Retour à la page Index

Configuration de la sécurité des connexions : Guide de l'utilisateur de la carte Intel(R) PRO/Wireless 2200BG


Sécurité et chiffrement

Configuration du chiffrement des données et de l'authentification
Généralités relatives au chiffrement
Activation du chiffrement WEP
Tâches de l'administrateur système
Configuration du client pour le chiffrement WEP et l'authentification MD5
Configuration du client pour WPA-PSL avec l'authentification WEP ou TKIP
Configuration du client pour WPA avec le chiffrement TKIP et l'authentification TLS
Configuration du client pour WPA avec le chiffrement TKIP et l'authentification TTLS ou PEAP
Configuration du lcient pour CCX avec le chiffrement CKIP et l'authentification LEAP


Configuration du chiffrement des données et de l'authentification

Le chiffrement WEP (Wired Equivalent Privacy) et l'authentification par clé partagée aident à protéger vos données sur un réseau. Le WEP utilise une clé de chiffrement pour chiffrer les données avant de les transmettre. Seuls les ordinateurs utilisant la même clé de chiffrement peuvent accéder au réseau ou déchiffrer les données brouillées transmises par d'autres ordinateurs. L'authentification fournit un processus de validation supplémentaire de la carte et du point d'accès. L'algorithme de chiffrement WEP est vulnérable aux attaques de réseau actives et passives. Les algorithmes TKIP et CKIP bénéficient d'améliorations au protocole WEP qui atténuent les attaques existantes sur le réseau et résolvent ses défauts.

Authentification ouverte et par clé communiquée

La norme 802.11 prend en charge deux types de méthodes d'authentification réseau : Ouverte et Partagée qui utilisent un chiffrement WEP 64 bits et 128 bits. Ouverte ne requiert pas de méthode d'authentification par chiffrement pour établir une connexion avec un point d'accès spécifique. Les deux méthodes d'authentification prises en charge sont Ouverte et Partagée :

Clés réseau

Lorsque le chiffrement de données (WEP, CKIP ou TKIP) est activé, une clé réseau est utilisée pour le chiffrement. Une clé réseau peut vous être fournie automatiquement (par exemple, elle peut être fournie sur votre carte réseau sans fil), ou vous pouvez la fournir vous-même et spécifier la longueur de la clé (64 bits ou 128 bits), le format de la clé (caractères ASCII ou hexadécimaux), et l'index de clé (l'emplacement où est stocké une clé spécifique). Plus une clé est longue, plus elle est sûre. Chaque fois qu'on augmente d'un bit la longueur d'une clé, le nombre de clés possibles est doublé.

Avec le protocole 802.11, une station sans fil peut être configurée avec quatre clés maximum (les valeurs d'index des clés sont 1, 2, 3 et 4). Lorsqu'un point d'accès ou une station sans fil transmet un message chiffré à l'aide d'une clé stockée dans un index de clé spécifique, le message transmis indique l'index de clé utilisé pour le chiffrement du corps du message. Le point d'accès ou la station sans fil de réception peuvent alors extraire la clé stockée dans l'index de clé et l'utiliser pour déchiffrer le corps du message chiffré.

Types statiques et dynamiques de clés de chiffrement

La norme 802.1x utilise deux types de clés de chiffrement, statique et dynamique. Les clés de chiffrement statiques sont changées manuellement et sont plus vulnérables. L'authentification MD5 utilise uniquement des clés de chiffrement statiques. Les clés de chiffrement dynamiques sont renouvelées automatiquement et régulièrement. Ces clés de chiffrement sont ainsi plus sûres. Pour activer les clés de chiffrement dynamiques, vous devez utiliser des méthodes d'authentification 802.1x, telles que TLS, TTLS, PEAP ou LEAP.


Généralités relatives au chiffrement

La sécurité sur un réseau RLR peut être accrue en activant le chiffrement WEP (Wireless Encryption Protocol) des données. Vous pouvez choisir entre un niveau de chiffrement 64 bits ou un niveau de chiffrement 128 bits. Les données peuvent également être chiffrées à l'aide d'une clé. Un autre paramètre, l'index de clés, permet de créer plusieurs clés pour un même profil. ll n'est cependant possible d'utiliser qu'une seule clé à la fois. Pour assurer la protection de vos informations nominatives, vous pouvez également protéger un profil à l'aide d'un mot de passe.

