Torna al Sommario

Impostazione della protezione della connessione: Manuale dell'utente di Intel(R) PRO/Wireless 2200BG


Protezione e crittografia

Impostazione della crittografia dei dati e dell'autenticazione
Panoramica sulla crittografia
Come attivare la crittografia WEP
Operazioni dell'amministratore del sistema
Impostazione del client per l'autenticazione WEP e MD5
Impostazione del client per WPA-PSK usando l'autenticazione WEP o TKIP
Impostazione del client per WPA usando la crittografia TKIP e l'autenticazione TLS
Impostazione del client per WPA usando la crittografia TKIP e l'autenticazione TTLS o PEAP
Impostazione del client per CCX usando la crittografia CKIP e l'autenticazione LEAP


Impostazione della crittografia dei dati e autenticazione

La crittografia WEP (Wired Equivalent Privacy) e l'autenticazione condivisa aiutano a proteggere i dati sulla rete. Quando si utilizza la crittografia WEP i dati vengono codificati tramite una chiave di crittografia prima di essere trasmessi. Solo i computer che usano la stessa chiave di crittografia possono accedere alla rete o decodificare i dati crittografati trasmessi da altri computer. L'autenticazione offre un ulteriore processo di convalida a partire dalla scheda di rete verso il punto di accesso. L'algoritmo di crittografia WEP è vulnerabile agli attacchi attivi e passivi della rete. Gli algoritmi TKIP e CKIP includono dei miglioramenti al protocollo WEP che mitigano gli attacchi alla rete esistente cercando di risolverne i punti deboli.

Autenticazione con chiave aperta e condivisa

802.11 supporta due metodi di autenticazione di rete, il metodo del sistema aperto e il metodo condiviso, che usano la crittografia WEP a 64 bit e a 128 bit. In modalità aperta l'associazione a un punto di accesso specifico non avviene utilizzando un metodo di autenticazione di tipo crittografico. Gli schemi di autenticazione supportati sono l'autenticazione in modalità aperta e quella a chiave condivisa:

Chiavi di rete

Quando la crittografia dati (WEP, CKIP o TKIP) è attivata, per la crittografia viene usata una chiave di rete. Una chiave di rete può essere fornita all'utente automaticamente (per esempio, potrebbe essere inclusa nella propria scheda di rete wireless) oppure può essere immessa dall'utente che ne specifica la lunghezza (64 o 128 bit), il formato (caratteri ASCII o cifre esadecimali) e l'indice (la posizione in cui è memorizzata la chiave specifica). Maggiore è la lunghezza della chiave e più protetta è la chiave. Ogni volta che la lunghezza di una chiave viene aumentata di un bit, il numero possibile di chiavi raddoppia.

In 802.11, una stazione wireless può essere configurata con un massimo di quattro chiavi (i valori di indice delle chiavi sono 1, 2, 3 e 4). Quando un punto di accesso o una stazione wireless trasmette un messaggio crittografato usando la chiave memorizzata in uno specifico indice di chiave, il messaggio trasmesso indica l'indice di chiave che è stato utilizzato per crittografare il testo del messaggio. Il punto di accesso o la stazione wireless ricevente può quindi richiamare la chiave che è memorizzata in corrispondenza dell'indice della chiave e usarla per decodificare il testo crittografato del messaggio.

Chiavi di crittografia di tipo statico e dinamico

802.1x utilizza due tipi di chiavi di crittografia, uno statico e uno dinamico. Le chiavi di crittografia statiche vengono cambiate manualmente e sono più vulnerabili. L'autenticazione MD5 usa solo chiavi di crittografia statiche. Le chiavi di crittografia dinamiche vengono rinnovate automaticamente con scadenza periodica. Per questo motivo le chiavi di crittografia dinamiche sono più sicure. Per attivare le chiavi di crittografia dinamiche è necessario utilizzare i metodi di autenticazione 802.1x, come TLS, TTLS, PEAP o LEAP.


Panoramica sulla crittografia

È possibile proteggere ulteriormente la WLAN tramite l'attivazione della crittografia dei dati basata su WEP (Wireless Encryption Protocol). È possibile scegliere tra il livello di crittografia a 64 bit e quello a 128 bit. Anche i dati possono essere crittografati utilizzando una chiave. Un altro parametro, chiamato indice chiavi, consente di creare più chiavi per un profilo. È tuttavia possibile utilizzare solo una chiave alla volta. È inoltre possibile scegliere di utilizzare una password per il profilo per assicurarne la protezione.

