Takaisin Sisältö-sivulle

Yhteyden suojauksen määrittäminen: Intel(R) PRO/Wireless LAN Mini PCI -sovittimen käyttöopas


Suojaus ja salaus:

Tiedon salauksen ja laillisuustarkistuksen määrittäminen
Salauksen yleiskatsaus
WEP-salauksen ottaminen käyttöön
Järjestelmänvalvojan tehtävät
Asiakkaan WEP- ja MD5-laillisuustarkistusasetusten määrittäminen
Asiakkaan määrittäminen käyttämään WPA-PSK:ta ja WEP- tai TKIP-laillisuustarkistusta
Asiakkaan määrittäminen käyttämään WPA-suojausta TKIP-salauksen ja TLS-laillisuustarkistuksen kanssa
Asiakkaan määrittäminen käyttämään WPA-suojausta TKIP-salauksen ja TTLS- tai PEAP-laillisuustarkistuksen kanssa
Asiakkaan CCX-asetusten määrittäminen käytettäessä CKIP-salausta ja LEAP-laillisuustarkistusta


Tiedon salauksen ja laillisuustarkistuksen määrittäminen

Verkon tiedot voidaan suojata käyttämällä WEP-salausta ja jaettua laillisuustarkistusta. WEP-menetelmässä tiedot salataan salausavaimella ennen niiden lähettämistä. Ainoastaan samaa salausavainta käyttävät tietokoneet voivat käyttää verkkoa tai purkaa muiden tietokoneiden lähettämien salattujen tietojen salauksen. Laillisuustarkistus muodostaa lisävarmennustoimenpiteen sovittimen ja tukiaseman välillä. WEP-salausalgoritmi on altis passiivisille ja aktiivisille verkkohyökkäyksille. TKIP- ja CKIP-algoritmit sisältävät WEP-yhteyskäytännön parannuksia, jotka ehkäisevät verkkohyökkäyksiä ja täydentävät WEP:n puutteita.

Laillisuustarkistus käyttämällä avointa ja jaettua avainta

802.11 tukee kahta verkon laillisuustarkistustyyppiä: avointa järjestelmää ja jaettua, jossa käytetään 64-bittistä ja 128-bittistä salausta. Avoin-tila ei käytä salauksen laillisuustarkistusmenetelmää määrättyyn tukiasemaan liittymiseksi. Tuettuja laillisuustarkistusmenetelmiä ovat Avoin ja Jaettu laillisuustarkistus:

Verkkoavaimet

Kun tiedon salaus (WEP, CKIP tai TKIP) on käytössä, salaamiseen käytetään verkkoavainta. Verkkoavain voidaan myöntää automaattisesti (esimerkiksi langaton verkkosovitin voi myöntää sen) tai sen voi määrittää itse ja määrittää avaimen pituuden (64-bittinen tai 128-bittinen), avaimen muodon (ASCII-merkit tai heksadesimaaliluvut) sekä avainindeksi (tietyn avaimen tallennussijainnin). Avain on sitä turvallisempi, mitä pidempi se on. Aina kun avaimen pituutta kasvatetaan yhdellä bitillä, mahdollisten avainten määrä kaksinkertaistuu.

802.11-laillisuustarkistuksessa langattomalle asemalle voidaan määrittää enintään neljä avainta (avainindeksiarvot ovat 1, 2, 3 ja 4). Kun tukiasema tai langaton asema lähettää salatun sanoman käyttämällä tietyllä avainindeksillä tallennettua avainta, lähetetty sanoma ilmaisee avainindeksin, jota käytettiin viestitekstin salaamisessa. Tämän jälkeen vastaanottava tukiasema tai langaton asema voi hakea tällä avainindeksillä tallennetun avaimen ja käyttää sitä salatun sanomatekstin dekoodaamiseen.

Kiinteät ja dynaamiset salausavaimet

802.1x:ssä käytetään kahdenlaisia salausavaimia, kiinteitä ja dynaamisia avaimia. Kiinteät salausavaimet vaihdetaan manuaalisesti ja ne ovat haavoittuvampia. MD5-laillisuustarkistuksessa käytetään ainoastaan kiinteitä salausavaimia. Dynaamiset salausavaimet uusitaan automaattisesti säännöllisin väliajoin. Tämä lisää salausavainten turvallisuutta. Dynaamisten salausavainten ottaminen käyttöön edellyttää 802.1x-laillisuustarkistusmenetelmien, kuten TLS, TTLS, PEAP tai LEAP, käyttämistä.

802.1x-laillisuustarkistuksen tärkeimmät seikat

802.1x-laillisuustarkistusmenetelmät käsittävät salasanat, sertifikaatit ja älykortit (tietoja
sisältävät muovikortit). 802.1x -salasanan synkronointiominaisuus: Käytä Windowsin sisäänkirjautumista -asetus MD5-, TLS-, TTLS- ja LEAP-käytäjätietojen valintaikkunassa sallii 802.1x-käyttötietojen vastata Windowsin käyttäjänimeä ja salasanaa. 802.1x-laillisuustarkistusvaihtoehtoja voidaan käyttää ainoastaan Perusrakenne-toimintatilassa.


