vous êtes administrateur, ouvrez l'Outil Administration système.
  2. Dans la page Profil, cliquez sur Ajouter. Les paramètres généraux de création d'un profil sans fil s'ouvrent.
  3. Nom du profil : entrez un nom de profil descriptif.
  4. Nom du réseau sans fil (SSID) : entrez l'identificateur réseau.
  5. Mode opérationnel : cliquez sur Réseau (Infrastructure).
  6. Type de profil d'administration : sélectionnez Permanent ou Connexion avant ouverture de session/commun. (Cette étape est possible uniquement si vous utilisez l'Outil d'administration.)
  7. Cliquez sur Suivant pour ouvrir les Paramètres de sécurité.
  8. Sélectionnez Sécurité d'entreprise.
  9. Authentification réseau : sélectionnez WPA - Entreprise ou WPA2 - Entreprise.
  10. Chiffrement des données : Sélectionnez une des options suivantes :
  11. Activer 802.1X : sélectionné.
  12. Type d'authentification : sélectionnez LEAP pour l'utiliser avec cette connexion.
  13. Cliquez sur Options Cisco.
  14. Cliquez sur Activer les extensions compatibles Cisco pour activer la sécurité Extensions compatibles Cisco (CCX) (Autoriser l'itinérance rapide (CCKM), Activer la prise en charge de la gestion radioélectrique, Activer le mode Cellules mixtes.).

Extensions compatibles Cisco

  1. Cliquez sur Activer la prise en charge de la gestion radioélectrique. Utilisez la gestion radioélectrique pour détecter les points d'accès non autorisés.
  2. Cliquez sur OK pour retourner aux Paramètres de sécurité.

Utilisateur LEAP

Utilisateur LEAP

  1. Sélectionnez l'une des méthodes d'authentification listées ci-dessous.
    2. Si comme Type de profil d'administration vous sélectionnez Permanent, alors seulement Utiliser le nom d'utilisateur et le mot de passe suivants est disponible. Si vous avez sélectionné Connexion avant ouverture de session/commun, alors les deux méthodes d'authentification sont disponibles.
  2. Cliquez sur OK pour enregistrer le paramètre et fermer la page.

Options des extensions compatibles Cisco

Options Cisco : permet d'activer ou de désactiver la gestion radioélectrique et le mode Cellules mixtes ou Autoriser l'itinérance rapide (CCKM).

REMARQUE : les extensions compatibles Cisco sont activées automatiquement pour les profils CKIP, LEAP et EAP-FAST. Pour neutraliser ce comportement, sélectionnez ou désélectionnez les options correspondantes dans cette page.

Activer les extensions compatibles Cisco : Sélectionnez cette option pour activer les extensions compatibles Cisco pour ce profil de connexion sans fil.

Configuration d'un client avec l'authentification réseau EAP-FAST

Dans la version 3 des extensions compatibles Cisco (CCXv3), Cisco a ajouté la prise en charge de EAP-FAST (Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling) qui utilise des PAC (Identité d'Accès Protégé) pour établir un tunnel authentifié entre un client et un serveur.

La version 4 des extensions compatibles Cisco (CCXv4) améliore les méthodes de mise à disposition pour offrir une sécurité améliorée et fournit des innovations pour la sécurité, la mobilité, la qualité de service et la gestion du réseau.

Extensions compatibles Cisco, version 3 (CCXv3)

Pour configurer un client avec l'authentification EAP-FAST et la version 3 des extensions compatibles Cisco (CCXv3) :

  1. Cliquez sur Profils dans la fenêtre principale d'Intel(R) PROSet/Wireless. Ou, si vous êtes administrateur, ouvrez l'Outil Administration système.
  2. Dans la page Profil, cliquez sur Ajouter pour ouvrir les Paramètres généraux de création d'un profil sans fil.
  3. Nom du réseau sans fil (SSID) : entrez l'identificateur réseau.
  4. Nom du profil : entrez un nom de profil descriptif.
  5. Mode opérationnel : cliquez sur Réseau (Infrastructure).
  6. Type de profil d'administration : sélectionnez Permanent ou Connexion avant ouverture de session/commun. (Cette étape est possible uniquement si vous utilisez l'Outil d'administration.)
  7. Cliquez sur Suivant pour ouvrir les Paramètres de sécurité.
  8. Sélectionnez Sécurité d'entreprise.
  9. Authentification réseau : sélectionnez WPA - Entreprise ou WPA2 - Entreprise.
  10. Chiffrement des données : Sélectionnez une des options suivantes :
  11. Activer 802.1X : sélectionné.
  12. Type d'authentification : Sélectionnez EAP-FAST pour l'utiliser avec cette connexion.

