Configuration du chiffrement des données et de l'authentification
Généralités relatives au chiffrement
Activation du chiffrement WEP
Tâches de l'administrateur système
Configuration du client pour le chiffrement WEP et l'authentification MD5
Configuration du client pour WPA-PSL avec l'authentification WEP ou TKIP
Configuration du client pour WPA avec le chiffrement TKIP et l'authentification TLS
Configuration du client pour WPA avec le chiffrement TKIP et l'authentification TTLS ou PEAP
Configuration du lcient pour CCX avec le chiffrement CKIP et l'authentification LEAP
Le chiffrement WEP (Wired Equivalent Privacy) et l'authentification par clé partagée aident à protéger vos données sur un réseau. Le WEP utilise une clé de chiffrement pour chiffrer les données avant de les transmettre. Seuls les ordinateurs utilisant la même clé de chiffrement peuvent accéder au réseau ou déchiffrer les données brouillées transmises par d'autres ordinateurs. L'authentification fournit un processus de validation supplémentaire de la carte et du point d'accès. L'algorithme de chiffrement WEP est vulnérable aux attaques de réseau actives et passives. Les algorithmes TKIP et CKIP bénéficient d'améliorations au protocole WEP qui atténuent les attaques existantes sur le réseau et résolvent ses défauts.
La norme 802.11 prend en charge deux types de méthodes d'authentification réseau : Ouverte et Partagée qui utilisent un chiffrement WEP 64 bits et 128 bits. Ouverte ne requiert pas de méthode d'authentification par chiffrement pour établir une connexion avec un point d'accès spécifique. Les deux méthodes d'authentification prises en charge sont Ouverte et Partagée :
Lorsque le chiffrement de données (WEP, CKIP ou TKIP) est activé, une clé réseau est utilisée pour le chiffrement. Une clé réseau peut vous être fournie automatiquement (par exemple, elle peut être fournie sur votre carte réseau sans fil), ou vous pouvez la fournir vous-même et spécifier la longueur de la clé (64 bits ou 128 bits), le format de la clé (caractères ASCII ou hexadécimaux), et l'index de clé (l'emplacement où est stocké une clé spécifique). Plus une clé est longue, plus elle est sûre. Chaque fois qu'on augmente d'un bit la longueur d'une clé, le nombre de clés possibles est doublé.
Avec le protocole 802.11, une station sans fil peut être configurée avec quatre clés maximum (les valeurs d'index des clés sont 1, 2, 3 et 4). Lorsqu'un point d'accès ou une station sans fil transmet un message chiffré à l'aide d'une clé stockée dans un index de clé spécifique, le message transmis indique l'index de clé utilisé pour le chiffrement du corps du message. Le point d'accès ou la station sans fil de réception peuvent alors extraire la clé stockée dans l'index de clé et l'utiliser pour déchiffrer le corps du message chiffré.
La norme 802.1x utilise deux types de clés de chiffrement, statique et dynamique. Les clés de chiffrement statiques sont changées manuellement et sont plus vulnérables. L'authentification MD5 utilise uniquement des clés de chiffrement statiques. Les clés de chiffrement dynamiques sont renouvelées automatiquement et régulièrement. Ces clés de chiffrement sont ainsi plus sûres. Pour activer les clés de chiffrement dynamiques, vous devez utiliser des méthodes d'authentification 802.1x, telles que TLS, TTLS, PEAP ou LEAP.
La sécurité sur un réseau RLR peut être accrue en activant le chiffrement WEP (Wireless Encryption Protocol) des données. Vous pouvez choisir entre un niveau de chiffrement 64 bits ou un niveau de chiffrement 128 bits. Les données peuvent également être chiffrées à l'aide d'une clé. Un autre paramètre, l'index de clés, permet de créer plusieurs clés pour un même profil. ll n'est cependant possible d'utiliser qu'une seule clé à la fois. Pour assurer la protection de vos informations nominatives, vous pouvez également protéger un profil à l'aide d'un mot de passe.
