Terug naar inhoudsopgave
Gegevenscodering en verificatie instellenBeveiliging en codering:
Gebruikershandleiding PRO/Wireless LAN Mini PCI-adapter
Beveiliging en codering
Overzicht codering
WEP-codering inschakelen
Taken voor systeembeheerders
De client instellen voor WEP- en MD5-verificatie
De client instellen voor WPA-PSK met WEP- of TKIP-verificatie
De client instellen voor WPA met TKIP-codering en TLS-verificatie
De client instellen voor WPA met TKIP-codering en TTLS- of PEAP-verificatie
De client instellen voor CCX met CKIP-codering en LEAP-verificatie
WEP-codering (Wired Equivalent Privacy) en gedeelde verificatie helpen bij de beveiliging van netwerkgegevens. WEP gebruikt een coderingssleutel om gegevens te coderen voor transmissie. Alleen computers met dezelfde coderingssleutel kunnen toegang tot het netwerk krijgen of gecodeerde gegevens van andere computers decoderen. Verificatie biedt een aanvullend validatieproces tussen de adapter en het toegangspunt. Het WEP-coderingsalgoritme kan vanaf het netwerk actief of passief worden aangevallen. Open en gedeelde sleutelverificatie
802.11 ondersteunt twee typen netwerkverificatiemethoden: Open systemen en Gedeelde sleutels. De ondersteunde verificatieschema's zijn open verificatie en verificatie middels een gedeelde sleutel:
Wanneer Gegevenscodering (WEP, CKIP of TKIP) is ingeschakeld, wordt voor de codering gebruik gemaakt van een netwerksleutel. Deze netwerksleutel kan automatisch worden toegekend (deze kan bijvoorbeeld worden geleverd door de draadloze netwerkadapter of u kunt deze zelf invoeren en de lengte (64-bits of 128-bits), indeling (ASCII-tekens of hexadecimale cijfers) en index (de locatie waar een specifieke sleutel is opgeslagen) voor de sleutel opgeven). Hoe langer de sleutel, des te veiliger deze is. Elke keer dat u de lengte van een sleutel met een bit uitbreidt, verdubbelt het aantal mogelijke sleutels.
Onder 802.11 kan een draadloos station met maximaal vier sleutels (de waarden voor de sleutelindex zijn 1, 2, 3 en 4) worden geconfigureerd. Wanneer een toegangspunt of een draadloos station een gecodeerd bericht verzendt met een sleutel die in een specifieke sleutelindex is opgeslagen, geeft het verzonden bericht de sleutelindex aan waarmee de berichtinhoud is gecodeerd. Het ontvangende toegangspunt of draadloze station kan vervolgens de sleutel ophalen uit de sleutelindex waarin deze is opgeslagen en de sleutel dan gebruiken om de gecodeerde berichtinhoud te decoderen.
Met 802.1x worden twee typen coderingssleutels gebruikt, statische en dynamische. Statische coderingssleutels worden handmatig gewijzigd en zijn meer kwetsbaar. MD5-verificatie werkt alleen met statische coderingssleutels. Dynamische coderingssleutels worden op regelmatige basis automatisch vernieuwd. Hierdoor zijn deze coderingssleutels veel veiliger. Als u dynamische coderingssleutels wilt inschakelen, dient u de 802.1x-verificatiemethoden TLS, TTLS, PEAP of LEAP te gebruiken.
U kunt de beveiliging van het WLAN verbeteren door gegevenscodering met behulp van WEP (Wireless Encryption Protocol) in te schakelen. U kunt kiezen uit 64-bits of 128-bits codering. De gegevens kunnen ook worden gecodeerd met een sleutel. Met de parameter voor een sleutelindex beschikt u over een optie om meerdere sleutels voor een profiel te maken. Er kan echter maar één sleutel tegelijk worden gebruikt. Om de privacy te garanderen kunt u een profiel ook nog beveiligen met een wachtwoord.
Met een wachtwoordgroep worden WEP-sleutels automatisch gegenereerd. U kunt een wachtwoordgroep gebruiken of een WEP-sleutel handmatig invoeren. Wanneer u 64-bits codering gebruikt, is de wachtwoordgroep 5 tekens lang. U kunt hiervoor elke willekeurige en makkelijk te onthouden frase kiezen (zoals Acme1). U kunt ook de 10 hexadecimale cijfers invoeren voor de WEP-sleutel die correspondeert met het netwerk waarmee de gebruiker verbinding wil maken. Bij 128-bits codering is de wachtwoordgroep 13 tekens lang. U kunt ook de 26 hexadecimale cijfers invoeren voor de WEP-sleutel die nodig is om verbinding te maken met het netwerk.