Mise à disposition EAP-FAST

REMARQUE : si le paramètre d'application CCXv4 n'a pas été installé via un module d'administration, seuls les paramètres utilisateur EAP-FAST peuvent être configurés. Reportez-vous à la section Paramètres utilisateur EAP-FAST.

Étape 1 sur 2 : Mise à disposition EAP-FAST

  1. Cliquez sur Désactiver les améliorations EAP-FAST (CCXv4) pour permettre la mise à disposition dans le tunnel TLS d'un serveur non authentifié (Mode de mise à disponibilité Unauthenticated-TLS-Server).
  2. Cliquez sur Sélectionner un serveur pour afficher tous les PAC non authentifiés ayant été déjà mis à disposition et résidant sur cet ordinateur.

REMARQUE : si la clé PAC mise à disposition est valide, Intel(R) PROSet/Wireless n'invite pas l'utilisateur à accepter la clé PAC. Si la clé PAC n'est pas valide, Intel(R) PROSet/Wireless n'est pas en mesure d'effectuer la mise à disposition automatique. Un message d'état s'affiche dans l'Observateur d'événements sans fil, pouvant être examiné par un administrateur sur l'ordinateur de l'utilisateur.

Pour importer un PAC :

PAC

  1. Cliquez sur Suivant pour sélectionner la méthode d'obtention des informations d'authentification ou sur OK pour enregistrer les paramètres EAP-FAST et retourner à la Liste des profils. La clé PAC est utilisée pour ce profil sans fil.

Étape 2 sur 2 : Informations EAP-FAST additionnelles

Pour réaliser l'authentification du client dans le tunnel établi, un client envoie un nom d'utilisateur et un mot de passe pour authentifier et établir la règle d'autorisation du client.

  1. Cliquez sur Références de l'utilisateur pour sélectionner une des méthodes d'obtention des informations d'authentification suivantes. Utiliser l'ouverture de session Windows, Demander à chaque connexion ou Utiliser.
  2. Cliquez sur OK pour enregistrer les paramètres et fermer la page. La vérification du serveur n'est pas requise.

Extensions compatibles Cisco, version 4 (CCXv4)

Pour configurer un client avec l'authentification EAP-FAST et la version 4 des extensions compatibles Cisco (CCXv4) :

  1. Cliquez sur Profils dans la fenêtre principale d'Intel(R) PROSet/Wireless. Ou, si vous êtes administrateur, ouvrez l'Outil Administration système.
  2. Dans la page Profil, cliquez sur Ajouter pour ouvrir les Paramètres généraux de l'Assistant Création d'un profil sans fil.
  3. Nom du réseau sans fil (SSID) : entrez l'identificateur réseau.
  4. Nom du profil : entrez un nom de profil descriptif.
  5. Mode opérationnel : cliquez sur Réseau (Infrastructure).
  6. Type de profil d'administration : sélectionnez Permanent ou Connexion avant ouverture de session/commun. (Cette étape est possible uniquement si vous utilisez l'Outil d'administration.)
  7. Cliquez sur Suivant pour ouvrir les Paramètres de sécurité.
  8. Sélectionnez Sécurité d'entreprise.
  9. Authentification réseau : sélectionnez WPA - Entreprise ou WPA2 - Entreprise.
  10. Chiffrement des données : Sélectionnez une des options suivantes :
  11. Chiffrement des données Sélectionnez AES-CCMP.
  12. Activer 802.1X : sélectionné.
  13. Type d'authentification : Sélectionnez EAP-FAST pour l'utiliser avec cette connexion.

Étape 1 sur 3 : Mise à disposition EAP-FAST

Avec CCXv4, EAP-FAST prend en charge deux modes de mise à disposition :

REMARQUE : le mode Serveur authentifié offre des avantages de sécurité significatifs par rapport au mode Serveur non authentifié, même si EAP-MS-CHAP-v2 est utilisé comme méthode interne. Ce mode protège les échanges EAP-MS-CHAP-V2 contre les attaques potentielles entre le serveur et le client en vérifiant l'authenticité du serveur avant d'échanger MS-CHAP-V2. Par conséquent, il est préférable d'utiliser autant que possible le mode Serveur authentifié. Lorsqu'un certificat ou une clé publique est disponible, un poste EAP-FAST doit utiliser le mode Serveur authentifié pour authentifier le serveur et garantir une sécurité optimale.