La frase di accesso è utilizzata per generare automaticamente una chiave WEP. Viene data l’opzione di utilizzare la frase di accesso oppure di immettere manualmente la chiave WEP. Nella crittografia a 64 bit la frase di accesso è lunga 5 caratteri ed è possibile scegliere di immettere una frase arbitraria qualsiasi facile da ricordare, come Ditta1, oppure immettere come chiave WEP 10 caratteri esadecimali corrispondenti alla rete a cui l'utente desidera connettersi. Nella crittografia a 128 bit la frase di accesso è lunga 13 caratteri oppure è possibile immettere come chiave WEP 26 caratteri esadecimali per connettersi alla rete appropriata.

Nota: è necessario usare lo stesso tipo di crittografia, numero di indice chiavi e chiave WEP delle altre periferiche della rete wireless.


Come attivare la crittografia WEP

Nell'esempio seguente è descritto come modificare un profilo esistente e applicare la crittografia WEP.

Nota: prima di iniziare, richiedere all'amministratore del sistema la frase di accesso WEP o la chiave esadecimale.
 

Per attivare la crittografia WEP:

  1. Dalla pagina Generale, fare clic sulla scheda Reti.
  2. Selezionare il profilo da Elenco profili, quindi fare clic sul pulsante Modifica.
  3. Fare clic sulla scheda Protezione.
  4. Selezionare una modalità di autenticazione di rete (si consiglia aperta).
  5. Selezionare WEP come crittografia dei dati.
  6. Selezionare 64 bit o 128 bit come livello di crittografia.
  7. Selezionare un numero di indice chiavi: 1, 2, 3 o 4.
  8. Selezionare una delle opzioni seguenti:
  1. Fare clic su OK per salvare le impostazioni del profilo.

Operazioni dell'amministratore del sistema

NOTA: le informazioni seguenti sono destinate agli amministratori dei sistemi.

Come ottenere un certificato client

Se non si dispone di alcun certificato per EAP-TLS o EAP-TTLS, per concedere l'autenticazione è necessario ottenere un certificato del client. È in genere necessario rivolgersi all'amministratore della propria rete per avere istruzioni su come è possibile ottenere un certificato sulla rete. I certificati possono essere gestiti in "Impostazioni Internet", accessibili da Internet Explorer o dall'applet del Pannello di controllo di Windows. Usare la pagina “Contenuto” di “Impostazioni Internet”.

Windows XP e 2000: quando si ottiene il certificato di un client non attivare la protezione avanzata della chiave privata. Se in un certificato si attiva la protezione avanzata della chiave privata, sarà necessario immettere una password di accesso per il certificato ogni volta che questo certificato viene usato. Se si sta configurando il servizio per l'autenticazione TLS/TTLS è necessario disattivare la protezione avanzata della chiave privata per il certificato. In caso contrario, il servizio 802.1x non riuscirà a effettuare l'autenticazione poiché non vi è un utente collegato che può leggere la finestra di dialogo della richiesta.

Note sulle smart card

Dopo aver installato una smart card il certificato viene automaticamente installato sul computer e può essere selezionato dall'archivio dei certificati personale e dall'archivio principale dei certificati.

Impostazione del client per l'autenticazione TLS

Passaggio 1: Ottenere un certificato

Per permettere l'autenticazione TLS è necessario che un certificato client (utente) valido si trovi nell'archivio locale relativo all'account dell'utente connesso. È necessario inoltre che nell'archivio principale ci sia un certificato di CA più attendibile.

Le informazioni seguenti descrivono due metodi per ottenere un certificato:

Ottenere un certificato da un'autorità di certificazione (CA) di Windows:

