Tillbaka till Innehåll

Ställa in profilsäkerhet

Använd programmet Intel(R) PROSet för trådlösa anslutningar
Personlig säkerhet
Inställningar för personlig säkerhet
Ställa in datakryptering och autentisering

Företagssäkerhet
Inställningar för Företagssäkerhet

Använda programvaran Intel(R) PROSet för trådlösa anslutningar

Följande avsnitt beskriver hur du använder Intel(R) PROSet för trådlösa anslutningar för att installera de säkerhetsinställningar som behövs för ditt trådlösa kort. Se Personlig säkerhet.

Det innehåller också information om hur du konfigurerar avancerade säkerhetsinställningar för ditt trådlösa kort. Detta kräver information från en systemadministratör (företagsmiljö) eller avancerade säkerhetsinställningar på din åtkomstpunkt (för hemanvändare). Se Företagssäkerhet.

För allmän information om säkerhetsinställningar, se Säkerhet - översikt.

Personlig säkerhet

Använd Personlig säkerhet om du använder datorn hemma eller som liten verksamhet som kan använda en rad olika, enkla säkerhetsprocedurer för att skydda din trådlösa anslutning. Markera alternativ i listan med säkerhetsinställningar som inte kräver omfattande infrastrukturinställningar för ditt trådlösa nätverk. Det behövs ingen RADIUS- eller AAA-server.

OBS! Alternativen för Personlig säkerhet är inte tillgängliga i Administratörsverktyget när du skapar administratörsprofiler i Windows Vista

Inställningar för Personlig säkerhet

Beskrivning av inställningar för Personlig säkerhet

Namn Inställning

Personlig säkerhet

Markera om du vill öppna inställningarna för Personlig säkerhet. Vilka säkerhetsinställningar som finns tillgängliga beror på vilket läge som markerats i Skapa trådlös profil Säkerhetsinställningar.

Enhet-till-enhet (ad hoc): I enhet-till-enhet-läge, som även kallas ad hoc-läge, skickar trådlösa datorer information direkt till andra trådlösa datorer. Du kan använda ad hoc-läge om du vill nätverksansluta flera datorer hemma eller på mindre kontor, eller om du vill skapa ett tillfälligt trådlöst nätverk för ett möte.

OBS! Enhet-till-enhet-nätverk (ad hoc) identifieras med en bild av en anteckningsbok (notebook) i listan med trådlösa nätverk och profillistan och nätverk.

Nätverk (Infrastruktur): Ett nätverk av typ Nätverk (Infrastruktur) består av en eller flera åtkomstpunkter och en eller flera datorer med trådlösa kort installerade. Minst en åtkomstpunkt bör dessutom ha en kabelanslutning. För hemanvändare är detta vanligtvis bredband eller kabelnätverk.

OBS! Nätverk av typ Nätverk (Infrastruktur) identifieras med en bild av en åtkomstpunkt (åtkomstpunkt) i listan med trådlösa nätverk och profillistan.

Säkerhetsinställningar

Om du konfigurerar en profil av typ Enhet till enhet (ad hoc) markerar du en av följande datakrypteringsinställningar:

Om du konfigurerar en profil av typ Nätverk (Infrastruktur), markera:

Avancerat-knappen

Markera om du vill visa Avancerade inställningar för att konfigurera följande alternativ:

Bakåt

Visa föregående sida i profilhanteraren

OK

Stänger Profilhanteraren och sparar profilen.

Avbryt

Stänger Profilhanteraren och sparar inte eventuella ändringar som gjorts.

Hjälp?

Ger hjälpinformation för den aktuella sidan.

Ställa in datakryptering och autentisering

I ett trådlöst hemnätverk kan du använda en rad olika enkla säkerhetsprocedurer för att skydda din trådlösa anslutning. Dessa inkluderar:

Wi-Fi Protected Access-kryptering (WPA) tillhandahåller skydd för dina data i nätverket. WPA använder en krypteringsnyckel som kallas för en PSK (Pre-Shared Key) för att kryptera data före överföringen. Ange samma lösenord i alla datorer och åtkomstpunkter i ditt hemnätverk eller nätverket för liten verksamhet. Det är bara enheter som använder samma krypteringsnyckel som kan komma åt nätverket eller dekryptera de krypterade data som överförts av andra datorer. Lösenordet initierar automatiskt TKIP (Temporal Key Integrity Protocol) eller AES-CCMP-protokollet för datakrypteringsprocessen.

Nätverksnycklar

WEP-krypteringen tillhandahåller två säkerhetsnivåer:

För förbättrad säkerhet använder du en 128-bitarsnyckel. Om du använder kryptering måste alla trådlösa enheter i det trådlösa nätverket använda samma krypteringsnycklar.

Du kan skapa nyckeln själv och ange nyckellängden (64-bitars eller 128-bitars) och nyckelindex (den plats där en specifik nyckel lagras). Ju större nyckellängden är ju säkrare är nyckeln.

Nyckellängd: 64-bitars

Lösenordsmening (64 bitar): Ange fem (5) alfanumeriska tecken, 0-9, a-z eller A-Z.
Hexnyckel (64 bitar): Ange 10 hexadecimala tecken, 0-9, A-F.

Nyckellängd: 128-bitars

Lösenordsmening (128 bitar): Ange 13 alfanumeriska tecken, 0-9, a-z eller A-Z.
Hexnyckel (128-bitars): Ange 26 hexadecimala tecken, 0-9, A-F.

Med WEP-datakryptering kan en trådlös station konfigureras med upp till fyra nycklar (nyckelindexvärdena är 1, 2, 3 och 4). När en åtkomstpunkt eller en trådlös station överför ett krypterat meddelande som använder en nyckel som förvaras i ett specifikt nyckelindex anger det överförda meddelandet det nyckelindex som användes för att kryptera meddelandetexten. Den mottagande åtkomstpunkten eller trådlösa stationen kan sedan hämta nyckeln som förvaras i nyckelindex och använda den för att avkoda den krypterade meddelandetexten.

Ställa in klient med öppen autentisering och utan (ingen) datakryptering

I enhet-till-enhet-läge, som även kallas ad hoc-läge, skickar trådlösa datorer information direkt till andra trådlösa datorer. Du kan använda ad hoc-läge om du vill nätverksansluta flera datorer hemma eller på mindre kontor, eller om du vill skapa ett tillfälligt trådlöst nätverk för ett möte.

I huvudfönstret i Intel(R) PROSet för trådlösa anslutningar markerar du en av följande metoder att ansluta till ett enhet-till-enhet-nätverk:

Skapa en profil för en trådlös nätverksanslutning utan kryptering så här:

  1. Klicka på Profiler i huvudfönstret för Intel PROSet för trådlösa anslutningar.
  2. På profillistan klickar du på Lägg till för att öppna den trådlösa profilen Allmänna inställningar.
  3. Profilnamn:Ange ett beskrivande profilnamn.
  4. Namn på trådlöst nätverk (SSID): Ange namnet på ditt trådlösa nätverk.
  5. Läge:Klicka på Enhet-till-enhet (ad hoc).
  6. Klicka på Nästa för att öppna Säkerhetsinställningar.
  7. Personlig säkerhet är markerat som standard.
  8. Säkerhetsinställningar: Standardinställningen är Ingen, vilket indikerar att det inte finns någon säkerhet i detta trådlösa nätverk.
  9. Klicka på OK. Profilen läggs till i profillistan och ansluter till det trådlösa nätverket.

Ställa in klient med WEP 64-bitars eller WEP 128-bitars datakryptering

När WEP-datakryptering är aktiverad används en nätverksnyckel eller ett lösenord för krypteringen.