Salauksen yleiskatsaus

Langattomien lähiverkkojen suojausta voi tehostaa ottamalla käyttöön tietojen salauksen käyttämällä WEP (Wireless Encryption Protocol) -yhteyskäytäntöä. Voit valita 64- tai 128-bitin salaustason. Tiedot voidaan myös salata avaimella. Toinen parametri nimeltä avainindeksi tarjoaa mahdollisuuden luoda monia avaimia kyseiselle profiilille. Kuitenkin vain yhtä avainta voidaan käyttää kerrallaan. Voit myös suojata profiilin salasanalla tietosuojauksen varmistamiseksi.

WEP-avain luodaan automaattisesti käyttämällä salalausetta.  Voit vaihtoehtoisesti käyttää joko salalausetta tai antaa WEP-avaimen manuaalisesti. 64-bittistä salausta käytettäessä salalause on 5 merkkiä pitkä ja voit antaa minkä tahansa mielivaltaisen ja helposti muistettavan lausekkeen kuten Acme1 tai antaa 10 heksadesimaalimerkkiä WEP-avaimelle, joka vastaa verkkoa, johon halutaan muodostaa yhteys. 128-bittistä salausta käytettäessä salalause on 13 merkkiä pitkä ja voit antaa 26 heksadesimaalimerkkiä WEP-avaimelle haluttuun verkkoon yhdistämiseksi.

Huomautus: Laitteessa on käytettävä samaa salauslajia, avainindeksinumeroa ja WEP-avainta kuin langattoman verkon muissa laitteissa.


WEP-salauksen ottaminen käyttöön

Seuraavassa esimerkissä kuvataan aikaisemmin luodun profiilin muokkaaminen ja WEP-salauksen käyttäminen.

Huomautus: Ennen kuin aloitat, pyydä järjestelmänvalvojalta verkon WEP-salalause tai heksadesimaaliavain.
 

WEP-salauksen käyttöön ottaminen:

  1. Valitse Yleiset-sivun Verkot-välilehti.
  2. Valitse profiili profiililuettelosta ja valitse sitten Muokkaa-painike.
  3. Valitse Suojaus-välilehti.
  4. Valitse jokin verkon laillisuustarkistustila (Avoin-tila on suositeltava).
  5. Valitse Tiedon salaus -asetukseksi WEP.
  6. Valitse Määritä manuaalinen avain.
  7. Valitse avainindeksi 1, 2, 3 tai 4. (Oletusasetus on 1)
  8. Valitse Salaustaso-asetukseksi 64-bittinen tai 128-bittinen.
  9. Valitse jompikumpi seuraavista:
  1. Tallenna profiiliasetukset valitsemalla OK.

Järjestelmänvalvojan tehtävät

Huomautus: Seuraavat tiedot on tarkoitettu järjestelmänvalvojille. Lisätietoja on kohdassa Järjestelmänvalvojan oikeudet ja rajoitetut käyttäjät.

Asiakassertifikaatin hankkiminen

Jos käytössä ei ole mitään sertifikaatteja EAP-TLS- tai EAP-TTLS-tilaa varten, sinun on hankittava asiakassertifikaatti laillisuustarkistusta varten. Tavallisesti verkonvalvoja pystyy antamaan ohjeita sertifikaatin hankkimisesta verkolle. Sertifikaatteja voi hallita Internet-asetukset-valintaikkunassa, jonka voi avata joko Internet Explorerista tai Windowsin Ohjauspaneelista. Tarvittavat asetukset voi määrittää Internet-asetukset-valintaikkunan Sisältöön liittyvät asetukset -välilehdellä.

Windows XP ja 2000: Kun hankit asiakassertifikaatin, älä ota käyttöön vahvaa yksityisen avaimen suojausta. Jos sertifikaattia varten otetaan käyttöön vahva yksityisen avaimen suojaus, sertifikaatin käyttösalasana pitää antaa aina, kun tätä sertifikaattia käytetään. Sertifikaatin vahva yksityisen avaimen suojaus pitää poistaa käytöstä, jos määritetään palvelu TLS/TTLS-laillisuustarkistusta varten. Muussa tapauksessa 802.1x-palvelun laillisuustarkistus ei onnistu, koska järjestelmään ei ole kirjautunut sisään käyttäjää, jolle se voisi näyttää kehotteen.

Älykortteja koskevia huomautuksia

Älykortin asentamisen jälkeen tietokoneeseen asennetaan automaattisesti sertifikaatti, joka voidaan valita henkilökohtaisesta sertifikaattisäilöstä ja pääsertifikaattisäilöstä.

Asiakkaan TLS-laillisuustarkistusasetusten määrittäminen

Vaihe 1: Sertifikaatin hankkiminen

TLS-laillisuustarkistuksen ottaminen käyttöön edellyttää kelvollista asiakassertifikaattia (käyttäjäsertifikaattia) sisäänkirjautumisessa käytetyn käyttäjätilin paikallisessa säilössä.  Lisäksi pääsertifikaattisäilössä on oltava luotetun sertifikaattien myöntäjän sertifikaatti.