Opmerking: Alle apparaten binnen het draadloze netwerk moeten hetzelfde type codering, hetzelfde sleutelnummer en dezelfde WEP-sleutel gebruiken. Als 802.1x-verificatie wordt gebruikt, moet WEP-codering uitgeschakeld worden.
In het volgende voorbeeld wordt duidelijk hoe u een bestaand profiel bewerkt en WEP-codering toepast.
Ga als volgt te werk om WEP-codering in te schakelen:
- Wachtwoordgroep gebruiken: Klik op Wachtwoordgroep gebruiken om deze optie in te schakelen. Typ een wachtwoordgroep van maximaal 5 (bij 64-bits) of 13 (bij 128-bits) alfanumerieke tekens (0-9, a-z of A-Z) in het veld Wachtwoordgroep.
- Hexadecimale sleutel gebruiken: Klik op Hexadecimale sleutel gebruiken om deze optie in te schakelen. Typ maximaal 10 (bij 64-bits) alfanumerieke tekens (0-9, A-F) of 26 (bij 128-bits) alfanumerieke tekens (0-9, A-F) in het veld WEP-sleutel.
- Wachtwoordgroep: Klik op Wachtwoordgroep gebruiken om deze optie in te schakelen. Typ een wachtwoordgroep van maximaal vijf (bij 64-bits) of 13 (bij 128-bits) alfanumerieke tekens (0-9, a-z of A-Z), in het veld Wachtwoordgroep.
![]() |
Opmerking: Alle apparaten binnen het draadloze netwerk moeten hetzelfde type codering, hetzelfde indexnummer en dezelfde WEP-sleutel gebruiken. |
![]() |
Opmerking: De volgende informatie is bedoeld voor systeembeheerders. |
Als u geen certificaten hebt voor EAP-TLS of EAP-TTLS, dient u een clientcertificaat te verkrijgen zodat verificatie mogelijk wordt. Gewoonlijk kan uw systeemnetwerkbeheerder u meer vertellen over het verkrijgen van een certificaat op uw netwerk. U kunt certificaten beheren via het onderdeel Internet-opties, waartoe u toegang krijgt via Internet Explorer of het Configuratiescherm van Windows. In het dialoogvenster Internet-opties gebruikt u het tabblad Inhoud.
Windows XP en 2000: Wanneer u een clientcertificaat aanvraagt, dient u ervoor te zorgen dat het selectievakje Hoog beveiligingsniveau met een persoonlijke sleutel instellen is uitgeschakeld. Als het selectievakje is ingeschakeld voor een certificaat, dient u elke keer dat het certificaat wordt gebruikt, een wachtwoord op te geven. U dient het selectievakje bovendien uit te schakelen voor het certificaat als u de service configureert voor TLS/TTLS-verificatie. Als u dit niet doet, mislukt de verificatie met de 802.1x-service omdat geen gebruiker is aangemeld waarvoor het promptvenster kan worden weergegeven.
Opmerkingen over smartcards
Wanneer u een smartcard hebt geïnstalleerd, wordt het certificaat automatisch op de computer geïnstalleerd en kunt u dit selecteren in het persoonlijke of basiscertificaatarchief.
Stap 1: Een certificaat aanvragen
Als u TLS-verificatie wilt toestaan, is een geldig clientcertificaat vereist in de lokale opslag voor de aangemelde gebruikersaccount. Bovendien is een vertrouwd CA-certificaat vereist in het basisarchief.
U kunt een certificaat op twee manieren verkrijgen:
van een certificeringsinstantie die op een Windows 2000 Server is geïmplementeerd
met de wizard Certificaat importeren in Internet Explorer, waarmee u een certificaat uit een bestand kunt importeren
Opmerking: Als dit het eerste certificaat is dat u hebt verkregen, wordt u gevraagd of dit vertrouwd CA-certificaat in het basisarchief moet worden opgeslagen. Het dialoogvenster geeft niet aan dat het een vertrouwd certificaat is, maar de naam van het certificaat is die van de host van de certificeringsinstantie. Klik op Ja. U hebt dit certificaat nodig voor zowel TLS als TTLS.
In het volgende voorbeeld wordt beschreven hoe u WPA gebruikt met TKIP-codering met TTLS- of PEAP-verificatie.
Stap 2: Het certificaat voor Intel(R) PROSet bepalen
Vraag een clientcertificaat aan en installeer dit. Zie Stap 1 of neem contact op de systeembeheerder.
