Impostazione della crittografia dei dati e dell'autenticazione
Panoramica sulla crittografia
Come attivare la crittografia WEP
Operazioni dell'amministratore del sistema
Impostazione del client per l'autenticazione WEP e MD5
Impostazione del client per WPA-PSK usando l'autenticazione WEP o TKIP
Impostazione del client per WPA usando la crittografia TKIP e l'autenticazione TLS
Impostazione del client per WPA usando la crittografia TKIP e l'autenticazione TTLS o PEAP
Impostazione del client per CCX usando la crittografia CKIP e l'autenticazione LEAP
La crittografia WEP (Wired Equivalent Privacy) e l'autenticazione condivisa aiutano a proteggere i dati sulla rete. Quando si utilizza la crittografia WEP i dati vengono codificati tramite una chiave di crittografia prima di essere trasmessi. Solo i computer che usano la stessa chiave di crittografia possono accedere alla rete o decodificare i dati crittografati trasmessi da altri computer. L'autenticazione offre un ulteriore processo di convalida a partire dalla scheda di rete verso il punto di accesso. L'algoritmo di crittografia WEP è vulnerabile agli attacchi attivi e passivi della rete. Gli algoritmi TKIP e CKIP includono dei miglioramenti al protocollo WEP che mitigano gli attacchi alla rete esistente cercando di risolverne i punti deboli.
802.11 supporta due metodi di autenticazione di rete, il metodo del sistema aperto e il metodo condiviso, che usano la crittografia WEP a 64 bit e a 128 bit. In modalità aperta l'associazione a un punto di accesso specifico non avviene utilizzando un metodo di autenticazione di tipo crittografico. Gli schemi di autenticazione supportati sono l'autenticazione in modalità aperta e quella a chiave condivisa:
Quando la crittografia dati (WEP, CKIP o TKIP) è attivata, per la crittografia viene usata una chiave di rete. Una chiave di rete può essere fornita all'utente automaticamente (per esempio, potrebbe essere inclusa nella propria scheda di rete wireless) oppure può essere immessa dall'utente che ne specifica la lunghezza (64 o 128 bit), il formato (caratteri ASCII o cifre esadecimali) e l'indice (la posizione in cui è memorizzata la chiave specifica). Maggiore è la lunghezza della chiave e più protetta è la chiave. Ogni volta che la lunghezza di una chiave viene aumentata di un bit, il numero possibile di chiavi raddoppia.
In 802.11, una stazione wireless può essere configurata con un massimo di quattro chiavi (i valori di indice delle chiavi sono 1, 2, 3 e 4). Quando un punto di accesso o una stazione wireless trasmette un messaggio crittografato usando la chiave memorizzata in uno specifico indice di chiave, il messaggio trasmesso indica l'indice di chiave che è stato utilizzato per crittografare il testo del messaggio. Il punto di accesso o la stazione wireless ricevente può quindi richiamare la chiave che è memorizzata in corrispondenza dell'indice della chiave e usarla per decodificare il testo crittografato del messaggio.
802.1x utilizza due tipi di chiavi di crittografia, uno statico e uno dinamico. Le chiavi di crittografia statiche vengono cambiate manualmente e sono più vulnerabili. L'autenticazione MD5 usa solo chiavi di crittografia statiche. Le chiavi di crittografia dinamiche vengono rinnovate automaticamente con scadenza periodica. Per questo motivo le chiavi di crittografia dinamiche sono più sicure. Per attivare le chiavi di crittografia dinamiche è necessario utilizzare i metodi di autenticazione 802.1x, come TLS, TTLS, PEAP o LEAP.
È possibile proteggere ulteriormente la WLAN tramite l'attivazione della crittografia dei dati basata su WEP (Wireless Encryption Protocol). È possibile scegliere tra il livello di crittografia a 64 bit e quello a 128 bit. Anche i dati possono essere crittografati utilizzando una chiave. Un altro parametro, chiamato indice chiavi, consente di creare più chiavi per un profilo. È tuttavia possibile utilizzare solo una chiave alla volta. È inoltre possibile scegliere di utilizzare una password per il profilo per assicurarne la protezione.
La frase di accesso è utilizzata per generare automaticamente una chiave WEP. Viene data l’opzione di utilizzare la frase di accesso oppure di immettere manualmente la chiave WEP. Nella crittografia a 64 bit la frase di accesso è lunga 5 caratteri ed è possibile scegliere di immettere una frase arbitraria qualsiasi facile da ricordare, come Ditta1, oppure immettere come chiave WEP 10 caratteri esadecimali corrispondenti alla rete a cui l'utente desidera connettersi. Nella crittografia a 128 bit la frase di accesso è lunga 13 caratteri oppure è possibile immettere come chiave WEP 26 caratteri esadecimali per connettersi alla rete appropriata.