L'expression de passe est utilisée pour générer automatiquement une clé WEP. Vous pouvez soit utiliser une expression de passe, soit entrer une clé WEP manuellement. Avec le chiffrement 64 bits, l'expression de passe est constituée de 5 caractères et vous pouvez saisir toute expression de manière aléatoire et facile à retenir (p. ex. Acme1). Vous pouvez également saisir 10 caractères hexadécimaux pour la clé WEP correspondant au réseau auquel l'utilisateur souhaite se connecter. Avec le chiffrement 128 bits, l'expression de passe est constituée de 13 caractères ou vous pouvez saisir 26 caractères hexadécimaux en vue de la connexion au réseau approprié.

REMARQUE : vous devez utiliser le même type de chiffrement, le même numéro d'index de clé et la même clé WEP que les autres périphériques de votre réseau sans fil.


Activation du chiffrement WEP

L'exemple suivant illustre comment modifier un profil existant et appliquer le chiffrement WEP.

REMARQUE : avant de commencer, contactez votre administrateur système pour obtenir l'expression de passe WEP ou la clé hexadécimale du réseau.
 

Pour activer le chiffrement WEP :

  1. Dans la fenêtre Général, cliquez sur l'onglet Réseaux.
  2. Sélectionnez le profil dans la Liste des profils et cliquez ensuite sur le bouton Modifier.
  3. Cliquez sur l'onglet Sécurité.
  4. Sélectionnez un mode d'authentification réseau (Ouvert est recommandé).
  5. Sélectionnez WEP comme mode de chiffrement des données.
  6. Sélectionnez 64 bits ou 128 bits comme niveau de chiffrement.
  7. Sélectionnez l'index de clé 1, 2, 3 ou 4.
  8. Sélectionnez l'une des options suivantes :
  1. Cliquez sur OK pour enregistrer les paramètres des profils.

Tâches de l'administrateur système

REMARQUE : les informations suivantes sont destinées aux administrateurs système.

Obtention d'un certificat client

Si vous ne possédez pas de certificats pour les modes EAP-TLS ou EAP-TTLS, vous devez obtenir un certificat client pour permettre l'authentification. Normalement, vous devez consulter l'administrateur réseau pour obtenir des instructions sur l'obtention d'un certificat sur le réseau. Les certificats peuvent être gérés depuis « Paramètres Internet », accessible depuis Internet Explorer ou le Panneau de configuration de Windows. Utilisez la fenêtre « Contenu » des « Paramètres Internet ».

Windows XP et 2000 : lors de l'obtention d'un certificat client, n'activez pas la protection renforcée des clés privées. Si vous activez la protection renforcée des clés privées pour un certificat, vous devrez entrer un mot de passe d'accès chaque fois que le certificat est utilisé. Vous devez désactiver la protection renforcée des clés privées pour le certificat si vous confiturez le service pour l'authentification TLS/TTLS. Autrement, le service 802.1x ne pourra pas effectuer l'authentification car il n'y aura pas d'utilisateur connecté auquel adresser la boîte de dialogue d'invite.

Remarques concernant les cartes à puce

Après l'installation d'une carte à puce, le certificat est automatiquement installé sur l'ordinateur et peut être sélectionné dans le magasin de certificats privé ou racine.

Configuration du client pour l'authentification TLS

Étape 1 : obtention d'un certificat

Pour permettre l'authentification TLS, un certificat client (utilisateur) valide doit être stocké dans le magasin local du compte de l'utilisateur connecté. Un organisme de certification sûr doit également se trouver dans le magasin racine.

Les informations suivantes fournissent deux méthodes d'obtention de certificat :

Obtention d'un certificat d'un organisme de certification Windows 2000 :

  1. Démarrez Internet Explorer et naviguez jusqu'au service HTTP de l'autorité de certification (par exemple http://votre_serveur_domaine.votre_domaine/certsrv, certsrv étant la commande qui vous amène à l'autorité de certification. Vous pouvez aussi utiliser l'adresse IP de l'ordinateur serveur, par exemple 192.0.2.12/certsrv.
  2. Connectez-vous à l'organisme de certification à l'aide du nom et du mot de passe du compte utilisateur créé (ci-dessus) sur le serveur d'authentification. Le nom utilisateur et le mot de passe ne doivent pas nécessairement être identiques à ceux de la session Windows en cours.
  3. Dans la page d'accueil de l'organisme de certification, sélectionnez la tâche de demande de certificat et envoyez le formulaire.
  4. Dans la page de sélection du type de demande, sélectionnez les demandes avancées, puis cliquez sur Suivant.
  5. Dans la page des demandes avancées de certificats, sélectionnez l'option d'envoi de demande de certificat à cet organiseme de certification à l'aide d'un formulaire, puis cliquez sur Envoyer.
  6. Dans la page des demandes avancées de certificats, choisissez le modèle de certificat utilisateur. Sélectionnez « Marquer les clés comme étant exportables » et cliquez sur Suivant. Utilisez les paramètres indiqués par défaut.
  7. Dans la page d'émission de certificat, sélectionnez l'option d'installation du certificat.