Klik in de pagina Algemeen op de tab Netwerken.
Klik op de knop Toevoegen.
Geef de profielnaam en netwerknaam (SSID) op.
Selecteer Infrastructuur voor de modus.
Klik op Volgende.
Selecteer Open voor de netwerkverificatie. U kunt ook een andere beschikbare verificatiemodus selecteren.
Selecteer WEP voor de gegevenscodering. U kunt ook een ander beschikbaar coderingstype selecteren.
Schakel het selectievakje 802.1x ingeschakeld in.
Stel het verificatietype voor deze verbinding in op TLS.
Klik op de knop Configureren om het dialoogvenster met instellingen te openen.
Typ de gebruikersnaam in het veld Gebruikersnaam.
Selecteer de gewenste Certificaatverlener in de lijst. Selecteer standaard Elke vertrouwde certificeringsinstantie.
Schakel het selectievakje Tussentijdse certificaten toestaan in als u een aantal niet-gespecificeerde certificaten wilt toestaan in de certificaatketen tussen het servercertificaat en de opgegeven certificeringsinstantie. Als het selectievakje is uitgeschakeld, worden alleen rechtstreeks door de opgegeven certificeringsinstantie verleende servercertificaten ondersteund.
Geef de servernaam op.
Als u de naam van de server kent, geeft u de naam op.
Geef op of de servernaam exact moet zijn of deel uitmaakt van het opgegeven domein.
Klik onder "Clientcertificaat" op de knop Selecteren om de lijst met geïnstalleerde certificaten te openen.
Opmerkingen bij certificaten: De opgegeven identiteit dient overeen te komen met het certificaatveld Verleend aan en moet zijn geregistreerd op de verificatieserver (RADIUS-server) die door de verificator wordt gebruikt. Het certificaat moet "geldig" zijn voor de verificatieserver. Dit vereiste is afhankelijk van de verificatieserver en houdt in dat de verificatieserver de uitgever van het certificaat als een certificeringsinstantie moet herkennen. U dient zich aan te melden met de gebruikersnaam waarmee u het certificaat hebt geïnstalleerd.
Selecteer het certificaat uit de lijst en klik op OK. De certificaatgegevens verschijnen onder "Clientcertificaat".
Klik op Sluiten.
Klik op de knop Voltooien om de beveiligingsinstellingen voor het profiel op te slaan.
Ga als volgt te werk om WEP- en MD5-verificatie aan een nieuw profiel toe te voegen:
Opmerking: voordat u begint, dient u eerst een gebruikersnaam en wachtwoord voor de RADIUS-server te verkrijgen van uw systeembeheerder.
Gebruik de modus WPA-PSK (Wi-Fi Protected Access - Pre Shared Key) als u geen verificatieserver gebruikt. Deze modus maakt geen gebruik van een 802.1x-verificatieprotocol en kan met de volgende coderingstypen worden gebruikt: WEP of TKIP. Voor WPA-PSK is de configuratie van een vooraf gedeelde sleutel (PSK) vereist. U dient een wachtwoordgroep van 64 hexadecimale tekens op te geven voor een vooraf gedeelde sleutel met een lengte van 256-bits. De coderingssleutel wordt verkregen van de PSK.
Ga als volgt te werk om een profiel met WPA-PSK te configureren:
Klik in de pagina Algemeen op de tab Netwerken.
Klik op de knop Toevoegen.
Geef de profielnaam en netwerknaam (SSID) op.
Selecteer Infrastructuur voor de modus.
Klik op Volgende.
Selecteer WPA-PSK voor de netwerkverificatie. U kunt tevens een andere beschikbare verificatiemodus selecteren.
Selecteer WEP voor de gegevenscodering.
Selecteer een van de volgende opties:
Wachtwoordgroep gebruiken: Klik op Wachtwoordgroep gebruiken om deze optie in te schakelen. Typ een wachtwoordgroep van maximaal 5 (bij 64-bits) of 13 (bij 128-bits) alfanumerieke tekens (0-9, a-z of A-Z) in het veld Wachtwoordgroep.
Hexadecimale sleutel gebruiken: Klik op Hexadecimale sleutel gebruiken om deze optie in te schakelen. Typ maximaal 10 (bij 64-bits) alfanumerieke tekens (0-9, A-F) of 26 (bij 128-bits) alfanumerieke tekens (0-9, A-F) in het veld voor de hexadecimale sleutel.
Schakel het selectievakje 802.1x ingeschakeld in.
