Konfigurowanie szyfrowania danych i potwierdzania autentyczności
Szyfrowanie — przegląd
Jak włączyć szyfrowanie WEP
Zadania administratora systemu
Konfigurowanie klienta szyfrowania WEP i potwierdzania autentyczności MD5
Konfigurowanie klienta WPA-PSK z potwierdzaniem autentyczności WEP lub TKIP
Konfigurowanie klienta WPA z szyfrowaniem TKIP i potwierdzaniem autentyczności TLS
Konfigurowanie klienta WPA z szyfrowaniem TKIP i potwierdzaniem autentyczności TTLS lub PEAP
Konfigurowanie klienta do rozszerzenia CCX z szyfrowaniem CKIP i potwierdzaniem autentyczności LEAP
Szyfrowanie WEP (ang. Wired Equivalent Privacy) i współużytkowane potwierdzanie autentyczności służy do zabezpieczania danych w sieci. W szyfrowaniu WEP, przed wysłaniem, dane są szyfrowane za pomocą klucza szyfrowania. Uzyskiwanie dostępu do sieci oraz odszyfrowywanie zaszyfrowanych danych jest możliwe tylko w przypadku komputerów z tym samym kluczem szyfrowania. Potwierdzanie autentyczności zapewnia dodatkowy proces weryfikacji karty przez punkt dostępu. Algorytm szyfrowania WEP jest podatny na aktywne i pasywne ataki sieciowe. Algorytmy TKIP i CKIP zawierają ulepszenia protokołu WEP, które zmniejszają niebezpieczeństwo ataków i eliminują niektóre niedociągnięcia.
W standardzie 802.11 obsługiwane są dwie metody potwierdzania autentyczności sieci: system otwarty i współużytkowany, korzystające z 64-bitowego i 128-bitowego szyfrowania WEP. W trybie otwartym nie są wymagane metody potwierdzania autentyczności przez szyfrowanie, mające na celu kojarzenie z określonym punktem dostępu. Obsługiwane rodzaje potwierdzania autentyczności to potwierdzanie otwarte oraz potwierdzanie współużytkowane:
Jeśli włączone zostało szyfrowanie danych (WEP, CKIP lub TKIP), do szyfrowania używany jest klucz sieciowy. Klucz sieciowy może być dostarczany automatycznie (np. razem z kartą sieci bezprzewodowej) lub wprowadzany przez użytkownika przez podanie klucza, jego długości (64-bitowy lub 128-bitowy), formatu (znaki ASCII lub cyfry w systemie szesnastkowym) oraz indeksu (miejsca przechowywania). Im klucz jest dłuższy, tym zapewnia wyższy poziom bezpieczeństwa. Z każdym bitem długości klucza podwaja się liczba możliwych kombinacji klucza.
Dla stacji podłączonej do sieci bezprzewodowej w standardzie 802.11 można skonfigurować maksymalnie cztery klucze (wartości indeksów kluczy: 1, 2, 3 i 4). Kiedy z punktu dostępu lub stacji w sieci bezprzewodowej wysyłana jest wiadomość zaszyfrowana za pomocą klucza przechowywanego w określonym indeksie, w wiadomości tej zawarte są informacje o indeksie klucza użytego do szyfrowania treści wiadomości. Klucz przechowywany w indeksie może zostać pobrany przez odbiorczy punkt dostępu lub stację w sieci bezprzewodowej, a następnie użyty do odszyfrowania treści wiadomości.
W standardzie 802.1x używane są dwa typy kluczy szyfrowania: statyczne i dynamiczne. Statyczne klucze szyfrowania zmieniane są ręcznie i są bardziej narażone na przechwycenie. Do potwierdzania autentyczności MD5 używane są tylko klucze statyczne. Dynamiczne klucze szyfrowania są okresowo odnawiane automatycznie. Dzięki temu są one bezpieczniejsze. Aby włączyć dynamiczne klucze szyfrowania, należy użyć metod potwierdzania autentyczności 802.1x: TLS, TTLS, PEAP lub LEAP.