REMARQUE : s'il s'agit du premier certificat que vous obtenez, l'organisme de certification vous invitera à installer le certificat d'un organisme de certification sûr dans le magasin racine. La boîte de dialogue n'indique pas qu'il s'agit du certificat d'un organisme de certification sûr, mais le nom indiqué sur le certificat est celui de l'hôte de l'organisme de certification. Cliquez sur oui. Ce certificat est nécessaire pour TLS et TTLS.

  1. Si l'installation du certificat est réussie, le message " Votre nouveau certificat a été installé avec succès " s'affiche.
  2. Pour vérifier l'installation, cliquez sur Internet Explorer > Outils > Options Internet > Contenu > Certificats. Le nouveau certificat doit être installé dans le dossier « Personnel ».

Importation d'un certificat depuis un fichier

  1. Ouvrez les Propriétés Internet (cliquez avec le bouton droit sur l'icône d'Internet Explorer se trouvant sur le bureau, puis cliquez sur Propriétés).
  2. Cliquez sur le bouton Certificats dans la fenêtre Contenu. La liste des certificats installés s'affiche.
  3. Cliquez sur le bouton Importer situé sous la liste des certificats. L'Assistant Importation de certificat démarre. (Remarque : les étapes 1 à 3 peuvent également être exécutées en double-cliquant sur l'icône du certificat.)
  4. Sélectionnez le fichier et accédez à la fenêtre Mot de passe.
  5. Dans la fenêtre Mot de passe, spécifiez le mot de passe permettant d'accéder au fichier. Désélectionnez l'option de protection renforcée des clés privées.
  6. Dans la fenêtre de stockage du certificat, sélectionnez « Sélectionner automatiquement le magasin du certificat en fonction du type de certificat » (le certificat doit se trouver dans le magasin Personnel pour être accessible depuis la boîte de dialogue Configurer du client, ce qui se produit si l'option « automatique » est sélectionnée).
  7. Continuez vers la « Fin de l'Assistant Importation de certificat » et cliquez sur le bouton Terminer.

L'exemple suivant décrit comment utiliser WPA avec le chiffrement TKIP et l'authentification TTLS ou PEAP.

Configuration du client pour l'authentification TLS

Étape 2 : spécification du certificat utilisé par Intel(R) PROSet pour cartes sans fil

  1. Pour obtenir et installer un certificat client, reportez-vous à l'Étape 1 ou consultez votre administrateur système.
  2. Dans la fenêtre Général, cliquez sur l'onglet Réseaux.
  3. Cliquez sur le bouton Ajouter.
  4. Entrez le nom du profil et celui du réseau (SSID).
  5. Sélectionnez Infrastructure comme mode de fonctionnement.
  6. Cliquez sur Suivant.
  7. Sélectionnez Ouvert pour l'authentification réseau. Vous pouvez également sélectionner tout autre mode d'authentification disponible.
  8. Sélectionnez WEP comme mode de chiffrement des données. Vous pouvez également sélectionner tout autre type de chiffrement disponible.
  9. Cliquez sur la case 802.1x activé.
  10. Définissez le type d'authentification devant être utilisé avec cette connexion sur TLS.
  11. Cliquez sur le bouton Configurer pour ouvrir la boîte de dialogue des paramètres.
  12. Entrez votre nom utilisateur dans le champ Nom utilisateur.
  13. Sélectionnez l'Émetteur du certificat dans la liste. Sélectionnez un organisme de certification sûr par défaut.
  14. Entrez le nom du serveur.
  15. Sous l'option « Certificat client », cliquez sur le bouton Sélectionner pour ouvrir une liste de certificats installés.
  16. Sélectionnez le certificat dans la liste et cliquez sur OK. Les informations relatives au certificat client s'affichent sous « Certificat client ».
  17. Cliquez sur Fermer.
  18. Cliquez sur le bouton Terminer pour enregistrer les paramètres de sécurité du profil.

Configuration du client pour le chiffrement WEP et l'authentification MD5

Pour ajouter le chiffrement WEP et l'authentification MD5 à un nouveau profil :

Remarque : avant de commencer, contactez votre administrateur système pour obtenir le nom d'utilisateur et le mot de passe sur le serveur RADIUS.