Stel het verificatietype voor deze verbinding in op TLS.
Klik op de knop Voltooien om de beveiligingsinstellingen voor het profiel op te slaan.
De client instellen voor WPA met TKIP-codering en TLS-verificatie
U kunt de modus WPA (Wi-Fi Protected Access) met TLS, TTLS of PEAP gebruiken. Dit 802.1x-verificatieprotocol gebruikt gegevenscoderingsopties: WEP of TKIP. De modus WPA (Wi-Fi Protected Access) werkt samen met 802.1x-verificatie. De coderingssleutel wordt ontvangen van de 802.1x-sleuteluitwisseling. Wi-Fi Protected Access maakt voor verbetering van de gegevenscodering gebruik van TKIP (Temporal Key Integrity Protocol). TKIP biedt belangrijke uitbreidingen voor gegevenscodering waaronder een re-keyingmethode.
Vraag een clientcertificaat aan en installeer dit. Zie De client instellen voor TLS-verificatie of neem contact op met de systeembeheerder.
Klik in de pagina Algemeen op de tab Netwerken.
Klik op de knop Toevoegen.
Geef de profielnaam en netwerknaam (SSID) op.
Selecteer Infrastructuur voor de modus.
Klik op Volgende.
Selecteer WPA voor de netwerkverificatie.
Selecteer TKIP voor de gegevenscodering.
Stel het verificatietype voor deze verbinding in op TLS.
Klik op de knop Configureren om het dialoogvenster met instellingen te openen.
Typ de gebruikersnaam in het veld Gebruikersnaam.
Selecteer de gewenste Certificaatverlener in de lijst. Selecteer standaard Elke vertrouwde certificeringsinstantie.
Schakel het selectievakje Tussentijdse certificaten toestaan in als u een aantal niet-gespecificeerde certificaten wilt toestaan in de certificaatketen tussen het servercertificaat en de opgegeven certificeringsinstantie. Als het selectievakje is uitgeschakeld, worden alleen rechtstreeks door de opgegeven certificeringsinstantie verleende servercertificaten ondersteund.
Geef de servernaam op.
Als u de naam van de server kent, geeft u de naam op.
Geef op of de servernaam exact moet zijn of deel uitmaakt van het opgegeven domein.
Clientcertificaat gebruiken: Met deze optie selecteert u een clientcertificaat uit het persoonlijke certificaatarchief van de bij Windows aangemelde gebruiker. Dit certificaat wordt gebruikt voor clientverificatie. Klik op de knop Selecteren om de lijst met geïnstalleerde certificaten te openen.
Opmerkingen bij certificaten: De opgegeven identiteit dient overeen te komen met het certificaatveld Verleend aan en moet zijn geregistreerd op de verificatieserver (RADIUS-server) die door de verificator wordt gebruikt. Het certificaat moet "geldig" zijn voor de verificatieserver. Dit vereiste is afhankelijk van de verificatieserver en houdt in dat de verificatieserver de uitgever van het certificaat als een certificeringsinstantie moet herkennen. U dient zich aan te melden met de gebruikersnaam waarmee u het certificaat hebt geïnstalleerd.
Selecteer het certificaat uit de lijst en klik op OK. De certificaatgegevens verschijnen onder "Clientcertificaat".
Klik op Sluiten.
Klik op de knop Voltooien om de beveiligingsinstellingen voor het profiel op te slaan.
Werken met TTLS-verificatie: Met deze instellingen worden het protocol en de referenties gedefinieerd voor de verificatie van gebruikers. Onder TTLS gebruikt de client EAP-TLS voor validatie van de server en wordt een met TLS gecodeerd kanaal tussen client en server gemaakt. De client kan gebruik maken van een ander verificatieprotocol, in het bijzonder op wachtwoord gebaseerde protocollen zoals MD5 Challenge, over het gecodeerde kanaal om servervalidatie mogelijk te maken. De controle- en antwoordpakketten worden over een onzichtbaar met TLS gecodeerd kanaal verzonden.
Werken met PEAP-verificatie: PEAP-instellingen zijn vereist voor verificatie van de client bij de verificatieserver. Onder PEAP gebruikt de client EAP-TLS voor validatie van de server en wordt een met TLS gecodeerd kanaal tussen client en server gemaakt. De client kan een bijkomend EAP-mechanisme, zoals MSCHAP v2 (Microsoft Challenge Authentication Protocol), over het gecodeerde kanaal gebruiker voor servervalidatie. De controle- en antwoordpakketten worden over een onzichtbaar met TLS gecodeerd kanaal verzonden.
