Terug naar inhoudsopgave

Beveiliging instellen in profielen

De software van Intel(R) PROSet/Wireless gebruiken
Persoonlijke beveiliging
Persoonlijke beveiligingsinstellingen
Gegevenscodering en verificatie instellen

Bedrijfsbeveiliging
Instellingen voor bedrijfsbeveiliging

De software van Intel(R) PROSet/Wireless gebruiken

In de volgende secties vindt u informatie over het gebruik van Intel(R) PROSet/Wireless voor het configureren van de beveiligingsinstellingen voor de draadloze adapter. Zie Persoonlijke beveiliging.

Tevens wordt informatie gegeven over het configureren van geavanceerde beveiligingsinstellingen voor de draadloze adapter. Hiervoor hebt u informatie nodig van de systeembeheerder (in een bedrijf) of over de geavanceerde beveiligingsinstellingen van uw toegangspunt (thuisgebruikers). Selecteer Bedrijfsbeveiliging.

Zie Beveiliging - Overzicht voor algemene informatie over beveiligingsinstellingen.

Persoonlijke beveiliging

Gebruik persoonlijke beveiliging voor een thuisnetwerk of een klein bedrijfsnetwerk. U kunt een aantal eenvoudige procedures gebruiken om de draadloze verbinding te beschermen. U selecteert voor het draadloze netwerk alleen de beveiligingsinstellingen waarvoor geen uitgebreide infrastructuur nodig is. Een RADIUS- of AAA-server is niet vereist.

Opmerking: Persoonlijke beveiligingsopties zijn niet beschikbaar in het Hulpprogramma voor beheerders wanneer u beheerprofielen voor Windows Vista* maakt.

Persoonlijke beveiligingsinstellingen

Beschrijving van de persoonlijke beveiligingsinstellingen

Naam Instelling

Persoonlijke beveiliging

Selecteer deze optie om de persoonlijke beveiligingsinstellingen te openen. Welke beveiligingsinstellingen beschikbaar zijn, is afhankelijk van de uitvoermodus die is geselecteerd in de beveiligingsinstellingen van Profielbeheer.

Apparaat naar apparaat (ad hoc): In de ad-hocmodus (apparaat naar apparaat) sturen draadloze computers gegevens rechtstreeks naar andere draadloze computers in het netwerk. De ad-hocmodus is geschikt om computers in een thuisnetwerk of een klein bedrijfsnetwerk met elkaar te verbinden of om een tijdelijk draadloos netwerk op te zetten voor een vergadering.

Opmerking: Ad-hocnetwerken worden in de lijst van draadloze netwerken en de profiellijst geïdentificeerd met een pictogram van een notebook (notebook).

Netwerk (Infrastructuur): Een infrastructuurnetwerk bestaat uit één of meer toegangspunten en één of meer computers waarin draadloze adapters zijn geïnstalleerd. Ten minste één toegangspunt moet ook een kabelverbinding hebben. Voor thuisgebruikers gaat het hierbij meestal om een breedband- of kabelnetwerk.

Opmerking: In de lijst van draadloze netwerken en de profiellijst worden infrastructuurnetwerken geïdentificeerd met een pictogram van een toegangspunt (toegangspunt).

Beveiligingsinstellingen

Als u een profiel voor een ad-hocnetwerk configureert, selecteert u een van de volgende instellingen voor de gegevenscodering:

Als u een profiel voor een infrastructuurnetwerk configureert, selecteert u:

Knop Geavanceerd

 Gebruik deze knop om toegang te krijgen tot de Geavanceerde instellingen en de volgende opties te configureren:

Vorige

De vorige pagina van de wizard Profiel weergeven.

OK

Hiermee sluit u de wizard Profiel en wordt het profiel opgeslagen.

Annuleren

Hiermee sluit u de wizard Profiel en annuleert u alle wijzigingen.

Help?

Hiermee kunt u de helpinformatie voor de huidige pagina bekijken.

Gegevenscodering en verificatie instellen

In een draadloos thuisnetwerk kunt u een aantal eenvoudige procedures gebruiken om de draadloze verbindingen te beveiligen. Die procedures zijn:

WPA-codering (Wi-Fi Protected Access) voorziet in de bescherming van gegevens in het netwerk. WPA maakt gebruik van een coderingssleutel, Pre-Shared Key (PSK) genaamd, om gegevens voor de transmissie te coderen. U geeft op alle computers en het toegangspunt in uw thuisnetwerk of klein bedrijfsnetwerk dezelfde sleutel op. Alleen apparaten met dezelfde coderingssleutel kunnen toegang tot het netwerk krijgen of gecodeerde gegevens van andere computers decoderen. Als u een wachtwoord opgeeft, wordt automatisch het TKIP (Temporal Key Integrity Protocol) of AES-CCMP-protocol gestart voor de gegevenscodering.

Netwerksleutels

WEP-codering voorziet in twee niveaus van beveiliging:

Voor een betere beveiliging gebruikt u een 128-bits sleutel. Als u gebruikmaakt van codering, moeten alle draadloze apparaten in het netwerk dezelfde coderingssleutels gebruiken.

U kunt de sleutel zelf maken en de sleutellengte (64-bits of 128-bits) en sleutelindex (de locatie waarop een sleutel is opgeslagen) opgeven. Hoe langer de sleutel, hoe veiliger deze is.

Sleutellengte: 64-bits

Wachtwoordgroep (64-bits): Geef vijf alfanumerieke tekens op: 0-9, a-z en A-Z.
Hexadecimale sleutel (64-bits): Geef 10 hexadecimale tekens op: 0-9, A-F.

Sleutellengte: 128-bits

Wachtwoordgroep (128-bits): Geef 13 alfanumerieke tekens op: 0-9, a-z en A-Z.
Hexadecimale sleutel (128-bits): Geef 26 hexadecimale tekens op: 0-9, A-F.

Als u WEP-gegevenscodering gebruikt, kan een draadloos station met maximaal vier sleutels (de waarden voor de sleutelindex zijn 1, 2, 3 en 4) worden geconfigureerd. Wanneer een toegangspunt of een draadloos station een gecodeerd bericht verzendt met een sleutel die in een specifieke sleutelindex is opgeslagen, geeft het verzonden bericht de sleutelindex aan waarmee de berichtinhoud is gecodeerd. Het ontvangende toegangspunt of draadloze station kan vervolgens de sleutel ophalen uit de sleutelindex waarin deze is opgeslagen en de sleutel dan gebruiken om de gecodeerde berichtinhoud te decoderen.

Een client configureren met open verificatie en zonder gegevenscodering

In de ad-hocmodus (apparaat naar apparaat) sturen draadloze computers gegevens rechtstreeks naar andere draadloze computers in het netwerk. De ad-hocmodus is geschikt om computers in een thuisnetwerk of een klein bedrijfsnetwerk met elkaar te verbinden of om een tijdelijk draadloos netwerk op te zetten voor een vergadering.

Kies in het hoofdvenster van Intel(R) PROSet/Wireless een van de volgende methoden om de verbinding met een ad-hocnetwerk tot stand te brengen:

U maakt als volgt een profiel voor een draadloze netwerkverbinding zonder codering:

  1. Klik op Profielen in het hoofdvenster van Intel(R) PROSet/Wireless.
  2. Klik in de lijst Profielen op Toevoegen om de Algemene instellingen van Profielbeheer te openen.
  3. Profielnaam: Geef een beschrijvende naam op voor het profiel.
  4. Naam draadloos netwerk (SSID): Voer de naam in van het draadloze netwerk.
  5. Uitvoermodus: Klik op Apparaat naar apparaat (ad hoc).
  6. Klik op Volgende om de pagina Beveiligingsinstellingen te openen.
  7. Persoonlijke beveiliging is standaard geselecteerd.
  8. Beveiligingsinstellingen: De standaardinstelling is Geen, hetgeen betekent dat het draadloze netwerk niet is beveiligd.
  9. Klik op OK. Het profiel wordt toegevoegd aan de profiellijst en er wordt verbinding gemaakt met het draadloze netwerk.

Een client configureren met 64-bits of 128-bits WEP-gegevenscodering

Wanneer WEP-gegevenscodering wordt ingeschakeld, wordt een netwerksleutel of wachtwoord gebruikt voor de codering.

Een netwerksleutel kan automatisch worden geleverd (deze kan bijvoorbeeld worden geleverd door de producent van de draadloze netwerkadapter) of u kunt deze zelf invoeren en de lengte (64-bits of 128-bits), indeling (ASCII-tekens of hexadecimale cijfers) en index (de locatie waar een specifieke sleutel is opgeslagen) voor de sleutel opgeven. Hoe langer de sleutel, hoe veiliger deze is.