En nätverksnyckel tillhandahålls åt dig automatiskt (den kan t ex tillhandahållas av tillverkaren av ditt trådlösa nätverkskort eller du kan skriva den själv och ange nyckellängden (64-bitars eller 128-bitars), nyckelformatet (ASCII-tecken eller hexadecimala siffror) och nyckelindex (den plats som en specifik nyckel lagras i). Ju större nyckellängden är ju säkrare är nyckeln.

Lägga till en nätverksnyckel för en enhet-till-enhet-nätverksanslutning:

  1. I huvudfönstret i Intel PROSet för trådlösa anslutningar, dubbelklicka på ett enhet-till-enhet-nätverk (ad hoc) i listan med trådlösa nätverk. Du kan också markera nätverket och klicka på Anslut.
  2. Klicka på Profiler för att visa profillistan.
  3. Klicka på Egenskaper för att öppna den trådlösa profilen Allmänna inställningar. Profilnamnet och namnet på det trådlösa nätverket (SSID) visas. Enhet-till-enhet (ad hoc) ska markeras som läge.
  4. Klicka på Nästa för att öppna Säkerhetsinställningar.
  5. Personlig säkerhet är markerat som standard.
  6. Säkerhetsinställningar: Standardinställningen är Ingen, vilket indikerar att det inte finns någon säkerhet i detta trådlösa nätverk.

Lägg till lösenord eller nätverksnyckel så här:

  1. Säkerhetsinställningar: Markera antingen WEP 64-bitars eller WEP 128-bitars för att konfigurera WEP-datakryptering med 64-bitars- eller 128-bitarsnyckel.

    2. När WEP-kryptering är aktiverad på en åtkomstpunkt används WEP-nyckeln för att bekräfta åtkomst till nätverket. Om den trådlösa enheten inte har den korrekta WEP-nyckeln, även om autentiseringen lyckas, kan inte enheten överföra data genom åtkomstpunkten eller avkryptera data som mottagits från åtkomstpunkten.

Namn Beskrivning

Lösenord

Ange Lösenord för trådlös säkerhet (lösenordsmening) eller Krypteringsnyckel (WEP-nyckel).

Lösenordsmening (64 bitar)

Ange fem (5) alfanumeriska tecken, 0-9, a-z eller A-Z.

WEP-nyckel (64 bitar)

Ange 10 hexadecimala tecken, 0-9, A-F.

Lösenordsmening (128 bitar)

Ange 13 alfanumeriska tecken, 0-9, a-z eller A-Z.

WEP-nyckel (128 bitar)

Ange 26 hexadecimala tecken, 0-9, A-F.
  1. Nyckelindex: Ändra nyckelindex för att ange upp till fyra lösenord.
  2. Klicka på OK för att gå tillbaka till profillistan.

Lägg till mer än ett lösenord så här:

  1. Markera nyckelindexnumret: 1, 2, 3 eller 4.
  2. Ange Lösenord för trådlös säkerhet.
  3. Markera ytterligare nyckelindexnummer:
  4. Ange ytterligare ett Lösenord för trådlös säkerhet.

Ställa in klient med säkerhetsinställningarna WPA-Personligt (TKIP) eller WPA2-Personligt (TKIP)

WPA Personligt läge kräver manuell konfiguration av en PSK (Pre-Shared Key) på åtkomstpunkterna och klienterna. Denna PSK autentiserar en användares lösenord eller identifierande kod, på både klientstationen och åtkomstpunkten. Det behövs ingen autentiseringsserver. WPA Personligt läge är avsett för hemmiljöer och mindre kontor.

WPA2 är den andra generationen WPA-säkerhet som förser trådlösa användare (både företag och konsumenter) med en hög tillitsnivå att endast auktoriserade användare kan nå sina trådlösa nätverk. WPA2 tillhandahåller en stark krypteringsmekanism via AES (Advanced Encryption Standard), som är ett krav för vissa företagsanvändare och användare från den offentliga sektorn.

Konfigurera en profil med nätverksautentiseringen WPA-Personligt och datakrypteringen TKIP så här:

  1. I huvudfönstret i Intel PROSet för trådlösa anslutningar dubbelklickar du på ett nätverk av typ Nätverk (Infrastruktur) i listan med trådlösa nätverk. Du kan också markera nätverket och klicka på Anslut.
  2. Klicka på Profiler för att visa profillistan.
  3. Klicka på Egenskaper för att öppna den trådlösa profilen Allmänna inställningar. Profilnamnet och namnet på det trådlösa nätverket (SSID) visas. Nätverk (Infrastruktur) ska markeras som Läge.
  4. Klicka på Nästa för att öppna Säkerhetsinställningar.
  5. Personlig säkerhet är markerat som standard.
  6. Säkerhetsinställningar: Markera WPA-Personligt (TKIP) för att tillhandahålla säkerhet för ett mindre kontor eller hemanvändare. Det används då ett lösenord som kallas för en PSK-nyckel (Pre-Shared Key). Ju längre lösenord ju starkare säkerhet i det trådlösa nätverket.

Om din trådlösa åtkomstpunkt eller router stödjer WPA2-Personligt bör du sedan aktivera den vid åtkomstpunkten och ange ett långt och starkt lösenord. Ju längre lösenord ju starkare säkerhet i det trådlösa nätverket. Samma lösenord som anges i åtkomstpunkten måste användas på den här datorn och alla andra trådlösa enheter som ska användas i det trådlösa nätverket.

OBS! WPA-Personligt och WPA2-Personligt fungera ihop.

  1. Lösenord för trådlös säkerhet (krypteringsnyckel): Skriv en textfras bestående av mellan 8 och 63 tecken. Verifiera att nätverksnyckeln stämmer överens med lösenordet i den trådlösa åtkomstpunkten.
  2. Klicka på OK för att gå tillbaka till profillistan.

Ställa in klient med säkerhetsinställningarna WPA-Personligt (TKIP) eller WPA2-Personligt (TKIP)

WPA (Wi-Fi Protected Access) innebär avsevärt förbättrad säkerhet med ökat dataskydd och åtkomstkontroll för trådlösa nätverk. WPA-läget påtvingar 802.1X-autentisering och nyckelutbyte och fungerar enbart med dynamiska krypteringsnycklar. För hemanvändare eller mindre kontor använder WPA-Personligt antingen AES-CCMP (Advanced Encryption Standard - Counter CBC-MAC Protocol) eller TKIP (Temporal Key Integrity Protocol).

Skapa en profil med nätverksautentiseringen WPA2-Personligt och datakrypteringen AES-CCMP så här:

  1. I huvudfönstret i Intel PROSet för trådlösa anslutningar dubbelklickar du på ett nätverk av typ Nätverk (Infrastruktur) i listan med trådlösa nätverk. Du kan också markera nätverket och klicka på Anslut.
  2. Klicka på Egenskaper för att öppna den trådlösa profilen Allmänna inställningar. Profilnamnet och namnet på det trådlösa nätverket (SSID) visas. Nätverk (Infrastruktur) ska markeras som Läge.
  3. Klicka på Nästa för att öppna Säkerhetsinställningar.
  4. Personlig säkerhet är markerat som standard.
  5. Säkerhetsinställningar: Markera WPA-Personligt (AES-CCMP) för att tillhandahålla denna säkerhetsnivå i ett litet nätverk eller i hemmiljö. Det använder ett lösenord, en PSK-nyckel (Pre-Shared Key) Ju längre lösenord ju starkare säkerhet i det trådlösa nätverket.

AES-CCMP (Advanced Encryption Standard - Counter CBC-MAC Protocol) är den nya metoden för sekretesskydd för trådlösa överföringar som anges i IEEE 802.11i-standarden. AES-CCMP är en starkare krypteringsmetod än TKIP. Välj AES-CCMP som datakrypteringsmetod när det är viktigt med starkt dataskydd.

