Tillbaka till Innehåll
Ställa in datakryptering och verifieringSäkerhet och kryptering:
PRO/trådlöst LAN Mini-PCI-kort Användarhandbok
Säkerhet och kryptering
Kryptering - översikt
Aktivera WEP-kryptering
Systemadministratörsuppgifter
Ställa in klienten för WEP- och MD5-verifiering
Ställa in klienten för WPA-PSK med WEP- eller TKIP-verifiering
Ställa in klienten för WPA med TKIP-kryptering och TLS-verifiering
Ställa in klienten för WPA med TKIP-kryptering och TTLS- eller PEAP-verifiering
Ställa in klienten för CCX med CKIP-kryptering och LEAP-verifiering
WEP-kryptering (Wired Equivalent Privacy) och delad verifiering hjälper till att tillhandahålla skydd för dina data i nätverket. WEP använder en krypteringsnyckel i syfte att kryptera data innan de överförs. Det är bara datorer som använder samma krypteringsnyckel som kan komma åt nätverket eller avkryptera de krypterade data som överförts av andra datorer. Verifieringen tillhandahåller en ytterligare valideringsprocess mellan adaptern och åtkomstpunkten. WEP-krypteringalgoritmen är sårbar för passiva och aktiva nätverksattacker. Verifiering med öppet system och delad nyckel
802.11 stöder två typer av nätverksverifieringsmetoder: öppet system och delad nyckel. Autentiseringsscheman som du kan använda är Open- och Shared-Key-autentisering:
När Datakryptering (WEP, CKIP eller TKIP) är aktiverad används en nätverksnyckel för kryptering. En nätverksnyckel kan tillhandahållas till dig automatiskt (den kan t ex tillhandahållas på din trådlösa nätverksadapter eller du kan ange den själv och ange nyckellängden (64-bitars eller 128-bitars), nyckelformatet (ASCII-tecken eller hexadecimala siffror) och nyckelindex (den plats som en specifik nyckel lagras i). Ju längre nyckellängden är ju säkrare är nyckeln. Varje gång längden på en nyckel ökas med en bit fördubblas antalet möjliga nycklar.
Under 802.11 kan en trådlös station konfigureras med upp till fyra nycklar (nyckelindexvärdena är 1, 2, 3 och 4). När en åtkomstpunkt eller en trådlös station överför ett krypterat meddelande genom att använda en nyckel som förvaras i ett specifikt nyckelindex anger det överförda meddelandet det nyckelindex som användes för att kryptera meddelandetexten. Den mottagande åtkomstpunkten eller trådlösa stationen kan sedan hämta nyckeln som förvaras i nyckelindex och använda den för att avkoda den krypterade meddelandetexten.
802.1x använder två olika typer av krypteringsnycklar, statiska och dynamiska. Statiska krypteringsnycklar ändras manuellt och är mer sårbara. MD5-verifiering använder bara statiska krypteringsnycklar. Dynamiska krypteringsnycklar förnyas automatiskt på en periodisk basis. Detta gör den eller de krypteringsnycklar mer säkra. För att kunna aktivera dynamiska krypteringsnycklar måste du använda 802.1x-verifieringsmetoder såsom TLS, TTLS, PEAP eller LEAP.
Du kan uppnå säkerhet i WLAN genom att aktivera datakryptering med WEP (Wireless Encryption Protocol). Du kan välja kryptering på 64- eller 128-bitarsnivå. Data kan sedan också krypteras med en nyckel. En annan parameter som kallas nyckelindex ger dig möjlighet att skapa flera nycklar för den profilen. Du kan dock bara använda en nyckel åt gången. Du kan också välja att lösenordsskydda profilen i syfte att garantera sekretess.
Lösenordsmeningen används för att generera en WEP-nyckel automatiskt. Du kan välja att antingen använda en lösenordsmening eller ange en WEP-nyckel manuellt. Om du använder 64-bitarskryptering är lösenordsmeningen fem tecken lång och du kan välja att ange en slumpmässig fras som är lätt att använda såsom Acme1 eller ange 10 hexadecimala siffror för WEP-nyckeln som motsvarar det nätverk som användaren vill ansluta till. För 128-bitarskryptering är lösenordsmeningen 13 tecken lång eller så kan du ange 26 hexadecimala siffror för WEP-nyckeln för att anslutas till lämpligt nätverk.
