Zurück zum Inhaltsverzeichnis

Sicherheit und Verschlüsselung: PRO/Wireless LAN Mini-PCI-Adapter - Benutzerhandbuch


Sicherheit und Verschlüsselung

Datenverschlüsselung und Authentifizierung einrichten
Verschlüsselung - Übersicht
WEP-Verschlüsselung aktivieren
Aufgaben des Systemadministrators
Den Client für WEP- und MD5-Authentifizierung einrichten
Den Client für WPA-PSK mit WEP- oder TKIP-Authentifizierung einrichten
Den Client für WPA mit TKIP-Verschlüsselung und TLS-Authentifizierung einrichten
Den Client für WPA mit TKIP-Verschlüsselung und TTLS- oder PEAP-Authentifizierung einrichten
Den Client für CCX mit CKIP-Verschlüsselung und LEAP-Authentifizierung einrichten


Einrichten von Datenverschlüsselung und Authentifizierung

WEP (Wired Equivalent Privacy - kabelvergleichbare Sicherheit)-Verschlüsselung und freigegebene Authentifizierung tragen zum Schutz der Daten im Netzwerk bei. WEP verwendet einen Verschlüsselungscode, um Daten vor der Übertragung zu schützen. Nur Computer, die denselben Verschlüsselungscode verwenden, können auf das Netzwerk zugreifen oder von anderen Computern übertragene, verschlüsselte Daten entschlüsseln. Die Authentifizierung stellt einen zusätzlichen Validierungsvorgang vom Adapter zum Zugriffspunkt dar. Der WEP-Verschlüsselungsalgorithmus wird durch passive und aktive Angriffe über das Netzwerk gefährdet. Die TKIP- und CKIP-Algorithmen weisen Verbesserungen des WEP-Protokolls auf, die vorhandene Angriffe über das Netzwerk mildern und seine Schwächen konkret angehen

Offene und freigegebene Schlüsselauthentifizierung

802.11 unterstützt zwei Arten von Netzwerkauthentifizierungsmethoden: das offene System und den freigegebenen Schlüssel. Es werden zwei Authentifizierungsmethoden unterstützt: Die offene Authentifizierung (Open Authentification) und die Authentifizierung über einen freigegebenen Schlüssel (Shared-Key Authentification).

Netzwerkschlüssel

Bei aktivierter Datenverschlüsselung (WEP, CKIP oder TKIP) wird ein Netzwerkschlüssel zur Verschlüsselung verwendet. Ein Netzwerkschlüssel kann Ihnen automatisch bereitgestellt werden (z. B. als Teil des drahtlosen Netzwerkadapters, oder Sie können ihn selbst eingeben und die Schlüssellänge auf 64-Bit oder 128-Bit, das Schlüsselformat (ASCII-Zeichen oder hexadezimale Zeichen) und den Schlüsselindex (den Ablageort eines bestimmten Schlüssels) festlegen). Je länger der Schlüssel, desto sicherer ist er. Mit jeder bit-weisen Verlängerung des Schlüssels verdoppelt sich die Anzahl der möglichen Schlüssel.

In 802.11 kann eine drahtlose Arbeitsstation mit bis zu vier Schlüsseln konfiguriert werden (die Schlüsselindexwerte sind 1, 2, 3 und 4). Bei Übertragung einer verschlüsselten Nachricht über einen Zugriffspunkt oder eine drahtlose Station unter Verwendung eines Schlüssels, der in einem bestimmten Schlüsselindex gespeichert wurde, zeigt die übertragene Nachricht den Schlüsselindex an, der zur Verschlüsselung des Nachrichtentextes verwendet wurde. Der empfangende Zugriffspunkt oder die drahtlose Station kann dann diesen im Schlüsselindex gespeicherten Schlüssel abrufen und ihn zur Entschlüsselung des Nachrichtentextes verwenden.

Statische und dynamische Verschlüsselungs-Codetypen

802.1x verwendet zwei Verschlüsselungscodetypen: statisch und dynamisch. Statische Verschlüsselungscodes werden manuell geändert und sich eher gefährdet. Die MD5-Authentifizierung verwendet nur statische Verschlüsselungscodes. Dynmamische Verschlüsselungscodes werden in regelmäßigen Abständen automatisch erneuert. Dies gewährleistet eine erhöhte Sicherheit. Für dynamische Verschlüsselungscodes müssen Sie die 802.1x Authentifizierungsmethoden wie TLS, TTLS, PEAP oder LEAP verwenden.


Verschlüsselung - Überblick

Die Sicherheit im WLAN kann ergänzt werden, indem Sie unter Einsatz des WEP (Wireless Encryption Protocol) die Datenverschlüsselung aktivieren. Sie können eine 64-Bit- oder 128-Bit-Verschlüsselung wählen. Darüber hinaus können die Daten mit einem Schlüssel verschlüsselt werden. Als weiterer Parameter bietet der sogenannte Schlüsselindex die Möglichkeit, mehrere Schlüssel für das betreffende Profil zu erstellen. Sie können jedoch immer nur jeweils einen Schlüssel verwenden. Darüber hinaus können Sie das Profil mit einem Kennwort schützen.

Der Kennsatz wird zur automatischen Erstellung des WEP-Schlüssels verwendet. Sie können entweder einen Kennsatz verwenden oder manuell einen WEP-Schlüssel eingeben. Der Kennsatz der 64-Bit-Verschlüsselung umfasst 5 Zeichen. Sie können entweder einen zufällig gewählten, einfach zu erinnernden Kennsatz (wie zum Beispiel Acme1) eingeben, oder Sie können 10 Hexadezimalzahlen für den WEP-Schlüssel eingeben, der dem Netzwerk entspricht, mit dem die Verbindung hergestellt werden soll. Der Kennsatz der 128-Bit-Verschlüsselung ist 13 Zeichen lang. Alternativ können Sie jedoch auch 26 Hexadezimalzahlen für den WEP-Schlüssel eingeben, um eine Verbindung mit dem zutreffenden Netzwerk herzustellen.