  1. Avviare Internet Explorer e ricercare il servizio HTTP dell'autorità di certificazione (usare un URL del tipo http://tuoserverdominio.tuodominio/certsrv dove certsrv è il comando che porta all'autorità di certificazione). È possibile anche usare l'indirizzo IP del server, come "192.0.2.12/certsrv".
  2. Accedere alla CA con lo stesso nome utente e password dell'account utente creato (vedere sopra) sul server di autenticazione. Il nome utente e la password non devono coincidere con il nome utente e la password di accesso a Windows dell'utente corrente.
  3. Nella pagina di benvenuto della CA selezionare l'operazione Richiedere un certificato e inviare il modulo.
  4. Nella pagina di scelta del Tipo di richiesta, selezionare la richiesta Avanzata, quindi fare clic su Avanti.
  5. Nella pagine Richiesta avanzata di certificati, selezionare Invia una richiesta di certificato a questa CA usando un modulo, quindi fare clic su Invia.
  6. Nella pagine Richiesta avanzata di certificati scegliere il modello di certificato Utente. Selezionare "Contrassegna le chiavi come esportabili", quindi fare clic su Avanti. Usare le impostazioni predefinite che sono visualizzate.
  7. Nella pagina Certificato rilasciato, selezionare Installa questo certificato.

Nota: se questo è il primo certificato che si è ottenuto, la CA chiederà dapprima se installare un certificato di CA più attendibile nell'archivio principale. La finestra di dialogo non indicherà se si tratta di un certificato CA più attendibile, ma il nome che comparirà sul certificato sarà quello dell'host dell'autorità di certificazione (CA). Fare clic su se è necessario avere questo certificato sia per TLS che per TTLS.

  1. Se l'installazione del certificato è riuscita verrà visualizzato il messaggio "Certificato installato con successo".
  2. Per verificare l'installazione, fare clic su Internet Explorer > Strumenti > Opzioni Internet > Contenuto > Certificati. Il nuovo certificato deve essere installato nella cartella "Personale".

Importazione di un certificato da un file

  1. Aprire Proprietà Internet (fare clic con il pulsante destro del mouse sull'icona Internet Explorer nel desktop e selezionare Proprietà).
  2. Fare clic sul pulsante Certificati nella pagina Contenuto. Viene visualizzato l'elenco dei certificati installati.
  3. Fare clic sul pulsante Importa situato sotto l'elenco dei certificati. Viene avviata l'Importazione guidata certificati (Nota: i passaggi dall'1 al 3 possono anche essere realizzati facendo doppio clic sull'icona del certificato).
  4. Selezionare il file e passare alla pagina Password.
  5. Nella pagina Password specificare la password di accesso per il file. Deselezionare l'opzione Abilita protezione avanzata chiave privata.
  6. Nella pagina Archivio certificati selezionare "Selezionare automaticamente l'archivio certificati secondo il tipo di certificato" (per poter accedere al certificato dalla finestra di dialogo Configura del client, il certificato deve trovarsi nell'archivio Personale degli Account utente, il che si verifica se è stato selezionato 'automatico').
  7. Passare a "Completamento dell'Importazione guidata certificati" e fare clic sul pulsante Fine.

Nell'esempio seguente è descritto come usare WPA con la crittografia TKIP usando l'autenticazione TTLS o PEAP.

Impostazione del client per l'autenticazione TLS

Passaggio 2: Specificare il certificato usato da Intel(R) PROSet for Wireless

  1. Ottenere e installare un certificato del client (fare riferimento al Passaggio 1) o rivolgersi all'amministratore del sistema.
  2. Dalla pagina Generale, fare clic sulla scheda Reti.
  3. Fare clic sul pulsante Aggiungi.
  4. Immettere il nome del profilo e della rete (SSID).
  5. Selezionare Infrastruttura come modalità operativa.
  6. Fare clic su Avanti.
  7. Selezionare Apri per Autenticazione di rete. È possibile inoltre selezionare qualunque altra modalità di autenticazione disponibile.
  8. Selezionare WEP per Crittografia dati. È possibile inoltre selezionare qualunque altro tipo di crittografia disponibile.
  9. Fare clic sulla casella di controllo 802.1x attivato.
  10. Impostare su TLS il tipo di autenticazione da utilizzare con questa connessione.
  11. Fare clic sul pulsante Configura per aprire la finestra di dialogo delle impostazioni.
  12. Immettere il proprio nome utente nel campo Nome utente.
  13. Selezionare l'"Autorità di certificazione" dall'elenco. Selezionare come impostazione predefinita Qualunque CA attendibile.
  14. Immettere il nome del server.
  15. Sotto l'opzione "Certificati client” fare clic sul pulsante Seleziona per aprire l'elenco dei certificati installati.
  16. Selezionare il certificato dall'elenco e fare clic su OK. Le informazioni riguardanti il certificato del client sono visualizzate sotto "Certificato client".
  17. Fare clic su Chiudi.
  18. Fare clic sul pulsante Fine per salvare le impostazioni di protezione del profilo.