L'expression de passe est utilisée pour générer automatiquement une clé WEP. Vous pouvez soit utiliser une expression de passe, soit entrer une clé WEP manuellement. Avec le chiffrement 64 bits, l'expression de passe est constituée de 5 caractères et vous pouvez saisir toute expression de manière aléatoire et facile à retenir (p. ex. Acme1). Vous pouvez également saisir 10 caractères hexadécimaux pour la clé WEP correspondant au réseau auquel l'utilisateur souhaite se connecter. Avec le chiffrement 128 bits, l'expression de passe est constituée de 13 caractères ou vous pouvez saisir 26 caractères hexadécimaux en vue de la connexion au réseau approprié.
REMARQUE : vous devez utiliser le même type de chiffrement, le même numéro d'index de clé et la même clé WEP que les autres périphériques de votre réseau sans fil.
L'exemple suivant illustre comment modifier un profil existant et appliquer le chiffrement WEP.
REMARQUE : avant de commencer, contactez votre administrateur système pour obtenir l'expression de passe WEP ou la clé hexadécimale du réseau.
Pour activer le chiffrement WEP :
- Utiliser l'expression de passe : Cliquez sur l'option Utiliser l'expression de passe pour l'activer. Dans le champ Expression de passe, entrez une expression contenant jusqu'à cinq caractères alphanumériques (0-9, a-z ou A-Z) si vous utilisez la clé 64 bits, ou treize si vous utilisez la clé 128 bits.
- Utiliser la clé hexadécimale : Cliquez sur l'option Utiliser la clé hexadécimale pour l'activer. Dans le champ Clé hexadécimale, entrez jusqu'à dix caractères alphanumériques (0-9, A-Z) si vous utilisez la clé 64 bits, ou vingt-six si vous utilisez la clé 128 bits.
![]() |
REMARQUE : les informations suivantes sont destinées aux administrateurs système. |
Si vous ne possédez pas de certificats pour les modes EAP-TLS ou EAP-TTLS, vous devez obtenir un certificat client pour permettre l'authentification. Normalement, vous devez consulter l'administrateur réseau pour obtenir des instructions sur l'obtention d'un certificat sur le réseau. Les certificats peuvent être gérés depuis « Paramètres Internet », accessible depuis Internet Explorer ou le Panneau de configuration de Windows. Utilisez la fenêtre « Contenu » des « Paramètres Internet ».
Windows XP et 2000 : lors de l'obtention d'un certificat client, n'activez pas la protection renforcée des clés privées. Si vous activez la protection renforcée des clés privées pour un certificat, vous devrez entrer un mot de passe d'accès chaque fois que le certificat est utilisé. Vous devez désactiver la protection renforcée des clés privées pour le certificat si vous confiturez le service pour l'authentification TLS/TTLS. Autrement, le service 802.1x ne pourra pas effectuer l'authentification car il n'y aura pas d'utilisateur connecté auquel adresser la boîte de dialogue d'invite.
Remarques concernant les cartes à puce
Après l'installation d'une carte à puce, le certificat est automatiquement installé sur l'ordinateur et peut être sélectionné dans le magasin de certificats privé ou racine.
Étape 1 : obtention d'un certificat
Pour permettre l'authentification TLS, un certificat client (utilisateur) valide doit être stocké dans le magasin local du compte de l'utilisateur connecté. Un organisme de certification sûr doit également se trouver dans le magasin racine.
Les informations suivantes fournissent deux méthodes d'obtention de certificat :
REMARQUE : s'il s'agit du premier certificat que vous obtenez, l'organisme de certification vous invitera à installer le certificat d'un organisme de certification sûr dans le magasin racine. La boîte de dialogue n'indique pas qu'il s'agit du certificat d'un organisme de certification sûr, mais le nom indiqué sur le certificat est celui de l'hôte de l'organisme de certification. Cliquez sur oui. Ce certificat est nécessaire pour TLS et TTLS.