U voegt als volgt een netwerksleutel toe voor een ad-hocnetwerkverbinding:

  1. Dubbelklik in het hoofdvenster van Intel(R) PROSet/Wireless op een ad-hocnetwerk in de lijst van draadloze netwerken of selecteer het netwerk en klik op Verbinden.
  2. Klik op Profielen om toegang te krijgen tot de profiellijst.
  3. Klik op Eigenschappen om de Algemene instellingen van Profielbeheer te openen. De naam van het profiel en de naam van het draadloze netwerk (SSID) worden weergegeven. Apparaat naar apparaat (ad hoc) moet zijn geselecteerd voor de uitvoermodus.
  4. Klik op Volgende om de pagina Beveiligingsinstellingen te openen.
  5. Persoonlijke beveiliging is standaard geselecteerd.
  6. Beveiligingsinstellingen: De standaardinstelling is Geen, hetgeen betekent dat het draadloze netwerk niet is beveiligd.

U kunt als volgt een wachtwoord of netwerksleutel toevoegen:

  1. Beveiligingsinstellingen: Selecteer 64-bits WEP of 128-bits WEP om de WEP-gegevenscodering te configureren met een 64-bits of 128-bits sleutel.

    2. Wanneer WEP-codering is ingeschakeld op een toegangspunt, wordt met de WEP-sleutel de netwerktoegang geverifieerd. Als op het draadloze apparaat niet de juiste WEP-sleutel is ingesteld, kan het apparaat geen gegevens verzenden via het toegangspunt of gegevens decoderen die van het toegangspunt zijn ontvangen, zelfs niet als de verificatie met succes is voltooid.

Naam Beschrijving

Wachtwoord

Geef het wachtwoord (wachtwoordgroep) of de coderingssleutel (WEP-sleutel) voor het draadloze netwerk op.

Wachtwoordgroep (64-bits)

Geef vijf alfanumerieke tekens op: 0-9, a-z en A-Z.

WEP-sleutel (64-bits)

Geef 10 hexadecimale tekens op: 0-9, A-F.

Wachtwoordgroep (128-bits)

Geef 13 alfanumerieke tekens op: 0-9, a-z en A-Z.

WEP-sleutel (128-bits)

Geef 26 hexadecimale tekens op: 0-9, A-F.
  1. Sleutelindex: Met behulp van de sleutelindexnummers kunt u vier verschillende wachtwoorden instellen.
  2. Klik op OK om terug te gaan naar de profiellijst.

U voegt als volgt meer dan één wachtwoord toe:

  1. Selecteer een nummer voor de sleutelindex: 1, 2, 3 of 4.
  2. Geef het wachtwoord voor het draadloze netwerk op.
  3. Selecteer een ander nummer voor de sleutelindex:
  4. Geef een tweede wachtwoord voor het draadloze netwerk op.

Een client configureren met WPA*-Personal (TKIP) of WPA2*-Personal (TKIP) voor de beveiliging

Voor de modus WPA-Personal moet handmatig een PSK (Pre-Shared Key) worden geconfigureerd op het toegangspunt en de clients. Met de PSK wordt een gebruikerswachtwoord of identificatiecode geverifieerd op zowel de client als het toegangspunt. Een verificatieserver is niet nodig. De modus WPA-Personal is bedoeld voor thuisnetwerken en kleine bedrijfsnetwerken.

WPA2 is de tweede generatie van de WPA-beveiliging en geeft bedrijven en consumenten een hoog niveau van zekerheid dat alleen bevoegde gebruikers toegang hebben tot draadloze netwerken. WPA2 voorziet in een sterker coderingsmechanisme via de Advanced Encryption Standard (AES). Die sterkere beveiliging is een vereiste voor sommige bedrijven en overheidsinstanties.

U configureert als volgt een profiel met WPA-Personal netwerkverificatie en TKIP-gegevenscodering:

  1. Dubbelklik in het hoofdvenster van Intel(R) PROSet/Wireless op een infrastructuurnetwerk in de lijst van draadloze netwerken of selecteer het netwerk en klik op Verbinden.
  2. Klik op Profielen om toegang te krijgen tot de profiellijst.
  3. Klik op Eigenschappen om de Algemene instellingen van Profielbeheer te openen. De naam van het profiel en de naam van het draadloze netwerk (SSID) worden weergegeven. Netwerk (Infrastructuur) zou moeten zijn geselecteerd als de uitvoermodus.
  4. Klik op Volgende om de pagina Beveiligingsinstellingen te openen.
  5. Persoonlijke beveiliging is standaard geselecteerd.
  6. Beveiligingsinstellingen: Selecteer WPA-Personal (TKIP) om de beveiliging in te stellen voor een klein bedrijfsnetwerk of een thuisnetwerk. Daarbij wordt een wachtwoord, Pre-Shared Key (PSK) genoemd, gebruikt. Hoe langer het wachtwoord, hoe sterker de beveiliging van het draadloze netwerk.

Als uw draadloze toegangspunt of router ondersteuning biedt voor WPA2-Personal, verdient het aanbeveling om het protocol in te schakelen op het toegangspunt en een lang, sterk wachtwoord op te geven. Hoe langer het wachtwoord, hoe sterker de beveiliging van het draadloze netwerk. Het wachtwoord dat wordt opgegeven voor het toegangspunt, moet ook worden gebruikt op deze computer en op alle draadloze apparaten die verbonden worden met het draadloze netwerk.

Opmerking: WPA-Personal en WPA2-Personal kunnen samenwerken.

  1. Beveiligingswachtwoord voor het draadloze netwerk (coderingssleutel): Geef 8 tot 63 tekens op. Controleer of de netwerksleutel overeenkomt met het wachtwoord op het draadloze toegangspunt.
  2. Klik op OK om terug te gaan naar de profiellijst.

Een client configureren met WPA-Personal (AES-CCMP) of WPA2-Personal (AES-CCMP) voor de beveiliging

Wi-Fi Protected Access (WPA) is een beveiligingsuitbreiding waarmee het niveau van gegevensbeveiliging en toegangsbeheer van een draadloos netwerk aanzienlijk wordt verhoogd. WPA dwingt 802.1X-verificatie en sleuteluitwisseling af en werkt alleen met dynamische coderingssleutels. Voor thuisgebruikers en kleine bedrijven maakt WPA-Personal gebruik van Advanced Encryption Standard - Counter CBC-MAC Protocol (AES-CCMP) of Temporal Key Integrity Protocol (TKIP).

Opmerking: Als u met de adapter Intel(R) Wireless WiFi Link 4965AGN een overdrachtsnelheid van meer dan 54 Mbps wilt behalen op 802.11n-verbindingen, moet WPA2-AES-beveiliging zijn geselecteerd. U kunt er ook voor kiezen om geen beveiliging (Geen) te selecteren als u bijvoorbeeld netwerkinstellingen wilt configureren of problemen met het netwerk wilt oplossen.

U maakt als volgt een profiel met WPA2-Personal netwerkverificatie en AES-CCMP-gegevenscodering:

  1. Dubbelklik in het hoofdvenster van Intel(R) PROSet/Wireless op een infrastructuurnetwerk in de lijst van draadloze netwerken of selecteer het netwerk en klik op Verbinden.
  2. Klik op Eigenschappen om de Algemene instellingen van Profielbeheer te openen. De naam van het profiel en de naam van het draadloze netwerk (SSID) worden weergegeven. Netwerk (Infrastructuur) zou moeten zijn geselecteerd als de uitvoermodus.
  3. Klik op Volgende om de pagina Beveiligingsinstellingen te openen.
  4. Persoonlijke beveiliging is standaard geselecteerd.
  5. Beveiligingsinstellingen: Selecteer WPA2-Personal (AES-CCMP) om beveiliging op dit niveau voor kleine netwerken en thuisnetwerken in te stellen. Hierbij wordt een wachtwoord gebruikt, dat ook wel een vooraf gedeelde sleutel (PSK, Pre-Shared Key) wordt genoemd. Hoe langer het wachtwoord, hoe sterker de beveiliging van het draadloze netwerk.

AES-CCMP (Advanced Encryption Standard - Counter CBC-MAC Protocol) is een nieuwe methode voor de bescherming van de privacy bij draadloze transmissies, waarvoor de specificaties zijn vastgelegd in de IEEE 802.11i-standaard. AES-CCMP biedt een krachtigere coderingsmethode dan TKIP. Kies AES-CCMP als methode voor de gegevenscodering als een sterke bescherming van gegevens voor u van belang is.