Sertifikaatti voidaan hankkia:

Sertifikaatin hankkiminen Windows 2000:n sertifikaattien myöntäjältä:

  1. Käynnistä Start Internet Explorer ja siirry Certificate Authority HTTP Service -palveluun (kuten osoitteeseen http://omantoimialueenpalvelin.omatoimialue/certsrv, jossa certsrv on komento sertifikaatin myöntäjän käyttämiseksi). Vaihtoehtoisesti voit antaa palvelimen IP-osoitteen, esimerkiksi 192.0.2.12/certsrv.
  2. Kirjaudu sertifikaattien myöntäjään antamalla nimi ja salasana, jonka loit edellä laillisuustarkistuspalvelimeen. Käyttäjänimen ja salasanan ei tarvitse olla samoja kuin käytössä olevan Windowsin käyttäjätilin käyttäjänimi ja salasana.
  3. Valitse sertifikaatin myöntäjän aloitussivulla Pyydä sertifikaatti-tehtävä ja lähetä lomake.
  4. Valitse Valitse pyynnön laji -sivulla Lisäpyyntö ja valitse sitten Seuraava.
  5. Valitse Lisäsertifikaattipyynnöt-sivulta Lähetä sertifikaattipyyntö lomakkeella tälle sertifikaattien myöntäjälle ja valitse sitten Lähetä.
  6. Valitse Lisäsertifikaattipyyntö-sivulta käyttäjäsertifikaattimalli. Valitse Merkitse avaimet vientikelpoisiksi ja valitse sitten Seuraava. Käytä oletusasetuksia.
  7. Valitse Sertifikaatti myönnetty -sivulla Asenna tämä sertifikaatti.

Huomautus: Jos kyseessä on ensimmäinen hankittu sertifikaatti, sertifikaatin myöntäjä pyytää ilmoittamaan, asennetaanko luotettu sertifikaatin myöntäjän sertifikaatti pääsertifikaattisäilöön. Valintaikkunassa ei ilmoiteta tämän olevan luotettu sertifikaatin myöntäjän sertifikaatti, mutta sertifikaatissa näkyvä nimi on sama kuin sertifikaatin myöntäjän isäntä. Jos tarvitset tätä sertifikaattia sekä TLS- että TTLS-tilassa, valitse Kyllä.

  1. Jos sertifikaatin asennus onnistuu, näyttöön tulee sanoma sertifikaatin asennuksen onnistumisesta.
  2. Voit tarkistaa onnistumisen valitsemalla Internet Explorerin Työkalut-valikosta Internet-asetukset, valitsemalla Sisältö-välilehden ja valitsemalla sitten Sertifikaatit-painikkeen. Uuden sertifikaatin pitäisi näkyä Henkilökohtaiset-kansiossa.

Sertifikaatin tuominen tiedostosta

  1. Avaa Internet-asetukset-valintaikkuna (esimerkiksi napsauttamalla työpöydän Internet Explorer -kuvaketta hiiren kakkospainikkeella ja valitsemalla sitten Ominaisuudet).
  2. Valitse Sisältö-välilehden Sertifikaatit-painike. Näyttöön tulee asennettujen sertifikaattien luettelo.
  3. Valitse sertifikaattiluettelon alapuolella oleva Tuo-painike. Ohjattu sertifikaattien tuominen käynnistyy. (Huomautus: Vaiheet 1 - 3 voidaan suorittaa myös kaksoisnapsauttamalla sertifikaatin kuvaketta.
  4. Valitse tiedosto ja siirry Salasana-ikkunaan.
  5. Määritä Salasana-sivulla tiedoton käytön salasana. Poista Ota vahva yksityisen avaimen suojaus käyttöön -vaihtoehdon valinta.
  6. Valitse Sertifikaattisäilö-sivulla Valitse sertifikaattisäilö automaattisesti sertifikaatin lajin perusteella (sertifikaatin pitää olla käyttäjätilien henkilökohtaisessa säilössä, jotta sitä voitaisiin käyttää asiakkaan Määritä-valintaikkunassa; mikä tapahtuu, kun automaattinen valinta on käytössä).
  7. Jatka Viimeistellään ohjattua sertifikaattien tuomista -ikkunaan ja valitse Valmis-painike.

WPA-laillisuustarkistusta ja WEP- tai TKIP-salausta sekä TLS-laillisuustarkistusta käyttävien profiilien määrittäminen.

Vaihe 2: Intel(R) PROSetin käyttämän sertifikaatin määrittäminen

Huomautus: Hanki ja asenna asiakassertifikaatti edellä olevan vaiheen 1 tai järjestelmänvalvojan antamien ohjeiden mukaan.
  1. Valitse Yleiset-sivun Verkot-välilehti.
  2. Valitse Lisää-painike.
  3. Anna profiilin nimi ja verkkotunnus (SSID).
  4. Valitse toimintatilaksi Perusrakenne.
  5. Valitse Seuraava.
  6. Valitse verkon laillisuustarkistusasetukseksi WPA.
  7. Valitse Tiedon salaus -asetukseksi WEP tai TKIP.
  8. Valitse 802.1x käytössä -valintaruutu.
  9. Määritä tämän yhteyden kanssa käytettävän laillisuustarkistuksen tyypiksi TLS.
  10. Avaa asetusvalintaikkuna valitsemalla Määritä-painike.
  11. Anna käyttäjänimesi Käyttäjänimi -ruutuun.
  12. Valitse luettelosta Sertifikaatin myöntäjä. Valitse Mikä tahansa luotettu sertifikaatinmyöntäjä -vaihtoehto (oletusasetus).
  13. Anna palvelimen/sertifikaatin nimi. Jos tiedät palvelimen/sertifikaatin nimen, anna se. Valitse palvelinnimen vastaavuusasetus tai määritä toimialueen nimi.

  14. Asiakassertifikaatti: Tämä vaihtoehto valitsee asiakassertifikaatin Windowsiin kirjautuneen käyttäjän henkilökohtaisesta sertifikaattisäilöstä. Tätä sertifikaattia käytetään asiakkaan todentamisessa. Voit avata asennettujen sertifikaattien luettelon valitsemalla Valitse-painikkeen.