L'exemple suivant décrit comment utiliser WPA avec le chiffrement TKIP et l'authentification TTLS ou PEAP.
Étape 2 : spécification du certificat utilisé par Intel(R) PROSet pour cartes sans fil
Cochez la case « Autoriser les certificats intermédiaires » pour autoriser la présence de plusieurs certificats non spécifiés dans la chaîne de certificats du serveur, entre le certificat du serveur et l'organisme de certification spécifié. Si la case n'est pas cochée, l'organisme de certification spécifié doit avoir émis directement le certificat du serveur.
Si vous connaissez le nom du serveur, entrez son nom.
Sélectionnez l'option appropriée pour que le nom du serveur corresponde exactement ou spécifiez le nom de domaine.
Remarque sur les certificats : l'identité spécifiée doit correspondre à celle du champ « Délivré à » du certificat et doit être enregistrée sur le serveur d'authentification (à savoir, le serveur RADIUS) utilisé par l'authentificateur. Le certificat doit être « valide » en ce qui concerne le serveur d'authentification. Cette exigence dépend du serveur d'authentification et signifie habituellement que le serveur d'authentification doit connaître le récepteur du certificat en tant qu'organisme de certification. Vous devez vous connecter avec le même nom utilisateur que celui utilisé lors de l'installation du certificat.
Pour ajouter le chiffrement WEP et l'authentification MD5 à un nouveau profil :
Remarque : avant de commencer, contactez votre administrateur système pour obtenir le nom d'utilisateur et le mot de passe sur le serveur RADIUS.
REMARQUE : Pour installer la fonctionnalité de synchronisation par mot de passe 802.1x (Utiliser l'ouverture de session Windows), consultez la section Installation ou Désinstallation de la fonctionnalité de synchronisation par mot de passe 802.1x pour accéder à d'autres instructions d'installation.
Utilisez le mode WPA-PSK (Accès protégé Wi-Fi - Clé communiquée à l'avance) si aucun serveur d'authentification n'est utilisé. Ce mode n'utilise aucun protocole d'authenrification 802.1x. Il peut être utilisé avec les types de chiffrement de données suivants : WEP ou TKIP. Le mode WPA-PSK nécessite la configuration d'une clé communiquée à l'avance (PSK). Vous devez entrer une expression de passe de 64 caractères hexadécimaux pour une clé communiquée à l'avance d'une longueur de 256 bits. La clé de chiffrement de données est dérivée de la clé prépartagée.
Pour confiturer un profil avec WPA-PSK :
Le mode WPA (Accès protégé Wi-Fi) peut être utilisé avec les protocoles d'authentification TLS, TTLS et PEAP. Ce protocole d'authentification 802.1x utilise les options de chiffrement de données WEP ou TKIP. Le mode WPA (Accès protégé Wi-Fi) se lie à l'authentification 802.1x. La clé de chiffrement de données est reçue par l'échange de clés 802.1x. Pour améliorer le chiffrement des données, le mode WPA utilise son protocole TKIP (Temporary Key Integrity Protocol). Le protocole TKIP fournit des améliorations importantes au chiffrement des données, y compris une méthode de recréation de clé.
Cochez la case « Autoriser les certificats intermédiaires » pour autoriser la présence de plusieurs certificats non spécifiés dans la chaîne de certificats du serveur, entre le certificat du serveur et l'organisme de certification spécifié. Si la case n'est pas cochée, l'organisme de certification spécifié doit avoir émis directement le certificat du serveur.
Si vous connaissez le nom du serveur, entrez son nom.
Sélectionnez l'option appropriée pour que le nom du serveur corresponde exactement ou spécifiez le nom de domaine.