Als uw draadloze toegangspunt of router ondersteuning biedt voor WPA2-Personal, verdient het aanbeveling om het protocol in te schakelen op het toegangspunt en een lang, sterk wachtwoord op te geven. Het wachtwoord dat wordt opgegeven voor het toegangspunt, moet ook worden gebruikt op deze computer en op alle draadloze apparaten die verbonden worden met het draadloze netwerk.

Opmerking: WPA-Personal en WPA2-Personal kunnen samenwerken.

Het is mogelijk dat niet alle beveiligingsopties worden ondersteund door het besturingssysteem op uw computer. In dat geval hebt u mogelijk extra software of hardware nodig voor de ondersteuning van de draadloze infrastructuur. De fabrikant van de computer kan u meer informatie geven.

  1. Wachtwoord: Beveiligingswachtwoord voor het draadloze netwerk (coderingssleutel): Voer een wachtwoord van 8 tot 63 tekens in. Verifieer dat de gebruikte netwerksleutel overeenkomt met de sleutel van het draadloze toegangspunt.
  2. Klik op OK om terug te gaan naar de profiellijst.

Bedrijfsbeveiliging

Op de pagina Beveiligingsinstellingen geeft u de beveiligingsinstellingen op die vereist zijn voor het geselecteerde draadloze netwerk.

Gebruik bedrijfsbeveiliging als in uw netwerk 802.1x-verificatie vereist is.

Instellingen voor bedrijfsbeveiliging

Beschrijving van de instellingen voor bedrijfsbeveiliging

Naam Instelling
Bedrijfsbeveiliging

Selecteer deze optie om de instellingen voor de bedrijfsbeveiliging te openen.
Netwerkverificatie

Selecteer een van de volgende verificatiemethoden:
Gegevenscodering

Klik hierop om een van de volgende typen gegevenscodering in te stellen:
802.1x inschakelen (verificatietype) Selecteer deze optie om een keuze te maken uit de volgende 802.1x-verificatietypen:
Cisco-opties Klik om de Cisco Compatible Extensions te bekijken.

Opmerking: Cisco Compatible Extensions worden automatisch ingeschakeld voor profielen met CKIP en LEAP.
Knop Geavanceerd Gebruik deze knop om toegang te krijgen tot de Geavanceerde instellingen en de volgende opties te configureren:
Gebruikersreferenties

Voor een profiel dat is geconfigureerd voor TTLS-, PEAP- of EAP-FAST-verificatie is een van de volgende methoden voor aanmeldingsverificatie vereist:

Aanmeldingsgegevens voor Windows gebruiken: Deze optie maakt het mogelijk om de 802.1x-referenties overeen te laten komen met de gebruikersnaam en het wachtwoord waarmee u zich aanmeldt bij Windows. Voordat de verbinding tot stand wordt gebracht, wordt u gevraagd om uw aanmeldingsgegevens voor Windows.

Opmerking: Deze optie is niet beschikbaar als Verbinding vóór de aanmelding niet is geselecteerd bij de installatie van de software van Intel(R) PROSet/Wireless. Zie Voorziening voor eenmalige aanmelding installeren of verwijderen voor meer informatie.

Opmerking: Voor LEAP-profielen is dit de optie Gebruikersnaam en wachtwoord voor aanmelding bij Windows gebruiken.

Vragen telkens wanneer ik verbinding maak: Voordat de verbinding met het draadloze netwerk tot stand wordt gebracht, wordt u gevraagd om uw gebruikersnaam en wachtwoord.

Opmerking: Voor LEAP-profielen is dit de optie Vragen om gebruikersnaam en wachtwoord.

Het volgende gebruiken: De opgeslagen referenties worden gebruikt voor de aanmelding bij het netwerk.

  • Gebruikersnaam: Deze gebruikersnaam moet overeenkomen met de gebruikersnaam die door de beheerder op de verificatieserver is ingesteld voorafgaand aan de clientverificatie. De gebruikersnaam is hoofdlettergevoelig. Deze naam specificeert de identiteit die aan de verificator is doorgegeven door het verificatieprotocol met de TLS-tunnel. Wanneer een gecodeerd kanaal is geverifieerd, wordt de identiteit van de gebruiker veilig overgedragen naar de server.
  • Domein: Naam van het domein op de verificatieserver. De servernaam identificeert een domein of een van de subdomeinen (bijvoorbeeld zeelans.com, als de server blueberry.zeelans.com is).
  • Wachtwoord: Hier wordt het wachtwoord voor de gebruiker weergegeven. Wanneer een wachtwoord wordt opgegeven, worden sterretjes in plaats van de tekens weergegeven. Het wachtwoord moet overeenkomen met het wachtwoord dat op de verificatieserver is ingesteld.
  • Wachtwoord bevestigen: Geef het wachtwoord nogmaals op.

Opmerking: De systeembeheerder kan u vertellen welke domeinnaam u moet gebruiken.

Opmerking: Voor LEAP-profielen wordt deze optie weergegeven als Gebruik volgende gebruikersnaam en wachtwoord.
Serveropties

Selecteer een van de volgende methoden voor het ophalen van referenties:

Servercertificaat valideren: Selecteer deze optie om het servercertificaat te verifiëren.

Certificaatverlener: Het servercertificaat dat tijdens de TLS-berichtenuitwisseling is ontvangen, moet door deze certificeringsinstantie zijn verleend. Vertrouwde tussen- of hoofdinstanties waarvan de certificaten in het systeemarchief zijn opgeslagen, kunnen in de keuzelijst worden geselecteerd. Als Elke vertrouwde certificeringsinstantie is geselecteerd, zijn alle instanties in de lijst acceptabel. Klik op Elke vertrouwde certificeringsinstantie als de standaardwaarde of selecteer een certificaatverlener uit de lijst.

Server- of certificaatnaam opgeven: Geef de servernaam op.

De naam van de server of het domein waarvan de server deel uitmaakt. Wat u op moet geven, is afhankelijk van welk van de onderstaande opties is geselecteerd.

  • Servernaam moet identiek zijn aan de opgegeven naam: Wanneer deze optie is geselecteerd, moet de opgegeven servernaam identiek zijn aan de servernaam op het certificaat. De complete naam van het domein moet worden opgenomen als onderdeel van de servernaam (bijvoorbeeld Servernaam.Domeinnaam).
  • Domeinnaam moet eindigen in de opgegeven naam: Wanneer deze optie is geselecteerd, identificeert de servernaam een domein. Het certificaat dient bijgevolg een servernaam te bevatten die tot het domein of een van de subdomeinen behoord (bijvoorbeeld zeelans.com, wanneer blueberry.zeelans.com de server is).

Opmerking: Deze parameters kunt u bij uw systeembeheerder aanvragen.
Certificaatopties Selecteer een van de volgende opties om een certificaat voor TLS-verificatie te verkrijgen:

Mijn smartcard gebruiken: Selecteer deze optie als het certificaat is opgeslagen op een smartcard.

Certificaat gebruiken dat is verleend aan deze computer: Hiermee kunt u een certificaat selecteren dat is opgeslagen op de machine.

Gebruikerscertificaat op deze computer gebruiken: Klik op Selecteren om een certificaat te kiezen dat is opgeslagen op deze computer.

Opmerking: Intel(R) PROSet/Wireless ondersteunt machinecertificaten. Deze worden echter niet weergegeven in de lijsten met certificaten.

Opmerkingen over certificaten: De opgegeven identiteit dient overeen te komen met de waarde van het certificaatveld Verleend aan en moet zijn geregistreerd op de verificatieserver (bijvoorbeeld de RADIUS-server) die door de verificator wordt gebruikt. Het certificaat moet geldig zijn voor de verificatieserver. Dit vereiste is afhankelijk van de verificatieserver en houdt in dat de verificatieserver de uitgever van het certificaat als een certificeringsinstantie moet herkennen. Gebruik de gebruikersnaam waarmee u zich hebt aangemeld toen het certificaat werd geïnstalleerd.
Vorige De vorige pagina van de wizard Profiel voor een draadloos netwerk maken weergeven.
Volgende De volgende pagina van de wizard Profiel voor een draadloos netwerk maken weergeven. Als er meer beveiligingsinformatie nodig is, wordt de volgende stap op de beveiligingspagina weergegeven.
OK Hiermee sluit u de wizard Profiel voor een draadloos netwerk maken en wordt het profiel opgeslagen.
Annuleren Hiermee sluit u de wizard Profiel voor een draadloos netwerk maken en annuleert u alle wijzigingen.
Help? Hiermee kunt u de helpinformatie voor de huidige pagina bekijken.