Nota: è necessario usare lo stesso tipo di crittografia, numero di indice chiavi e chiave WEP delle altre periferiche della rete wireless.
Nell'esempio seguente è descritto come modificare un profilo esistente e applicare la crittografia WEP.
Nota: prima di iniziare, richiedere all'amministratore del sistema la frase di accesso WEP o la chiave esadecimale.
Per attivare la crittografia WEP:
- Usare una frase di accesso: fare clic su Usare una frase di accesso per abilitare la funzione corrispondente. Nel campo della frase di accesso, immettere una frase di testo, composta da un massimo di cinque (se si usano 64 bit) oppure tredici (se si usano 128 bit) caratteri alfanumerici (0-9, a-z o A-Z).
- Usare chiavi esadecimali: fare clic su Usa frase chiavi esadecimali per abilitare la funzione corrispondente. Nel campo della chiave esadecimale, immettere fino a un massimo di dieci (se si usano 64 bit) oppure ventisei (se si usano 128 bit) caratteri alfanumerici (0-9, A-F).
![]() |
NOTA: le informazioni seguenti sono destinate agli amministratori dei sistemi. |
Se non si dispone di alcun certificato per EAP-TLS o EAP-TTLS, per concedere l'autenticazione è necessario ottenere un certificato del client. È in genere necessario rivolgersi all'amministratore della propria rete per avere istruzioni su come è possibile ottenere un certificato sulla rete. I certificati possono essere gestiti in "Impostazioni Internet", accessibili da Internet Explorer o dall'applet del Pannello di controllo di Windows. Usare la pagina “Contenuto” di “Impostazioni Internet”.
Windows XP e 2000: quando si ottiene il certificato di un client non attivare la protezione avanzata della chiave privata. Se in un certificato si attiva la protezione avanzata della chiave privata, sarà necessario immettere una password di accesso per il certificato ogni volta che questo certificato viene usato. Se si sta configurando il servizio per l'autenticazione TLS/TTLS è necessario disattivare la protezione avanzata della chiave privata per il certificato. In caso contrario, il servizio 802.1x non riuscirà a effettuare l'autenticazione poiché non vi è un utente collegato che può leggere la finestra di dialogo della richiesta.
Note sulle smart card
Dopo aver installato una smart card il certificato viene automaticamente installato sul computer e può essere selezionato dall'archivio dei certificati personale e dall'archivio principale dei certificati.
Passaggio 1: Ottenere un certificato
Per permettere l'autenticazione TLS è necessario che un certificato client (utente) valido si trovi nell'archivio locale relativo all'account dell'utente connesso. È necessario inoltre che nell'archivio principale ci sia un certificato di CA più attendibile.
Le informazioni seguenti descrivono due metodi per ottenere un certificato:
Nota: se questo è il primo certificato che si è ottenuto, la CA chiederà dapprima se installare un certificato di CA più attendibile nell'archivio principale. La finestra di dialogo non indicherà se si tratta di un certificato CA più attendibile, ma il nome che comparirà sul certificato sarà quello dell'host dell'autorità di certificazione (CA). Fare clic su Sì se è necessario avere questo certificato sia per TLS che per TTLS.
Nell'esempio seguente è descritto come usare WPA con la crittografia TKIP usando l'autenticazione TTLS o PEAP.
Passaggio 2: Specificare il certificato usato da Intel(R) PROSet for Wireless
Selezionare la casella di controllo "Consenti certificati intermedi" per consentire l'emissione di un numero di certificati non specificati lungo la catena che va dal certificato del server alla autorità di certificazione (CA) specificata. Se la casella non viene selezionata, il certificato deve essere emesso direttamente all'autorità di certificazione specificata.
Se si conosce il nome del server, immetterlo.
Selezionare l'opzione appropriata, cioè se il nome del server deve corrispondere esattamente al nome immesso oppure se specificare il nome del dominio.
Nota sui certificati: l'identità specificata deve corrispondere al nome che compare nel campo "Autorità di certificazione" del certificato e deve essere registrata sul server di autenticazione (es. il server RADIUS) che è usato dall'autenticatore. Il certificato deve essere "valido" rispetto al server di autenticazione. Questo requisito dipende dal server di autenticazione e generalmente significa che il server di autenticazione deve riconoscere l'emittente del certificato come l'Autorità di certificazione. È necessario effettuare la connessione usando lo stesso nome utente utilizzato al momento dell'installazione del certificato.