Remarque sur les certificats : l'identité spécifiée doit correspondre à celle du champ « Délivré à » du certificat et doit être enregistrée sur le serveur d'authentification (à savoir, le serveur RADIUS) utilisé par l'authentificateur. Le certificat doit être « valide » en ce qui concerne le serveur d'authentification. Cette exigence dépend du serveur d'authentification et signifie habituellement que le serveur d'authentification doit connaître le récepteur du certificat en tant qu'organisme de certification. Vous devez vous connecter avec le même nom utilisateur que celui utilisé lors de l'installation du certificat.
Utilisation de l'authentification TTLS : ces paramètres permettent de définir le protocole et les données d'identification utilisés pour authentifier un utilisateur. Avec le protocole TTLS, le client utilise EAP-TLS pour valider le serveur et créer un canal à chiffrement TLS entre le client et le serveur. Le client peut utiliser un autre protocole d'authentification, habituellement un protocole à mot de passe tel que MD5 Challenge, sur ce canal chiffré pour activer la validation du serveur. Les paquets de stimulations et de réponses sont envoyés via un canal à chiffrement TLS non exposé.
Utilisation de l'authentification PEAP : les paramètres PEAP sont nécessaires pour que le client puisse être authentifié par le serveur d'authentification. Avec le protocole PEAP, le client utilise EAP-TLS pour valider le serveur et créer un canal à chiffrement TLS entre le client et le serveur. Le client peut utiliser un autre mécanisme EAP, tel que MSCHAP (Microsoft Challenge Authentication Protocol) version 2, sur ce canal chiffré pour activer la validation par le serveur. Les paquets de stimulations et de réponses sont envoyés via un canal à chiffrement TLS non exposé.
L'exemple suivant décrit comment utiliser WPA avec le chiffrement TKIP et l'authentification TTLS ou PEAP.
REMARQUE : pour installer la fonctionnalité de synchronisation par mot de passe 802.1x (Utiliser l'ouverture de session Windows), consultez la section Installation ou Désinstallation de la fonctionnalité de synchronisation par mot de passe 802.1x pour accéder à d'autres instructions d'installation.
Cochez la case « Autoriser les certificats intermédiaires » pour autoriser la présence de plusieurs certificats non spécifiés dans la chaîne de certificats du serveur, entre le certificat du serveur et l'organisme de certification spécifié. Si la case n'est pas cochée, l'organisme de certification spécifié doit avoir émis directement le certificat du serveur.
Si vous connaissez le nom du serveur, entrez son nom.
Sélectionnez l'option appropriée pour que le nom du serveur corresponde exactement ou spécifiez le nom de domaine.
Remarque sur les certificats : l'identité spécifiée doit correspondre à celle du champ « Délivré à » du certificat et doit être enregistrée sur le serveur d'authentification (à savoir, le serveur RADIUS) utilisé par l'authentificateur. Le certificat doit être « valide » en ce qui concerne le serveur d'authentification. Cette exigence dépend du serveur d'authentification et signifie habituellement que le serveur d'authentification doit connaître le récepteur du certificat en tant qu'organisme de certification. Vous devez vous connecter avec le même nom utilisateur que celui utilisé lors de l'installation du certificat.
![]() |
REMARQUE : vous ne pouvez configurer un profil LEAP qu'avec Intel(R) PROSet pour cartes sans fil. |
Un profil Intel(R) PROSet pour cartes sans fil CCX (v1.0) doit être configuré pour se connecter à un serveur ESS ou à un réseau local sans fil. Les paramètres des profils incluents les paramètres de détection LEAP, CKIP et Rogue AP.
Pour configurer un profil pour les paramètres de sécurité CCX :
REMARQUE : pour installer la fonctionnalité de synchronisation par mot de passe 802.1x (Utiliser l'ouverture de session Windows), consultez la section Installation ou Désinstallation de la fonctionnalité de synchronisation par mot de passe 802.1x pour accéder à d'autres instructions d'installation.