Profielen voor infrastructuurnetwerken configureren

Een infrastructuurnetwerk bestaat uit één of meer toegangspunten en één of meer computers waarin draadloze adapters zijn geïnstalleerd. Elk toegangspunt moet een kabelverbinding met het draadloze netwerk hebben.

Een client configureren met open of gedeelde netwerkverificatie

Als een gedeelde sleutel wordt gebruikt voor de verificatie, wordt aan elk draadloos station een geheime gedeelde sleutel verzonden over een beveiligd kanaal dat onafhankelijk is van het draadloze 802.11-communicatiekanaal. Bij deze methode moet op de client een statische WEP- of CKIP-sleutel worden geconfigureerd. De client krijgt alleen toegang als de client voldoet aan een verificatie die is gebaseerd op controle- en antwoordpakketten. CKIP biedt een betere gegevenscodering dan WEP, maar niet alle besturingssystemen en toegangspunten ondersteunen CKIP.

Opmerking: Hoewel een gedeelde sleutel een goede optie voor een hoger beveiligingsniveau lijkt te zijn, is er een bekend zwak punt: de reeks in het controlepakket wordt als gewone tekst naar de client gestuurd. Als een binnendringer de reeks in het controlepakket ondervangt, kan de gedeelde verificatiesleutel eenvoudig worden achterhaald. Daarom is open verificatie, hoe vreemd dat ook klinkt, in feite veiliger. U maakt als volgt een profiel met gedeelde verificatie:

  1. Klik op Profielen in het hoofdvenster van Intel(R) PROSet/Wireless.
  2. Klik op de pagina Profielen op Toevoegen om de Algemene instellingen van Profielbeheer te openen.
  3. Profielnaam: Geef een beschrijvende naam op voor het profiel.
  4. Naam draadloos netwerk (SSID): Geef de netwerkidentificatie op.
  5. Uitvoermodus: Klik op Netwerk (Infrastructuur).
  6. Klik op Volgende om de pagina Beveiligingsinstellingen te openen.
  7. Selecteer Bedrijfsbeveiliging.
  8. Netwerkverificatie: Selecteer Gedeeld. Gedeelde verificatie wordt gerealiseerd met een vooraf geconfigureerde WEP-sleutel.
  9. Gegevenscodering: Selecteer Geen, WEP (64-bits of 128-bits) of CKIP (64-bits of 128-bits).
  10. 802.1X inschakelen: Uitgeschakeld.
  11. Coderingsniveau: 64-bits of 128-bits: Als u schakelt tussen 64-bits en 128-bits codering, worden de vorige instellingen gewist en moet u een nieuwe sleutel invoeren.
  12. Beveiligingswachtwoord voor het draadloze netwerk (coderingssleutel): Geef het wachtwoord voor het draadloze netwerk (de WEP-coderingssleutel) op. Dit wachtwoord moet overeenkomen met het wachtwoord dat is ingesteld op het draadloze toegangspunt of de router. Neem voor informatie over dit wachtwoord contact op met de beheerder.
Naam Beschrijving
Wachtwoord

Geef het wachtwoord (wachtwoordgroep) of de coderingssleutel (WEP-sleutel) voor het draadloze netwerk op.
Wachtwoordgroep (64-bits)

Geef vijf alfanumerieke tekens op: 0-9, a-z en A-Z.
WEP-sleutel (64-bits)

Geef 10 hexadecimale tekens op: 0-9, A-F.
Wachtwoordgroep (128-bits)

Geef 13 alfanumerieke tekens op: 0-9, a-z en A-Z.
WEP-sleutel (128-bits)

Geef 26 hexadecimale tekens op: 0-9, A-F.
  1. Sleutelindex: Selecteer 1,2, 3 of 4. Met behulp van de sleutelindexnummers kunt u vier verschillende wachtwoorden instellen.
  2. Klik op OK.

Een client configureren met WPA*-Enterprise of WPA2*-Enterprise voor de netwerkverificatie

Voor WPA2-Enterprise is een verificatieserver nodig.

Opmerking: WPA-Enterprise en WPA2-Enterprise kunnen samenwerken.

U maakt als volgt een profiel met WPA-Enterprise of WPA2-Enterprise voor de verificatie:

  1. Voordat u begint, dient u eerst een gebruikersnaam en wachtwoord voor de RADIUS-server te verkrijgen van uw systeembeheerder.
  2. Voor bepaalde verificatietypen moet u een clientcertificaat verkrijgen en installeren. Zie De client configureren voor TLS-verificatie of neem contact op met de systeembeheerder.
  3. Klik op Profielen in het hoofdvenster van Intel(R) PROSet/Wireless.
  4. Klik op de pagina Profielen op Toevoegen om de Algemene instellingen van Profielbeheer te openen.
  5. Profielnaam: Geef een beschrijvende naam op voor het profiel.
  6. Naam draadloos netwerk (SSID): Geef de netwerkidentificatie op.
  7. Uitvoermodus: Klik op Netwerk (Infrastructuur).
  8. Klik op Volgende.
  9. Selecteer Bedrijfsbeveiliging.
  10. Netwerkverificatie: Selecteer WPA-Enterprise of WPA2-Enterprise.
  11. Gegevenscodering: Selecteer een van de volgende opties:
  12. 802.1X inschakelen: Geselecteerd.
  13. Verificatietype: Selecteer een van de volgende opties: EAP-SIM, LEAP, TLS, TTLS, PEAP, EAP-FAST.

Een client configureren met EAP-SIM-netwerkverificatie

EAP-SIM maakt voor de gegevenscodering gebruik van een dynamische WEP-sleutel, die voor elke sessie wordt afgeleid van de clientadapter en de RADIUS-server. Als u EAP-SIM gebruikt, moet u een verificatiecode, of pincode, invoeren voor de communicatie met de SIM-kaart (Subscriber Identity Module). Een SIM-kaart is een speciaal soort smartcard die wordt gebruikt in op GSM (Global System for Mobile Communications) gebaseerde digitale netwerken voor mobiele telefonie. U maakt als volgt een profiel met EAP-SIM-verificatie:

  1. Klik op de pagina Profielen op Toevoegen om de Algemene instellingen van Profielbeheer te openen.
  2. Profielnaam: Geef een naam op voor het profiel.
  3. Naam draadloos netwerk (SSID): Geef de netwerkidentificatie op.
  4. Uitvoermodus: Klik op Netwerk (Infrastructuur).
  5. Klik op Volgende om de pagina Beveiligingsinstellingen te openen.
  6. Selecteer Bedrijfsbeveiliging.
  7. Netwerkverificatie: Selecteer Open (aanbevolen).
  8. Gegevenscodering: Selecteer WEP.
  9. Klik op 802.1X inschakelen.
  10. Verificatietype: Selecteer EAP-SIM.

EAP-SIM-verificatie kan worden gebruikt met:

EAP-SIM-gebruiker (optioneel)

  1. Gebruikersnaam (identiteit) opgeven: Klik hierop om de gebruikersnaam op te geven.
  2. Klik op OK.

Een client configureren met TLS-netwerkverificatie

Met deze instellingen worden het protocol en de referenties gedefinieerd voor de verificatie van gebruikers. TLS-verificatie (Transport Layer Security) is een methode voor tweerichtingsverificatie waarmee digitale certificaten exclusief worden gebruikt om de identiteit van een client en server te verifiëren.

U maakt als volgt een profiel met TLS-verificatie:

  1. Klik op Profielen in het hoofdvenster van Intel(R) PROSet/Wireless.
  2. Klik op de pagina Profielen op Toevoegen om de Algemene instellingen van Profielbeheer te openen.
  3. Profielnaam: Geef een beschrijvende naam op voor het profiel.
  4. Naam draadloos netwerk (SSID): Typ de netwerkidentificatie.
  5. Uitvoermodus: Klik op Netwerk (Infrastructuur).
  6. Klik op Volgende om de pagina Beveiligingsinstellingen te openen.
  7. Selecteer Bedrijfsbeveiliging.
  8. Netwerkverificatie: Selecteer WPA-Enterprise of WPA2-Enterprise.
  9. Gegevenscodering: Selecteer AES-CCMP (aanbevolen).
  10. 802.1X inschakelen: Geselecteerd.
  11. Verificatietype: Selecteer voor deze verbinding TLS.

TLS-gebruiker

Stap 1 van 2: TLS-gebruiker

  1. Vraag een clientcertificaat aan en installeer dit. Zie De client configureren voor TLS-verificatie of neem contact op met de systeembeheerder.
  2. Selecteer een van de volgende opties om een certificaat te verkrijgen: Mijn smartcard gebruiken, Certificaat gebruiken dat is verleend aan deze computer of Gebruikerscertificaat op deze computer gebruiken.
  3. Klik op Volgende om de TLS-instellingen te openen.