Kluczowe kwestie związane z potwierdzaniem autentyczności 802.1x
Do metod potwierdzania autentyczności w standardzie
802.1x zaliczają się między innymi hasła, certyfikaty i karty inteligentne (plastikowe karty z zapisanymi danymi). Funkcja synchronizacji hasła dla sieci 802.1x: Opcja Użyj logowania systemu Windows (Use Windows login) w oknie dialogowym Poświadczenia MD5, TLS, TTLS i LEAP (MD5, TLS, TTLS, and LEAP Credentials) umożliwia uzgodnienie poświadczeń sieci 802.1x z nazwą użytkownika i hasłem w systemie Windows. Opcja potwierdzania autentyczności w standardzie 802.1x jest dostępna tylko w trybie działania Infrastruktura.
Bezpieczeństwo sieci WLAN można zwiększyć przez włączenie szyfrowania danych przy użyciu protokołu WEP (Wireless Encryption Protocol). Można wybrać jeden z dwóch poziomów szyfrowania: 64-bitowe i 128-bitowe. Dane można wtedy szyfrować również za pomocą klucza. Inny parametr, nazywany indeksem klucza, umożliwia tworzenie kilku kluczy dla danego profilu. W danym momencie można jednak używać tylko jednego klucza. Dodatkowo profil można zabezpieczać hasłem.
Fraza hasła używana jest do automatycznego tworzenia klucza WEP. Do wyboru są dwie możliwości: można używać frazy hasła lub wpisywać klucz WEP ręcznie. W przypadku szyfrowania 64-bitowego dla klucza WEP odpowiadającego sieci, z którą następuje łączenie, można wprowadzić frazę hasła o długości pięciu znaków — może być dowolna i łatwa do zapamiętania (np. Cola1) — lub 10 znaków w systemie szesnastkowym. W przypadku szyfrowania 128-bitowego można wprowadzić frazę hasła, składającą się z 13 znaków lub z 26 znaków w systemie szesnastkowym.
Uwaga:W przypadku wszystkich urządzeń danej sieci bezprzewodowej należy używać tego samego typu szyfrowania, numeru indeksu klucza i klucza WEP.
Poniższy przykład przedstawia edytowanie istniejącego profilu i używanie szyfrowania WEP.
Uwaga: Przed rozpoczęciem należy od administratora systemu uzyskać frazę hasła WEP lub klucz szesnastkowy do sieci.
Aby włączyć szyfrowanie WEP:
- Użyj frazy hasła (Use pass phrase): Kliknięcie tej opcji powoduje włączenie frazy hasła. W polu frazy hasła wprowadź maksymalnie pięć (przy szyfrowaniu 64-bitowym) lub 13 (szyfrowanie 128-bitowe) znaków alfanumerycznych (0-9, a-z lub A-Z).
- Użyj klucza szesnastkowego (Use hex Key): Kliknięcie tej opcji powoduje włączenie frazy hasła. Wprowadź maksymalnie dziesięć (przy szyfrowaniu 64-bitowym) lub dwadzieścia sześć (szyfrowanie 128-bitowe) znaków z zakresów 0-9, A-F w polu klucza szesnastkowego.
![]() |
Uwaga: Podane informacje są przeznaczone dla administratorów systemu. Więcej informacji na ten temat można znaleźć w rozdziale Uprawnienia administratora i użytkownicy z ograniczonymi uprawnieniami. |
W przypadku braku certyfikatów dla usług EAP-TLS lub EAP-TTLS należy uzyskać certyfikat klienta, umożliwiający potwierdzanie autentyczności. Zwykle o instrukcje dotyczące uzyskania certyfikatu dla sieci należy pytać administratora sieci. Certyfikatami można zarządzać za pomocą ustawień internetowych, dostępnych z poziomu przeglądarki Internet Explorer lub apletu Panelu sterowania systemu Windows. Służy do tego strona Zawartość (Content) okna dialogowego Opcje internetowe (Internet Settings).