Le point d'accès fournit des paramètres permettant de sélectionner différents types d'authentification en fonction de l'environnement RLR. Le client envoie un champ d'algorithme d'authentification lors de la poignée de main d'authentification 802.11 se déroulant entre le client et le point d'accès lors de l'établissement de la connexion. Les valeurs de l'algorithme d'authentification reconnues par un point d'accès CCX sont différentes en fonction des types d'authentification. Par exemple, « Réseau-EAP », qui implique un protocole LEAP, possède une valeur de 0x80 alors que « Ouvert », qui correspond à l'authentification spécifiée par la norme 802.11, et « EAP requis », qui nécessite un échange de poignées de main EAP, ont une valeur de 0x0.
Point d'accès : pour les réseaux CCX utilisant uniquement l'authentification LEAP, le type d'authentification est défini en activant la case à cocher « Réseau-EAP » alors que les cases à cocher « Ouvert » et « EAP requis » ne sont pas activées. Le point d'accès est ensuite configuré pour autoriser l'authentification et la connexion des clients LEAP UNIQUEMENT . Dans ce cas, le point d'accès attend un algorithme d'authentification 802.11 défini sur la valeur 0x80 (LEAP) et rejette les clients demandant une authentification avec un algorithme d'authentification dont la valeur est 0x0.
Client : dans ce cas, le client doit envoyer un algorithme d'authentification dont la valeur est 0x80, sans quoi la poignée de main d'authentification 802.11 échoue. Lors de l'amorçage, lorsque le pilote de réseau sans fil est déjà chargé mais que le demandeur Intel(R) PROSet n'est pas encore chargé, le client envoie une demande d'authentification 802.11 dont l'algorithme porte la valeur 0x0. Une fois que le demandeur Intel(R) PROSet est chargé et qu'il charge le profil LEAP, il envoie une demande d'authentification dont l'algorithme porte la valeur 0x80. Cependant, le demandeur envoie une demande 0x80 uniquement si la case Rogue AP (Point d'accès non autorisé) est cochée.
Réseau-EAP, Ouvert et EAP requis
Point d'accès : Si les options EAP-Réseau, Ouvert et EAP requis sont cochées les deux types de valeus 0x0 et 0x80 d'algorithme d'authentification 802.11 sont acceptées. Cependant, une fois que le client est associé et authentifié, le point d'accès attend qu'une poignée de main EAP ait lieu. Si, pour une raison quelconque, la poignée de main EAP n'a pas lieu rapidement, le point d'accès ne répond plus au client au bout de 60 secondes.
Client : dans ce dcas, le client peut envoyer une demande d'authentification dont l'algorithme porte la valeur 0x0 ou 0x80. Ces deux valeurs sont acceptées et la poignée de main d'authentification 802.11 réussit. Lors de l'amorçage, alors que le pilote de la carte sans fil est déjà chargé et que le client envoie une demande d'authentification 802.11 dont l'algorithme porte la valeur 0x0. Cela est suffisant pour l'authentification mais les justificatifs EAP et LEAP doivent être communiqués au point d'accès pour que la connexion soit établie.
Ouvert et EAP requis uniquement
Point d'accès : lorsque le point d'accès est configuré avec l'option EAP réseau non sélectionnée et les options Ouvert et EAP requis sélectionnées, il rejette tout client demandant une authentification avec un algorithme dont la valeur est 0x80. Le point d'accès accepte toute demande d'authentification avec une valeur d'algorithme de 0x0 et attend une poignée de main EAP peu après. Dans ce cas, le client utilise les protocoles MD5, TLS, LEAP ou toute autre méthode EAP adaptée à la configuration réseau particulière.