Per aggiungere l'autenticazione WEP e MD5 a un nuovo profilo:
Nota: prima di iniziare, richiedere all'amministratore del sistema il nome utente e la password del server RADIUS.
NOTA: per installare la funzione di sincronizzazione della password di 802.1x (Usa accesso Windows), fare riferimento a Installazione o disinstallazione della funzione di sincronizzazione della password di 802.1x per le istruzioni di installazione.
Usare la modalità di accesso protetto Wi-Fi WPA-PSK (Pre Shared Key) se non viene utilizzato un server di autenticazione. Questa modalità non usa alcun protocollo di autenticazione 802.1x e può essere utilizzata insieme alla crittografia dei dati di tipo WEP o TKIP. WPA-PSK richiede la configurazione di una chiave precondivisa (PSK). Per una chiave PSK da 256 bit è necessario immettere una frase di accesso o 64 caratteri esadecimali. La chiave di crittografia dei dati è derivata dalla chiave PSK.
Per configurare un profilo usando WPA-PSK:
La modalità di accesso protetto (WPA) può essere usata con TLS, TTLS o PEAP. Protocollo di autenticazione 802.1x che usa le opzioni di crittografia dei dati WEP o TKIP. La modalità di accesso protetto Wi-Fi (WPA) è associata con l'autenticazione 802.1x. La chiave di crittografia dei dati viene ricevuta con lo scambio di chiavi 802.1x. Per migliorare la crittografia dei dati, l'accesso protetto Wi-Fi utilizza TKIP (Temporal Key Integrity Protocol). TKIP offre importanti miglioramenti per la crittografia dei dati, inclusa la modalità di rigenerazione delle chiavi.
Selezionare la casella di controllo "Consenti certificati intermedi" per consentire l'emissione di un numero di certificati non specificati lungo la catena che va dal certificato del server alla autorità di certificazione (CA) specificata. Se la casella non viene selezionata, il certificato deve essere emesso direttamente all'autorità di certificazione specificata.
Se si conosce il nome del server, immetterlo.
Selezionare l'opzione appropriata, cioè se il nome del server deve corrispondere esattamente al nome immesso oppure se specificare il nome del dominio.
Nota sui certificati: l'identità specificata deve corrispondere al nome che compare nel campo "Autorità di certificazione" del certificato e deve essere registrata sul server di autenticazione (es. il server RADIUS) che è usato dall'autenticatore. Il certificato deve essere "valido" rispetto al server di autenticazione. Questo requisito dipende dal server di autenticazione e generalmente significa che il server di autenticazione deve riconoscere l'emittente del certificato come l'Autorità di certificazione. È necessario effettuare la connessione usando lo stesso nome utente utilizzato al momento dell'installazione del certificato.
Utilizzo dell'autenticazione TTLS: queste impostazioni definiscono il protocollo e le credenziali usate per autenticare un utente. In TTLS, il client usa EAP-TLS per convalidare il server e creare un canale crittografato TLS tra il client e il server. Su questo canale crittografato il client può utilizzare un altro protocollo di autenticazione, in genere un protocollo basato su password quale una richiesta MD5, per abilitare la convalida del server. I pacchetti di richiesta e di risposta sono inviati su un canale TLS crittografato e non esposto.
Utilizzo dell'autenticazione PEAP: le impostazioni PEAP sono richieste per l'autenticazione del client presso il server di autenticazione. In PEAP, il client usa EAP-TLS per convalidare il server e creare un canale crittografato TLS tra il client e il server. Su questo canale crittografato il client può utilizzare un altro meccanismo EAP, quale Microsoft Challenge Authentication Protocol (MSCHAP) versione 2, per abilitare la convalida del server. I pacchetti di richiesta e di risposta sono inviati su un canale TLS crittografato e non esposto.
Nell'esempio seguente è descritto come usare WPA con la crittografia TKIP usando l'autenticazione TTLS o PEAP.
NOTA: per installare la funzione di sincronizzazione della password di 802.1x (Usa accesso Windows), fare riferimento a Installazione o disinstallazione della funzione di sincronizzazione della password di 802.1x per le istruzioni di installazione.
Selezionare la casella di controllo "Consenti certificati intermedi" per consentire l'emissione di un numero di certificati non specificati lungo la catena che va dal certificato del server alla autorità di certificazione (CA) specificata. Se la casella non viene selezionata, il certificato deve essere emesso direttamente all'autorità di certificazione specificata.