W systemach Windows XP i 2000: Podczas uzyskiwania certyfikatu klienta nie należy włączać silnej ochrony klucza prywatnego. Jeśli silna ochrona zostanie włączona, każdorazowo przy korzystaniu z certyfikatu konieczne będzie wprowadzanie hasła dostępu. W przypadku konfiguracji ustawień potwierdzania autentyczności TLS/TTLS należy wyłączyć silną ochronę klucza prywatnego. W przeciwnym razie autentyczność usługi 802.1x nie zostanie potwierdzona z powodu braku zalogowanego użytkownika, który mógłby wprowadzić hasło po wyświetleniu okna dialogowego.
Uwagi dotyczące kart inteligentnych:
Po zainstalowaniu karty inteligentnej certyfikat jest automatycznie zapisywany na komputerze i może być wybierany z osobistego magazynu certyfikatów lub głównego magazynu certyfikatów głównych.
Krok 1: Uzyskiwanie certyfikatu
Aby umożliwić potwierdzanie autentyczności w standardzie TLS, w składzie lokalnym musi znajdować się certyfikat klienta (użytkownika) dla konta zalogowanego użytkownika. Wymagany jest także certyfikat zaufanego urzędu certyfikacji w magazynie głównym (root store).
Poniższe informacje dotyczą dwóch metod uzyskiwania certyfikatu:
Uwaga: Jeśli jest to pierwszy uzyskany certyfikat, użytkownik zostanie zapytany, czy w magazynie głównym ma zostać zainstalowany certyfikat zaufanego urzędu certyfikacji. W oknie dialogowym nie będzie potwierdzenia, że jest to certyfikat zaufanego urzędu certyfikacji, ale przedstawiona nazwa certyfikatu będzie zawierała nazwę hosta urzędu certyfikacji. Wybierz opcję Tak (Yes), jeśli certyfikat ma być używany zarówno w usłudze TLS, jak i TTLS.
Aby skonfigurować profil przy użyciu potwierdzania autentyczności WPA z szyfrowaniem WEP lub TKIP i potwierdzaniem autentyczności TLS:
Krok 2: Określanie certyfikatu używanego przez program Intel(R) PROSet
Uwaga: Uzyskaj i zainstaluj certyfikat klienta (w tym celu można zapoznać się z sekcją Krok 1 lub skontaktować się z administratorem systemu).Kliknij pole wyboru Zezwalaj na certyfikaty pośrednie (Allow intermediate certificates), aby dopuścić możliwość używania nieokreślonych certyfikatów w łańcuchu certyfikatów serwera między certyfikatem serwera a określonym urzędem certyfikacji. Jeśli to pole wyboru nie jest zaznaczone, oznacza to, że urząd certyfikacji musiał wydać certyfikat serwera bezpośrednio.
Wprowadź nazwę serwera/certyfikatu. Jeśli znana jest nazwa serwera/certyfikatu, wprowadź ją. Wybierz odpowiednią opcję, aby dopasować dokładnie nazwę serwera lub określić nazwę domeny.
Certyfikat klienta (Client Certificate):Wybranie tej opcji powoduje, że certyfikat klienta zostaje wybrany z osobistego magazynu certyfikatów zalogowanego użytkownika systemu Windows. Ten certyfikat będzie używany do potwierdzania autentyczności klienta. Kliknij przycisk Wybierz (Select), aby otworzyć listę zainstalowanych certyfikatów.
Uwaga dotycząca certyfikatów: Określona tożsamość powinna odpowiadać tożsamości podanej w polu Wystawiony dla (Issued to) w certyfikacie i powinna zostać zarejestrowana na serwerze potwierdzania autentyczności (tj. na serwerze RADIUS) używanym przez potwierdzającego. Certyfikat musi być poprawny na serwerze potwierdzania autentyczności. To wymaganie jest zależne od danego serwera potwierdzania autentyczności i oznacza, że serwer musi uznawać wystawcę certyfikatu za urząd certyfikacji. Użytkownik powinien być zalogowany pod nazwą, która została użyta podczas instalowania certyfikatu.