Om din trådlösa åtkomstpunkt eller router stödjer WPA2-Personligt bör du sedan aktivera den vid åtkomstpunkten och ange ett långt och starkt lösenord. Samma lösenord som anges för åtkomstpunkten måste användas på den här datorn och alla andra trådlösa enheter som ska användas i det trådlösa nätverket.

OBS! WPA-Personligt och WPA2-Personligt fungera ihop.

Datorns operativsystem kanske inte kan använda vissa säkerhetslösningar. Du kan kräva ytterligare programvara eller maskinvara, såväl som stöd för trådlös LAN-infrastrukturnätverk. Kontakta din datortillverkare för information.

  1. Lösenord: Lösenord för trådlös säkerhet (krypteringsnyckel): Ange textfras (längden är mellan 8 och 63 tecken). Verifiera att nätverksnyckeln stämmer överens med nyckeln för trådlös åtkomstpunkt.
  2. Klicka på OK för att gå tillbaka till profillistan.

Företagssäkerhet

Från sidan Säkerhetsinställningar kan du ange de säkerhetsinställningar som behövs för det markerade, trådlösa nätverket.

Använd Företagssäkerhet om din nätverksmiljö behöver 802.1X-autentisering.

Inställningar för Företagssäkerhet

Beskrivning av inställningar för Företagssäkerhet

Namn Inställning
Företagssäkerhet

Välj om du vill öppna inställningarna för Företagssäkerhet.
Nätverksautentisering

Markera en av följande autentiseringsmetoder:
Datakryptering

Klicka för att öppna följande datakrypteringstyper:
Aktivera 802.1X (autentiseringstyp) Klicka för att öppna följande 802.11x-autentiseringstyper:
Cisco-alternativ Klicka för att visa Cisco Compatible Extensions.

OBS! Cisco Compatible Extensions aktiveras automatiskt för CKIP- och LEAP-profiler.
Avancerat-knappen Markera om du vill visa Avancerade inställningar för att konfigurera följande alternativ:
Användarreferenser

En profil som konfigurerats för TTLS-, PEAP- eller EAP-FAST-autentisering kräver en av följande autentiseringsmetoder vid inloggning:

Använd Windows-inloggning: 802.1X-referenserna matchar ditt användarnamn och lösenord för Windows. Före anslutningen tillfrågas du om dina inloggningsreferenser för Windows.

OBS! Detta alternativ finns inte tillgängligt om anslutning av typ Före inloggning/gemensam inte markerats under installationen av programmet Intel PROSet för trådlösa anslutningar. Se Installera och avinstallera funktionen Enkel inloggning.

OBS! För LEAP-profiler visas detta alternativ som Använd användarnamn och lösenord för Windows-inloggning.

Fråga varje gång jag ansluter: Fråga efter ditt användarnamn och lösenord varje gång du loggar in till det trådlösa nätverket.

OBS! För LEAP-profiler visas detta alternativ som Fråga efter användarnamn och lösenord.

Använd följande: Använd dina sparade referenser när du loggar in till nätverket.

  • Användarnamn: Detta användarnamn måste matcha det användarnamn som administratören anger för autentiseringsservern före klientautentisering. Användarnamnet skiljer mellan versaler och gemener. Detta namn anger den identitet som anges till autentiseraren av autentiseringsprotokollet som arbetar över TLS-tunneln. Denna identitet överförs säkert till servern men bara efter det att en krypterad kanal har etablerats.
  • Domän: Domännamnet på autentiseringsservern. Servernamnet identifierar en domän eller en av dess underdomäner (t.ex. zeelans.com, där servern är blueberry.zeelans.com).
  • Lösenord: Anger användarens lösenord. Lösenordstecknen visas som asterisker. Detta lösenord måste matcha det lösenord som angetts på autentiseringsservern.
  • Bekräfta lösenord:Ange användarlösenordet igen.

OBS! Kontakta administratören för att få domännamnet.

OBS! För LEAP-profiler visas detta alternativ som Använd följande användarnamn och lösenord.
Serveralternativ

Markera en av följande referenshämtningsmetoder:

Validera servercertifikat: Markera för att verifiera servercertifikatet.

Certifikatutfärdare: Det servercertifikat som mottogs under TLS-meddelandeutbytet måste ha utfärdats av denna certifikatutfärdare. Betrodda, mellanliggande certifikatutfärdare och rotutfärdare vars certifikat finns i systemarkivet finns tillgängliga för markering. Om Vilken betrodd CA som helst är markerat kommer valfri certifikatutfärdare i listan att vara acceptabel. Klicka på Vilken betrodd CA som helst som standard eller välj en certifikatutfärdare (CA) i listan.

Ange server- eller certifikatnamn: Ange servernamnet.

Servernamnet eller domänen som servern tillhör, beroende på vilket av de två alternativen nedan som har markerats.

  • Servernamn måste matcha angiven uppgift exakt:När det är markerat måste servernamnet exakt matcha det servernamn som finns på certifikatet. Servernamnet bör inkludera det fullständiga domännamnet (exempelvis Servernamn.Domännamn).
  • Domännamn måste avslutas med angivet namn:När detta är markerat identifierar servernamnet en domän och certifikatet måste ha ett servernamn som tillhör denna domän eller en av dess underliggande domäner (t.ex. zeelans.com där servern är blueberry.zeelans.com)

OBS!Dessa parametrar bör erhållas från administratören.
Certifikatalternativ Erhåll ett certifikat för TLS-autentisering genom att välja ett av följande:

Använd mitt smartkort: Markera om certifikatet finns på ett smartkort.

Använd certifikatet som utfärdats till den här datorn: Välj ett certifikat som finns i maskinarkivet.

Använd användarcertifikat på den här datorn: Klicka på Välj om du vill välja ett certifikat som finns på den här datorn.

OBS! Intel PROSet för trådlösa anslutningar stödjer maskincertifikat: Men de visas inte i certifikatlistorna.

Anmärkningar om certifikat:Den angivna identiteten bör matcha fältet Utfärdat till-identiteten i certifikatet och bör registreras på autentiseringsservern (t.ex. RADIUS-servern) som används av autentiseraren. Ditt certifikat måste vara giltigt vad gäller autentiseringsservern. Detta krav beror på autentiseringsservern och innebär i allmänhet att autentiseringsservern måste känna till certifikatutfärdaren som en Certifikatutfärdare (CA). Använd samma användarnamn du använde för att logga in när du installerade certifikatet.
Bakåt Visa föregående sida i hanteraren Skapa trådlös profil.
Nästa Visa nästa sida i hanteraren Skapa trådlös profil. Om ingen mer säkerhetsinformation behövs visas nästa sida.
OK Stänger hanteraren för Skapa trådlös profil och sparar profilen.
Avbryt Stänger hanteraren Skapa trådlös profil och sparar inte eventuella ändringar som gjorts.
Hjälp? Ger hjälpinformation för den aktuella sidan.

Konfigurera profiler för Infrastruktur-nätverk

Ett infrastrukturnätverk består av en eller flera åtkomstpunkter och en eller flera datorer med trådlösa kort installerade. Varje åtkomstpunkt måste ha en kabelanslutning till ett trådlöst nätverk.

Ställa in klient med öppen eller delad nätverksautentisering

När du använder autentiseringen delad nyckel antas det att varje trådlös station har mottagit en hemlig delad nyckel över en säker kanal som är oberoende från 802.11-kommunikationskanalen för det trådlösa nätverket. Autentiseringen Delad nyckel kräver att klienten konfigurerar en statisk WEP- eller CKIP-nyckel. Klientåtkomst beviljas endast om den godkänns i en frågebaserad autentisering. CKIP tillhandahåller starkare datakryptering än WEP, men inte alla operativsystem och åtkomstpunkter stödjer det.