Impostazione del client per l'autenticazione WEP e MD5

Per aggiungere l'autenticazione WEP e MD5 a un nuovo profilo:

Nota: prima di iniziare, richiedere all'amministratore del sistema il nome utente e la password del server RADIUS.

  1. Dalla pagina Generale, fare clic sulla scheda Reti.
  2. Fare clic sul pulsante Aggiungi da Elenco profili.
  3. Immettere il nome del profilo e della rete (SSID).
  4. Selezionare Infrastruttura come modalità operativa.
  5. Fare clic su Avanti.
  6. Selezionare Apri (scelta consigliata) per Autenticazione di rete.
  7. Selezionare WEP per Crittografia dati.
  8. Selezionare 64 o 128 bit come livello di crittografia.
  9. Selezionare l'indice chiavi 1, 2, 3 o 4.
  10. Immettere la frase di accesso o la chiave esadecimale richiesta.
  11. Fare clic sulla casella di controllo 802.1x attivato.
  12. Selezionare MD5 come Tipo di autenticazione 802.1x.
  13. Selezionare la casella di controllo Usa accesso Windows. questa funzione consente di far corrispondere le credenziali 802.1x al nome utente e alla password di Windows. Prima della connessione alla rete wireless viene visualizzata la finestra di dialogo Credenziali che richiede le credenziali di accesso di Windows.
NOTA: per installare la funzione di sincronizzazione della password di 802.1x (Usa accesso Windows), fare riferimento a Installazione o disinstallazione della funzione di sincronizzazione della password di 802.1x per le istruzioni di installazione.     
  1. Se Usa accesso Windows non è selezionato, è necessario immettere il nome utente e la password dell'account utente che è stato creato sul server di autenticazione. Fare clic su Configura per aprire la finestra di dialogo delle credenziali. Immettere il nome utente e la password dell'account utente che è stato creato sul server di autenticazione. Selezionare la casella di controllo Salva credenziali utente per salvare le credenziali per usarle in futuro con questo profilo 802.1x. Il nome utente e la password non devono coincidere con il nome utente e la password attualmente usati per l'accesso a Windows.
  2. Fare clic su Chiudi per salvare le impostazioni.
  3. Se nella pagina di impostazioni Generale era stata selezionata la casella di controllo Password di protezione, allora fare clic su Avanti per visualizzare la pagina Password e immettere la password del profilo.
  4. Fare clic sul pulsante Fine per salvare le impostazioni del profilo.
  5. Selezionare la scheda Reti.
  6. Selezionare un profilo e fare clic su Connetti.
  7. Se si è selezionato Usa accesso Windows (vedere passaggio 13), viene visualizzata la finestra di dialogo Credenziali. Immettere il proprio nome utente e password di Windows. Selezionare la casella di controllo Salva credenziali utente per salvare le credenziali per usarle in futuro con questo profilo.
  8. Fare clic su OK per salvare le impostazioni e collegarsi alla rete.

Impostazione del client per WPA-PSK usando l'autenticazione WEP o TKIP

Usare la modalità di accesso protetto Wi-Fi WPA-PSK (Pre Shared Key) se non viene utilizzato un server di autenticazione. Questa modalità non usa alcun protocollo di autenticazione 802.1x e può essere utilizzata insieme alla crittografia dei dati di tipo WEP o TKIP. WPA-PSK richiede la configurazione di una chiave precondivisa (PSK). Per una chiave PSK da 256 bit è necessario immettere una frase di accesso o 64 caratteri esadecimali. La chiave di crittografia dei dati è derivata dalla chiave PSK.

Per configurare un profilo usando WPA-PSK:

  1. Dalla pagina Generale, fare clic sulla scheda Reti.
  2. Fare clic sul pulsante Aggiungi.
  3. Immettere il nome del profilo e della rete (SSID).
  4. Selezionare Infrastruttura come modalità operativa.
  5. Fare clic su Avanti.
  6. Selezionare WPA-PSK come autenticazione di rete. È possibile anche selezionare la modalità di autenticazione.
  7. Selezionare WEP o TKIP per Crittografia dati.
  8. Selezionare una delle opzioni seguenti:
  9. Fare clic sul pulsante Fine per salvare le impostazioni di protezione del profilo.