Aby dodać potwierdzanie autentyczności WEP i MD5 do nowego profilu:
Uwaga: Przed rozpoczęciem należy od administratora systemu uzyskać nazwę użytkownika i hasło serwera RADIUS.
- Monituj o poświadczenia przy łączeniu (Prompt for Credentials on Connection): Monitowanie o nazwę użytkownika i hasło odbywa się przy każdym logowaniu do sieci.
- Użyj logowania systemu Windows (Use Windows logon): Opcja ta umożliwia uzgodnienie poświadczeń sieci 802.1x z nazwą użytkownika i hasłem w systemie Windows. Przed uzyskaniem połączenia wyświetlane jest okno Poświadczenia (Credentials), w którym należy wprowadzić poświadczenia logowania w systemie Windows.
- Zapisz poświadczenia użytkownika (Save User Credentials): Logowanie do sieci przy użyciu zapisanych poświadczeń. Kliknij przycisk Konfiguruj (Configure), aby otworzyć okno dialogowe poświadczeń. Wprowadź nazwę, domenę i hasło konta użytkownika utworzonego na serwerze potwierdzania autentyczności. Poświadczenia zostaną zapisane do użycia w przyszłości z tym profilem 802.1x. Nazwa użytkownika i hasło nie muszą być takie same, jak nazwa i hasło zalogowanego użytkownika systemu Windows. Kliknij przycisk OK, aby zapisać poświadczenia.
Uwaga: Jeśli funkcja Użyj logowania systemu Windows (Use Windows Logon) jest wyszarzona (niedostępna), oznacza to, że jej nie zainstalowano. Instrukcje dotyczące instalacji funkcji Użyj logowania systemu Windows (Use Windows logon) można znaleźć w rozdziale Instalowanie i odinstalowywanie funkcji logowania pojedynczego.
- Jeśli nie wybrano opcji Użyj logowania systemu Windows (Use Windows logon) (krok 13) w oknie dialogowym Ustawienia zabezpieczeń (Security Settings) i nie skonfigurowano również poświadczeń użytkownika, wówczas przy próbie połączenia się z tym profilem zostanie wyświetlone okno dialogowe Wprowadź poświadczenia (Enter Credentials). Wprowadź nazwę użytkownika i hasło dla systemu Windows. Zaznacz pole wyboru Zapisz poświadczenia użytkownika (Save User Credentials), aby poświadczenia zostały zapisane i były używane w przyszłości z tym profilem 802.1x.
Tryb WPA-PSK stosuje się w przypadku braku serwera potwierdzania autentyczności. W tym trybie nie jest używany żaden protokół potwierdzania autentyczności 802.1x. Można go używać z szyfrowaniem danych WEP lub TKIP. Dla trybu WPA-PSK wymagane jest skonfigurowanie klucza wstępnego (PSK). Dla klucza wstępnego o długości 256 bitów należy wprowadzić frazę hasła lub 64 znaki w systemie szesnastkowym. Klucz szyfrowania danych jest pobierany z klucza PSK.
Aby skonfigurować nowy profil z szyfrowaniem WEP lub TKIP i potwierdzaniem autentyczności sieci WPA-PSK
Trybu WPA można używać z protokołami TLS, TTLS i PEAP. Opcje szyfrowania danych używane w protokole potwierdzania autentyczności w standardzie 802.1x to: WEP lub TKIP. Tryb WPA wiąże się z potwierdzaniem autentyczności w standardzie 802.1x. Klucz szyfrowania danych jest uzyskiwany przez wymianę kluczy w standardzie 802.1x. Aby usprawnić szyfrowanie danych, w trybie WPA używany jest protokół TKIP (Temporal Key Integrity Protocol). W protokole TKIP zastosowano ważne ulepszenia, włącznie z metodą ponownego wprowadzania klucza.
Wprowadź nazwę użytkownika w polu Nazwa użytkownika (User Name).
Wybierz z listy opcję Wystawca certyfikatu (Certificate Issuer). Jako domyślną opcję wybierz Dowolny zaufany urząd certyfikacji (Any Trusted CA).