Mise à disponibilité des PAC (Identité d'Accès Protégé) :

EAP-FAST utilise une clé PAC afin de protéger les informations d'authentification de l'utilisateur échangées. Tous les authentificateurs EAP-FAST sont identifiés par une identité de certification (A-ID). L'authentificateur local envoie son AID à un client d'authentification, puis le client recherche un AID correspondant dans sa base de données. Si le client ne reconnaît pas l'AID, il demande un nouveau PAC.

REMARQUE : si la clé PAC mise à disposition est valide, Intel(R) PROSet/Wireless n'invite pas l'utilisateur à accepter la clé PAC. Si la clé PAC n'est pas valide, Intel(R) PROSet/Wireless n'est pas en mesure d'effectuer la mise à disposition automatique. Un message d'état s'affiche dans l'Observateur d'événements sans fil, pouvant être examiné par un administrateur sur l'ordinateur de l'utilisateur.

  1. Vérifiez que Désactiver les améliorations EAP-FAST (CCXv4) n'est pas sélectionné. Autoriser la mise à disposition non authentifiée et Autoriser la mise à disposition authentifiée sont sélectionnés par défaut. Lorsqu'un PAC est sélectionné sur le serveur par défaut, vous pouvez désélectionner ces méthodes de mise à disposition.
  2. Serveur par défaut : aucun est sélectionné par défaut. Cliquez sur Sélectionner un serveur pour sélectionner un PAC sur le serveur de PAC autorisé, ou sélectionnez un serveur dans la liste Groupe de serveurs. La page de sélection du serveur EAP-FAST par défaut (autorité PAC) s'ouvre.

REMARQUE : les groupes de serveurs ne sont listés que si vous avez installé un module d'administration contenant des paramètres pour de groupe A-ID (Identificateur d'autorité) EAP-FAST.

La distribution des clés PAC peut également être effectuée manuellement (hors bande). La mise à disposition manuelle permet de créer une clé PAC sur un serveur ACS pour un utilisateur et de l'importer ensuite sur l'ordinateur de l'utilisateur. Un fichier PAC peut être protégé par un mot de passe, que l'utilisateur doit entrer lors de l'importation de la clé PAC.

Pour importer un PAC :

  1. Cliquez sur Importer pour importer une clé PAC du serveur PAC.
  2. Cliquez sur Ouvrir.
  3. Entrez le mot de passe PAC (optionnel).
  4. Cliquez sur OK pour fermer la page. La clé PAC sélectionnée est utilisée pour ce profil sans fil.

EAP-FAST CCXv4 prend en charge la mise à disposition d'autres informations d'identification en plus du PAC mis à disposition en vue d'établir le tunnel. Les types d'informations d'identification pris en charge comprennent un certificat d'un organisme de certification sûr, les informations d'identification d'un ordinateur pour l'authentification d'un ordinateur, et les informations d'identification utilisateur pour ignorer l'authentification utilisateur.

Utiliser un certificat (authentification TLS)

  1. Cliquez sur Utiliser un certificat (authentification TLS).
  2. Cliquez sur Protection d'identité lorsqu'un tunnel est protégé.
  3. Sélectionnez une des options suivantes :
  4. Nom d'utilisateur : entrez le nom d'utilisateur affecté au certificat utilisateur.
  5. Cliquez sur Suivant.

Étape 2 sur 3 : Informations EAP-FAST additionnelles

Si vous avez sélectionné Utiliser un certificat (authentification TLS) et Utiliser un certificat utilisateur sur cet ordinateur, cliquez sur Suivant (aucune identité d'itinérance requise) et passez à l'étape 3 pour configurer les paramètres de certificat du serveur EAP-FAST. Si vous ne devez pas configurer les paramètres du serveur EAP-FAST, cliquez sur OK pour enregistrer vos paramètres et retourner à la page Profils.

Si vous avez choisi d'utiliser une carte à puce, ajoutez l'identité d'itinérance si nécessaire. Cliquez sur OK pour enregistrer les paramètres et revenir à la page Profils.

Si vous n'avez pas sélectionné Utiliser un certificat (authentification TLS), cliquez sur Suivant pour sélectionner un protocole d'authentification. CCXv4 prend en charge des informations d'identification ou des suites de chiffrement TLS additionnelles pour établir le tunnel.