Impostazione del client per WPA usando la crittografia TKIP e l'autenticazione TLS

La modalità di accesso protetto (WPA) può essere usata con TLS, TTLS o PEAP. Protocollo di autenticazione 802.1x che usa le opzioni di crittografia dei dati WEP o TKIP. La modalità di accesso protetto Wi-Fi (WPA) è associata con l'autenticazione 802.1x. La chiave di crittografia dei dati viene ricevuta con lo scambio di chiavi 802.1x. Per migliorare la crittografia dei dati, l'accesso protetto Wi-Fi utilizza TKIP (Temporal Key Integrity Protocol). TKIP offre importanti miglioramenti per la crittografia dei dati, inclusa la modalità di rigenerazione delle chiavi.

  1. Ottenere e installare un certificato del client (fare riferimento a Impostazione del client per l'autenticazione TLS) o rivolgersi all'amministratore del sistema.
  2. Dalla pagina Generale, fare clic sulla scheda Reti.
  3. Fare clic sul pulsante Aggiungi.
  4. Immettere il nome del profilo e della rete (SSID).
  5. Selezionare Infrastruttura come modalità operativa.
  6. Fare clic su Avanti.
  7. Selezionare WPA per Autenticazione di rete.
  8. Selezionare TKIP per Crittografia dati.
  9. Impostare su TLS il tipo di autenticazione da utilizzare con questa connessione.
  10. Fare clic sul pulsante Configura per aprire la finestra di dialogo delle impostazioni.
  11. Immettere il proprio nome utente nel campo Nome utente.
  12. Selezionare l'"Autorità di certificazione" dall'elenco. Selezionare come impostazione predefinita Qualunque CA attendibile.
  13. Immettere il nome del server.
  14. Usa certificato client: questa opzione seleziona un certificato client dell'archivio certificati personali dell'utente Windows connesso. Questo certificato verrà usato per l'autenticazione del client. Fare clic sul pulsante Seleziona per aprire l'elenco dei certificati installati.
  15. Selezionare il certificato dall'elenco e fare clic su OK. Le informazioni riguardanti il certificato del client sono visualizzate sotto "Certificato client".
  16. Fare clic su Chiudi.
  17. Fare clic sul pulsante Fine per salvare le impostazioni di protezione del profilo.

Impostazione del client per WPA usando la crittografia TKIP e l'autenticazione TTLS o PEAP

Utilizzo dell'autenticazione TTLS: queste impostazioni definiscono il protocollo e le credenziali usate per autenticare un utente. In TTLS, il client usa EAP-TLS per convalidare il server e creare un canale crittografato TLS tra il client e il server. Su questo canale crittografato il client può utilizzare un altro protocollo di autenticazione, in genere un protocollo basato su password quale una richiesta MD5, per abilitare la convalida del server. I pacchetti di richiesta e di risposta sono inviati su un canale TLS crittografato e non esposto.

Utilizzo dell'autenticazione PEAP: le impostazioni PEAP sono richieste per l'autenticazione del client presso il server di autenticazione. In PEAP, il client usa EAP-TLS per convalidare il server e creare un canale crittografato TLS tra il client e il server. Su questo canale crittografato il client può utilizzare un altro meccanismo EAP, quale Microsoft Challenge Authentication Protocol (MSCHAP) versione 2, per abilitare la convalida del server. I pacchetti di richiesta e di risposta sono inviati su un canale TLS crittografato e non esposto.

Nell'esempio seguente è descritto come usare WPA con la crittografia TKIP usando l'autenticazione TTLS o PEAP.