Obs! Du måste använda samma krypteringstyp, nyckelindexnummer och WEP-nyckel som andra enheter i ditt trådlösa nätverk. Om du dessutom använder 802.1x-verifiering måste du avaktivera WEP-kryptering.
Följande exempel beskriver hur du kan redigera en befintlig profil och genomför WEP-kryptering.
Aktivera WEP-kryptering:
- Använd lösenordsmening: Klicka på Använd lösenordsmening för att aktivera. Ange en textfras, upp till fem (med 64-bitars) eller 13 (med 128-bitars) alfanumeriska tecken ((0-9, a-z eller A-Z), i fältet för lösenordsmening.
- Använd hexnyckel: Klicka på Använd hexnyckel för att aktivera. Ange upp till tio (med 64-bitars) alfanumeriska tecken, 0-9, A-F eller 26 (med 128-bitars) alfanumeriska tecken, 0-9, A-F i hexnyckelfältet.
- Lösenordsmening: Klicka på Använd lösenordsmening för att aktivera det. Ange en textfras, upp till fem (använda 64-bitars) eller 13 (använda 128-bitars) alfanumeriska tecken (0-9, a-z eller A-Z), i fältet för lösenordsmening.
![]() |
OBS! Du måste använda samma krypteringstyp, indexnummer och WEP-nyckel som andra enheter i ditt trådlösa nätverk. |
![]() |
OBS! Följande information är avsedd för systemadministratörer. |
Om du inte har några certifikat för EAP-TLS eller EAP-TTLS måste du hämta ett klientcertifikat för att möjliggöra verifiering. Vanligtvis behöver du tala med systemnätverksadministratören för att få anvisningar om hur du inskaffar ett certifikat för ditt nätverk. Du kan hantera certifikat från “Internet-inställningar” som nås antingen från Internet Explorer eller Windows Kontrollpanelen-applet. Använd sidan "Innehåll" i "Internet-inställningar".
Windows XP och 2000: När du erhåller ett klientcertifikat ska du inte aktivera starkt skydd av den privata nyckeln. Om du aktiverar starkt skydd av den privata nyckeln för ett certifikat måste du ange ett åtkomstlösenord för certifikatet varje gång detta certifikat används. Du måste inaktivera starkt skydd av den privata nyckeln för certifikatet om du konfigurerar tjänsten för TLS/TTLS-verifiering. Annars klarar inte 802.1x-tjänsten verifieringen eftersom det inte finns någon inloggad användare som den kan visa instruktionsdialogen för.
Anteckningar om Smartkort
När du har installerat ett Smartkort installeras certifikatet automatiskt på datorn och du kan markera det i arkivet med personcertifikat och i rotcertifikatarkivet.
Steg 1: Hämta ett certifikat
Innan du kan tillåta TLS-verifiering behöver du ett giltigt klientcertifikat (användarcertifikat) på den lokala förvaringsplatsen för den inloggade användarens konto. Du behöver också ett tillförlitligt CA-certifikat i rotarkivet.
Följande information ger dig två sätt att skaffa ett certifikat:
från en företagscertifikatutfärdare som implementeras på en Windows 2000-server
genom att använda Internet Explorers guide för certifikatimport för att importera ett certifikat från en fil
Obs! Om detta är det första certifikatet som du har fått kommer certifikatutfärdaren att först fråga dig om den ska installera ett tillförlitligt certifikatutfärdarcertifikat i rotarkivet. Dialogrutan talar inte om att detta är ett tillförlitligt certifikatutfärdarcertifikat men namnet på certifikatet som visas kommer att vara certifikatutfärdarens värdnamn. Klicka på ja, att du behöver detta certifikat för både TLS och TTLS.
Följande exempel beskriver hur du använder WPA med TKIP-kryptering med TTLS- eller PEAP-verifiering.