TLS-server

Stap 2 van 2: TLS-server

  1. Selecteer een van de volgende methoden voor het ophalen van referenties: Servercertificaat valideren of Server- of certificaatnaam opgeven.
  2. Klik op OK. Het profiel wordt toegevoegd aan de profiellijst.
  3. Selecteer het nieuwe profiel onderaan in de profiellijst. Gebruik de pijlen omhoog/omlaag om de prioriteit van het nieuwe profiel aan te geven in de lijst.
  4. Klik op Verbinden om verbinding te maken met het geselecteerde draadloze netwerk.
  5. Klik op OK om Intel(R) PROSet/Wireless te sluiten.

Een client configureren met TTLS-netwerkverificatie

TTLS-verificatie: Met deze instellingen worden het protocol en de referenties gedefinieerd voor de verificatie van gebruikers. De client gebruikt EAP-TLS voor validatie van de server en er wordt een met TLS gecodeerd kanaal tussen client en server gemaakt. De client kan gebruik maken van een ander verificatieprotocol, met name op wachtwoord gebaseerde protocollen. De controle- en antwoordpakketten worden over een onzichtbaar met TLS gecodeerd kanaal verzonden. In het volgende voorbeeld wordt beschreven hoe u WPA gebruikt met AES-CCMP-codering en TTLS-verificatie.

U configureert een client als volgt met TTLS-netwerkverificatie:

  1. Klik op Profielen in het hoofdvenster van Intel(R) PROSet/Wireless.
  2. Klik op de pagina Profielen op Toevoegen om de Algemene instellingen van Profielbeheer te openen.
  3. Profielnaam: Geef een beschrijvende naam op voor het profiel.
  4. Naam draadloos netwerk (SSID): Geef de netwerkidentificatie op.
  5. Uitvoermodus: Klik op Netwerk (Infrastructuur).
  6. Klik op Volgende om de pagina Beveiligingsinstellingen te openen.
  7. Selecteer Bedrijfsbeveiliging.
  8. Netwerkverificatie: Selecteer WPA-Enterprise of WPA2-Enterprise.
  9. Gegevenscodering: Selecteer een van de volgende opties:
  10. 802.1X inschakelen: Geselecteerd.
  11. Verificatietype: Selecteer voor deze verbinding TTLS.

Stap 1 van 2: TTLS-gebruiker

  1. Verificatieprotocol: Deze parameter specificeert het verificatieprotocol voor de TTLS-tunnel. U kunt kiezen uit de volgende protocollen: PAP (standaard), CHAP, MS-CHAP en MS-CHAP-V2. Zie Beveiliging - Overzicht voor meer informatie.
  2. Gebruikersreferenties: Voor de protocollen PAP, CHAP, MS-CHAP en MS-CHAP-V2 selecteert u een van de volgende verificatiemethoden: Aanmeldingsgegevens voor Windows gebruiken, Vragen telkens wanneer ik verbinding maak of Het volgende gebruiken.
  3. Zwervende identiteit: Dit veld kan automatisch worden gevuld met een zwervende identiteit of u kunt %domein%\%gebruikersnaam% als de standaardnotatie voor de invoer van een zwervende identiteit gebruiken.

Wanneer 802.1X Microsoft IAS RADIUS wordt gebruikt als een verificatieserver, wordt een apparaat geverifieerd op basis van de Zwervende identiteit van de Intel(R) PROSet/Wireless-software en wordt de gebruikersnaam die is opgegeven voor het verificatieprotocol MS-CHAP-V2 genegeerd. Microsoft IAS RADIUS accepteert alleen geldige gebruikersnamen (dotNet-gebruikers) voor de zwervende identiteit. Voor alle andere verificatieservers is de zwervende identiteit optioneel. Daarom wordt aangeraden om het gewenste domein (bijvoorbeeld: anoniem@mijndomein) voor de zwervende identiteit op te geven in plaats van een echte identiteit.

  1. Klik op Volgende om de pagina met TTLS-instellingen te openen.

Stap 2 van 2: TTLS-server

  1. Selecteer een van de volgende methoden voor het ophalen van referenties: Servercertificaat valideren of Server- of certificaatnaam opgeven.
  2. Klik op OK om de instellingen op te slaan en de pagina te sluiten.

Een client configureren met PEAP-netwerkverificatie

PEAP-verificatie: PEAP-instellingen zijn vereist voor verificatie van de client bij de verificatieserver. De client gebruikt EAP-TLS voor validatie van de server en er wordt een met TLS gecodeerd kanaal tussen client en server gemaakt. De client kan een bijkomend EAP-mechanisme, zoals versie 2 van MSCHAP (Microsoft Challenge Authentication Protocol), over het gecodeerde kanaal gebruiken voor servervalidatie. De controle- en antwoordpakketten worden over een onzichtbaar met TLS gecodeerd kanaal verzonden. In het volgende voorbeeld wordt beschreven hoe u WPA gebruikt met AES-CCMP- of TKIP-codering en PEAP--verificatie.

U configureert een client als volgt met PEAP-verificatie:

Haal een clientcertificaat op en installeer het. Zie Een client configureren met TLS-netwerkverificatie of neem contact op met de systeembeheerder.

  1. Klik op Profielen in het hoofdvenster van Intel(R) PROSet/Wireless.
  2. Klik op de pagina Profielen op Toevoegen om de Algemene instellingen van Profielbeheer te openen.
  3. Profielnaam: Geef een beschrijvende naam op voor het profiel.
  4. Naam draadloos netwerk (SSID): Geef de netwerkidentificatie op.
  5. Uitvoermodus: Klik op Netwerk (Infrastructuur).
  6. Klik op Volgende om de pagina Beveiligingsinstellingen te openen.
  7. Selecteer Bedrijfsbeveiliging.
  8. Netwerkverificatie: Selecteer WPA-Enterprise of WPA2-Enterprise.
  9. Gegevenscodering: Selecteer een van de volgende opties:
  10. 802.1X inschakelen: Geselecteerd.
  11. Verificatietype: Selecteer voor deze verbinding PEAP.

Stap 1 van 2: PEAP-gebruiker

PEAP maakt gebruik van TLS (Transport Layer Security) om ondersteuning van ongecodeerde verificatie (bijvoorbeeld EAP-Generic Token Card (GTC) en eenmalige wachtwoorden) mogelijk te maken.

  1. Verificatieprotocol: Selecteer GTC, MS-CHAP-V2 (standaardinstelling) of TLS. Zie Verificatieprotocollen.
  2. Gebruikersreferenties: Selecteer een van de volgende opties: Aanmeldingsgegevens voor Windows gebruiken, Vragen telkens wanneer ik verbinding maak of Het volgende gebruiken.
  3. Zwervende identiteit: Dit veld kan automatisch worden gevuld met een zwervende identiteit of u kunt %domein%\%gebruikersnaam% als de standaardnotatie voor de invoer van een zwervende identiteit gebruiken.

Wanneer 802.1X Microsoft IAS RADIUS wordt gebruikt als een verificatieserver, wordt een apparaat geverifieerd op basis van de Zwervende identiteit van de Intel(R) PROSet/Wireless-software en wordt de gebruikersnaam die is opgegeven voor het verificatieprotocol MS-CHAP-V2 genegeerd. Microsoft IAS RADIUS accepteert alleen geldige gebruikersnamen (dotNet-gebruikers) voor de zwervende identiteit. Voor alle andere verificatieservers is de zwervende identiteit optioneel. Daarom wordt aangeraden om het gewenste domein (bijvoorbeeld: anoniem@mijndomein) voor de zwervende identiteit op te geven in plaats van een echte identiteit.

Zwervende identiteit configureren voor meerdere gebruikers

U kunt een profiel Vóór aanmelding/gemeenschappelijk gebruiken waarvoor de zwervende identiteit wordt gebaseerd op de aanmeldingsreferenties voor Windows. De maker van het profiel kan voor de zwervende identiteit de waarden %gebruikersnaam% en %domein% gebruiken. Bij het tot stand brengen van de verbinding worden deze trefwoorden vervangen door de juiste aanmeldingsinformatie. Dat betekent een maximale flexibiliteit in de configuratie van de zwervende identiteit, terwijl meerdere gebruikers het profiel kunnen gebruiken.

Raadpleeg de handleiding bij de verificatieserver voor richtlijnen voor het samenstellen van een geschikte zwervende identiteit. Mogelijke indelingen zijn:

Als u het veld voor de zwervende identiteit leeg laat, wordt standaard %domein%\%gebruikersnaam% gebruikt.