Kliknij pole wyboru Zezwalaj na certyfikaty pośrednie (Allow intermediate certificates), aby dopuścić możliwość używania nieokreślonych certyfikatów w łańcuchu certyfikatów serwera między certyfikatem serwera a określonym urzędem certyfikacji. Jeśli to pole wyboru nie jest zaznaczone, oznacza to, że wskazany urząd certyfikacji musiał wydać certyfikat serwera bezpośrednio.
Podaj nazwę serwera. Jeśli znana jest nazwa serwera, wprowadź ją. Wybierz odpowiednią opcję, aby dopasować dokładnie nazwę serwera lub określić nazwę domeny.
Uwaga dotycząca certyfikatów: Określona tożsamość powinna odpowiadać tożsamości podanej w polu Wystawiony dla (Issued to) w certyfikacie i powinna zostać zarejestrowana na serwerze potwierdzania autentyczności (tj. na serwerze RADIUS) używanym przez potwierdzającego. Certyfikat musi być poprawny na serwerze potwierdzania autentyczności. To wymaganie jest zależne od danego serwera potwierdzania autentyczności i oznacza, że serwer musi uznawać wystawcę certyfikatu za urząd certyfikacji. Użytkownik powinien być zalogowany pod nazwą, która została użyta podczas instalowania certyfikatu.
Potwierdzanie autentyczności TTLS (TTLS authentication):Te ustawienia określają protokół i poświadczenia używane do potwierdzania autentyczności użytkownika. W przypadku usługi TTLS klient korzysta z usługi EAP-TLS w celu sprawdzenia serwera i utworzenia między klientem a serwerem kanału zaszyfrowanego metodą TLS. Aby możliwe było sprawdzanie serwera, klient może w odniesieniu do tego kanału korzystać z innych protokołów potwierdzania autentyczności (zwykle protokołów obsługujących hasła, np. MD5 Challenge). Pakiety żądania i odpowiedzi wysyłane są przez ukryty kanał zaszyfrowany metodą TLS.
Potwierdzanie autentyczności PEAP (PEAP authentication): Ustawienia protokołu PEAP są wymagane do potwierdzania autentyczności klienta przez serwer. W przypadku PEAP klient korzysta z usługi EAP-TLS w celu sprawdzenia serwera i utworzenia między klientem i serwerem kanału zaszyfrowanego metodą TLS. Aby możliwe było sprawdzanie serwera, klient może w odniesieniu do tego kanału korzystać z innych mechanizmów EAP (np. Microsoft Challenge Authentication Protocol, MSCHAP, w wersji 2). Pakiety żądania i odpowiedzi wysyłane są przez ukryty kanał zaszyfrowany metodą TLS.
W poniższym przykładzie opisano korzystanie z dostępu zabezpieczonego WPA z szyfrowaniem WEP lub TKIP przy użyciu potwierdzania autentyczności TTLS lub PEAP.
Podaj nazwę serwera.
- Jeśli znana jest nazwa serwera, wprowadź ją.
- Wybierz odpowiednią opcję, aby dopasować dokładnie nazwę serwera lub określić nazwę domeny.
- Monituj o poświadczenia przy łączeniu (Prompt for Credentials on Connection): Monitowanie o nazwę użytkownika i hasło odbywa się przy każdym logowaniu do sieci.
- Użyj logowania systemu Windows (Use Windows logon): Opcja ta umożliwia uzgodnienie poświadczeń sieci 802.1x z nazwą użytkownika i hasłem w systemie Windows. Przed uzyskaniem połączenia wyświetlane jest okno Poświadczenia (Credentials), w którym należy wprowadzić poświadczenia logowania w systemie Windows.