Huomautus sertifikaateista: Määritetyn tunnuksen pitää vastata sertifikaatin Myönnetty-kentän tietoja ja sen on oltava rekisteröity varmistajan käytössä olevaan laillisuustarkistuspalvelimeen (esimerkiksi RADIUS-palvelimeen). Sertifikaatin pitää olla "kelvollinen" laillisuustarkistuspalvelimen suhteen. Tämä vaatimus riippuu laillisuustarkistuspalvelimesta, ja yleisesti se merkitsee sitä, että laillisuustarkistuspalvelimen pitää tuntea sertifikaatin myöntäjä CA-myöntäjänä. Sisäänkirjautumisessa pitää käyttää samaa käyttäjänimeä kuin sertifikaatin asentamisen yhteydessä.

  1. Valitse luettelosta sertifikaatti ja valitse sitten OK. Asiakassertifikaatin tiedot näkyvät Asiakassertifikaatti-kohdassa.
  2. Valitse Sulje.
  3. Valitse Seuraava.
  4. Tallenna profiiliasetukset valitsemalla Valmis-painike.

Asiakkaan WEP- ja MD5-laillisuustarkistusasetusten määrittäminen

WEP- ja MD5-laillisuustarkistuksen lisääminen uuteen profiiliin:

Huomautus: Ennen kuin aloitat, pyydä järjestelmänvalvojalta käyttäjänimi ja salasana RADIUS-palvelinta varten.

  1. Valitse Yleiset-sivun Verkot-välilehti.
  2. Valitse profiililuettelon Lisää-painike.
  3. Anna profiilin nimi ja verkkotunnus (SSID).
  4. Valitse toimintatilaksi Perusrakenne.
  5. Valitse Seuraava.
  6. Valitse verkon laillisuustarkistusasetukseksi Avoin (suositellaan).
  7. Valitse Tiedon salaus -asetukseksi WEP.
  8. Valitse avainindeksi 1, 2, 3 tai 4. (Avaimen oletusasetus on 1)
  9. Valitse Salaustaso-asetukseksi joko 64-bittinen tai 128-bittinen.
  10. Valitse Käytä salalausetta tai Käytä heksadesimaaliavainta ja anna salalause tai avain tekstiruutuun.
  11. Valitse 802.1x käytössä -valintaruutu.
  12. Valitse 802.1x-laillisuustarkistuksen tyypiksi MD5.
  13. Valitse jokin seuraavista vaihtoehdoista:
Huomautus: Jos Käytä Windowsin sisäänkirjautumista -ominaisuus näkyy himmennettynä, Yksi sisäänkirjautuminen -ominaisuutta ei ole asennettu. Tietoja Käytä Windowsin sisäänkirjautumista -ominaisuuden asentamisesta on kohdassa Yksi sisäänkirjautuminen -ominaisuuden asentaminen ja sen asennuksen poistaminen.
  1. Tallenna asetukset valitsemalla Sulje.
  2. Valitse Seuraava.
  3. Yhteiset profiilit ja Pysyvä yhteys: Tarvittaessa voit ottaa yhteisen profiilin käyttöön valitsemalla Kaikki käyttäjät voivat käyttää tätä profiilia (Yhteinen) -asetuksen. Voit ottaa Pysyvä yhteys -ominaisuuden käyttöön valitsemalla Tätä profiilia käytetään, kun yksikään käyttäjä ei ole kirjautuneena (Pysyvä) -asetuksen. Nämä ominaisuudet asennetaan ohjelmiston asennustoimenpiteen aikana. Jos nämä ominaisuudet on valittuna, myös Siirry yhteisen ja pysyvän profiilin hallintaan -asetus pitää valita Lisäasetukset-valintaikkunassa.
  4. Tallenna profiiliasetukset valitsemalla Valmis-painike.
  5. Valitse uusi profiili profiililuettelon lopusta. Sijoita ylä- ja alanuolen avulla uusi profiili sen prioriteettia vastaavaan kohtaan profiililuettelossa.
  6. Muodosta yhteys valittuun langattomaan verkkoon valitsemalla Yhdistä.
  1. Sulje Intel(R) PROSet valitsemalla OK.

Asiakkaan määrittäminen käyttämään WPA-PSK:ta ja WEP- tai TKIP-laillisuustarkistusta

Käytä WPA-PSK (Wi-Fi Protected Access - Pre Shared Key) -tilaa, jos laillisuustarkistuspalvelinta ei ole käytössä. Tämä tila ei käytä mitään 802.1x-laillisuustarkistusyhteyskäytäntöä. Sitä voidaan käyttää WEP- ja TKIP-salauksen kanssa. WPA-PSK edellyttää ennalta jaetun avaimen (PSK) määrittämistä. 256-bittistä ennalta jaettua avainta varten pitää antaa salalause tai 64 heksadesimaalimerkkiä. Tietojen salausavain saadaan PSK-avaimesta.