Protocole d'authentification : sélectionnez GTC ou MS-CHAP-V2 (par défaut).

Carte à jetons générique (GTC)

GTC peut être utilisé avec le mode Serveur authentifié. Cela permet la mise à disposition sur bande pour les postes utilisant d'autres bases de données utilisateur, comme LDAP (Lightweight Directory Access Protocol) et la technologie mot de passe unique. Toutefois, le remplacement n'est réalisable que lorsqu'il est utilisé avec les suites de chiffrement TLS assurant l'authentification serveur.

Pour configurer un mot de passe unique :

  1. Protocole d'authentification : sélectionnez GTC (Carte à jetons générique).
  2. Références de l'utilisateur : sélectionnez Demander à chaque connexion.
  3. Lors de la connexion, demander : Sélectionnez une des options suivantes :
Nom Description
Mot de passe statique Entrez les informations d'authentification de l'utilisateur lors de la connexion.
Mot de passe unique : Obtenez le mot de passe d'un périphérique à jetons matériel.
Code PIN (clé logicielle) Obtenez le mot de passe d'un programme génération de clés logicielles.
  1. Cliquez sur OK.
  2. Sélectionnez le profil dans la liste Réseaux sans fil.
  3. Cliquez sur Connexion. À l'invite, entrez le nom d'utilisateur, le domaine et le mot de passe unique.
  4. Cliquez sur OK.

MS-CHAP-V2

Ce paramètre spécifie le protocole d'authentification contrôlant le tunnel PEAP.

  1. Sélectionner les informations d'authentification utilisateur : Utiliser l'ouverture de session Windows, Demander à chaque connexion ou Utiliser.
  2. Identité d'itinérance : Ce champ peut contenir une identité d'itinérance ou vous pouvez utiliser %domain%\%user_name% comme format par défaut pour entrer une identité d'itinérance.

Si vous utilisez un serveur Microsoft IAS RADIUS 802.1X comme serveur d'authentification, le serveur authentifie le périphérique en utilisant l'identité d'itinérance du logiciel Intel(R) PROSet/Wireless et ignore le nom utilisateur du protocole d'authentification MS-CHAP-V2. Le serveur Microsoft IAS RADIUS accepte uniquement un nom utilisateur valide (utilisateur dotNet) comme identité d'itinérance. Pour tous les autres serveurs d'authentification, l'identité d'itinérance est optionnelle. En conséquence, nous vous recommandons d'utiliser le domaine voulu (par exemple, anonyme@mondomaine) comme identité d'itinérance plutôt que l'identifiant réel.

Étape 3 sur 3: Serveur EAP-FAST

Le mode de mise à disponibilité Authenticated-TLS-Server est pris en charge en utilisant un certificat d'un organisme de certification sûr, un certificat serveur autosigné, ou des clés publiques serveur et GTC comme méthode EAP interne.

  1. Sélectionnez une des méthodes d'obtention des informations d'authentification suivantes : Valider le certificat serveur ou Spécifier le nom du serveur ou du certificat.
  2. Cliquez sur OK pour fermer les paramètres de sécurité.

Paramètres utilisateur EAP-FAST

REMARQUE : Si un module d'administration exporté sur l'ordinateur d'un utilisateur n'inclut pas le paramètre d'application Activer CCXv4 de l'outil Administration système, seuls les paramètres utilisateur EAP-FAST peuvent être configurés.

Pour configurer un client avec l'authentification EAP-FAST :

  1. Cliquez sur Profils dans la fenêtre principale d'Intel(R) PROSet/Wireless. Ou, si vous êtes administrateur, ouvrez l'Outil Administration système.
  2. Dans la page Profil, cliquez sur Ajouter pour ouvrir les Paramètres généraux de création d'un profil sans fil.
  3. Nom du réseau sans fil (SSID) : entrez l'identificateur réseau.
  4. Nom du profil : entrez un nom de profil descriptif.
  5. Mode opérationnel : cliquez sur Réseau (Infrastructure).
  6. Type de profil d'administration : sélectionnez Permanent ou Connexion avant ouverture de session/commun. (Cette étape est possible uniquement si vous utilisez l'Outil d'administration.)
  7. Cliquez sur Suivant pour ouvrir les Paramètres de sécurité.
  8. Cliquez sur Sécurité d'entreprise.
  9. Authentification réseau : sélectionnez WPA - Entreprise ou WPA2 - Entreprise.
  10. Chiffrement des données : Sélectionnez une des options suivantes :
  11. Activer 802.1X : sélectionné.
  12. Type d'authentification : Sélectionnez EAP-FAST pour l'utiliser avec cette connexion.
  13. Cliquez sur Options Cisco pour sélectionner Autoriser l'itinérance rapide (CCKM), qui permet à la carte sans fil cliente une itinérance sûre et rapide.