  1. Dans la fenêtre Général, cliquez sur l'onglet Réseaux.
  2. Cliquez sur le bouton Ajouter dans la Liste des profils.
  3. Entrez le nom du profil et celui du réseau (SSID).
  4. Sélectionnez Infrastructure comme mode de fonctionnement.
  5. Cliquez sur Suivant.
  6. Sélectionnez Ouvert (recommandé) pour l'authentification réseau.
  7. Sélectionnez WEP comme mode de chiffrement des données.
  8. Sélectionnez 64 ou 128 bits comme niveau de chiffrement.
  9. Sélectionnez l'index de clé 1, 2, 3 ou 4.
  10. Entrez l'expression de passe ou la clé hexadécimale requise.
  11. Cliquez sur la case 802.1x activé.
  12. Sélectionnez MD5 comme type d'authentification 802.1x.
  13. Sélectionnez la case à cocher Utiliser l'ouverture de session Windows. Cette fonctionnalité permet aux références 802.1x de correspondre à votre nom d'utilisateur et à votre mot de passe Windows. Avant toute connexion au réseau sans fil, la boîte de dialogue Données d'identification s'affiche pour vous permettre d'entrer vos références de connexion Windows.
REMARQUE : Pour installer la fonctionnalité de synchronisation par mot de passe 802.1x (Utiliser l'ouverture de session Windows), consultez la section Installation ou Désinstallation de la fonctionnalité de synchronisation par mot de passe 802.1x pour accéder à d'autres instructions d'installation.     
  1. Si l'option Utiliser l'ouverture de session Windows n'est pas sélectionnée, le nom d'utilisateur et le mot de passe du compte créé sur le serveur d'authentification doivent être entrés. Cliquez sur Configurer pour ouvrir la boîte de dialogue des données d'identification. Entrez le nom d'utilisateur et le mot de passe correspondant au compte utilisateur créé sur le serveur d'authentification. Activez la case à cocher Enregistrer les informations d'authentification de l'utilisateur pour enregistrer les informations d'authentification et les utiliser ultérieurement avec ce profil 802.1x. Le nom utilisateur et le mot de passe ne doivent pas nécessairement être identiques à ceux de la session Windows en cours.
  2. Cliquez sur Fermer pour enregistrer les paramètres.
  3. Si la case de protection par mot de passe a été cochée dans la fenêtre Paramètres généraux, cliquez sur Suivant pour afficher la fenêtre Mot de passe et entrer un mot de passe de profil.
  4. Cliquez sur le bouton Terminer pour enregistrer les paramètres du profil.
  5. Sélectionnez l'onglet Réseaux.
  6. Sélectionnez le profil et cliquez sur Connexion.
  7. Si vous sélectionnez Utiliser l'ouverture de session Windows (voir l'étape 13), la boîte de dialogue Données d'identification s'affiche. Entrez vos nom utilisateur et mot de passe Windows. Activez la case à cocher Enregistrer les informations d'authentification de l'utilisateur pour enregistrer les informations d'authentification et les utiliser ultérieurement avec ce profil 802.1x.
  8. Cliquez sur OK pour enregistrer les paramètres et vous connecter au réseau.

Configuration du client pour WPA-PSK avec l'authentification WEP ou TKIP

Utilisez le mode WPA-PSK (Accès protégé Wi-Fi - Clé communiquée à l'avance) si aucun serveur d'authentification n'est utilisé. Ce mode n'utilise aucun protocole d'authenrification 802.1x. Il peut être utilisé avec les types de chiffrement de données suivants : WEP ou TKIP. Le mode WPA-PSK nécessite la configuration d'une clé communiquée à l'avance (PSK). Vous devez entrer une expression de passe de 64 caractères hexadécimaux pour une clé communiquée à l'avance d'une longueur de 256 bits. La clé de chiffrement de données est dérivée de la clé prépartagée.

Pour confiturer un profil avec WPA-PSK :

  1. Dans la fenêtre Général, cliquez sur l'onglet Réseaux.
  2. Cliquez sur le bouton Ajouter.
  3. Entrez le nom du profil et celui du réseau (SSID).
  4. Sélectionnez Infrastructure comme mode de fonctionnement.
  5. Cliquez sur Suivant.
  6. Sélectionnez l'authentification réseau WPA-PSK. Vous pouvez également sélectionner le mode d'authentification.
  7. Sélectionnez WEP ou TKIP comme mode de chiffrement des données.
  8. Sélectionnez l'une des options suivantes :
  9. Cliquez sur le bouton Terminer pour enregistrer les paramètres de sécurité du profil.