Steg 2: Ange vilket certifikat som används av Intel(R) PROSet
Inskaffa och installera ett klientcertifikat, se Steg 1 eller tala med systemadministratören.
På sidan Allmänt klickar du på fliken Nätverk.
Klicka på Lägg till-knappen.
Ange profilnamnet och nätverksnamnet (SSID).
Välj Infrastruktur som driftsläge.
Klicka på Nästa.
Markera Öppen som Nätverksverifiering. Du kan också markera något annat tillgängligt verifieringsläge.
Markera WEP som datakryptering. Du kan också markera något annat tillgängligt krypteringsläge.
Klicka på kryssrutan 802.1x aktiverat.
Ställ in verifieringstypen till TLS som ska användas med denna anslutning.
Klicka på knappen Konfigurera för inställningsdialogrutan.
Ange ditt användarnamn i fältet Användarnamn.
Markera "Certifikatutfärdare" i listan. Markera valfri tillförlitlig certifikatutfärdare som standard.
Klicka på kryssrutan "tillåta mellanliggande certifikat" för att låta ett antal ej angivna certifikat att finnas i servercertifikatkedjan mellan servercertifikatet och angiven certifikatutfärdare. Om det är avmarkerat så måste den angivna certifikatutfärdaren ha utfärdat servercertifikatet direkt.
Ange servernamnet.
Om du känner till servernamnet anger du detta namn.
Markera tillämpligt alternativ för at matcha servernamnet exakt eller ange domännamnet.
Under alternativet "Klientcertifikat" klickar du på knappen Välj för att öppna en lista med installerade certifikat.
Anteckning om certifikat: Den angivna identiteten bör matcha fältet "Utfärdat till" i certifikatet och bör registreras på verifieringsservern (dvs. RADIUS-servern) som används av verifieraren. Ditt certifikat måste vara "giltigt" vad gäller verifieringsservern. Detta krav beror på verifieringsservern och innebär i allmänhet att verifieringsservern måste känna till certifikatutfärdaren som en Certifikatutfärdare (CA). Du bör vara inloggad med samma användarnamn som du använde när certifikatet installerades.
Markera certifikatet i listan och klicka på OK. Klientcertifikatinformationen visas under "Klientcertifikat".
Klicka på Stäng.
Spara säkerhetsinställningarna för profilen genom att klicka på Slutför.
Lägg till WEP- och MD5-verifiering i en ny profil så här:
Obs! Innan du börjar skaffar du ett användarnamn och lösenord på RADIUS-servern från systemadministratören.
Använd Wi-Fi-skyddad åtkomst - Läget för nyckel som delats i förväg (WPA-PSK eller Pre Shared Key) om det inte används någon verifieringsserver. Detta läge använder inte något 802.1x-verifieringsprotokoll. Det kan användas med datakrypteringstyper: WEP eller TKIP. WPA-PSK kräver konfiguration av en nyckel som delats i förväg (PSK). Du måste ange en lösenordsmening eller 64 hextecken för en nyckel som delats i förväg med 256-bitars längd. Datakrypteringsnyckeln härleds från PSK.
Konfigurera en profil med WPA-PSK så här:
På sidan Allmänt klickar du på fliken Nätverk.
Klicka på Lägg till-knappen.
Ange profilnamnet och nätverksnamnet (SSID).
Välj Infrastruktur som driftsläge.
Klicka på Nästa.
Markera WPA-PSK som Nätverksverifiering. Du kan också välja verifieringsläge.
Markera WEP som datakryptering.
Välj ett av följande:
Använd lösenordsmening: Klicka på Använd lösenordsmening för att aktivera det. Ange en textfras, upp till 5 (använda 64-bitars) eller 13 (använda 128-bitars) alfanumeriska tecken ((0-9, a-z eller A-Z), i fältet för lösenordsmening.
Använd hexnyckel: Klicka på Använd hexnyckel för att aktivera det. Ange upp till tio (med 64-bitars) alfanumeriska tecken, 0-9, A-F eller 26 (med 128-bitars) alfanumeriska tecken, 0-9, A-F i hexnyckelfältet.
Klicka på kryssrutan 802.1x aktiverat.