Étape 1 sur 3 de la mise en disponibilité EAP-FAST (Paramètres utilisateur)

EAP-FAST utilise une clé PAC afin de protéger les informations d'authentification de l'utilisateur échangées. Tous les authentificateurs EAP-FAST sont identifiés par une identité de certification (A-ID). L'authentificateur local envoie son AID à un client d'authentification, puis le client recherche un AID correspondant dans sa base de données. Si le client ne reconnaît pas l'AID, il demande un nouveau PAC.

REMARQUE : si la clé PAC mise à disposition est valide, Intel(R) PROSet/Wireless n'invite pas l'utilisateur à accepter la clé PAC. Si la clé PAC n'est pas valide, Intel(R) PROSet/Wireless n'est pas en mesure d'effectuer la mise à disposition automatique. Un message d'état s'affiche dans l'Observateur d'événements sans fil, pouvant être examiné par un administrateur sur l'ordinateur de l'utilisateur.

  1. Laissez l'option Désactiver les améliorations EAP-FAST (CCXv4) désélectionnée.
  2. Autoriser la mise à disposition authentifiée et Autoriser la mise à disposition non authentifiée sont sélectionnés.
  3. Serveur par défaut : Aucun est sélectionné par défaut. Cliquez sur Sélectionner un serveur pour sélectionner un PAC du serveur de PAC autorisé. La page de sélection des identités d'accès protégé (PAC) s'ouvre.

REMARQUE : les groupes de serveurs ne sont listés que si vous avez installé un module d'administration contenant des paramètres pour de groupe A-ID (Identificateur d'autorité) EAP-FAST.

La distribution des clés PAC peut également être effectuée manuellement (hors bande). La mise à disposition manuelle permet de créer une clé PAC sur un serveur ACS pour un utilisateur et de l'importer ensuite sur l'ordinateur de l'utilisateur. Un fichier PAC peut être protégé par un mot de passe, que l'utilisateur doit entrer lors de l'importation de la clé PAC.

  1. Pour importer un PAC :
    1. Cliquez sur Importer pour importer une clé PAC du serveur PAC.
    2. Cliquez sur Ouvrir.
    3. Entrez le mot de passe PAC (optionnel).
    4. Cliquez sur OK pour fermer la page. La clé PAC sélectionnée est utilisée pour ce profil sans fil.
  2. Cliquez sur Suivant.
  3. S'il ne s'agit pas d'un profil de connexion avant ouverture de session/commun, cliquez sur Suivant et passez à l'étape 3 sur 3 : Serveur EAP-FAST.
  4. S'il s'agit d'un profil de connexion avant ouverture de session/commun, ou si vous n'utilisez pas l'outil Administration système pour créer ce profil, passez à l'étape suivante.

Étape 2 sur 3: Informations EAP-FAST additionnelles

  1. Protocole d'authentification : sélectionnez MS-CHAP-V2 ou GTC
  2. Références de l'utilisateur : sélectionnez Utiliser l'ouverture de session Windows ou Utiliser.
  3. Si vous avez sélectionné Utiliser, entrez le nom utilisateur, domaine, mot de passe et confirmez le mot de passe.
  4. Entrez l'identité d'itinérance : %DOMAINE%\%NOMUTILISATEUR
  5. Cliquez sur Suivant.

Étape 3 sur 3: Serveur EAP-FAST

  1. Cliquez sur Valider le certificat, le cas échéant, puis sélectionnez l'émetteur du certificat dans le menu déroulant. La sélection par défaut est Toute autorité de certification approuvée.
  2. Le cas échéant, cliquez sur Spécifier le nom du serveur ou du certificat et entrez le nom. Cliquez ensuite sur Le nom du serveur doit correspondre exactement à l'entrée spécifiée ou sur Le nom de domaine doit se terminer par l'entrée spécifiée.
  3. Cliquez sur OK.

Retour au début

Retour à la table des matières

Marques et exclusions de responsabilité