Client : dans ce cas, le client doit envoyer une demande d'authentification avec une valeur d'algorithme de 0x0. Comme mentionné précédemment, cette séquence implique une nouvelle poignée de main d'authentification 802.11. Tout d'abord, le pilote de la carte sans fil initie une demande d'authentification avec une valeur de 0x0, puis le demandeur renouvelle ce processus ultérieurement. Cependant, la valeur de l'algorithme d'authentification utilisée par le demandeur dépend de l'état de la case à cocher Rogue AP (Point d'accès non autorisé). Lorsque la case Rogue AP (Point d'accès non autorisé) n'est pas cochée, le client envoie une demande d'authentification 802.11 avec une valeur d'algorithme d'authentification de 0x0, même après que le demandeur a chargé et engagé le profil LEAP.
Certains clients non Intel, par exemple, lorsqu'ils sont configurés sur LEAP, ne sont pas en mesure de s'authentifier dans ce cas. Cependant, le client RLR Intel peut s'authentifier, si la case Rogue AP (Point d'accès non autorisé) n'est pas cochée.
Lorsque la case est cochée, le client applique la fonctionnalité Rogue AP (Point d'accès non autorisé) comme stipulé par le protocole CCX. Le client prend note des points d'accès avec lesquels il n'a pas pu s'authentifier et envoie ces informations au point d'accès qui lui permet de s'authentifier et de se connecter. Le demandeur définit également le type d'algorithme d'authentification sur la valeur 0x80 lorsque la case Rogue AP (Point d'accès non autorisé) est cochée. Certaines configurations de réseau peuvent implémenter les modes Ouvert et EAP requis uniquement comme décrit ci-dessus. Pour que cette configuration fonctionne, le client doit utiliser un algorithme d'authentification dont la valeur est 0x0, contrairement au mode EAP réseau uniquement décrit ci-dessus, qui nécessite une valeur de 0x80. En conséquence, la case à cocher Rogue AP (Point d'accès non autorisé) permet également au client de prendre en charge les modes EAP réseau uniquement et Ouvert et EAP requis uniquement.
Spécifications du programme de conformité client obligatoires de Cisco, version 1.0 :
Conformité à tous les éléments obligatoires de la norme 802.11
Défragmentation des MSDU et MMPDU
Génération de CTS en réponse à des RTS
Prise en charge de l'authentification ouverte et par clé communiquée
Prise en charge de la recherche active
Conformité Wi-Fi requise
Sur les plates-formes Windows, conformité à la norme Microsoft 802.11 NIC
Conformité à la norme 802.1X-2001
Prise en charge du protocole EAP-TLS (Transport Level Security, RFC 2716) sous Windows XP
Prise en charge du protocole EAP-MD4 (RFC 1320) sou Windows XP
Paquets EAP envoyés non chiffrés
Prise en charge de la rotation des clé de diffusion
Prise en charge du protocole CKIP
Prise en charge du protocole WEP/RC4
Prise en charge de 4 clés pour WEP
Les clés WEP40 et WEP128 sont prises en charge
Prise en charge du protocole LEAP requise
Prise en charge du signalement Rogue AP
Extension Cisco : Prise en charge des éléments d'interconnexion Aironet, champs CWmin et CWmax
Prise en charge des règles de transformation de l'encapsulation pour les éléments d'interconnexion
Extension Cisco : élément d'interconnexion à adresse IP de point d'accès
Extension Cisco : élément d'interconnexion symbolique
Cellules mixtes (WEP et non WEP)
Le point d'accès peut répondre à plus d'un SSID - sensibilité aux réseaux locaux virtuels
Prise en charge du mode furtif - les clients doivent ignorer les balises sans SSID
Prise en charge de plusieurs SSID - les clients doivent pouvoir être en itinérance sur 3 ssid
Le client doit utiliser un SSID configuré dans les demandes de sondage
Remarque : veuillez-vous reporter à la version 1.0 du document sur les extensions Cisco Client, disponible à www.cisco.com pour obtenir de plus amples informations.
Veuillez lire tous les restrictions et dénis de responsabilité.