Ställ in verifieringstypen till TLS som ska användas med denna anslutning.
Spara säkerhetsinställningarna för profilen genom att klicka på Slutför.
Ställa in klienten för WPA med TKIP-kryptering och TLS-verifiering
Läget Wi-Fi Protected Access (WPA) kan användas med TLS, TTLS eller PEAP. Detta 802.1x-verifieringsprotokoll med datakrypteringsalternativ: WEP eller TKIP. Läget Wi-Fi Protected Access (WPA) binds med 802.1x-verifiering. Datakrypteringsnyckeln mottages från 802.1x-nyckelutbytet. I syfte att förbättra datakryptering använder Wi-Fi Protected Access sin TKIP (Temporal Key Integrity Protocol). TKIP tillhandahåller viktiga datakrypteringsförbättringar inklusive en metod för nyckeluppdatering.
Inskaffa och installera ett klientcertifikat, se Ställa in klient för TLS-verifiering eller tala med systemadministratören.
På sidan Allmänt klickar du på fliken Nätverk.
Klicka på Lägg till-knappen.
Ange profilnamnet och nätverksnamnet (SSID).
Välj Infrastruktur som driftsläge.
Klicka på Nästa.
Markera WPA som Nätverksverifiering.
Markera TKIP som datakryptering.
Ställ in verifieringstypen till TLS som ska användas med denna anslutning.
Klicka på knappen Konfigurera för inställningsdialogrutan.
Ange ditt användarnamn i fältet Användarnamn.
Markera "Certifikatutfärdare" i listan. Markera valfri tillförlitlig certifikatutfärdare som standard.
Klicka på kryssrutan "tillåta mellanliggande certifikat" för att låta ett antal ej angivna certifikat att finnas i servercertifikatkedjan mellan servercertifikatet och angiven certifikatutfärdare. Om det är avmarkerat så måste den angivna certifikatutfärdaren ha utfärdat servercertifikatet direkt.
Ange servernamnet.
Om du känner till servernamnet anger du detta namn.
Markera tillämpligt alternativ för at matcha servernamnet exakt eller ange domännamnet.
Använd klientcertifikat: Detta alternativ väljer ett klientcertifikat från det personliga certifikatarkivet för Windows inloggade användare. Detta certifikat kommer att användas för klientverifiering. Klicka på knappen Välj för att öppna en lista med installerade certifikat.
Anteckning om certifikat: Den angivna identiteten bör matcha fältet "Utfärdat till" i certifikatet och bör registreras på verifieringsservern (dvs. RADIUS-servern) som används av verifieraren. Ditt certifikat måste vara "giltigt" vad gäller verifieringsservern. Detta krav beror på verifieringsservern och innebär i allmänhet att verifieringsservern måste känna till certifikatutfärdaren som en Certifikatutfärdare (CA). Du bör vara inloggad med samma användarnamn som du använde när certifikatet installerades.
Markera certifikatet i listan och klicka på OK. Klientcertifikatinformationen visas under "Klientcertifikat".
Klicka på Stäng.
Spara säkerhetsinställningarna för profilen genom att klicka på Slutför.
Använda TTLS-verifiering: Dessa inställningar anger protokoll och den identifierande information som används för att verifiera en användare. I TTLS använder klienten EAP-TLS för att validera servern och för att skapa en TLS-krypterad kanal mellan klient och server. Klienten kan använda ett annat verifieringsprotokoll, vanligtvis lösenordsbaserade protokoll såsom MD5 Challenge över denna krypterade kanal för att aktivera servervalidering. Fråge- (challenge) och svarspaket skickas över en icke-utsatt TLS-krypterad kanal.
Använda PEAP-verifiering: PEAP-inställningar krävs för verifiering av klienten till verifieringsservern. I PEAP använder klienten EAP-TLS för att validera servern och för att skapa en TLS-krypterad kanal mellan klient och server. Klienten kan använda en annan EAP-mekanism såsom MSCHAP (Microsoft Challenge Authentication Protocol) Version 2, över denna krypterade kanal för att aktivera servervalidering. Fråge- (challenge) och svarspaket skickas över en icke-utsatt TLS-krypterad kanal.