- Zapisz poświadczenia użytkownika (Save User Credentials): Zaznaczenie tego pola powoduje zapisanie nazwy użytkownika i hasła do przyszłego użycia z profilem potwierdzania autentyczności w sieci 802.1x. Kliknij przycisk Konfiguruj (Configure), a następnie wprowadź nazwę użytkownika, domenę i hasło. W polu tekstowym Potwierdź hasło (Confirm Password) ponownie wprowadź hasło, a następnie kliknij przycisk OK w celu zapisania ustawień i zamknięcia okna dialogowego. Nazwa użytkownika i domena muszą być takie same, jak nazwa użytkownika podana w serwerze potwierdzania autentyczności przez administratora sieci przed potwierdzeniem autentyczności klienta. W nazwie użytkownika uwzględniana jest wielkość liter. Nazwa określa tożsamość podawaną potwierdzającemu autentyczność przez protokół potwierdzania autentyczności (przez tunel TLS). Tożsamość użytkownika zostaje bezpiecznie przesłana do serwera tylko wtedy, gdy szyfrowany kanał został sprawdzony i ustalony. Wprowadź hasło ponownie. Jeśli hasło zostanie potwierdzone, wyświetlone zostaną znaki identyczne ze znakami w polu Hasło (Password).
Uwaga: Jeśli funkcja Użyj logowania systemu Windows (Use Windows Logon) jest wyszarzona (niedostępna), oznacza to, że jej nie zainstalowano. Instrukcje dotyczące instalacji funkcji Użyj logowania systemu Windows (Use Windows logon) można znaleźć w rozdziale Instalowanie i odinstalowywanie funkcji logowania pojedynczego.
Uwaga dotycząca certyfikatów: Określona tożsamość powinna odpowiadać tożsamości podanej w polu Wystawiony dla (Issued to) w certyfikacie i powinna zostać zarejestrowana na serwerze potwierdzania autentyczności (tj. na serwerze RADIUS) używanym przez potwierdzającego. Certyfikat musi być poprawny na serwerze potwierdzania autentyczności. To wymaganie jest zależne od danego serwera potwierdzania autentyczności i oznacza, że serwer musi uznawać wystawcę certyfikatu za urząd certyfikacji. Użytkownik powinien być zalogowany pod nazwą, która została użyta podczas instalowania certyfikatu.
- Jeśli nie wybrano opcji Użyj logowania systemu Windows (Use Windows logon) (krok 15) w oknie dialogowym Ustawienia zabezpieczeń (Security Settings) i nie skonfigurowano również poświadczeń użytkownika, wówczas przy próbie połączenia się z tym profilem zostanie wyświetlone okno dialogowe Wprowadź poświadczenia (Enter Credentials). Wprowadź nazwę użytkownika i hasło dla systemu Windows. Zaznacz pole wyboru Zapisz poświadczenia użytkownika (Save User Credentials), aby poświadczenia zostały zapisane i były używane w przyszłości z tym profilem 802.1x.
![]() |
Uwaga: Profil LEAP można konfigurować tylko w programie Intel(R) PROSet. |
Aby możliwe było połączenie z określoną siecią ESS lub siecią bezprzewodową LAN, skonfigurowany musi zostać profil Intel(R) PROSet CCX (v1.0). Ustawienia profili uwzględniają szyfrowanie LEAP, CKIP i wykrywanie nielegalnego punktu.
Aby skonfigurować profil ustawień zabezpieczeń CCX:
- Monituj o poświadczenia przy łączeniu (Prompt for Credentials on Connection): To pole wyboru należy zaznaczyć, jeśli nazwa użytkownika i hasło mają być wprowadzane podczas każdego łączenia z siecią bezprzewodową. Nazwa użytkownika i hasło muszą zostać wcześniej ustawione przez administratora sieci na serwerze potwierdzania autentyczności. Przejdź do kroku 13.
- Użyj logowania systemu Windows (Use Windows logon): Opcja ta umożliwia uzgodnienie poświadczeń sieci 802.1x z nazwą użytkownika i hasłem w systemie Windows. Wypełnienie pól nazwy użytkownika i hasła nie jest wymagane. Przejdź do kroku 13.