Opmerkingen over referenties: Deze gebruikersnaam en het domein moeten overeenkomen met de gebruikersnaam die door de beheerder op de verificatieserver is ingesteld voorafgaand aan de clientverificatie. De gebruikersnaam is hoofdlettergevoelig. Deze naam specificeert de identiteit die aan de verificator is doorgegeven door het verificatieprotocol met de TLS-tunnel. Wanneer een gecodeerd kanaal is geverifieerd en tot stand is gebracht, wordt de identiteit van de gebruiker veilig overgedragen naar de server.

Verificatieprotocollen: Deze parameter specificeert de mogelijke verificatieprotocollen voor de TTLS-tunnel. Hieronder vindt u instructies voor de configuratie van een profiel dat PEAP-verificatie gebruikt met

GTC-, MS-CHAP-V2- (standaard) of TLS-verificatieprotocollen.

Generic Token Card (GTC)

PEAP-gebruiker

U configureert een eenmalig wachtwoord als volgt:

  1. Verificatieprotocol: Selecteer GTC (Generic Token Card).
  2. Gebruikersreferenties: Selecteer Vragen telkens wanneer ik verbinding maak.
  3. Bij verbinding vragen om: Selecteer een van de volgende opties:
Naam Beschrijving
Statisch wachtwoord Bij verbinding geeft u de gebruikersreferenties op.
Eenmalig wachtwoord Het wachtwoord wordt verkregen bij een apparaat voor hardwaretokens.
Pincode (softwaretoken) Het wachtwoord wordt verkregen via een programma voor tokens.
  1. Klik op OK.

Opmerking: De optie Vragen telkens wanneer ik verbinding maak is niet beschikbaar als de beheerder de optie Referenties in cache opnemen heeft uitgeschakeld in het Hulpprogramma voor beheerders. Zie Beheerderinstellingen voor meer informatie.

Eenmalig wachtwoord

MS-CHAP-V2

Deze parameter specificeert het verificatieprotocol voor de PEAP-tunnel.

  1. Gebruikersreferenties: Selecteer een van de volgende opties: Aanmeldingsgegevens voor Windows gebruiken, Vragen telkens wanneer ik verbinding maak of Het volgende gebruiken.
  2. Klik op Volgende om de PEAP-serverinstellingen te openen.

TLS

TLS-verificatie (Transport Layer Security) is een methode voor tweerichtingsverificatie waarmee digitale certificaten exclusief worden gebruikt om de identiteit van een client en server te verifiëren.

  1. Vraag een clientcertificaat aan en installeer dit. Zie De client configureren voor TLS-verificatie of neem contact op met de systeembeheerder.
  2. Selecteer een van de volgende opties om een certificaat te verkrijgen: Mijn smartcard gebruiken, Certificaat gebruiken dat is verleend aan deze computer of Gebruikerscertificaat op deze computer gebruiken.
  3. Klik op Volgende om de PEAP-serverinstellingen te openen.

Stap 2 van 2: PEAP-server

PEAP-server
  1. Selecteer een van de volgende methoden voor het ophalen van referenties: Servercertificaat valideren of Server- of certificaatnaam opgeven.
  2. Klik op OK. Het profiel wordt toegevoegd aan de profiellijst.
  3. Selecteer het nieuwe profiel onderaan in de profiellijst. Gebruik de pijlen omhoog/omlaag om de prioriteit van het nieuwe profiel aan te geven in de lijst.
  4. Klik op Verbinden om verbinding te maken met het geselecteerde draadloze netwerk.

Als u op de pagina Beveiligingsinstellingen niet de optie Aanmeldingsgegevens voor Windows gebruiken hebt geselecteerd en ook geen gebruikersreferenties hebt geconfigureerd, worden voor dit profiel geen referenties opgeslagen. Geef uw referenties op voor de verificatie bij het netwerk.

  1. Klik op OK om Intel(R) PROSet/Wireless te sluiten.

Automatische inschrijving PEAP-TLS-certificaat

Selecteer in de Toepassingsinstellingen de optie Melding van geweigerde TLS-certificaten inschakelen als u wilt worden gewaarschuwd wanneer een PEAP-TLS-certificaat wordt afgewezen. Als een certificaat een ongeldige vervaldatum heeft, wordt u gewaarschuwd dat u een van de volgende acties moet nemen: Er is een potentieel verificatieprobleem voor profiel <profielnaam> gedetecteerd. De vervaldatum in het gekoppelde certificaat is mogelijk ongeldig. Kies een van de volgende opties:

Optie Beschrijving
Doorgaan met de huidige parameters Doorgaan met huidig certificaat.
Certificaat handmatig bijwerken De pagina Certificaat selecteren wordt geopend zodat u een ander certificaat kunt kiezen.
Certificaat automatisch bijwerken op basis van certificaten in het lokale archief Deze optie kan alleen worden gekozen als lokaal een of meer certificaten zijn opgeslagen waarin de velden "Verleend aan" en "Verleend door" overeenkomen met het huidige certificaat en waarvoor de vervaldatum nog niet is verstreken. Als u deze optie kiest, selecteert de toepassing het eerste geldige certificaat.
Afmelden om een certificaat te verkrijgen tijdens het aanmelden (het profiel wordt niet bijgewerkt en dit is alleen van toepassing op certificaten die zijn geconfigureerd voor automatische inschrijving) Hiermee wordt de gebruiker afgemeld, zodat deze een goed certificaat kan verkrijgen bij het volgende aanmeldingsproces. Het profiel moet worden bijgewerkt met de selectie van het nieuwe certificaat.
Automatische inschrijving De volgende melding verschijnt: Een ogenblik geduld. Het systeem probeert het certificaat automatisch te verkrijgen. Klik op Annuleren om te stoppen met het ophalen van het certificaat.
Dit bericht niet meer weergeven Met deze optie kunt u deze stap in toekomstige sessies overslaan. Deze keuze wordt onthouden voor toekomstige sessies.

Een client configureren met LEAP-netwerkverificatie

Cisco LEAP (Light Extensible Authentication Protocol) is een 802.1X-verificatietype dat wederzijdse verificatie van client en RADIUS-server ondersteunt. De profielinstellingen omvatten instellingen voor LEAP, CKIP en de detectie van bedrieglijke toegangspunten. U configureert een client als volgt met LEAP-verificatie:

  1. Klik op Profielen in het hoofdvenster van Intel(R) PROSet/Wireless.
  2. Klik op de pagina Profielen op Toevoegen. The pagina Algemene instellingen van Profielbeheer verschijnt.
  3. Profielnaam: Geef een beschrijvende naam op voor het profiel.
  4. Naam draadloos netwerk (SSID): Geef de netwerkidentificatie op.
  5. Uitvoermodus: Klik op Netwerk (Infrastructuur).
  6. Klik op Volgende om de pagina Beveiligingsinstellingen te openen.
  7. Selecteer Bedrijfsbeveiliging.
  8. Netwerkverificatie: Selecteer WPA-Enterprise of WPA2-Enterprise.
  9. Gegevenscodering: Selecteer een van de volgende opties:
  10. 802.1X inschakelen: Geselecteerd.
  11. Verificatietype: Selecteer voor deze verbinding LEAP.
  12. Klik op Cisco-opties.
  13. Klik op Cisco Compatible Extensions inschakelen om de beveiligingsopties van de Cisco Compatible Extensions (CCX) in te schakelen. Die opties zijn Snel zwerven (CCKM) toestaan, Ondersteuning radiobeheer inschakelen en Modus voor gemengde cellen inschakelen.

Cisco Compatible Extensions

  1. Klik op Ondersteuning voor radiobeheer inschakelen. Gebruik Ondersteuning voor radiobeheer inschakelen om bedrieglijke toegangspunten te detecteren.
  2. Klik op OK om terug te keren naar de pagina Beveiligingsinstellingen.

LEAP-gebruiker

LEAP-gebruiker

  1. Selecteer een van de volgende verificatiemethoden: Gebruikersnaam en wachtwoord voor aanmelding bij Windows gebruiken, Vragen om gebruikersnaam en wachtwoord of Gebruik volgende gebruikersnaam en wachtwoord.
  2. Klik op OK om de instellingen op te slaan en de pagina te sluiten.

Opties voor Cisco Compatible Extensions

Cisco-opties: Hiermee kunt u radiobeheer en de modus voor gemengde cellen in- of uitschakelen of snel zwerven (CCKM) toestaan.

Opmerking: Cisco Compatible Extensions worden automatisch ingeschakeld voor profielen met CKIP, LEAP of EAP-FAST. Als u dit gedrag wilt overschrijven, schakelt u de opties op deze pagina in of uit.