Följande exempel beskriver hur du använder WPA med TKIP-kryptering med TTLS- eller PEAP-verifiering.
Inskaffa och installera ett klientcertifikat, se Ställa in klient för TLS-verifiering eller tala med systemadministratören.
På sidan Allmänt klickar du på fliken Nätverk.
Klicka på Lägg till-knappen.
Ange profilnamnet och nätverksnamnet (SSID).
Välj Infrastruktur som driftsläge.
Klicka på Nästa.
Markera WPA som Nätverksverifiering.
Markera TKIP som datakryptering.
Ställ in verifieringstypen till TTLS eller PEAP som ska användas med denna anslutning.
Klicka på knappen Konfigurera för inställningsdialogrutan.
Ange roaming-identitet-namnet i fältet Roaming-identitet. Denna tillvalsfunktion är 802.1x-identiteten som ges till verifieraren. Vi rekommenderar att detta fält inte innehåller en sann identitet utan istället önskad domän (t.ex. anonym@mindomän).
Markera "Certifikatutfärdare" i listan. Markera valfri tillförlitlig certifikatutfärdare som standard.
Klicka på kryssrutan "tillåta mellanliggande certifikat" för att låta ett antal ej angivna certifikat att finnas i servercertifikatkedjan mellan servercertifikatet och angiven certifikatutfärdare. Om det är avmarkerat så måste den angivna certifikatutfärdaren ha utfärdat servercertifikatet direkt.
Ange servernamnet.
Om du känner till servernamnet anger du detta namn.
Markera tillämpligt alternativ för at matcha servernamnet exakt eller ange domännamnet.
Verifieringsprotokoll:
PEAP: Välj MS-CHAP-V2. Denna parameter anger verifieringsprotokollet som drivs över PEAP-tunneln. Protokollen är: MS-CHAP-V2 (standard), GTC och TLS.
TTLS:Välj PAP. Denna parameter anger verifieringsprotokollet som drivs över TTLS-tunneln. Protokollen är: PAP (standard), CHAP, MD5, MS-CHAP och MS-CHAP-V2.
Ange användarnamnet. Detta användarnamn måste matcha det användarnamn som IT-administratören anger på verifieringsservern före klientens verifiering. Användarnamnet skiljer mellan versaler och gemener. Detta namn anger den identitet som anges till verifieraren av verifieringsprotokollet som arbetar över TLS-tunneln. Denna användares identitet överförs säkert till servern men bara efter det att en krypterad kanal har verifierats och etablerats.
Anger användarens lösenord. Anger användarens lösenord. Detta lösenord måste matcha det lösenord som angetts på verifieringsservern.
Skriv användarens lösenord igen. Om det bekräftas visas samma lösenordstecken som angetts i fältet Lösenord.
Använd klientcertifikat: Detta alternativ väljer ett klientcertifikat från det personliga certifikatarkivet för Windows inloggade användare. Detta certifikat kommer att användas för klientverifiering. Klicka på knappen Välj för att öppna en lista med installerade certifikat.
Anteckning om certifikat: Den angivna identiteten bör matcha fältet "Utfärdat till" i certifikatet och bör registreras på verifieringsservern (dvs. RADIUS-servern) som används av verifieraren. Ditt certifikat måste vara "giltigt" vad gäller verifieringsservern. Detta krav beror på verifieringsservern och innebär i allmänhet att verifieringsservern måste känna till certifikatutfärdaren som en Certifikatutfärdare (CA). Detta certifikat, som är ett klientcertifikat från det personliga certifikatarkivet för Windows inloggade användare-in user, kommer att användas för klientverifiering. Detta innebär att verifieringsservern måste känna utfärdaren av ditt certifikat som en Certifikatutfärdare (CA). Du bör vara inloggad med samma användarnamn som du använde när certifikatet installerades.
Markera certifikatet i listan och klicka på OK. Klientcertifikatinformationen visas under "Klientcertifikat".
Klicka på Stäng.
Spara säkerhetsinställningarna för profilen genom att klicka på Slutför.