WEP- tai TKIP-salausta ja verkon WPA-PSK-laillisuustarkistusta käyttävän uuden profiilin määrittäminen:

  1. Valitse Yleiset-sivun Verkot-välilehti.
  2. Valitse Lisää-painike.
  3. Anna profiilin nimi ja verkkotunnus (SSID).
  4. Valitse toimintatilaksi Perusrakenne.
  5. Valitse Seuraava.
  6. Valitse verkon laillisuustarkistukseksi WPA-PSK.
  7. Valitse Tiedon salaus -asetukseksi WEP tai TKIP.
  8. Valitse jompikumpi seuraavista:
  9. Valitse Seuraava.
  10. Tallenna profiiliasetukset valitsemalla Valmis-painike.
  11. Valitse uusi profiili profiililuettelon lopusta. Sijoita ylä- ja alanuolen avulla uusi profiili sen prioriteettia vastaavaan kohtaan profiililuettelossa.
  12. Muodosta yhteys valittuun langattomaan verkkoon valitsemalla Yhdistä.
  13. Sulje Intel(R) PROSet valitsemalla OK.

Asiakkaan määrittäminen käyttämään WPA-suojausta WEP- tai TKIP-salauksen ja TLS-laillisuustarkistuksen kanssa

Wi-Fi Protected Access (WPA) -tilaa voidaan käyttää TLS:n, TTLS:n tai PEAP:n kanssa. 802.1x-laillisuustarkistus käytettäessä tiedon salausasetusta WEP tai TKIP. Wi-Fi Protected Access (WPA) -tila liittyy 802.1x-laillisuustarkistukseen. Salausavain vastaanotetaan 802.1x-avainvaihdosta. Salauksen tehostamiseksi WPA-menetelmässä hyödynnetään sen TKIP-yhteyskäytäntöä. TKIP tehostaa huomattavasti salausta, muun muassa antamalla käyttöön avainten vaihtamismenetelmän.

  1. Hanki ja asenna asiakassertifikaatti kohdassa Asiakkaan TLS-laillisuustarkistusasetusten määrittäminen olevien ohjeiden tai järjestelmänvalvojan antamien ohjeiden mukaan.
  2. Valitse Yleiset-sivun Verkot-välilehti.
  3. Valitse Lisää-painike.
  4. Anna profiilin nimi ja verkkotunnus (SSID).
  5. Valitse toimintatilaksi Perusrakenne.
  6. Valitse Seuraava.
  7. Valitse verkon laillisuustarkistusasetukseksi WPA.
  8. Valitse Tiedon salaus -asetukseksi WEP tai TKIP.
  9. Määritä tämän yhteyden kanssa käytettävän laillisuustarkistuksen tyypiksi TLS.
  10. Avaa asetusvalintaikkuna valitsemalla Määritä-painike.
  11. Anna käyttäjänimesi Käyttäjänimi -ruutuun.

  12. Valitse luettelosta Sertifikaatin myöntäjä. Valitse Mikä tahansa luotettu sertifikaatinmyöntäjä -vaihtoehto (oletusasetus).

  13. Valitsemalla Salli keskitason sertifikaatit -valintaruudun voit sallia joukon määrittämättömiä sertifikaatteja olla läsnä palvelinsertifikaattiketjussa palvelinsertifikaatin ja määritetyn sertifikaatin myöntäjän välillä. Jos valintaruutua ei valita, palvelinsertifikaatin pitää olla suoraan määritetyn sertifikaatin myöntäjän myöntämä.

  14. Anna palvelinnimi. Jos tiedät palvelinnimen, anna se. Valitse palvelinnimen vastaavuusasetus tai määritä toimialueen nimi.

  15. Valitse Asiakassertifikaatti-kohdan Valitse-painike.

Huomautus sertifikaateista: Määritetyn tunnuksen pitää vastata sertifikaatin Myönnetty-kentän tietoja ja sen on oltava rekisteröity varmistajan käytössä olevaan laillisuustarkistuspalvelimeen (esimerkiksi RADIUS-palvelimeen). Sertifikaatin pitää olla "kelvollinen" laillisuustarkistuspalvelimen suhteen. Tämä vaatimus riippuu laillisuustarkistuspalvelimesta, ja yleisesti se merkitsee sitä, että laillisuustarkistuspalvelimen pitää tuntea sertifikaatin myöntäjä CA-myöntäjänä. Sisäänkirjautumisessa pitää käyttää samaa käyttäjänimeä kuin sertifikaatin asentamisen yhteydessä.

  1. Valitse luettelosta sertifikaatti ja valitse sitten OK. Asiakassertifikaatin tiedot näkyvät Asiakassertifikaatti-kohdassa.
  2. Valitse Sulje.
  3. Valitse Seuraava.
  4. Tallenna profiiliasetukset valitsemalla Valmis-painike.
  5. Valitse uusi profiili profiililuettelon lopusta. Sijoita ylä- ja alanuolen avulla uusi profiili sen prioriteettia vastaavaan kohtaan profiililuettelossa.
  6. Muodosta yhteys valittuun langattomaan verkkoon valitsemalla Yhdistä.
  7. Sulje Intel(R) PROSet valitsemalla OK.

Asiakkaan määrittäminen käyttämään WPA-suojausta WEP- tai TKIP-salauksen ja TTLS- tai PEAP-laillisuustarkistuksen kanssa

TTLS-laillisuustarkistus: Nämä asetukset määrittävät käyttäjän varmentamisessa käytettävät käyttäjätiedot. TTLS-laillisuustarkistuksessa asiakas käyttää EAP-TLS-menetelmää palvelimen laillisuuden tarkistamiseksi ja TLS-salatun kanavan luomiseksi asiakkaan ja palvelimen välille. Asiakas voi käyttää jotain muuta laillisuustarkistusyhteyskäytäntöä, tyypillisesti salasanaan perustuvaa yhteyskäytäntöä (kuten MD5 Challenge), tämän salatun kanavan kautta palvelimen laillisuustarkistuksen ottamiseksi käyttöön. Tarkistus- ja vastauspaketit lähetetään ei-julkisen TLS-salatun kanavan kautta.