- Zapisz poświadczenia użytkownika (Save User Credentials): Zaznaczenie tego pola wyboru powoduje zapisanie nazwy użytkownika i hasła do przyszłego użycia z profilem potwierdzania autentyczności w sieci 802.1x. Kliknij przycisk Konfiguruj (Configure), a następnie wprowadź nazwę użytkownika, domenę i hasło. W polu tekstowym Potwierdź hasło (Confirm Password) ponownie wprowadź hasło, a następnie kliknij przycisk OK w celu zapisania ustawień i zamknięcia okna dialogowego. Nazwa użytkownika i domena muszą być takie same, jak nazwa użytkownika podana w serwerze potwierdzania autentyczności przez administratora sieci przed potwierdzeniem autentyczności klienta. W nazwie użytkownika uwzględniana jest wielkość liter. Nazwa określa tożsamość podawaną potwierdzającemu autentyczność przez protokół potwierdzania autentyczności (przez tunel TLS). Tożsamość użytkownika zostaje bezpiecznie przesłana do serwera tylko wtedy, gdy szyfrowany kanał został sprawdzony i ustalony. Wprowadź hasło ponownie. Jeśli hasło zostanie potwierdzone, wyświetlone zostaną znaki identyczne ze znakami w polu Hasło (Password).
Uwaga: Jeśli funkcja Użyj logowania systemu Windows (Use Windows Logon) jest wyszarzona (niedostępna), oznacza to, że jej nie zainstalowano. Instrukcje dotyczące instalacji funkcji Użyj logowania systemu Windows (Use Windows logon) można znaleźć w rozdziale Instalowanie i odinstalowywanie funkcji logowania pojedynczego.
Istnieją ustawienia dla punktu dostępu, umożliwiające wybór różnych typów potwierdzania autentyczności, w zależności od środowiska sieci WLAN. Podczas uzgadniania potwierdzania autentyczności 802.11 między klientem i punktem dostępu w celu nawiązania połączenia klient wysyła pole algorytmu potwierdzania autentyczności. Wartości algorytmu potwierdzania autentyczności, rozpoznawane przez punkt dostępu z włączoną obsługą CCX, różnią się, w zależności od typu potwierdzania autentyczności. Na przykład wartość opcji Sieć — EAP (Network-EAP), oznaczającej potwierdzanie autentyczności LEAP, wynosi 0x80, podczas gdy wartości opcji Otwarte (Open) dla określonego potwierdzania autentyczności 802.11 i Wymagane EAP (Required EAP), dla którego wymagane jest uzgadnianie EAP, wynoszą 0x0.
Punkt dostępu: W przypadku sieci z włączoną obsługą CCX i korzystających tylko z potwierdzania autentyczności LEAP typ potwierdzania autentyczności ustawia się, zaznaczając pole wyboru Sieć — EAP (Network-EAP) i usuwając zaznaczenie pól Otwarte (Open) oraz Wymagane EAP (Required EAP). Punkt dostępu zostaje wtedy skonfigurowany do umożliwiania klientom LEAP TYLKO potwierdzania autentyczności i łączenia. W takim przypadku punkt dostępu oczekuje wartości algorytmu potwierdzania autentyczności 802.11 wynoszącej 0x80 (LEAP) i odrzuca klientów, którzy próbują potwierdzić autentyczność przy użyciu wartości algorytmu 0x0.
Klient: W tym przypadku klient musi wysłać wartość algorytmu potwierdzania autentyczności 0x80 lub uzgadnianie potwierdzania autentyczności 802.11 zakończy się niepowodzeniem. Podczas rozruchu, gdy sterownik sieci bezprzewodowej LAN został już załadowany, a program Intel(R) PROSet jeszcze nie, klient wysyła wartość algorytmu potwierdzania autentyczności 802.11 wynoszącą 0x0. Po załadowaniu programu Intel(R) PROSet i profilu LEAP wysyłana jest wartość algorytmu potwierdzania autentyczności 802.11 wynosząca 0x80.