Configuration du client pour WPA avec le chiffrement TKIP et l'authentification TLS

Le mode WPA (Accès protégé Wi-Fi) peut être utilisé avec les protocoles d'authentification TLS, TTLS et PEAP. Ce protocole d'authentification 802.1x utilise les options de chiffrement de données WEP ou TKIP. Le mode WPA (Accès protégé Wi-Fi) se lie à l'authentification 802.1x. La clé de chiffrement de données est reçue par l'échange de clés 802.1x. Pour améliorer le chiffrement des données, le mode WPA utilise son protocole TKIP (Temporary Key Integrity Protocol). Le protocole TKIP fournit des améliorations importantes au chiffrement des données, y compris une méthode de recréation de clé.

  1. Pour obtenir et installer un certificat client, reportez-vous à la section Configuration du client pour l'authentification TLS ou consultez votre administrateur système.
  2. Dans la fenêtre Général, cliquez sur l'onglet Réseaux.
  3. Cliquez sur le bouton Ajouter.
  4. Entrez le nom du profil et celui du réseau (SSID).
  5. Sélectionnez Infrastructure comme mode de fonctionnement.
  6. Cliquez sur Suivant.
  7. Sélectionnez WPA pour l'authentification réseau.
  8. Sélectionnez TKIP comme mode de chiffrement des données.
  9. Définissez le type d'authentification devant être utilisé avec cette connexion sur TLS.
  10. Cliquez sur le bouton Configurer pour ouvrir la boîte de dialogue des paramètres.
  11. Entrez votre nom utilisateur dans le champ Nom utilisateur.
  12. Sélectionnez l'Émetteur du certificat dans la liste. Sélectionnez un organisme de certification sûr par défaut.
  13. Entrez le nom du serveur.
  14. Utiliser le certificat client : cette option permet de sélectionner un certificat client dans le magasin personnel de certificats de l'utilisateur Windows connecté. Ce certificat sera utilisé pour l'authentification des clients. Cliquez sur le bouton Sélectionner pour ouvrir une liste des certificats installés.
  15. Sélectionnez le certificat dans la liste et cliquez sur OK. Les informations relatives au certificat client s'affichent sous « Certificat client ».
  16. Cliquez sur Fermer.
  17. Cliquez sur le bouton Terminer pour enregistrer les paramètres de sécurité du profil.

Configuration du client pour WPA avec le chiffrement TKIP et l'authentification TTLS ou PEAP

Utilisation de l'authentification TTLS : ces paramètres permettent de définir le protocole et les données d'identification utilisés pour authentifier un utilisateur. Avec le protocole TTLS, le client utilise EAP-TLS pour valider le serveur et créer un canal à chiffrement TLS entre le client et le serveur. Le client peut utiliser un autre protocole d'authentification, habituellement un protocole à mot de passe tel que MD5 Challenge, sur ce canal chiffré pour activer la validation du serveur. Les paquets de stimulations et de réponses sont envoyés via un canal à chiffrement TLS non exposé.

Utilisation de l'authentification PEAP : les paramètres PEAP sont nécessaires pour que le client puisse être authentifié par le serveur d'authentification. Avec le protocole PEAP, le client utilise EAP-TLS pour valider le serveur et créer un canal à chiffrement TLS entre le client et le serveur. Le client peut utiliser un autre mécanisme EAP, tel que MSCHAP (Microsoft Challenge Authentication Protocol) version 2, sur ce canal chiffré pour activer la validation par le serveur. Les paquets de stimulations et de réponses sont envoyés via un canal à chiffrement TLS non exposé.

L'exemple suivant décrit comment utiliser WPA avec le chiffrement TKIP et l'authentification TTLS ou PEAP.