Se si conosce il nome del server, immetterlo.
Selezionare l'opzione appropriata, cioè se il nome del server deve corrispondere esattamente al nome immesso oppure se specificare il nome del dominio.
Nota sui certificati: l'identità specificata deve corrispondere al nome che compare nel campo "Autorità di certificazione" del certificato e deve essere registrata sul server di autenticazione (es. il server RADIUS) che è usato dall'autenticatore. Il certificato deve essere "valido" rispetto al server di autenticazione. Questo requisito dipende dal server di autenticazione e generalmente significa che il server di autenticazione deve riconoscere l'emittente del certificato come l'Autorità di certificazione. È necessario effettuare la connessione usando lo stesso nome utente utilizzato al momento dell'installazione del certificato.
![]() |
NOTA: è possibile configurare un profilo LEAP solo usando Intel(R) PROSet for Wireless. |
Per collegarsi a una specifica rete LAN wireless o ESS è necessario configurare un profilo Intel(R) PROSet for Wireless CCX (v1.0). Le impostazioni dei profili comprendono le impostazioni di rilevamento LEAP, CKIP e Rogue AP.
Per configurare un profilo per le impostazioni della protezione CCX:
NOTA: per installare la funzione di sincronizzazione della password di 802.1x (Usa accesso Windows), fare riferimento a Installazione o disinstallazione della funzione di sincronizzazione della password di 802.1x per le istruzioni di installazione.
Le impostazioni offerte dal punto di accesso consentono di selezionare tipi diversi di autenticazione a seconda dell'ambiente WLAN. Durante l'handshake di autenticazione 802.11 che avviene tra il client e il punto di accesso quando stabiliscono una connessione, il client invia un campo per l'algoritmo di autenticazione. I valori dell'algoritmo di autenticazione riconosciuti da un punto di accesso compatibile con CCX sono diversi a seconda dei diversi tipi di autenticazione. Ad esempio, “Network-EAP” (specifico di LEAP) ha il valore di 0x80, mentre “Open” (relativo all'autenticazione aperta specifica di 802.11) e “Required EAP” (ovvero la richiesta di uno scambio di handshake EAP) hanno il valore di 0x0.
Punto di accesso: nelle reti compatibili con CCX che usano solo l'autenticazione LEAP, il tipo di autenticazione è impostato con la casella di controllo “Network-EAP” selezionata e con le caselle “Open” e “Required EAP” deselezionate. Il punto di accesso è quindi configurato per consentire che SOLO i client LEAP eseguano l'autenticazione e la connessione. In questo caso il punto di accesso si aspetta che l'algoritmo di autenticazione 802.11 sia impostato a 0x80 (LEAP) e rifiuta i client che tentano di effettuare l'autenticazione usando un algoritmo del valore di 0x0.
Client: in questo caso il client deve inviare un algoritmo di autenticazione del valore di 0x80, altrimenti l'handshake di autenticazione 802.11 non riesce. Durante l'avvio, quando il driver della LAN wireless è già caricato ma il richiedente di Intel(R) PROSet for Wireless non lo è ancora, il client invia l'autenticazione 802.11 usando un algoritmo di autenticazione del valore di 0x0. Il richiedente di Intel(R) PROSet for Wireless, quando viene caricato e il profilo LEAP è avviato, invia l'autenticazione 802.11 con un algoritmo di autenticazione del valore di 0x80. Il richiedente tuttavia invia 0x80 solo se è selezionata la casella di controllo Rogue AP relativa ai punti di accesso non autorizzati.
Network-EAP, Open e Required EAP
Punto di accesso: se le caselle Network-EAP, Open e Required EAP sono selezionate accetta entrambi i valori, 0x0 e 0x80, dell'algoritmo di autenticazione 802.11. Il punto di accesso, una volta che il client si è associato e autenticato, si aspetta tuttavia che avvenga un handshake EAP. Se qualunque motivo la procedura di handshake non avviene rapidamente, il punto di accesso non risponderà al client per 60 secondi.
Client: il client può inviare un algoritmo di autenticazione usando entrambi i valori, 0x80 o 0x0. Poiché sono entrambi valori accettabili l'handshake di autenticazione 802.11 verrà completata correttamente. Durante l'avvio, quando il driver della LAN wireless è già caricato, il client invia l'autenticazione 802.11 usando un algoritmo di autenticazione del valore di 0x0. Questo basta a ottenere l'autenticazione ma, per stabilire una connessione, è necessario che le corrispondenti credenziali EAP o LEAP siano comunicate al punto di accesso.