Cisco Compatible Extensions inschakelen: Schakel dit selectievakje in om Cisco Compatible Extensions in te schakelen voor dit profiel voor draadloze verbindingen.

Een client configureren met EAP-FAST-netwerkverificatie

In Cisco Compatible Extensions, versie 3 (CCXv3) heeft Cisco ondersteuning toegevoegd voor EAP-FAST (Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling), waarvoor gebruik wordt gemaakt van PAC's (protected access credentials) om een geverifieerde tunnel tot stand te brengen tussen een client en server.

Cisco Compatible Extensions, versie 4 (CCXv4) verbetert de leveringsmethoden voor geavanceerde beveiliging en biedt vernieuwingen voor geavanceerde beveiliging, mobiliteit, QoS en netwerkbeheer.

Cisco Compatible Extensions, versie 3 (CCXv3)

U configureert een client als volgt met EAP-FAST-verificatie met Cisco Compatible Extensions, versie 3 (CCXv3):

  1. Klik op Profielen in het hoofdvenster van Intel(R) PROSet/Wireless.
  2. Klik op de pagina Profielen op Toevoegen om de Algemene instellingen van Profielbeheer te openen.
  3. Naam draadloos netwerk (SSID): Geef de netwerkidentificatie op.
  4. Profielnaam: Geef een beschrijvende naam op voor het profiel.
  5. Uitvoermodus: Klik op Netwerk (Infrastructuur).
  6. Klik op Volgende om de pagina Beveiligingsinstellingen te openen.
  7. Selecteer Bedrijfsbeveiliging.
  8. Netwerkverificatie: Selecteer WPA-Enterprise of WPA2-Enterprise.
  9. Gegevenscodering: Selecteer een van de volgende opties:
  10. 802.1X inschakelen: Geselecteerd.
  11. Verificatietype: Selecteer EAP-FAST voor gebruik met deze verbinding.

EAP-FAST-levering

Opmerking: Als toepassingsinstellingen voor CCXv4 niet zijn geïnstalleerd via een beheerpakket, kunnen alleen de EAP-FAST-gebruikersinstellingen worden geconfigureerd. Zie EAP-FAST-gebruikersinstellingen.

Stap 1 van 2: EAP-FAST-levering

  1. Klik op EAP-FAST-uitbreidingen (CCXv4) uitschakelen om levering binnen een niet-servergeverifieerde TLS-tunnel toe te staan.
  2. Klik op Server selecteren om niet-geverifieerde PAC's op te vragen die al zijn geleverd en die op deze computer staan.

Opmerking: Als de geleverde PAC geldig is, vraagt Intel(R) PROSet/Wireless de gebruiker niet naar acceptatie van de PAC. Als de PAC ongeldig is, laat Intel(R) PROSet/Wireless de levering automatisch mislukken. Er wordt een statusbericht weergegeven in de Wireless Event Viewer. Een beheerder kan het bericht bekijken op de computer van een gebruiker.

U importeert een PAC als volgt:

PAC

  1. Klik op Volgende om de ophaalmethode voor referenties te selecteren of klik op OK om de EAP-FAST-instellingen op te slaan en terug te keren naar de profiellijst. De PAC wordt gebruikt voor dit profiel.

Stap 2 van 2: Aanvullende EAP-FAST-informatie

Voor de verificatie van clients in de tot stand gebrachte tunnel verzendt een client een gebruikersnaam en wachtwoord om het clientverificatiebeleid te verifiëren en tot stand te brengen.

  1. Klik op Gebruikersreferenties om een van de volgende ophaalmethoden voor referenties te selecteren: Aanmeldingsgegevens voor Windows gebruiken, Vragen telkens wanneer ik verbinding maak of Het volgende gebruiken.
  2. Klik op OK om de instellingen op te slaan en de pagina te sluiten. Server verificatie is niet vereist.

Cisco Compatible Extensions, versie 4 (CCXv4)

U configureert een client als volgt met EAP-FAST-verificatie met Cisco Compatible Extensions, versie 4 (CCXv4):

  1. Klik op Profielen in het hoofdvenster van Intel(R) PROSet/Wireless.
  2. Klik op de pagina Profielen op Toevoegen om de Algemene instellingen van de wizard Profiel voor een draadloos netwerk maken te openen.
  3. Naam draadloos netwerk (SSID): Geef de netwerkidentificatie op.
  4. Profielnaam: Geef een beschrijvende naam op voor het profiel.
  5. Uitvoermodus: Klik op Netwerk (Infrastructuur).
  6. Klik op Volgende om de pagina Beveiligingsinstellingen te openen.
  7. Selecteer Bedrijfsbeveiliging.
  8. Netwerkverificatie: Selecteer WPA-Enterprise of WPA2-Enterprise.
  9. Gegevenscodering: Selecteer een van de volgende opties:
  10. Gegevenscodering Selecteer AES-CCMP.
  11. 802.1X inschakelen: Geselecteerd.
  12. Verificatietype: Selecteer EAP-FAST voor gebruik met deze verbinding.

Stap 1 van 3: EAP-FAST-levering

Met CCXv4 ondersteunt EAP-FAST twee modi:

Opmerking: De servergeverifieerde modus biedt aanzienlijke beveiligingsvoordelen ten opzichte van de niet-servergeverifieerde modus, ook als EAP-MS-CHAP-V2 wordt gebruikt als interne methode. Deze modus beveiligt de EAP-MS-CHAP-V2-uitwisseling tegen potentiële MITM-aanvallen (Man-in-the-Middle) door de authenticiteit van de server te verifiëren vóór de MS-CHAP-V2-uitwisseling. Daarom wordt de servergeverifieerde modus, waar mogelijk, aanbevolen. Een EAP-FAST-peer moet de servergeverifieerde modus gebruiken elke keer dat een certificaat of openbare sleutel beschikbaar is om de server te verifiëren en de beste beveiligingspraktijken te garanderen.

Leveringsmodus voor PAC (Protected Access Credentials):

EAP-FAST maakt gebruik van een PAC-sleutel om gebruikersreferenties te beschermen bij de uitwisseling. Alle EAP-FAST-verificatoren worden geïdentificeerd door een instantie-identificatie (I-ID). De lokale verificator verzendt de I-ID naar een verifiërende client en de client controleert de database op een overeenkomende I-ID. Als de client de I-ID niet herkent, wordt een nieuwe PAC aangevraagd.

Opmerking: Als de geleverde PAC (Protected Access Credential) geldig is, vraagt Intel(R) PROSet/Wireless de gebruiker niet naar acceptatie van de PAC. Als de PAC ongeldig is, laat Intel(R) PROSet/Wireless de levering automatisch mislukken. Er wordt een statusbericht weergegeven in de Wireless Event Viewer. Een beheerder kan het bericht bekijken op de computer van de gebruiker.

  1. Controleer of EAP-FAST-uitbreidingen (CCXv4) uitschakelen is uitgeschakeld. Niet-geverifieerde levering toestaan en Geverifieerde levering toestaan zijn standaard ingeschakeld. Wanneer een PAC van de standaardserver is geselecteerd, kunt u de selectie van elk van deze leveringsmethoden opheffen.
  2. Standaardserver: De standaardinstelling is geen server. Klik op Server selecteren om een PAC te selecteren van de standaard PAC-instantieserver of selecteer een server in de lijst Servergroep. De pagina Standaardserver voor EAP-FAST (PAC-instantie) wordt geopend.

Opmerking: Servergroepen worden alleen vermeld als u een beheerpakket hebt geïnstalleerd dat EAP-FAST I-ID-groepsinstellingen bevat.

De distributie van PAC's kan ook handmatig worden uitgevoerd. In dat geval kunt u een PAC voor een gebruiker maken op een ACS-server en die vervolgens importeren op de computer van de gebruiker. Een PAC-bestand kan worden beschermd met een wachtwoord. De gebruiker moet het wachtwoord dan invoeren om de PAC te kunnen importeren.

U importeert een PAC als volgt:

  1. Klik op Importeren om een PAC van de PAC-server te importeren.
  2. Klik op Openen.
  3. Geef het PAC-wachtwoord op (optioneel).
  4. Klik op OK om deze pagina te sluiten. De geselecteerde PAC wordt gebruikt voor dit profiel.

EAP-FAST CCXv4 biedt ondersteuning voor de levering van andere referenties dan de PAC's die momenteel worden geleverd voor het tot stand brengen van tunnels. De ondersteunde referentietypen zijn een certificaat van een vertrouwde certificeringsinstantie, computerreferenties voor computerverificatie en tijdelijke gebruikersreferenties die worden gebruikt om de gebruikersverificatie over te slaan.