PEAP-laillisuustarkistus: Asiakkaan laillisuustarkistus laillisuustarkistuspalvelimessa edellyttää PEAP-asetuksia. PEAP-laillisuustarkistuksessa asiakas käyttää EAP-TLS-menetelmää palvelimen laillisuuden tarkistamiseksi ja TLS-salatun kanavan luomiseksi asiakkaan ja palvelimen välille. Asiakas voi käyttää muuta EAP-mekanismia, kuten Microsoft Challenge Authentication Protocol (MSCHAP) Version 2 -mekanismia, tämän salatun kanavan kautta palvelimen laillisuustarkistuksen ottamiseksi käyttöön. Tarkistus- ja vastauspaketit lähetetään ei-julkisen TLS-salatun kanavan kautta.

Seuraavassa esimerkissä kuvataan WPA:n käyttäminen yhdessä WEP- tai TKIP-salauksen kanssa TTLS- tai PEAP-laillisuustarkistuksen yhteydessä.

  1. Hanki ja asenna asiakassertifikaatti kohdassa Asiakkaan TLS-laillisuustarkistusasetusten määrittäminen olevien ohjeiden tai järjestelmänvalvojan antamien ohjeiden mukaan.
  2. Valitse Yleiset-sivun Verkot-välilehti.
  3. Valitse Lisää-painike.
  4. Anna profiilin nimi ja verkkotunnus (SSID).
  5. Valitse toimintatilaksi Perusrakenne.
  6. Valitse Seuraava.
  7. Valitse verkon laillisuustarkistusasetukseksi WPA.
  8. Valitse Tiedon salaus -asetukseksi WPA tai TKIP.
  9. Valitse 802.1x käytössä.
  10. Määritä tämän yhteyden kanssa käytettävän laillisuustarkistuksen tyypiksi TTLS tai PEAP.
  11. Avaa asetusvalintaikkuna valitsemalla Määritä-painike.
  12. Käytä käyttäjätietojen käyttäjänimeä EAP-tunnuksena:Jos valintaruutu on tyhjä, esimääritetty merkkijono "anonymous" lähetetään laillisuustarkistuksen yhteyskäytäntönä. Tämä ominaisuus käyttää vähemmän suojattua laillisuustarkistusmenetelmää, joka lähettää aidon käyttäjänimen salaamattomana. Tämä menetelmä kelpaa kaikille laillisuustarkistuspalvelimille, ja erityisesti Microsoft IAS RADIUS -palvelimelle, joka hyväksyy vain kelpoisan käyttäjänimen.
  13. Valitse luettelosta Sertifikaatin myöntäjä. Valitse Mikä tahansa luotettu sertifikaatinmyöntäjä -vaihtoehto (oletusasetus). Valitsemalla Salli keskitason sertifikaatit -valintaruudun voit sallia joukon määrittämättömiä sertifikaatteja olla läsnä palvelinsertifikaattiketjussa palvelinsertifikaatin ja määritetyn sertifikaatin myöntäjän välillä. Jos valintaruutua ei valita, palvelinsertifikaatin pitää olla suoraan määritetyn sertifikaatin myöntäjän myöntämä.
  14. Anna palvelinnimi.

  1. Laillisuustarkistuksen yhteyskäytäntö:
  2. Valitse jokin seuraavista vaihtoehdoista:
Huomautus: Jos Käytä Windowsin sisäänkirjautumista -ominaisuus näkyy himmennettynä, Yksi sisäänkirjautuminen -ominaisuutta ei ole asennettu. Tietoja Käytä Windowsin sisäänkirjautumista -ominaisuuden asentamisesta on kohdassa Yksi sisäänkirjautuminen -ominaisuuden asentaminen ja sen asennuksen poistaminen.
  1. Käytä asiakassertifikaattia: Tämä vaihtoehto valitsee asiakassertifikaatin Windowsiin kirjautuneen käyttäjän henkilökohtaisesta sertifikaattisäilöstä. Tätä sertifikaattia käytetään asiakkaan todentamisessa. Voit avata asennettujen sertifikaattien luettelon valitsemalla Valitse-painikkeen.

Huomautus sertifikaateista: Määritetyn tunnuksen pitää vastata sertifikaatin Myönnetty-kentän tietoja ja sen on oltava rekisteröity varmistajan käytössä olevaan laillisuustarkistuspalvelimeen (esimerkiksi RADIUS-palvelimeen). Sertifikaatin pitää olla "kelvollinen" laillisuustarkistuspalvelimen suhteen. Tämä vaatimus riippuu laillisuustarkistuspalvelimesta, ja yleisesti se merkitsee sitä, että laillisuustarkistuspalvelimen pitää tuntea sertifikaatin myöntäjä CA-myöntäjänä. Sisäänkirjautumisessa pitää käyttää samaa käyttäjänimeä kuin sertifikaatin asentamisen yhteydessä.