Punto di accesso: nel caso in cui il punto di accesso sia configurato con Network-EAP deselezionato, ma Open e Required EAP selezionati, il punto di accesso rifiuta i client che tentano di effettuare l'autenticazione 802.11 usando un algoritmo del valore di 0x80. Il punto di accesso accetta i client che usano un algoritmo di autenticazione del valore di 0x0 e si aspetta che l'handshake EAP inizi subito dopo. In questo caso, il client usa MD5, TLS, LEAP o altri metodi EAP appropriati per la specifica configurazione della rete.
Client: al client in questo caso è richiesto di inviare un algoritmo di autenticazione del valore di 0x0. Come descritto in precedenza, la sequenza comporta una ripetizione dell'handshake di autenticazione 802.11 iniziale. Dapprima il driver LAN wireless inizia l'autenticazione con un valore di 0x0 e in seguito il richiedente ripete il processo. Il valore dell'algoritmo di autenticazione usato dal richiedente dipende tuttavia dallo stato della casella di controllo Rogue AP. Quando la casella Rogue AP non è selezionata, il client invia un'autenticazione 802.11 con l'algoritmo di autenticazione del valore di 0x0 anche dopo che il richiedente carica e attiva il profilo LEAP.
Per esempio, alcuni client diversi da Intel, quando sono impostati su LEAP non sono in grado di eseguire l'autenticazione. Il client LAN wireless di Intel riesce ad autenticarsi anche se Rogue AP non è selezionato.
Quando la casella di controllo è selezionata il client implementa di sicuro la funzione Rogue AP come richiesto da CCX. Il client registra quali sono i punti di accesso con cui non è riuscito ad effettuare l'autenticazione e invia questa informazione al punto di accesso che gli consente di effettuare l'autenticazione e la connessione. Il richiedente inoltre imposta l'algoritmo di autenticazione su 0x80 quando la casella Rogue AP è selezionata. Come descritto in precedenza, vi possono essere alcune configurazioni di rete che implementano solo Open e Required EAP. Affinché queste configurazioni funzionino, il client deve usare per l'algoritmo di autenticazione il valore di 0x0, invece che il valore di 0x80 richiesto, come descritto in precedenza, nel caso di solo Network-EAP. Per questo motivo la casella di controllo Rogue AP consente inoltre al client di supportare solo Network-EAP e solo Open e Required EAP.
Le specifiche obbligatorie definite da Cisco per la conformità del client versione 1.0 (Client Compliance Specifications Version1.0) sono le seguenti:
Conformità a tutti gli elementi obbligatori di 802.11
Deframmentazione di MSDU e MMPDU
Generazione di CTS in risposta a un RTS
Supporto per l'autenticazione con chiave aperta e condivisa
Supporto per la ricerca attiva
Richiesta la conformità con Wi-Fi
Sulle piattaforme Windows, conformità con Microsoft 802.11 NIC
Conformità con 802.1X-2001
Supporto per EAP-TLS (Transport Level Security, RFC 2716) su Windows XP
Supporto per EAP-MD4 (RFC 1320) su Windows XP
Pacchetti EAP inviati senza crittografia
Supporto per la rotazione delle chiavi di broadcast
Supporto per CKIP
Supporto per WEP/RC4
Supporto di 4 chiavi per WEP
Supportata sia la chiave WEP40 che la WEP128
Obbligatorio il supporto per LEAP
Supporto per le segnalazioni dei punti di accesso non autorizzati (Rogue AP)
Estensione Cisco: Supporto per dispositivi di interconnessione (IE) Aironet – Campi CWmin e CWmax
Supporto dei dispositivi di interconnessione (IE) per la regola di trasformazione dell'incapsulamento
Estensione Cisco: Dispositivo di interconnessione (IE) per l'indirizzo IP del punto di accesso
Estensione Cisco: Simbolo IE
Celle miste (WEP e non WEP)
Il punto di accesso può rispondere a più di un SSID - Compatibilità VLAN
Supporto per la modalità invisibile - I client ignorano l'assenza di SSID nei segnali
Supporto per più SSID – Roaming del client utilizzando fino a 3 SSID
Client deve usare un SSID configurato quando invia richieste di scansione
Nota: per ulteriori informazioni, fare riferimento al documento Cisco Client extensions versione 1.0 sul sito www.cisco.com.
Leggere le sezioni relative alle limitazioni e declinazioni di responsabilità.