OBS! Även om delad nyckel kan verka vara det bättre alternativet för en högre säkerhetsnivå, skapas en känd svaghet av den klara textöverföringen för utmaningssträngen till klienten. När en inkräktare hittar utmaningssträngen går det lätt att ta isär den delade autentiseringsnyckeln. Därför är öppen autentisering faktiskt, även om den inte är intuitiv, mer säker. Skapa en profil med delad autentisering så här:

  1. Klicka på Profiler i huvudfönstret för Intel PROSet för trådlösa anslutningar.
  2. På sidan Profil klickar du på Lägg till för att öppna Allmänna inställningar i Skapa trådlös profil.
  3. Profilnamn:Ange ett beskrivande profilnamn.
  4. Namn på trådlöst nätverk (SSID): Ange nätverksidentifieraren.
  5. Läge:Klicka på Nätverk (infrastruktur).
  6. Klicka på Nästa för att öppna Säkerhetsinställningar.
  7. Välj Företagssäkerhet.
  8. Nätverksautentisering:Markera Delad. Delad autentisering utförs med en förkonfigurerad WEP-nyckel.
  9. Datakryptering: Välj Ingen, WEP (64- eller 128-bitars) eller CKIP (64- eller 128-bitars).
  10. Aktivera 802.1X:Inaktiverat.
  11. Krypteringsnivå: 64- eller 128-bitars: När du växlar mellan 64-bitars- och 128-bitarskryptering raderas de tidigare inställningarna ut och en ny nyckel måste anges.
  12. Lösenord för trådlös säkerhet (krypteringsnyckel):Ange lösenordet (WEP-krypteringsnyckeln) för det trådlösa nätverket. Detta lösenord är samma värde som det som används av den trådlösa åtkomstpunkten eller routern. Kontakta administratören för detta lösenord.
Namn Beskrivning
Lösenord

Ange Lösenord för trådlös säkerhet (lösenordsmening) eller Krypteringsnyckel (WEP-nyckel).
Lösenordsmening (64 bitar)

Ange fem (5) alfanumeriska tecken, 0-9, a-z eller A-Z.
WEP-nyckel (64 bitar)

Ange 10 hexadecimala tecken, 0-9, A-F.
Lösenordsmening (128 bitar)

Ange 13 alfanumeriska tecken, 0-9, a-z eller A-Z.
WEP-nyckel (128 bitar)

Ange 26 hexadecimala tecken, 0-9, A-F.
  1. Nyckelindex:Välj 1, 2, 3 eller 4. Ändra nyckelindex för att ange upp till fyra lösenord.
  2. Klicka på OK.

Ställa in klient med nätverksautentiseringen WPA-Företag eller WPA2-Företag

För WPA2-Företag krävs en autentiseringsserver.

OBS! WPA-Företag och WPA2-Företag fungerar ihop.

Lägg till en profil med autentiseringen WPA-Företag eller WPA2-Företag så här:

  1. Inskaffa ett användarnamn och lösenord för RADIUS-servern från administratören.
  2. Vissa autentiseringstyper kräver att du inskaffar och installerar ett klientcertifikat. Se Ställa in klient för TLS-autentisering eller tala med administratören.
  3. Klicka på Profiler i huvudfönstret för Intel PROSet för trådlösa anslutningar.
  4. På sidan Profil klickar du på Lägg till för att öppna Allmänna inställningar i Skapa trådlös profil.
  5. Profilnamn:Ange ett beskrivande profilnamn.
  6. Namn på trådlöst nätverk (SSID): Ange nätverksidentifieraren.
  7. Läge:Klicka på Nätverk (infrastruktur).
  8. Klicka på Nästa.
  9. Välj Företagssäkerhet.
  10. Nätverksautentisering: Markera WPA-Företag eller WPA2-Företag.
  11. Datakryptering: Markera ett av följande:
  12. Aktivera 802.1X:Markerad.
  13. Autentiseringstyp: Markera ett av följande: EAP-SIM, LEAP, TLS, TTLS, PEAP, EAP-FAST.

Ställa in klient med EAP-SIM-nätverksautentisering

EAP-SIM använder en dynamisk sessionsbaserad WEP-nyckel, som kommer från klientkortet och RADIUS-servern, för att kryptera data. EAP-SIM kräver att du anger en användarautentiseringskod, eller PIN-kod, för kommunikation med SIM-kortet (Subscriber Identity Module). Ett SIM-kort är ett speciellt smartkort som används av GSM-baserade (Global System for Mobile Communications) digitala mobiltelefoninätverk. Lägg till en profil med EAP-SIM-autentisering så här:

  1. På sidan Profil klickar du på Lägg till för att öppna Allmänna inställningar i Skapa trådlös profil.
  2. Profilnamn: Ange ett profilnamn.
  3. Namn på trådlöst nätverk (SSID): Ange nätverksidentifieraren.
  4. Läge:Klicka på Nätverk (infrastruktur).
  5. Klicka på Nästa för att öppna Säkerhetsinställningar.
  6. Välj Företagssäkerhet.
  7. Nätverksautentisering:Markera Öppen (rekommenderas).
  8. Datakryptering: Markera WEP.
  9. Klicka på Aktivera 802.1X.
  10. Autentiseringstyp: Markera EAP-SIM.

EAP-SIM-autentisering kan användas med:

EAP-SIM-användare (valfritt):

  1. Ange användarnamn (identitet): Klicka för att ange användarnamnet.
  2. Klicka på OK.

Ställa in klient med TLS-nätverksautentisering

Dessa inställningar anger protokoll och den identifierande information som används för att autentisera en användare. TLS-autentisering (Transport Layer Security) är en tvåvägs autentiseringsmetod som enbart använder digitala certifikat för att verifiera identiteten för en klient och en server.

Lägg till en profil med TLS-autentisering så här:

  1. Klicka på Profiler i huvudfönstret för Intel PROSet för trådlösa anslutningar.
  2. På sidan Profil klickar du på Lägg till för att öppna Allmänna inställningar i Skapa trådlös profil.
  3. Profilnamn:Ange ett beskrivande profilnamn.
  4. Namn på trådlöst nätverk (SSID): Ange nätverksidentifieraren.
  5. Läge:Klicka på Nätverk (infrastruktur).
  6. Klicka på Nästa för att öppna Säkerhetsinställningar.
  7. Välj Företagssäkerhet.
  8. Nätverksautentisering: Markera WPA-Företag eller WPA2-Företag.
  9. Datakryptering:Markera AES-CCMP (rekommenderas).
  10. Aktivera 802.1X:Markerad.
  11. Autentiseringstyp: Markera TLS som ska användas med denna anslutning.

TLS-användare

Steg 1 av 2: TLS-användare

  1. Inskaffa och installera ett klientcertifikat, se Ställa in klient med TLS-autentisering eller tala med systemadministratören.
  2. Markera ett av följande för att erhålla ett certifikat: Använd mitt smartkort, Använd certifikatet som utfärdats till den här datorn eller Använd användarcertifikat på den här datorn.
  3. Klicka på Nästa för att öppna TLS-serverinställningarna.

TLS-server

Steg 2 av 2: TLS-server

  1. Markera en av följande referenshämtningsmetoder: Validera servercertifikat eller Ange server- eller certifikatnamn.
  2. Klicka på OK. Profilen läggs till i profillistan.
  3. Klicka på den nya profilen längst ner i profillistan. Använd pil upp och pil ner för att ändra prioritet för den nya profilen.
  4. Klicka på Anslut för att ansluta till det markerade trådlösa nätverket.
  5. Stäng Intel(R) PROSet för trådlösa anslutningar genom att klicka på OK.