  1. Valitse luettelosta sertifikaatti ja valitse sitten OK. Asiakassertifikaatin tiedot näkyvät Asiakassertifikaatti-kohdassa.
  2. Valitse Sulje.
  3. Valitse Seuraava.
  4. Valitse uusi profiili profiililuettelon lopusta. Sijoita ylä- ja alanuolen avulla uusi profiili sen prioriteettia vastaavaan kohtaan profiililuettelossa.
  5. Muodosta yhteys valittuun langattomaan verkkoon valitsemalla Yhdistä.
  1. Sulje Intel(R) PROSet valitsemalla OK.

Asiakkaan määrittäminen CCX:ää varten käytettäessä CKIP-salausta ja LEAP-laillisuustarkistusta

LEAP:n määrittäminen Intel(R) PROSet -ohjelman avulla
Huomautus: LEAP-profiilin voi määrittää vain käyttämällä Intel(R) PROSet -ohjelmaa.

An Intel(R) PROSet CCX (versio 1.0) -profiili pitää määrittää yhteyden muodostamiseksi tiettyyn ESS-verkkoon tai langattomaan lähiverkkoon. Profiiliasetukset sisältävät LEAP-, CKIP- ja Rogue-tukiasemantunnistusasetukset.

CCX-suojausasetusten profiilin määrittäminen:

  1. Valitse Yleiset-sivun Verkot-välilehti.
  2. Valitse Lisää-painike.
  3. Anna profiilin nimi ja verkkotunnus (SSID).
  4. Valitse toimintatilaksi Perusrakenne.
  5. Ota CCX-suojaus käyttöön valitsemalla Ota Cisco Compatible Extensions käyttöön -valintaruutu. Jos Ciscon Sekasolu-asetus on valittuna Lisäasetukset-valintaruudussa, myös tämä vaihtoehto pitää valita. Huomautus: Verkon laillisuustarkistus ja datansalaus käsittää nyt CCX-suojausasetukset: Avoin, Jaettu 802.11-laillisuustarkistukselle ja ei mitään, WEP, CKIP tiedon salaukselle.
  6. Valitse Seuraava.
  7. Valitse verkon laillisuustarkistusasetukseksi Avoin.
  8. Valitse Tiedon salaus -asetukseksi CKIP.
  9. Ota 802.1x-suojaus käyttöön valitsemalla 802.1x käytössä -valintaruutu.
  10. Valitse 802.1x-laillisuustarkistuksen tyypiksi LEAP.
  11. Avaa Leap-asetusten valintaikkuna valitsemalla Määritä-painike.
  12. Valitse jokin seuraavista vaihtoehdoista:
Huomautus: Jos Käytä Windowsin sisäänkirjautumista -ominaisuus näkyy himmennettynä, Yksi sisäänkirjautuminen -ominaisuutta ei ole asennettu. Tietoja Käytä Windowsin sisäänkirjautumista -ominaisuuden asentamisesta on kohdassa Yksi sisäänkirjautuminen -ominaisuuden asentaminen ja sen asennuksen poistaminen.
  1. Tallenna asetukset ja sulje LEAP-asetukset-valintaikkuna valitsemalla Sulje.
  2. Valitse Seuraava.Näyttöön tulee Lisäasetukset-sivu.
  3. Yhteiset profiilit ja Pysyvä yhteys: Tarvittaessa voit ottaa yhteisen profiilin käyttöön valitsemalla Kaikki käyttäjät voivat käyttää tätä profiilia (Yhteinen) -asetuksen. Voit ottaa Pysyvä yhteys -ominaisuuden käyttöön valitsemalla Tätä profiilia käytetään, kun yksikään käyttäjä ei ole kirjautuneena (Pysyvä) -asetuksen. Nämä ominaisuudet asennetaan ohjelmiston asennustoimenpiteen aikana. Jos nämä ominaisuudet on valittuna, myös Siirry yhteisen ja pysyvän profiilin hallintaan -asetus pitää valita Lisäasetukset-valintaikkunassa.
  4. Jos otit CCX-suojauksen käyttöön valitsemalla Ota Cisco Compatible Extensions käyttöön -valintaruudun Yleisasetukset-sivulla, tarkista, että Ciscon Ota Cisco-sekasolu käyttöön -valintaruutu on valittuna.
  5. Tallenna profiiliasetukset valitsemalla Valmis-painike.
  6. Valitse uusi profiili profiililuettelon lopusta. Sijoita ylä- ja alanuolen avulla uusi profiili sen prioriteettia vastaavaan kohtaan profiililuettelossa.
  7. Muodosta yhteys valittuun langattomaan verkkoon valitsemalla Yhdistä.
  8. Anna LEAP-käyttäjätiedot. Voit tallentaa käyttäjätiedot käytettäväksi myöhemmin tämän 802.1x-profiilin kanssa valitsemalla Tallenna käyttäjätiedot -valintaruudun.
  9. Sulje Intel(R) PROSet valitsemalla OK.

CCX-tukiaseman ja asiakkaan asetusten määritykset

Tukiasema tarjoaa asetukset eri laillisuustarkistustyyppien valitsemiseksi, langattoman lähiverkkoympäristön mukaan. Asiakas lähettää laillisuustarkistusalgoritmin kentän 802.11-laillisuustarkistuksen kättelyn aikana, joka tapahtuu asiakkaan ja tukiaseman välillä yhteyden muodostamisen hetkellä. Laillisuustarkistusalgoritmin arvot, jotka CCX:ää käyttävä tukiasema tunnistaa, ovat erilaiset eri laillisuustarkistustyypeillä. Esimerkiksi Verkko-EAP-asetuksella, joka ilmaisee LEAP-tyypin, on arvo 0x80, kun taas Avoin-asetuksella, joka on 802.11:n määritetty Avoin laillisuustarkistus ja Vaadittu EAP-asetuksella, joka vaatii EAP:n kättelyn vaihdon, arvona on 0x0.