  1. Ottenere e installare un certificato del client (fare riferimento a Impostazione del client per l'autenticazione TLS) o rivolgersi all'amministratore del sistema.
  2. Dalla pagina Generale, fare clic sulla scheda Reti.
  3. Fare clic sul pulsante Aggiungi.
  4. Immettere il nome del profilo e della rete (SSID).
  5. Selezionare Infrastruttura come modalità operativa.
  6. Fare clic su Avanti.
  7. Selezionare WPA per Autenticazione di rete.
  8. Selezionare TKIP per Crittografia dati.
  9. Selezionare la casella di controllo Usa accesso Windows. questa funzione consente di far corrispondere le credenziali 802.1x al nome utente e alla password di Windows. Il nome utente e la password immessi nei passaggi 17 e 18 non sono necessari. Prima della connessione viene visualizzata la finestra di dialogo Credenziali che richiede le credenziali di accesso di Windows.
NOTA: per installare la funzione di sincronizzazione della password di 802.1x (Usa accesso Windows), fare riferimento a Installazione o disinstallazione della funzione di sincronizzazione della password di 802.1x per le istruzioni di installazione.     
  1. Se Usa accesso Windows non è selezionato, è necessario immettere il nome utente e la password dell'account utente che è stato creato sul server di autenticazione (vedere i passaggi 17 e 18).
  2. Impostare a TTLS o PEAP il tipo di autenticazione da utilizzare con questa connessione.
  3. Fare clic sul pulsante Configura per aprire la finestra di dialogo delle impostazioni.
  4. Immettere il nome dell'identità di roaming nel campo Identità di roaming. Questa funzione facoltativa rappresenta l'identità 802.1X fornita all'autenticatore. Si consiglia di non inserire in questo campo un'identità vera, ma un'area di autenticazione desiderata (es. anonimo@miaAreaAutenticazione).
  5. Selezionare l'"Autorità di certificazione" dall'elenco. Selezionare come impostazione predefinita Qualunque CA attendibile.
  6. Immettere il nome del server.
  7. Protocollo di autenticazione:
  8. Immettere il nome dell'utente. Questo nome utente deve corrispondere al nome utente che è impostato nel server di autenticazione dall'amministratore IT prima che avvenga l'autenticazione del client. Il nome utente distingue tra maiuscole e minuscole. Questo nome indica l'identità fornita all'autenticatore dal protocollo di autenticazione che opera sul tunnel TLS. L'identità di questo utente è trasmessa in modo protetto al server solo dopo che è stato verificato e stabilito un canale crittografato.
  9. Immettere la password dell'utente. specifica la password dell'utente. la password immessa in questo campo deve corrispondere alla password che è stata impostata sul server di autenticazione.
  10. Selezionare la casella di controllo Salva credenziali utente per salvare le credenziali per usarle in futuro con questo profilo. Nota: Il nome utente e la password non devono coincidere con il nome utente e la password attualmente usati per Windows.
  11. Reimmettere la password dell'utente. Se è confermata, vengono visualizzati gli stessi caratteri della password immessi nel campo Password.
  12. Usa certificato client: questa opzione seleziona un certificato client dell'archivio certificati personali dell'utente Windows connesso. Questo certificato verrà usato per l'autenticazione del client. Fare clic sul pulsante Seleziona per aprire l'elenco dei certificati installati.
  13. Selezionare il certificato dall'elenco e fare clic su OK. Le informazioni riguardanti il certificato del client sono visualizzate sotto "Certificato client".
  14. Fare clic su Chiudi.
  15. Fare clic sul pulsante Fine per salvare le impostazioni di protezione del profilo.
  16. Da Elenco profili selezionare un profilo, quindi fare clic su Connetti.
  17. Se si è selezionato Usa accesso Windows (vedere passaggio 9), viene visualizzata la finestra di dialogo Credenziali. Immettere il proprio nome utente e password di Windows. Selezionare la casella di controllo Salva credenziali utente per salvare le credenziali per usarle in futuro con questo profilo.
  18. Fare clic su OK per salvare le impostazioni e collegarsi alla rete.

Impostazione del client per CCX usando la crittografia CKIP e l'autenticazione LEAP

Configurazione di LEAP usando Intel(R) PROSet for Wireless
NOTA: è possibile configurare un profilo LEAP solo usando Intel(R) PROSet for Wireless.  

Per collegarsi a una specifica rete LAN wireless o ESS è necessario configurare un profilo Intel(R) PROSet for Wireless CCX (v1.0). Le impostazioni dei profili comprendono le impostazioni di rilevamento LEAP, CKIP e Rogue AP.