Ställa in klient med TTLS-nätverksautentisering

TTLS-autentisering: Dessa inställningar anger protokoll och referenserna som används för att autentisera en användare. Klienten använder EAP-TLS för att validera servern och skapa en TLS-krypterad kanal mellan klient och server. Klienten kan använda ett annat autentiseringsprotokoll, vanligtvis lösenordsbaserade protokoll. Fråge- (challenge) och svarspaket skickas över en icke-utsatt TLS-krypterad kanal. Följande exempel beskriver hur du använder WPA med AES-CCMP-kryptering med TTLS-autentisering.

Ställa in klient med TTLS-nätverksautentisering:

  1. Klicka på Profiler i huvudfönstret för Intel PROSet för trådlösa anslutningar.
  2. På sidan Profil klickar du på Lägg till för att öppna Allmänna inställningar i Skapa trådlös profil.
  3. Profilnamn:Ange ett beskrivande profilnamn.
  4. Namn på trådlöst nätverk (SSID): Ange nätverksidentifieraren.
  5. Läge:Klicka på Nätverk (infrastruktur).
  6. Klicka på Nästa för att öppna Säkerhetsinställningar.
  7. Välj Företagssäkerhet.
  8. Nätverksautentisering: Markera WPA-Företag eller WPA2-Företag.
  9. Datakryptering: Markera ett av följande:
  10. Aktivera 802.1X:Markerad.
  11. Autentiseringstyp:Markera TTLS som ska användas med denna anslutning.

Steg 1 av 2: TTLS-användare

  1. Verifieringsprotokoll: Denna parameter anger autentiseringsprotokollet som drivs över TTLS-tunneln. Protokollen är: PAP (standard), CHAP, MS-CHAP och MS-CHAP-V2. Se Säkerhet - översikt för mer information.
  2. Användarreferenser: För protokollen PAP, CHAP, MS-CHAP och MS-CHAP-V2 markerar du en av dessa autentiseringsmetoder: Använd Windows-inloggning, Fråga varje gång jag ansluter eller Använd följande.
  3. Roaming-identi&tet: Det kan fyllas i en Roaming-identitet i detta fält eller så kan du använda %domän%\%användarnamn% som standardformatet för att ange en roaming-identitet.

När du använder 802.1X Microsoft IAS RADIUS-servern som autentiseringsserver, autentiserar servern enheten genom att använda Roaming-identitet från programmet Intel PROSet för trådlösa anslutningar och ignorerar Autentiseringsprotokoll MS-CHAP-V2-användarnamnet. Microsoft IAS RADIUS accepterar endast ett giltigt användarnamn (dotNet-användare) för Roaming-identitet. Roaming-identitet är valfritt för alla andra autentiseringsservrar. Därför rekommenderas det att önskad "realm" eller sfär (t.ex. anonym@myrealm) används som Roaming-identitet i stället för en sann identitet.

  1. Klicka på Nästa för att öppna TTLS-serverinställningarna.

Steg 2 av 2: TTLS-server

  1. Markera en av följande referenshämtningsmetoder: Validera servercertifikat eller Ange server- eller certifikatnamn.
  2. Klicka på OK för att spara inställningen och stänga sidan.

Ställa in klient med delad nätverksautentisering

PEAP-autentisering: PEAP-inställningar krävs för autentisering av klienten till autentiseringsservern. Klienten använder EAP-TLS för att validera servern och skapa en TLS-krypterad kanal mellan klient och server. Klienten kan använda en annan EAP-mekanism (t.ex. MS-CHAP (Microsoft Challenge Authentication Protocol) Version 2), över denna krypterade kanal för att aktivera servervalidering. Fråge- (challenge) och svarspaket skickas över en icke-utsatt TLS-krypterad kanal. Följande exempel beskriver hur du använder WPA med AES-CCMP- eller TKIP-kryptering med PEAP-autentisering.

Ställa in klient med PEAP-autentisering:

Inskaffa och installera ett klientcertifikat. Se Ställa in klient för TLS-autentisering eller tala med administratören.

  1. Klicka på Profiler i huvudfönstret för Intel PROSet för trådlösa anslutningar.
  2. På sidan Profil klickar du på Lägg till för att öppna Allmänna inställningar i Skapa trådlös profil.
  3. Profilnamn:Ange ett beskrivande profilnamn.
  4. Namn på trådlöst nätverk (SSID): Ange nätverksidentifieraren.
  5. Läge:Klicka på Nätverk (infrastruktur).
  6. Klicka på Nästa för att öppna Säkerhetsinställningar.
  7. Välj Företagssäkerhet.
  8. Nätverksautentisering: Markera WPA-Företag eller WPA2-Företag.
  9. Datakryptering: Markera ett av följande:
  10. Aktivera 802.1X:Markerad.
  11. Autentiseringstyp:Markera PEAP som ska användas med denna anslutning.

Steg 1 av 2: PEAP-användare

PEAP sätter sin tillit till TLS (Transport Layer Security) för att ge möjlighet till stöd åt ej krypterade autentiseringstyper (t.ex. EAP-Generic Token Card (GTC) och engångslösenord (OTP eller One-Time Password)).

  1. Verifieringsprotokoll: Markera antingen GTC, MS-CHAP-V2 (standard) eller TLS. Se Autentiseringsprotokoll.
  2. Användarreferenser: Markera ett av följande: Använd Windows-inloggning, Fråga varje gång jag ansluter eller Använd följande.
  3. Roaming-identi&tet: Det kan fyllas i en Roaming-identitet i detta fält eller så kan du använda %domän%\%användarnamn% som standardformatet för att ange en roaming-identitet.

När du använder 802.1X Microsoft IAS RADIUS-servern som autentiseringsserver, autentiserar servern enheten genom att använda Roaming-identitet från programmet Intel PROSet för trådlösa anslutningar och ignorerar Autentiseringsprotokoll MS-CHAP-V2-användarnamnet. Microsoft IAS RADIUS accepterar endast ett giltigt användarnamn (dotNet-användare) för Roaming-identitet. Roaming-identitet är valfritt för alla andra autentiseringsservrar. Därför rekommenderas det att önskad "realm" eller sfär (t.ex. anonym@myrealm) används som Roaming-identitet i stället för en sann identitet.

Konfigurera roaming-identitet som stödjer flera användare

Om du använder en profil av typ Före inloggning/gemensam som kräver att roaming-identiteten är baserad på Windows inloggningsreferenser, kan den som skapat profilen lägga till en roaming-identitet som använder %användarnamn% och %domän%. Roaming-identiteten analyseras och lämplig inloggningsinformation läggs in i stället för nyckelorden. Detta ger maximal flexibilitet vid konfigureringen av roaming-identiteten samtidigt som det ger flera användare möjlighet att dela profilen.

Se användarhandboken för autentiseringsservern för anvisningar om hur du formaterar en passande roaming-identitet. Möjliga format är:

%domain%\%username%
%username%@%domain%
%username%@%domain%.com
%username%@mynetwork.com

Om Roaming-identitet är avmarkerat, är %domain%\%username% standard.

Anmärkningar om referenserna:Detta användarnamn och denna domän måste matcha det användarnamn som administratören anger för autentiseringsservern före klientautentisering. Användarnamnet skiljer mellan versaler och gemener. Detta namn anger den identitet som anges till autentiseraren av autentiseringsprotokollet som arbetar över TLS-tunneln. Denna användares identitet överförs säkert till servern men bara efter det att en krypterad kanal har verifierats och etablerats.