Vain Verkko-EAP

Tukiasema: CCX:ää käyttävissä verkoissa, jotka käyttävät vain LEAP-laillisuustarkistusta, laillisuustarkistustyyppi määritetään valitsemalla ”Verkko-EAP”-valintaruutu, ja ”Avoin”- ja ”Vaadittu EAP” -ruudut ovat ilman valintaa. Tukiasema määritetään sitten sallimaan VAIN LEAP-asiakkaat suorittamaan laillisuustarkistuksen ja muodostamaan yhteyden. Tässä tapauksessa tukiasema odottaa 802.11-laillisuustarkistusalgoritmin asetusta 0x80 (LEAP), ja hylkää laillisuustarkistusalgoritmin arvon 0x0.

Asiakas: Tässä tapauksessa asiakkaan on lähetettävä laillisuustarkistusalgoritmin arvo 0x80 muutoin 802.11-laillisuustarkistuksen kättely epäonnistuu. Käynnistyksen yhteydessä, kun langaton lähiverkko-ohjain on jo ladattu, mutta Intel(R) PROSet -anojaa ei ole vielä ladattu, asiakas lähettää 802.11-laillisuustarkistuksen algoritmin arvolla 0x0. Kun Intel(R) PROSet -anoja latautuu, ja käynnistää LEAP-profiilin, se lähettää 802.11-laillisuustarkistuksen algoritmin arvon 0x80.

Verkko-EAP, Avoin ja Vaadittu EAP

Tukiasema: Jos Verkko-EAP-, Avoin- ja Vaadittu EAP -ruudut on valittu, se hyväksyisi molemman tyyppiset 802.11-laillisuusalgoritmin arvot 0x0 ja 0x80. Kuitenkin, kun asiakas on liitetty ja sen laillisuus tarkistettu, tukiasema odottaa EAP-kättelyä. Jos EAP-kättely ei tapahdu pian jostain syystä, tukiasema ei vastaa asiakkaalle 60 sekuntiin.

Asiakas: Tässä asiakas voisi lähettää laillisuustarkistuksen algoritmin arvon 0x80 tai 0x0. Molemmat arvot ovat hyväksyttäviä ja 802.11-laillisuustarkistuksen kättely onnistuisi. Kun käynnistyksen aikana langattoman lähiverkon ohjain on jo asennettu ja asiakas lähettää 802.11-laillisuustarkistuksen sen algoritmiarvolla 0x0. Tämä riittää laillisuuden tarkistukseen, mutta vastaavat EAP- tai LEAP-tarkistustiedot on toimitettava tukiasemalle yhteyden muodostamiseksi.

Vain Avoin ja Vaadittu EAP

Tukiasema: Siinä tapauksessa, että tukiasema on määritetty ilman Verkko-EAP:n valintaa, mutta Avoin ja Vaadittu EAP on valittu, tukiasema hylkää asiakkaan, joka yrittää 802.11-laillisuustarkistusta käyttäen laillisuustarkistuksen algoritmiarvoa 0x80. Tukiasema hyväksyisi minkä tahansa asiakkaan, joka käyttää laillisuusalgoritmin arvoa 0x0, ja odottaa EAP-kättelyn alkavan pian sen jälkeen. Tässä tapauksessa asiakas käyttää menetelmiä MD5, TLS, LEAP tai muuta tietyn verkon määritykselle sopivaa EAP-menetelmää.

Asiakas: Asiakkaan on tässä tapauksessa lähetettävä laillisuustarkistusalgoritmin arvo 0x0. Kuten mainittu aiemmin, tapahtumasarja käsittää alustavan 802.11-laillisuustarkistuskättelyn toiston. Ensin langattoman lähiverkon ohjain käynnistää laillisuustarkistuksen arvolla 0x0 ja myöhemmin anoja toistaa prosessin. Asiakas lähettää laillisuustarkistusalgoritmin arvolla 0x0 varustetun 802.11-laillisuustarkistuksen myös sen jälkeen, kun anoja lataa ja kytkee LEAP-profiilin.

Rogue-tukiasema

LEAP-profiili varmistaa, että asiakas ottaa käyttöön Rogue-tukiasemaominaisuuden CCX:n vaatimalla tavalla. Asiakas huomioi tukiasemat, joiden kanssa laillisuustarkistus epäonnistui, ja lähettää nämä tiedot tukiasemalle, joka sallii sen laillisuustarkistuksen ja yhteyden muodostamisen. Lisäksi anoja asettaa laillisuustarkistusalgoritmin tyypiksi 0x80. Joitakin verkon määrityksiä mahdollisesti toteutetaan ja Vain Avoin ja Vaadittu EAP, kuten on kuvattu yllä. Tämän määrityksen toimimiseksi asiakkaan on käytettävä laillisuustarkistusalgoritmin arvoa 0x0, eikä arvoa 0x80 Vain Verkko-EAP -asetukselle, kuten kuvattu yllä. LEAP-profiili mahdollistaa asiakkaan Vain Verkko-EAP-tuen ja Avoin- ja Vaadittu EAP -tuen.

Huomautus: Tarkista lisätiedot Cisco Client extensions version 2.0 dokumentista sivulta www.cisco.com.


Takaisin Sisältö-sivulle