Sieć — EAP (Network-EAP), Otwarte (Open) i Wymagane EAP (Required EAP)
Punkt dostępu: Jeśli pola Sieć — EAP (Network-EAP), Otwarte (Open) i Wymagane EAP (Required EAP) zostały zaznaczone, punkt dostępu będzie akceptował zarówno wartości algorytmu potwierdzania autentyczności 802.11 wynoszące 0x0, jak i wynoszące 0x80. Jednak po skojarzeniu i potwierdzeniu autentyczności klienta punkt dostępu oczekuje uzgodnienia EAP. Jeśli uzgodnienie EAP nie nastąpi w krótkim odstępie czasu, punkt dostępu nie będzie odpowiadał klientowi przez ok. 60 sekund.
Klient: W tym przypadku klient może wysyłać wartości algorytmu potwierdzania autentyczności wynoszące 0x80 lub 0x0. Obie wartości są akceptowane i uzgadnianie potwierdzania autentyczności 802.11 zakończy się powodzeniem. Podczas rozruchu, gdy sterownik sieci bezprzewodowej LAN został już załadowany, klient wysyła wartość algorytmu potwierdzania autentyczności 802.11 wynoszącą 0x0. Jest to wystarczające do potwierdzenia autentyczności, jednak aby nawiązane zostało połączenie, do punktu dostępu muszą zostać wysłane odpowiednie poświadczenia EAP lub LEAP.
Tylko Otwarte (Open) i Wymagane EAP (Required EAP)
Punkt dostępu: W przypadku, gdy punkt dostępu został skonfigurowany przez usunięcie zaznaczenia pola wyboru Sieć — EAP (Network-EAP) i zaznaczenie pól Otwarte (Open) i Wymagane EAP (Required EAP), wszyscy klienci wysyłający wartość algorytmu potwierdzania autentyczności 802.11 wynoszącą 0x80 będą odrzucani. Punkt dostępu będzie akceptował wszystkich klientów wysyłających wartość algorytmu potwierdzania autentyczności wynoszącą 0x0 i będzie oczekiwał na szybkie rozpoczęcie uzgadniania EAP. W takim przypadku używana jest metoda MD5, TLS, LEAP lub inna metoda EAP, odpowiednia dla danej konfiguracji sieci.
Klient: W tym przypadku klient powinien wysyłać wartość algorytmu potwierdzania autentyczności wynoszącą 0x0. W procesie uwzględniane jest powtórzenie uzgadniania potwierdzania autentyczności 802.11. Najpierw sterownik sieci bezprzewodowej LAN inicjuje potwierdzanie autentyczności z wartością 0x0, a następnie proces ten jest powtarzany przez komputer, którego autentyczność jest potwierdzana. Klient wysyła potwierdzanie autentyczności 802.11 z wartością algorytmu 0x0 nawet po załadowaniu i zastosowaniu profilu LEAP przez komputer, którego autentyczność jest potwierdzana.
Profil LEAP zapewnia używanie przez klienta funkcji Nielegalny punkt dostępu (Rogue AP) (zgodnie z wymaganiami rozszerzenia CCX). Klient notuje punkty dostępu, z którymi nie nastąpiło potwierdzanie autentyczności i wysyła te informacje do punktu dostępu, który umożliwia potwierdzanie autentyczności i połączenie z klientem. Strona, której autentyczność jest potwierdzana ustawia typ algorytmu potwierdzania autentyczności na 0x80. W niektórych konfiguracjach sieci może być używana kombinacja tylko Otwarte (Open) i Wymagane EAP (Required EAP), opisana powyżej. Aby taka konfiguracja działała, klient musi wysyłać wartość algorytmu potwierdzania autentyczności wynoszącą 0x0 (w przeciwieństwie do wartości 0x80 dla opcji tylko Sieć — EAP (Network-EAP)). Profil LEAP umożliwia więc klientowi zarówno obsługę trybu tylko Sieć — EAP (Network-EAP), jak i tylko Otwarte (Open) i Wymagane EAP (Required EAP).
Uwaga:Więcej szczegółowych informacji na temat rozszerzenia klienta Cisco w wersji 2,0 można znaleźć w odpowiednim dokumencie pod adresem www.cisco.com.