Autentiseringsprotokoll: Denna parameter anger autentiseringsprotokollet som kan användas över TTLS-tunneln. Nedan finner du instruktioner för hur du konfigurerar en profil som använder PEAP-autentisering med

Autentiseringsprotokollen GTC, MS-CHAP-V2 (standard) eller TLS.

GTC (Generic Token Card)

PEAP-användare

Konfigurera ett engångslösenord så här:

  1. Verifieringsprotokoll: Markera GTC (Generic Token Card).
  2. Användarreferenser: Markera Fråga varje gång jag ansluter
  3. Vid anslutning, fråga efter: Markera ett av följande:
Namn Beskrivning
Statiskt lösenord Skriv användarreferenserna vid anslutning.
Engångslösenord (OTP) Inskaffa lösenordet från en maskinvarutokenenhet.
PIN-kod (Soft Token) Inskaffa lösenordet från ett soft token-program.
  1. Klicka på OK.
  2. Markera profilen i listan med trådlösa nätverk.
  3. Klicka på Anslut. När du instrueras att göra så, ange användarnamn, domän och engångslösenord (OTP).
  4. Klicka på OK. Du ombeds att bekräfta din inloggningsinformation.

OBS! Alternativet Fråga varje gång jag ansluter är inte tillgängligt om en administratör har avmarkerat inställningen Referenser till cache-minnet i Administratörsverktyget. Se Administratörsinställningar för mer information.

Engångslösenord

MS-CHAP-V2

Denna parameter anger autentiseringsprotokollet som drivs över PEAP-tunneln.

  1. Användarreferenser:Markera ett av följande alternativ: Använd Windows-inloggning, Fråga varje gång jag ansluter eller Använd följande.
  2. Klicka på Nästa för att öppna PEAP-serverinställningarna.

TLS

TLS-autentisering (Transport Layer Security) är en tvåvägs autentiseringsmetod som enbart använder digitala certifikat för att verifiera identiteten för en klient och en server.

  1. Inskaffa och installera ett klientcertifikat, se Ställa in klient med TLS-autentisering eller tala med systemadministratören.
  2. Markera ett av följande för att erhålla ett certifikat: Använd mitt smartkort, Använd certifikatet som utfärdats till den här datorn eller Använd användarcertifikat på den här datorn.
  3. Klicka på Nästa för att öppna PEAP-serverinställningarna.

Steg 2 av 2: PEAP-server

PEAP-server
  1. Markera en av följande referenshämtningsmetoder: Validera servercertifikat eller Ange server- eller certifikatnamn.
  2. Klicka på OK. Profilen läggs till i profillistan.
  3. Klicka på den nya profilen längst ner i profillistan. Använd pil upp och pil ner för att ändra prioritet för den nya profilen.
  4. Klicka på Anslut för att ansluta till det markerade trådlösa nätverket.

Om du inte markerade Använd Windows-inloggning på sidan Säkerhetsinställningar, och inte heller konfigurerade användarreferenser, sparas inga referenser för den här profilen. Ange dina referenser för att autentisera till nätverket.

  1. Stäng Intel(R) PROSet för trådlösa anslutningar genom att klicka på OK.

Automatisk registrering för PEAP-TLS-certifikat

I Programinställningar markerar du Intel(R) PROSet för trådlösa anslutningar Varning om nekat TLS-certifikat om du vill att en varning ska utfärdas när ett PEAP-TLS-certifikat förkastas. När ett certifikat har ett ogiltigt fältförfallodatum informeras du om att du måste vidta en av följande åtgärder: Det har upptäckts ett möjligt autentiseringsproblem för profilen <profilnamn>. Förfallodatumet i det associerade certifikatet kan vara ogiltigt. Välj något av följande alternativ:

Kontroll Beskrivning
Fortsätt med nuvarande parametrar. Fortsätt med aktuellt certifikat
Uppdatera certifikat manuellt. Sidan Välj certifikat öppnas så att du kan välja ett annat certifikat.
Uppdatera certifikat automatiskt baserat på certifikaten i det lokala arkivet. Detta alternativ är endast aktiverat när det lokala arkivet innehåller ett eller flera certifikat för vilka fälten för "utfärdat till" och "utfärdat av" matchar det aktuella certifikatet och för vilka "förfallodatum" inte har nåtts. Om du väljer detta alternativ väljer programmet det första giltiga certifikatet.
Logga ut för att erhålla certifikat under inloggningsprocess (detta uppdaterar inte profilen och gäller endast certifikat som konfigurerats för automatisk registrering). Loggar ut användaren, som måste erhålla ett korrekt certifikat under nästa inloggningsprocess. Profilen måste uppdateras för att kunna välja det nya certifikatet.
Automatisk registrering Du informeras att du ska: Vänta medan datorn automatiskt försöker erhålla certifikatet. Avsluta certifikathämtningen genom att klicka på Avbryt.
Visa inte detta meddelande igen. En användare kan undvika detta steg under efterföljande sessioner. Systemet kommer ihåg valet för framtida sessioner.

Ställa in klient med LEAP-nätverksautentisering

Cisco LEAP (Light Extensible Authentication Protocol) är en 802.1X-autentiseringstyp som stödjer stark, ömsesidig autentisering mellan klienten och en RADIUS-server. LEAP-profilinställningarna inkluderar LEAP, integration med CKIP med detektering av otillåtna åtkomstpunkter. Ställa in klient med LEAP-autentisering:

  1. Klicka på Profiler i huvudfönstret för Intel PROSet för trådlösa anslutningar.
  2. På sidan Profil klickar du på Lägg till. Allmänna inställningar i Skapa trådlös profil öppnas.
  3. Profilnamn:Ange ett beskrivande profilnamn.
  4. Namn på trådlöst nätverk (SSID): Ange nätverksidentifieraren.
  5. Läge:Klicka på Nätverk (infrastruktur).
  6. Klicka på Nästa för att öppna Säkerhetsinställningar.
  7. Välj Företagssäkerhet.
  8. Nätverksautentisering: Markera WPA-Företag eller WPA2-Företag.
  9. Datakryptering: Markera ett av följande:
  10. Aktivera 802.1X:Markerad.
  11. Autentiseringstyp:Markera LEAP som ska användas med denna anslutning.
  12. Klicka på Cisco-alternativ.
  13. Klicka på Aktivera Cisco Compatible Extensions för att aktivera Cisco Compatible Extensions-säkerhet (CCX) (Tillåt Snabb Roaming (CCKM), Aktivera stöd för radiohantering, Aktivera läget Blandade celler).

Cisco Compatible Extensions

  1. Klicka på Aktivera stöd för radiohantering. Använd radiohantering för att identifiera otillåtna åtkomstpunkter.
  2. Klicka på OK för att gå tillbaka till Säkerhetsinställningar.

LEAP-användare

LEAP-användare

  1. Markera en av följande autentiseringsmetoder: Använd användarnamn och lösenord för Windows-inloggning, Fråga efter användarnamn och lösenord eller Använd följande användarnamn och lösenord.
  2. Klicka på OK för att spara inställningen och stänga sidan.

Alternativ för Cisco Compatible Extensions

Cisco-alternativ: Använd för att aktivera eller inaktivera radiohantering och läget blandade eller Tillåt Snabb Roaming (CCKM).

OBS! Cisco Compatible Extensions aktiveras automatiskt för CKIP-, LEAP- eller EAP-FAST-profiler. Åsidosätt denna funktion genom att markera eller avmarkera alternativ på den här sidan.

Aktivera alternativ för Cisco Compatible:Markera för att aktivera Cisco Compatible Extensions för denna profil för trådlös anslutning.