In het volgende voorbeeld wordt beschreven hoe u WPA gebruikt met TKIP-codering met TTLS- of PEAP-verificatie.
Vraag een clientcertificaat aan en installeer dit. Zie De client instellen voor TLS-verificatie of neem contact op met de systeembeheerder.
Klik in de pagina Algemeen op de tab Netwerken.
Klik op de knop Toevoegen.
Geef de profielnaam en netwerknaam (SSID) op.
Selecteer Infrastructuur voor de modus.
Klik op Volgende.
Selecteer WPA voor de netwerkverificatie.
Selecteer TKIP voor de gegevenscodering.
Stel het verificatietype voor deze verbinding in op TTLS of PEAP.
Klik op de knop Configureren om het dialoogvenster met instellingen te openen.
Voer de naam van de zwervende identiteit in het veld Zwervende identiteit in. Deze optionele voorziening is de 802.1X-identiteit die aan de verificator wordt doorgegeven. Het is beter om in dit veld geen ware identiteit op te geven, maar het gewenste bereik (bijvoorbeeld anoniem@mijnbereik).
Selecteer de gewenste Certificaatverlener in de lijst. Selecteer standaard Elke vertrouwde certificeringsinstantie.
Schakel het selectievakje Tussentijdse certificaten toestaan in als u een aantal niet-gespecificeerde certificaten wilt toestaan in de certificaatketen tussen het servercertificaat en de opgegeven certificeringsinstantie. Als het selectievakje is uitgeschakeld, worden alleen rechtstreeks door de opgegeven certificeringsinstantie verleende servercertificaten ondersteund.
Geef de servernaam op.
Als u de naam van de server kent, geeft u de naam op.
Geef op of de servernaam exact moet zijn of deel uitmaakt van het opgegeven domein.
Verificatieprotocol:
PEAP: Selecteer MS-CHAP-V2. Deze parameter specificeert het verificatieprotocol voor de PEAP-tunnel. U kunt kiezen uit de volgende protocollen: MS-CHAP-V2 (standaard), GTC en TLS.
TTLS: Selecteer PAP. Deze parameter specificeert het verificatieprotocol voor de TTLS-tunnel. U kunt kiezen uit de volgende protocollen: PAP (standaard), CHAP, MD5, MS-CHAP en MS-CHAP-V2.
Geef de gebruikersnaam op. Deze gebruikersnaam moet overeenkomen met de gebruikersnaam die door de IT-beheerder op de verificatieserver is ingesteld vóór de clientverificatie. De gebruikersnaam is hoofdlettergevoelig. Deze naam specificeert de identiteit die aan de verificator is doorgegeven door het verificatieprotocol met de TLS-tunnel. Wanneer een gecodeerd kanaal is geverifieerd en tot stand is gebracht, wordt de identiteit van de gebruiker veilig overgedragen naar de server.
Geef het wachtwoord op. Hier wordt het wachtwoord voor de gebruiker opgegeven. Dit wachtwoord moet overeenkomen met het wachtwoord dat op de verificatieserver is ingesteld.
Geef het wachtwoord opnieuw op. Indien bevestigd, wordt hier hetzelfde wachtwoord als in het veld Wachtwoord met sterretjes verborgen.
Clientcertificaat gebruiken: Met deze optie selecteert u een clientcertificaat uit het persoonlijke certificaatarchief van de bij Windows aangemelde gebruiker. Dit certificaat wordt gebruikt voor clientverificatie. Klik op de knop Selecteren om de lijst met geïnstalleerde certificaten te openen.
Opmerkingen bij certificaten: De opgegeven identiteit dient overeen te komen met het certificaatveld Verleend aan en moet zijn geregistreerd op de verificatieserver (RADIUS-server) die door de verificator wordt gebruikt. Het certificaat moet "geldig" zijn voor de verificatieserver. Het certificaat dat voor clientverificatie wordt gebruikt, is een clientcertificaat uit het persoonlijke certificaatarchief van de bij Windows aangemelde gebruiker. Dit houdt in dat de verificatieserver de uitgever van het certificaat als een certificeringsinstantie moet herkennen. U dient zich aan te melden met de gebruikersnaam waarmee u het certificaat hebt geïnstalleerd.
Selecteer het certificaat uit de lijst en klik op OK. De certificaatgegevens verschijnen onder "Clientcertificaat".
Klik op Sluiten.
Klik op de knop Voltooien om de beveiligingsinstellingen voor het profiel op te slaan.
Lees alle voorwaarden voor het gebruik.