Certificaat gebruiken (TLS-verificatie)

  1. Klik op Certificaat gebruiken (TLS-verificatie).
  2. Klik op Identiteitsbescherming wanneer de tunnel is beveiligd.
  3. Selecteer een van de volgende opties:
  4. Gebruikersnaam: Geef de gebruikersnaam op die is toegewezen aan het gebruikerscertificaat.
  5. Klik op Volgende.

Stap 2 van 3: Aanvullende EAP-FAST-informatie

Als u de opties Certificaat gebruiken (TLS-verificatie) en Gebruikerscertificaat op deze computer gebruiken hebt geselecteerd, klikt u op Volgende (zwervende identiteit is niet vereist) en gaat u verder met stap 3 om de certificaatinstellingen voor de EAP-FAST-server te configureren. Als u de EAP-FAST-serverinstellingen niet hoeft te configureren, klikt u op OK om uw instellingen op te slaan en terug te keren naar de pagina Profielen.

Als u hebt gekozen voor het gebruik van de smartcard, voegt u, zo nodig, de zwervende identiteit toe. Klik op OK om de instellingen op te slaan en terug te keren naar de pagina Profielen.

Als u Certificaat gebruiken (TLS-verificatie) niet hebt geselecteerd, klikt u op Volgende om een verificatieprotocol te selecteren. Met CCXv4 kunt u extra referenties of TLS-coderingssuites gebruiken om de tunnel tot stand te brengen.

Verificatieprotocol: Selecteer GTC of MS-CHAP-V2 (standaardinstelling).

Generic Token Card (GTC)

GTC kan worden gebruikt met de servergeverifieerde modus. Hiermee kan aan peers die gebruikmaken van andere gebruikersdatabases als LDAP (Lightweight Directory Access Protocol) en technologie voor eenmalige wachtwoorden binnen de band worden geleverd. De vervanging is echter pas een feit bij gebruik met de TLS-coderingssuites die voor de serververificatie zorgen.

U configureert een eenmalig wachtwoord als volgt:

  1. Verificatieprotocol: Selecteer GTC (Generic Token Card).
  2. Gebruikersreferenties: Selecteer Vragen telkens wanneer ik verbinding maak.
  3. Bij verbinding vragen om: Selecteer een van de volgende opties:
Naam Beschrijving
Statisch wachtwoord Bij verbinding geeft u de gebruikersreferenties op.
Eenmalig wachtwoord Het wachtwoord wordt verkregen bij een apparaat voor hardwaretokens.
Pincode (softwaretoken) Het wachtwoord wordt verkregen via een programma voor tokens.
  1. Klik op OK.
  2. Selecteer het profiel in de lijst met draadloze netwerken.
  3. Klik op Verbinden. Wanneer u daarom wordt gevraagd, voert u gebruikersnaam, domein en eenmalig wachtwoord in.
  4. Klik op OK.

MS-CHAP-V2

Deze parameter specificeert het verificatieprotocol voor de PEAP-tunnel.

  1. Selecteer de gebruikersreferenties: Aanmeldingsgegevens voor Windows gebruiken, Vragen telkens wanneer ik verbinding maak of Het volgende gebruiken.
  2. Zwervende identiteit: Dit veld kan automatisch worden gevuld met een zwervende identiteit of u kunt %domein%\%gebruikersnaam% als de standaardnotatie voor de invoer van een zwervende identiteit gebruiken.

Wanneer 802.1X Microsoft IAS RADIUS wordt gebruikt als een verificatieserver, wordt een apparaat geverifieerd op basis van de Zwervende identiteit van de Intel(R) PROSet/Wireless-software en wordt de gebruikersnaam die is opgegeven voor het verificatieprotocol MS-CHAP-V2 genegeerd. Microsoft IAS RADIUS accepteert alleen geldige gebruikersnamen (dotNet-gebruikers) voor de zwervende identiteit. Voor alle andere verificatieservers is de zwervende identiteit optioneel. Daarom wordt aangeraden om het gewenste domein (bijvoorbeeld: anoniem@mijndomein) voor de zwervende identiteit op te geven in plaats van een echte identiteit.

Stap 3 van 3: EAP-FAST-server

Leveringsmodus voor geverifieerde TLS-server wordt ondersteund bij gebruik van een certificaat van een vertrouwde certificeringsinstantie, een zelf-ondertekend certificaat of openbare serversleutels en GTC als de interne EAP-methode.

  1. Selecteer een van de volgende methoden voor het ophalen van referenties: Servercertificaat valideren of Server- of certificaatnaam opgeven.
  2. Klik op OK om de pagina met beveiligingsinstellingen te sluiten.

EAP-FAST-gebruikersinstellingen

Opmerking: Als een beheerpakket is geïnstalleerd op de computer van een gebruiker die de Toepassingsinstellingen voor Cisco Compatible Extensions, versie 4, niet heeft toegepast, kunnen alleen de EAP-FAST-gebruikersinstellingen worden geconfigureerd.

U configureert een client als volgt met EAP-FAST-verificatie:

  1. Klik op Profielen in het hoofdvenster van Intel(R) PROSet/Wireless.
  2. Klik op de pagina Profielen op Toevoegen om de Algemene instellingen van Profielbeheer te openen.
  3. Naam draadloos netwerk (SSID): Geef de netwerkidentificatie op.
  4. Profielnaam: Geef een beschrijvende naam op voor het profiel.
  5. Uitvoermodus: Klik op Netwerk (Infrastructuur).
  6. Klik op Volgende om de pagina Beveiligingsinstellingen te openen.
  7. Klik op Bedrijfsbeveiliging.
  8. Netwerkverificatie: Selecteer WPA-Enterprise of WPA2-Enterprise.
  9. Gegevenscodering: Selecteer een van de volgende opties:
  10. 802.1X inschakelen: Geselecteerd.
  11. Verificatietype: Selecteer EAP-FAST voor gebruik met deze verbinding.
  12. Klik op Cisco-opties om Snel zwerven (CCKM) toestaan te selecteren, zodat de draadloze client snel en veilig kan zwerven.

EAP-FAST-gebruiker

Selecteer de methode voor het ophalen van referenties:

  1. Selecteer de gebruikersreferenties: Aanmeldingsgegevens voor Windows gebruiken, Vragen telkens wanneer ik verbinding maak of Het volgende gebruiken.
  2. Automatische levering van PAC's (Protected Access Credentials) toestaan:

EAP-FAST maakt gebruik van een PAC-sleutel om gebruikersreferenties te beschermen bij de uitwisseling. Alle EAP-FAST-verificatoren worden geïdentificeerd door een instantie-identificatie (I-ID). De lokale verificator verzendt de I-ID naar een verifiërende client en de client controleert de database op een overeenkomende I-ID. Als de client de I-ID niet herkent, wordt een nieuwe PAC aangevraagd.

Klik op de knop PAC's om de PAC's op te vragen die al zijn geleverd en die op deze computer staan. U kunt de optie Automatische levering toestaan in de beveiligingsinstellingen alleen uitschakelen als al een PAC is verkregen.

Opmerking: Als de geleverde PAC (Protected Access Credential) geldig is, vraagt Intel(R) PROSet/Wireless de gebruiker niet naar acceptatie van de PAC. Als de PAC ongeldig is, laat Intel(R) PROSet/Wireless de levering automatisch mislukken. Er wordt een statusbericht weergegeven in de Wireless Event Viewer. Een beheerder kan het bericht bekijken op de computer van de gebruiker.

De distributie van PAC's kan ook handmatig worden uitgevoerd. In dat geval kunt u een PAC voor een gebruiker maken op een ACS-server en die vervolgens importeren op de computer van de gebruiker. Een PAC-bestand kan worden beschermd met een wachtwoord. De gebruiker moet het wachtwoord dan invoeren om de PAC te kunnen importeren.

U importeert een PAC als volgt:

  1. Klik op PAC's om de lijst PAC's (Protected Access Credentials) te openen.
  2. Klik op Importeren om een PAC die op deze computer of een server staat, te importeren.
  3. Selecteer de PAC en klik op Openen.
  4. Geef het PAC-wachtwoord op (optioneel).
  5. Klik op OK om deze pagina te sluiten. De geselecteerde PAC wordt toegevoegd aan de lijst met PAC's.
  6. Klik op OK om de EAP-FAST-instellingen op te slaan en terug te keren naar de profiellijst. De PAC wordt gebruikt voor dit profiel.

Terug naar boven

Terug naar inhoud

Voorwaarden voor het gebruik