Ställa in klient med EAP-FAST-nätverksautentisering:

I Cisco Compatible Extensions, Version 3 (CCXv3) har Cisco lagt till stöd för EAP-FAST (Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling), som använder PAC (Protected Access Credentials) för att etablera en autentiserad tunnel mellan en klient och en server.

Cisco Compatible Extensions, Version 4 (CCXv4) förbättrar tillhandahållningsmetoderna för förbättrad säkerhet och tillhandahåller innovationer för förbättrad säkerhet, mobilitet, tjänstkvalitet och nätverkshantering.

Cisco Compatible Extensions, Version 3 (CCXv3)

För att installera en klient med EAP-FAST-autentisering med Cisco Compatible Extensions, version 3 (CCXv3):

  1. Klicka på Profiler i huvudfönstret för Intel PROSet för trådlösa anslutningar.
  2. På sidan Profil klickar du på Lägg till för att öppna Allmänna inställningar i Skapa trådlös profil.
  3. Namn på trådlöst nätverk (SSID): Ange nätverksidentifieraren.
  4. Profilnamn:Ange ett beskrivande profilnamn.
  5. Läge:Klicka på Nätverk (infrastruktur).
  6. Klicka på Nästa för att öppna Säkerhetsinställningar.
  7. Välj Företagssäkerhet.
  8. Nätverksautentisering: Markera WPA-Företag eller WPA2-Företag.
  9. Datakryptering: Markera ett av följande:
  10. Aktivera 802.1X:Markerad.
  11. Autentiseringstyp: Klicka på EAP-FAST som ska användas med denna anslutning.

EAP-FAST-tillhandahållande

OBS! Om CCXv4 Programinställning inte installerades via ett Administratörspaket, finns endast EAP-FAST-användarinställningar tillgängliga för konfiguration. Se EAP-FAST-användarinställningar.

Steg 1 av 2: EAP-FAST-tillhandahållande

  1. Klicka på Inaktivera EAP-FAST-förbättringar (CCXv4) om du vill tillåta tillhandahållande inuti en serveroautentiserad TLS-tunnel (läget för oautentiserat TLS-Server-tillhandahållande).
  2. Klicka på Välj server för att visa eventuella oautentiserade PAC som redan har tillhandahållits och finns på den här datorn.

OBS!Om det PAC som tillhandahålls är giltigt, anmodar inte Intel(R) PROSet för trådlösa anslutningar användaren om accepterande av PAC. Om PAC är ogiltigt misslyckas Intel PROSet för trådlösa anslutningar med tillhandahållandet automatiskt. Ett statusmeddelande visas i Loggbok för trådlösa anslutningar som en administratör kan läsa på användarens dator.

Importera PAC:

PAC

  1. Klicka på Nästa för att markera referenshämtningsperiod eller klicka på OK för att spara EAP-FAST-inställningarna och gå tillbaka till profillistan. PAC används för den här trådlösa profilen.

Steg 2 av 2: Ytterligare information om EAP-FAST

För att utföra klientautentisering i den etablerade tunneln skickar en klient ett användarnamn och lösenord för att autentisera och etablera policy för klientauktorisering.

  1. Klicka på Användarreferenser för att markera en av följande metoder för hämtning av referenser: Använd Windows-inloggning, Fråga varje gång jag ansluter eller Använd följande.
  2. Klicka på OK för att spara inställningarna och stänga sidan. Det behövs ingen serververifiering.

Cisco Compatible Extensions, version 4 (CCXv4)

För att installera en klient med EAP-FAST-autentisering med Cisco Compatible Extensions, version 4 (CCXv4):

  1. Klicka på Profiler i huvudfönstret för Intel PROSet för trådlösa anslutningar.
  2. På sidan Profil klickar du på Lägg till för att öppna Allmänna inställningar i guiden Skapa trådlös profil.
  3. Namn på trådlöst nätverk (SSID): Ange nätverksidentifieraren.
  4. Profilnamn:Ange ett beskrivande profilnamn.
  5. Läge:Klicka på Nätverk (infrastruktur).
  6. Klicka på Nästa för att öppna Säkerhetsinställningar.
  7. Välj Företagssäkerhet.
  8. Nätverksautentisering: Markera WPA-Företag eller WPA2-Företag.
  9. Datakryptering: Markera ett av följande:
  10. Datakryptering Välj AES-CCMP.
  11. Aktivera 802.1X:Markerad.
  12. Autentiseringstyp: Klicka på EAP-FAST som ska användas med denna anslutning.

Steg 1 av 3: EAP-FAST-tillhandahållande

Med CCXv4 stöder EAP-FAST två lägen för tillhandahållande:

OBS! Serverautentiserat läge tillhandahåller anmärkningsvärda säkerhetsfördelar jämfört med serveroautentiserat läge även när EAP-MSCHAPv2 används som en inre metod. Detta läge skyddar EAP-MSCHAPv2-utväxlingar från potentiella Man-in-the-Middle-attacker genom att verifiera serverns autenticitet före utbytet av MSCHAPv2. Därför föredras Serverautentiserat läge när så är möjligt. EAP-FAST-peer måste använda Serverautentiserat läge när certifikat eller offentlig nyckel finns tillgänglig för att autentisera servern och garantera bästa säkerhetspraxis.

Tillhandahållande av PAC (Protected Access Credentials):

EAP-FAST använder en PAC-nyckel (Protected Access Credentials) för att skydda användarreferenserna som utväxlas. Alla EAP-FAST-autentiserare identifieras med utfärdaridentitet (A-ID). Den lokala autentiseraren skickar sitt A-ID till en autentiserande klient, och klienten kontrollerar sin databas för ett matchande A-ID. Om klienten inte känner igen A-ID, begär den ett nytt PAC.

OBS! Om det PAC (Protected Access Credential) som tillhandahålls är giltigt, anmodar inte Intel(R) PROSet för trådlösa anslutningar användaren om accepterande av PAC. Om PAC är ogiltigt misslyckas Intel PROSet för trådlösa anslutningar med tillhandahållandet automatiskt. Ett statusmeddelande visas i Loggbok för trådlösa anslutningar som en administratör kan läsa på användarens dator.

  1. Verifiera att Inaktivera EAP-FAST-förbättringar (CCXv4) inte är markerat. Tillåt oautentiserat tillhandahållande och Tillåt autentiserat tillhandahållande är markerade som standard. När PAC markerats från standardservern kan du avmarkera en av dessa tillhandahållandemetoder.
  2. Standardserver: Ingen är markerad som standardvärde. Klicka på Välj server för att välja PAC från standard PAC-utfärdarservern eller välj server på listan Servergrupp list. Markeringssidan för EAP-FAST-standardserver (PAC-utfärdare) öppnas.

OBS! Servergrupper visas endast om du har installerat ett Administratörspaket som innehåller inställningar för EAP-FAST A-ID-grupp (Authority ID).

PAC-distribution kan också slutföras manuellt (utanför band). Med manuellt tillhandahållande kan du skapa PAC för en användare på en ACS-server och sedan importera den till en användares dator. En PAC-fil kan skyddas med ett lösenord, som användaren måste ange under en PAC-import.

Importera PAC:

  1. Klicka på Importera för att importera en PAC från PAC-servern.
  2. Klicka på Öppna.
  3. Ange PAC-lösenordet. (Valfritt)
  4. När du klickar på OK stängs sidan. Markerad PAC används för den trådlösa profilen.

EAP-FAST CCXv4 aktiverar stöd för tillhandahållandet av andra referenser utöver den PAC som för närvarande tillhandahålls för etablering av tunnel. De referenstyper som stöds inkluderar certifikat för betrodd CA, maskinreferenser för maskinautentisering och temporära användarreferenser som används för att åsidosätta användarautentisering.