  1. Pour obtenir et installer un certificat client, reportez-vous à la section Configuration du client pour l'authentification TLS ou consultez votre administrateur système.
  2. Dans la fenêtre Général, cliquez sur l'onglet Réseaux.
  3. Cliquez sur le bouton Ajouter.
  4. Entrez le nom du profil et celui du réseau (SSID).
  5. Sélectionnez Infrastructure comme mode de fonctionnement.
  6. Cliquez sur Suivant.
  7. Sélectionnez WPA pour l'authentification réseau.
  8. Sélectionnez TKIP comme mode de chiffrement des données.
  9. Sélectionnez la case à cocher Utiliser l'ouverture de session Windows. Cette fonctionnalité permet aux références 802.1x de correspondre à votre nom d'utilisateur et à votre mot de passe Windows. Le nom d'utilisateur et le mot de passe des étapes 17 et 18 ne sont pas nécessaires. Avant toute connexion au réseau sans fil, la boîte de dialogue Données d'identification s'affiche en vous demandant d'entrer vos références de connexion Windows.
REMARQUE : pour installer la fonctionnalité de synchronisation par mot de passe 802.1x (Utiliser l'ouverture de session Windows), consultez la section Installation ou Désinstallation de la fonctionnalité de synchronisation par mot de passe 802.1x pour accéder à d'autres instructions d'installation.     
  1. Si l'option Utiliser l'ouverture de session Windows n'est pas sélectionnée, le nom d'utilisateur et le mot de passe du compte créé sur le serveur d'authentification doivent être entrés (voir les étapes 17 et 18).
  2. Définissez le type d'authentification devant être utilisé avec cette connexion sur TTLS ou PEAP.
  3. Cliquez sur le bouton Configurer pour ouvrir la boîte de dialogue des paramètres.
  4. Entrez le nom d'identité d'itinérance dans le champ Identité d'itinérance. Cette fonctionnalité optionnelle correspond à l'identité 802.1x fournie par l'authentificateur. Nous vous recommandons de ne pas fournir une véritable identité dans ce champ, mais plutôt le domaine voulu (par ex. anomyme@mondomaine).
  5. Sélectionnez l'Émetteur du certificat dans la liste. Sélectionnez un organisme de certification sûr par défaut.
  6. Entrez le nom du serveur.
  7. Protocole d'authentification :
  8. Entrez le nom de l'utilisateur. Le nom utilisateur doit correspondre au nom utilisateur défini sur le serveur d'authentification par l'administrateur système avant l'authentification du client. Le nom utilisateur est sensible à la casse. Ce nom spécifie l'identité fournie à l'authentificateur par le protocole d'authentification contrôlant le tunnel TLS. L'identité de cet utilisateur est transmise de façon sécurisée au serveur uniquement après qu'un canal chiffré a été vérifié et établi.
  9. Entrez le mot de passe de l'utilisateur. Spécifie le mot de passe utilisateur. Ce mot de passe doit correspondre à celui défini sur le serveur d'authentification.
  10. Activez la case à cocher Enregistrer les informations d'authentification de l'utilisateur pour enregistrer les informations d'authentification et les utiliser ultérieurement avec ce profil. REMARQUE : le nom utilisateur et le mot de passe ne doivent pas nécessairement être identiques à ceux de la session Windows en cours.
  11. Entrez à nouveau le mot de passe. S'il est confirmé, affiche les mêmes caractères de mot de passe que le champ Mot de passe.
  12. Utiliser le certificat client : Cette option permet de sélectionner un certificat client dans le magasin personnel de certificats de l'utilisateur Windows connecté. Ce certificat sera utilisé pour l'authentification des clients. Cliquez sur le bouton Sélectionner pour ouvrir une liste des certificats installés.
  13. Sélectionnez le certificat dans la liste et cliquez sur OK. Les informations relatives au certificat client s'affichent sous « Certificat client ».
  14. Cliquez sur Fermer.
  15. Cliquez sur le bouton Terminer pour enregistrer les paramètres de sécurité du profil.
  16. Sélectionnez le profil dans la liste des profils et cliquez sur Connexion.
  17. Si vous sélectionnez Utiliser l'ouverture de session Windows (voir l'étape 9), la boîte de dialogue Données d'identification s'affiche. Entrez vos nom utilisateur et mot de passe Windows. Activez la case à cocher Enregistrer les informations d'authentification pour enregistrer les informations d'authentification et les utiliser ultérieurement avec ce profil.
  18. Cliquez sur OK pour enregistrer les paramètres et vous connecter au réseau.

Configuration du client pour CCX avec le chiffrement CKIP et l'authentification LEAP

Configuration de LEAP à l'aide d'Intel(R) PROSet pour cartes sans fil
REMARQUE : vous ne pouvez configurer un profil LEAP qu'avec Intel(R) PROSet pour cartes sans fil.

Un profil Intel(R) PROSet pour cartes sans fil CCX (v1.0) doit être configuré pour se connecter à un serveur ESS ou à un réseau local sans fil. Les paramètres des profils incluents les paramètres de détection LEAP, CKIP et Rogue AP.