Per configurare un profilo per le impostazioni della protezione CCX:

  1. Dalla pagina Generale, fare clic sulla scheda Reti.
  2. Fare clic sul pulsante Aggiungi.
  3. Immettere il nome del profilo e della rete (SSID).
  4. Selezionare Infrastruttura come modalità operativa.
  5. Fare clic sulla casella di controllo Estensioni client Cisco per attivare la protezione CCX. Se si è selezionata la casella "Cella mista" di Cisco in Impostazioni avanzate, è necessario selezionare anche questa opzione. Nota: l'autenticazione di rete e la crittografia dei dati ora includono le opzioni di protezione CCX: aperta, condivisa per l'autenticazione 802.11 e nessuna, WEP, CKIP per la crittografia dei dati.
  6. Fare clic su Avanti.
  7. Nelle opzioni di Autenticazione di rete, selezionare Apri.
  8. Selezionare CKIP per Crittografia dati.
  9. Fare clic sulla casella controllo 802.1x attivato per attivare l'opzione di protezione 802.1x.
  10. Selezionare LEAP come Tipo di autenticazione 802.1x.
  11. Selezionare la casella di controllo Usa accesso Windows. questa funzione consente di far corrispondere le credenziali 802.1x al nome utente e alla password di Windows. Prima della connessione alla rete wireless viene visualizzata la finestra di dialogo Credenziali che richiede le credenziali di accesso di Windows.
NOTA: per installare la funzione di sincronizzazione della password di 802.1x (Usa accesso Windows), fare riferimento a Installazione o disinstallazione della funzione di sincronizzazione della password di 802.1x per le istruzioni di installazione.     
  1. Se Usa accesso Windows non è selezionato, fare clic su Configura per aprire la finestra di dialogo delle credenziali. Immettere il nome utente e la password dell'account utente che è stato creato sul server di autenticazione. Selezionare la casella di controllo Salva credenziali utente per salvare le credenziali per usarle in futuro con questo profilo 802.1x. Nota: il nome utente e la password non devono coincidere con il nome utente e la password attualmente usati per l'accesso a Windows.
  2. Fare clic su Attiva rilevamento dei punti di accesso non autorizzati se la rete è configurata per rilevare i punti di accesso non autorizzati. È consigliabile impostare questa opzione soltanto se è selezionata la casella di controllo “Network-EAP” nelle impostazioni dei punti di accesso (per tutti i punti di accesso Cisco).
  3. Fare clic su Chiudi per salvare le impostazioni.
  4. Selezionare la scheda Reti.
  5. Da Elenco profili selezionare un profilo CCX, quindi fare clic su Connetti.
  6. Se si è selezionato Usa accesso Windows (vedere passaggio 11), viene visualizzata la finestra di dialogo Credenziali. Immettere il proprio nome utente e password di Windows. Selezionare la casella di controllo Salva credenziali utente per salvare le credenziali per usarle in futuro con questo profilo.
  7. Fare clic su OK per salvare le impostazioni e collegarsi alla rete.

Punto di accesso CCX e configurazioni dei client

Le impostazioni offerte dal punto di accesso consentono di selezionare tipi diversi di autenticazione a seconda dell'ambiente WLAN. Durante l'handshake di autenticazione 802.11 che avviene tra il client e il punto di accesso quando stabiliscono una connessione, il client invia un campo per l'algoritmo di autenticazione. I valori dell'algoritmo di autenticazione riconosciuti da un punto di accesso compatibile con CCX sono diversi a seconda dei diversi tipi di autenticazione. Ad esempio, “Network-EAP” (specifico di LEAP) ha il valore di 0x80, mentre “Open” (relativo all'autenticazione aperta specifica di 802.11) e “Required EAP” (ovvero la richiesta di uno scambio di handshake EAP) hanno il valore di 0x0.

Solo Network-EAP

Punto di accesso: nelle reti compatibili con CCX che usano solo l'autenticazione LEAP, il tipo di autenticazione è impostato con la casella di controllo “Network-EAP” selezionata e con le caselle “Open” e “Required EAP” deselezionate. Il punto di accesso è quindi configurato per consentire che SOLO i client LEAP eseguano l'autenticazione e la connessione. In questo caso il punto di accesso si aspetta che l'algoritmo di autenticazione 802.11 sia impostato a 0x80 (LEAP) e rifiuta i client che tentano di effettuare l'autenticazione usando un algoritmo del valore di 0x0.