Använd certifikat (TLS-autentisering)

  1. Klicka på Använd certifikat (TLS-autentisering)
  2. Klicka på Identitetsskydd när tunneln är skyddad.
  3. Markera något av följande:
  4. Användarnamn: Ange användarnamnet som tilldelats användarcertifikatet.
  5. Klicka på Nästa.

Steg 2 av 3: Ytterligare information om EAP-FAST

Om du markerat Använd certifikat (TLS-autentisering) och Använd användarcertifikat på den här datorn, klicka på Nästa (ingen roamingidentitet behövs) och fortsätt till Steg 3 för att konfigurera inställningar för EAP-FAST-servercertifikat. Om du inte behöver konfigurera EAP-FAST-serverinställningar, klicka på OK för att spara dina inställningar och gå tillbaka till profilsidan.

Om du markerat att du vill använda ett smartkort lägger du till roamingidentiteten om det behövs. Klicka på OK om du vill spara dina inställningar och gå tillbaka till profilsidan.

Om du inte markerade Använd certifikat (TLS-autentisering), klicka på Nästa för att välja ett autentiseringsprotokoll. CCXv4 tillåter ytterligare referenser eller TLS-chifferserier för att etablera tunneln.

Verifieringsprotokoll: Markera antingen GTC eller MS-CHAP-V2 (standard). 

GTC (Generic Token Card)

GTC kan användas med serverautentiserat läge. Detta aktiverar peer-enheter som använder andra databaser som LDAP (Lightweight Directory Access Protocol) och teknologi för engångslösenord (One-Time Password eller OTP) som ska tillhandahållas i bandet. Men ersättningen kan endast uppnås när den används med TLS-chifferserierna som garanterar serverautentisering.

Konfigurera ett engångslösenord så här:

  1. Verifieringsprotokoll: Markera GTC (Generic Token Card).
  2. Användarreferenser: Markera Fråga varje gång jag ansluter
  3. Vid anslutning, fråga efter: Markera ett av följande:
Namn Beskrivning
Statiskt lösenord Skriv användarreferenserna vid anslutning.
Engångslösenord (OTP) Inskaffa lösenordet från en maskinvarutokenenhet.
PIN-kod (Soft Token) Inskaffa lösenordet från ett soft token-program.
  1. Klicka på OK.
  2. Markera profilen i listan med trådlösa nätverk.
  3. Klicka på Anslut. När du instrueras att göra så, ange användarnamn, domän och engångslösenord (OTP).
  4. Klicka på OK.

MS-CHAP-V2

Denna parameter anger autentiseringsprotokollet som drivs över PEAP-tunneln.

  1. Markera användarreferenserna: Använd Windows-inloggning, Fråga varje gång jag ansluter eller Använd följande.
  2. Roaming-identi&tet: Det kan fyllas i en Roaming-identitet i detta fält eller så kan du använda %domän%\%användarnamn% som standardformatet för att ange en roaming-identitet.

När du använder 802.1X Microsoft IAS RADIUS-servern som autentiseringsserver, autentiserar servern enheten genom att använda Roaming-identitet från programmet Intel PROSet för trådlösa anslutningar och ignorerar Autentiseringsprotokoll MS-CHAP-V2-användarnamnet. Microsoft IAS RADIUS accepterar endast ett giltigt användarnamn (dotNet-användare) för Roaming-identitet. Roaming-identitet är valfritt för alla andra autentiseringsservrar. Därför rekommenderas det att önskad "realm" eller sfär (t.ex. anonym@myrealm) används som Roaming-identitet i stället för en sann identitet.

Steg 3 av 3: EAP-FAST-server

Tillhandahållningsläge för autentiserad TLS-server stöds med certifikat för betrodd CA, ett självundertecknat servercertifikat, or servers offentliga nycklar och GTC som inre EAP-metod.

  1. Markera en av följande referenshämtningsmetoder: Validera servercertifikat eller Ange server- eller certifikatnamn.
  2. Stäng säkerhetsinställningarna genom att klicka på OK.

EAP-FAST-användarinställningar

OBS! Om ett Administratörspaket installerats på en användares dator som inte tillämpade Cisco Compatible Extensions, Version 4 Programinställning, finns endast EAP-FAST-användarinställningarna tillgängliga för konfiguration.

Ställa in klient med EAP-FAST-autentisering:

  1. Klicka på Profiler i huvudfönstret för Intel PROSet för trådlösa anslutningar.
  2. På sidan Profil klickar du på Lägg till för att öppna Allmänna inställningar i Skapa trådlös profil.
  3. Namn på trådlöst nätverk (SSID): Ange nätverksidentifieraren.
  4. Profilnamn:Ange ett beskrivande profilnamn.
  5. Läge:Klicka på Nätverk (infrastruktur).
  6. Klicka på Nästa för att öppna Säkerhetsinställningar.
  7. Klicka på Företagssäkerhet.
  8. Nätverksautentisering: Markera WPA-Företag eller WPA2-Företag.
  9. Datakryptering: Markera ett av följande:
  10. Aktivera 802.1X:Markerad.
  11. Autentiseringstyp: Klicka på EAP-FAST som ska användas med denna anslutning.
  12. Klicka på Cisco-alternativ för att markera Tillåt Snabb Roaming (CCKM) vilket aktiverar klientens trådlösa klientkort för snabb och säker roaming.

EAP-FAST-användare

Markera referenshämtningsmetoden:

  1. Markera användarreferenserna: Använd Windows-inloggning, Fråga varje gång jag ansluter eller Använd följande.
  2. Tillåt automatiskt tillhandahållande för PAC (Protected Access Credentials):

EAP-FAST använder en PAC-nyckel (Protected Access Credentials) för att skydda användarreferenserna som utväxlas. Alla EAP-FAST-autentiserare identifieras med utfärdaridentitet (A-ID). Den lokala autentiseraren skickar sitt A-ID till en autentiserande klient, och klienten kontrollerar sin databas för ett matchande A-ID. Om klienten inte känner igen A-ID, begär den ett nytt PAC.

Klicka på PAC för att visa eventuella PAC som redan har angetts och finns på den här datorn. Innan du kan avmarkera Tillåt automatiskt tillhandahållande i Säkerhetsinställningar måste du ha erhållit ett PAC.

OBS! Om det PAC (Protected Access Credential) som tillhandahålls är giltigt, anmodar inte Intel(R) PROSet för trådlösa anslutningar användaren om accepterande av PAC. Om PAC är ogiltigt misslyckas Intel PROSet för trådlösa anslutningar med tillhandahållandet automatiskt. Ett statusmeddelande visas i Loggbok för trådlösa anslutningar som en administratör kan läsa på användarens dator.

PAC-distribution kan också slutföras manuellt (utanför band). Med manuellt tillhandahållande kan du skapa PAC för en användare på en ACS-server och sedan importera den till en användares dator. En PAC-fil kan skyddas med ett lösenord, som användaren måste ange under en PAC-import.

Importera PAC:

  1. Klicka på PAC för att öppna listan PAC (Protected Access Credentials).
  2. Klicka på Importera för att importera PAC som finns på den här datorn eller en server.
  3. Markera PAC och klicka på Öppna.
  4. Ange PAC-lösenordet (valfritt).
  5. Klicka på OK för att stänga den här sidan. Markerat PAC läggs till i PAC-lista.
  6. Klicka på OK för att spara EAP-FAST-inställningarna och gå tillbaka till profillistan. PAC används för den här trådlösa profilen.

Tillbaka till början

Tillbaka till Innehåll

Begränsningar och ansvarsfriskrivningar