Pour configurer un profil pour les paramètres de sécurité CCX :

  1. Dans la fenêtre Général, cliquez sur l'onglet Réseaux.
  2. Cliquez sur le bouton Ajouter.
  3. Entrez le nom du profil et celui du réseau (SSID).
  4. Sélectionnez Infrastructure comme mode de fonctionnement.
  5. Cliquez sur la case Cisco Client eXtentions pour activer la sécurité CCX. Si vous avez activé la case à cocher « Cellules mixtes » de Cisco dans les Paramètres avancés, cette option doit aussi être sélectionnée. Remarque : l'authentification réseau et le chiffrement des données incluent maintenant les options de sécurité CCX : Ouverte, Partagée pour l'authentification 802.11 et Aucun, WEP et CKIP pour le chiffrement des données.
  6. Cliquez sur Suivant.
  7. Sélectionnez Ouvert dans les options Authentification réseau.
  8. Sélectionnez CKIP comme mode de chiffrement des données.
  9. Cliquez sur la case 802.1x activé pour activer les options de sécurité 802.1x.
  10. Sélectionnez LEAP comme type d'authentification 802.1x.
  11. Sélectionnez la case à cocher Utiliser l'ouverture de session Windows. Cette fonctionnalité permet aux références 802.1x de correspondre à votre nom d'utilisateur et à votre mot de passe Windows. Avant toute connexion au réseau sans fil, la boîte de dialogue Données d'identification s'affiche en vous demandant d'entrer vos références de connexion Windows.
REMARQUE : pour installer la fonctionnalité de synchronisation par mot de passe 802.1x (Utiliser l'ouverture de session Windows), consultez la section Installation ou Désinstallation de la fonctionnalité de synchronisation par mot de passe 802.1x pour accéder à d'autres instructions d'installation.     
  1. Si la case à cocher Utiliser l'ouverture de session Windows n'est pas activée, cliquez sur Configurer pour ouvrir la boîte de dialogue des informations d'authentification. Entrez le nom d'utilisateur et le mot de passe correspondant au compte utilisateur créé sur le serveur d'authentification. Activez la case à cocher Enregistrer les informations d'authentification de l'utilisateur pour enregistrer les informations d'authentification et les utiliser ultérieurement avec ce profil 802.1x. Remarque : le nom utilisateur et le mot de passe ne doivent pas nécessairement être identiques à ceux de la session Windows en cours.
  2. Cliquez sur l'option Activer la détection des points d'accès non autorisés si le réseau doit tenir des compte des points d'accès non autorisés. Ce paramètre doit également être sélectionné si la case à cocher « Réseau-EAP » est la seule activée dans les paramètres de configuration des points d'accès (s'applique à tous les points d'accès Cisco).
  3. Cliquez sur Fermer pour enregistrer les paramètres.
  4. Sélectionnez l'onglet Réseaux.
  5. Sélectionnez le profil CCX dans la liste des profils et cliquez sur Connexion.
  6. Si vous sélectionnez Utiliser l'ouverture de session Windows (voir l'étape 11), la boîte de dialogue Données d'identification s'affiche. Entrez vos nom d'utilisateur et mot de passe Windows. Activez la case à cocher Enregistrer les informations d'authentification pour enregistrer les informations d'authentification et les utiliser ultérieurement avec ce profil.
  7. Cliquez sur OK pour enregistrer les paramètres et vous connecter au réseau.

Configuration des point d'accès CCX et des clients

Le point d'accès fournit des paramètres permettant de sélectionner différents types d'authentification en fonction de l'environnement RLR. Le client envoie un champ d'algorithme d'authentification lors de la poignée de main d'authentification 802.11 se déroulant entre le client et le point d'accès lors de l'établissement de la connexion. Les valeurs de l'algorithme d'authentification reconnues par un point d'accès CCX sont différentes en fonction des types d'authentification. Par exemple, « Réseau-EAP », qui implique un protocole LEAP, possède une valeur de 0x80 alors que « Ouvert », qui correspond à l'authentification spécifiée par la norme 802.11, et « EAP requis », qui nécessite un échange de poignées de main EAP, ont une valeur de 0x0.

EAP réseau uniquement

Point d'accès : pour les réseaux CCX utilisant uniquement l'authentification LEAP, le type d'authentification est défini en activant la case à cocher « Réseau-EAP » alors que les cases à cocher « Ouvert » et « EAP requis » ne sont pas activées. Le point d'accès est ensuite configuré pour autoriser l'authentification et la connexion des clients LEAP UNIQUEMENT . Dans ce cas, le point d'accès attend un algorithme d'authentification 802.11 défini sur la valeur 0x80 (LEAP) et rejette les clients demandant une authentification avec un algorithme d'authentification dont la valeur est 0x0.