Client: in questo caso il client deve inviare un algoritmo di autenticazione del valore di 0x80, altrimenti l'handshake di autenticazione 802.11 non riesce. Durante l'avvio, quando il driver della LAN wireless è già caricato ma il richiedente di Intel(R) PROSet for Wireless non lo è ancora, il client invia l'autenticazione 802.11 usando un algoritmo di autenticazione del valore di 0x0. Il richiedente di Intel(R) PROSet for Wireless, quando viene caricato e il profilo LEAP è avviato, invia l'autenticazione 802.11 con un algoritmo di autenticazione del valore di 0x80. Il richiedente tuttavia invia 0x80 solo se è selezionata la casella di controllo Rogue AP relativa ai punti di accesso non autorizzati.

Network-EAP, Open e Required EAP

Punto di accesso: se le caselle Network-EAP, Open e Required EAP sono selezionate accetta entrambi i valori, 0x0 e 0x80, dell'algoritmo di autenticazione 802.11. Il punto di accesso, una volta che il client si è associato e autenticato, si aspetta tuttavia che avvenga un handshake EAP. Se qualunque motivo la procedura di handshake non avviene rapidamente, il punto di accesso non risponderà al client per 60 secondi.

Client: il client può inviare un algoritmo di autenticazione usando entrambi i valori, 0x80 o 0x0. Poiché sono entrambi valori accettabili l'handshake di autenticazione 802.11 verrà completata correttamente. Durante l'avvio, quando il driver della LAN wireless è già caricato, il client invia l'autenticazione 802.11 usando un algoritmo di autenticazione del valore di 0x0. Questo basta a ottenere l'autenticazione ma, per stabilire una connessione, è necessario che le corrispondenti credenziali EAP o LEAP siano comunicate al punto di accesso.

Solo Open e Required EAP

Punto di accesso: nel caso in cui il punto di accesso sia configurato con Network-EAP deselezionato, ma Open e Required EAP selezionati, il punto di accesso rifiuta i client che tentano di effettuare l'autenticazione 802.11 usando un algoritmo del valore di 0x80. Il punto di accesso accetta i client che usano un algoritmo di autenticazione del valore di 0x0 e si aspetta che l'handshake EAP inizi subito dopo. In questo caso, il client usa MD5, TLS, LEAP o altri metodi EAP appropriati per la specifica configurazione della rete.

Client: al client in questo caso è richiesto di inviare un algoritmo di autenticazione del valore di 0x0. Come descritto in precedenza, la sequenza comporta una ripetizione dell'handshake di autenticazione 802.11 iniziale. Dapprima il driver LAN wireless inizia l'autenticazione con un valore di 0x0 e in seguito il richiedente ripete il processo. Il valore dell'algoritmo di autenticazione usato dal richiedente dipende tuttavia dallo stato della casella di controllo Rogue AP. Quando la casella Rogue AP non è selezionata, il client invia un'autenticazione 802.11 con l'algoritmo di autenticazione del valore di 0x0 anche dopo che il richiedente carica e attiva il profilo LEAP.

Per esempio, alcuni client diversi da Intel, quando sono impostati su LEAP non sono in grado di eseguire l'autenticazione. Il client LAN wireless di Intel riesce ad autenticarsi anche se Rogue AP non è selezionato.

Configurazione della casella di controllo Rogue AP

Quando la casella di controllo è selezionata il client implementa di sicuro la funzione Rogue AP come richiesto da CCX. Il client registra quali sono i punti di accesso con cui non è riuscito ad effettuare l'autenticazione e invia questa informazione al punto di accesso che gli consente di effettuare l'autenticazione e la connessione. Il richiedente inoltre imposta l'algoritmo di autenticazione su 0x80 quando la casella Rogue AP è selezionata. Come descritto in precedenza, vi possono essere alcune configurazioni di rete che implementano solo Open e Required EAP. Affinché queste configurazioni funzionino, il client deve usare per l'algoritmo di autenticazione il valore di 0x0, invece che il valore di 0x80 richiesto, come descritto in precedenza, nel caso di solo Network-EAP. Per questo motivo la casella di controllo Rogue AP consente inoltre al client di supportare solo Network-EAP e solo Open e Required EAP.

Supporto per la funzione Cisco CCX

Le specifiche obbligatorie definite da Cisco per la conformità del client versione 1.0 (Client Compliance Specifications Version1.0) sono le seguenti:

Nota: per ulteriori informazioni, fare riferimento al documento Cisco Client extensions versione 1.0 sul sito www.cisco.com.

Torna al Sommario


Leggere le sezioni relative alle limitazioni e declinazioni di responsabilità.