Client : dans ce cas, le client doit envoyer un algorithme d'authentification dont la valeur est 0x80, sans quoi la poignée de main d'authentification 802.11 échoue. Lors de l'amorçage, lorsque le pilote de réseau sans fil est déjà chargé mais que le demandeur Intel(R) PROSet n'est pas encore chargé, le client envoie une demande d'authentification 802.11 dont l'algorithme porte la valeur 0x0. Une fois que le demandeur Intel(R) PROSet est chargé et qu'il charge le profil LEAP, il envoie une demande d'authentification dont l'algorithme porte la valeur 0x80. Cependant, le demandeur envoie une demande 0x80 uniquement si la case Rogue AP (Point d'accès non autorisé) est cochée.

Réseau-EAP, Ouvert et EAP requis

Point d'accès : Si les options EAP-Réseau, Ouvert et EAP requis sont cochées les deux types de valeus 0x0 et 0x80 d'algorithme d'authentification 802.11 sont acceptées. Cependant, une fois que le client est associé et authentifié, le point d'accès attend qu'une poignée de main EAP ait lieu. Si, pour une raison quelconque, la poignée de main EAP n'a pas lieu rapidement, le point d'accès ne répond plus au client au bout de 60 secondes.

Client : dans ce dcas, le client peut envoyer une demande d'authentification dont l'algorithme porte la valeur 0x0 ou 0x80. Ces deux valeurs sont acceptées et la poignée de main d'authentification 802.11 réussit. Lors de l'amorçage, alors que le pilote de la carte sans fil est déjà chargé et que le client envoie une demande d'authentification 802.11 dont l'algorithme porte la valeur 0x0. Cela est suffisant pour l'authentification mais les justificatifs EAP et LEAP doivent être communiqués au point d'accès pour que la connexion soit établie.

Ouvert et EAP requis uniquement

Point d'accès : lorsque le point d'accès est configuré avec l'option EAP réseau non sélectionnée et les options Ouvert et EAP requis sélectionnées, il rejette tout client demandant une authentification avec un algorithme dont la valeur est 0x80. Le point d'accès accepte toute demande d'authentification avec une valeur d'algorithme de 0x0 et attend une poignée de main EAP peu après. Dans ce cas, le client utilise les protocoles MD5, TLS, LEAP ou toute autre méthode EAP adaptée à la configuration réseau particulière.

Client : dans ce cas, le client doit envoyer une demande d'authentification avec une valeur d'algorithme de 0x0. Comme mentionné précédemment, cette séquence implique une nouvelle poignée de main d'authentification 802.11. Tout d'abord, le pilote de la carte sans fil initie une demande d'authentification avec une valeur de 0x0, puis le demandeur renouvelle ce processus ultérieurement. Cependant, la valeur de l'algorithme d'authentification utilisée par le demandeur dépend de l'état de la case à cocher Rogue AP (Point d'accès non autorisé). Lorsque la case Rogue AP (Point d'accès non autorisé) n'est pas cochée, le client envoie une demande d'authentification 802.11 avec une valeur d'algorithme d'authentification de 0x0, même après que le demandeur a chargé et engagé le profil LEAP.

Certains clients non Intel, par exemple, lorsqu'ils sont configurés sur LEAP, ne sont pas en mesure de s'authentifier dans ce cas. Cependant, le client RLR Intel peut s'authentifier, si la case Rogue AP (Point d'accès non autorisé) n'est pas cochée.

Configuration de la case à cocher Rogue AP (Point d'accès non autorisé)

Lorsque la case est cochée, le client applique la fonctionnalité Rogue AP (Point d'accès non autorisé) comme stipulé par le protocole CCX. Le client prend note des points d'accès avec lesquels il n'a pas pu s'authentifier et envoie ces informations au point d'accès qui lui permet de s'authentifier et de se connecter. Le demandeur définit également le type d'algorithme d'authentification sur la valeur 0x80 lorsque la case Rogue AP (Point d'accès non autorisé) est cochée. Certaines configurations de réseau peuvent implémenter les modes Ouvert et EAP requis uniquement comme décrit ci-dessus. Pour que cette configuration fonctionne, le client doit utiliser un algorithme d'authentification dont la valeur est 0x0, contrairement au mode EAP réseau uniquement décrit ci-dessus, qui nécessite une valeur de 0x80. En conséquence, la case à cocher Rogue AP (Point d'accès non autorisé) permet également au client de prendre en charge les modes EAP réseau uniquement et Ouvert et EAP requis uniquement.

Prise en charge de la fonctionnalité Cisco CCX

Spécifications du programme de conformité client obligatoires de Cisco, version 1.0 :

Remarque : veuillez-vous reporter à la version 1.0 du document sur les extensions Cisco Client, disponible à www.cisco.com pour obtenir de plus amples informations.

Retour à la page Index


Veuillez lire tous les restrictions et dénis de responsabilité.