Hinweis: Die von Ihnen verwendeten Verschlüsselungstypen, Indexnummern und WEP-Schlüssel müssen mit denen der anderen Geräte auf Ihrem drahtlosen Netzwerk übereinstimmen. Außerdem muss bei der Verwendung von 802.1x-Authentifizierung die WEP-Verschlüsselung deaktiviert sein.


WEP-Verschlüsselung aktivieren

Das folgende Beispiel zeigt Ihnen, wie Sie ein vorhandenes Profil bearbeiten und die WEP-Verschlüsselung anwenden.

So aktivieren Sie WEP-Verschlüsselung:

  1. Klicken Sie auf der Seite Allgemein auf das Register Netzwerke.
  2. Wählen Sie das Profil aus der Profilliste und klicken Sie auf die Schaltfläche Bearbeiten.
  3. Klicken Sie auf das Register Sicherheit.
  4. Wählen Sie jeden beliebigen Netzwerkauthentifizierungmodus aus (Offen wird empfohlen).
  5. Wählen Sie WEP als Datenverschlüsselung.
  6. Wählen Sie im Dropdownfeld "Verschlüsselungsstufe" die Option 64-Bit oder 128-Bit.
  7. Wählen Sie den Schlüsselindex 1, 2, 3 oder 4 aus.
  8. Wählen Sie eine der folgenden Optionen:
  • Kennsatz verwenden: Klicken Sie auf Kennsatz verwenden, um die Option zu aktivieren. Geben Sie im Feld "Kennsatz" einen Text von bis zu 5 (bei der Verwendung von 64-Bit) oder 13 (bei der Verwendung von 128-Bit) alphanummerischen Zeichen (0-9, a-z oder A-Z) ein.
  • Hex-Schlüssel verwenden: Klicken Sie auf Hex-Schlüssel verwenden, um die Option zu aktivieren. Geben Sie im Hex-Schlüsselfeld bis zu 10 (bei der Verwendung von 64-Bit) oder 26 (bei der Verwendung von 128-Bit) alphanummerische Zeichen (0-9, A-F) ein. 
  • Kennsatz: Klicken Sie auf Kennsatz verwenden, um die Option zu aktivieren. Geben Sie im Feld "Kennsatz" einen Text von bis zu fünf (bei der Verwendung von 64-Bit) oder 13 (bei der Verwendung von 128-Bit) alphanummerischen Zeichen (0-9, a-z oder A-Z) ein.
  1. Klicken Sie auf OK, um die Profileinstellung zu speichern.

 
HINWEIS: Die von Ihnen verwendeten Verschlüsselungstypen, Indexnummern und WEP-Schlüssel müssen mit denen der anderen Geräte auf Ihrem drahtlosen Netzwerk übereinstimmen.  


Aufgaben des Systemadministrators

 
HINWEIS: Die folgenden Informationen gelten für Systemadministratoren.  

Client-Zertifikat erhalten

Wenn Sie keine Zertifikate für EAP-TLS oder EAP-TTLS haben, müssen Sie ein Client-Zertifikat anfordern, um die Authentifizierung zu ermöglichen. Wenden Sie sich dazu im Normalfall an den Netzwerkadministrator Ihres Systems, der Ihnen beim Erhalt eines Zertifikats für Ihr Netzwerk behilflich sein kann. Zertifikate können unter "Interneteinstellungen" verwaltet werden und entweder in Internet Explorer oder in der Windows Systemsteuerung aufgerufen werden. Verwenden Sie die Seite "Inhalt" der Interneteinstellungen.

Windows XP und 2000: Bei Anforderung eines Client-Zertifikats sollten Sie von der Aktivierung der verstärkten Schutzoption für private Schlüssel absehen. Wenn Sie diese verstärkte Schutzoption für private Schlüssel aktivieren, müssen Sie bei jedem Einsatz des Zertifikats ein Zugriffskennwort für das Zertifikat eingeben. Wenn Sie den Service für TLS/TTLS-Authentifizierung konfigurieren, müssen Sie den verstärkten Schutz des Zertifikats durch private Schlüssel deaktivieren. Andernfalls schlägt die Authentifizierung durch den 802.1x Service fehl, da kein angemeldeter Anwender vorhanden ist, dem das Dialogfeld mit der Eingabeaufforderung angezeigt werden kann.

Hinweise zu Smart Cards

Nach Installation einer Smart Card wird das Zertifikat automatisch auf Ihrem Computer installiert und kann aus dem persönlichen Zertifikatspeicher und aus dem Stammzertifikatspeicher ausgewählt werden.

Client für TLS-Authentifizierung einrichten

Schritt 1: Ein Zertifikat erhalten

Für die TLS-Authentifizierung benötigen Sie für das Konto des angemeldeten Benutzers ein gültiges Client (Benutzer)-Zertifikat im lokalen Repository.  Weiterhin benötigen Sie ein verifiziertes CA-Zertifikat im Stammspeicher.

Die folgenden Informationen zeigen zwei Arten, wie Sie ein Zertifikat erhalten:

  • von einer geschäftlichen CA (Certification Authority), die auf einem Windows 2000 Server implementiert ist

  • durch Import eines Zertifikats aus einer Datei unter Verwendung des Zertifikatimportassistenten in Internet Explorer

Ein Zertifikat von einer Windows 2000 CA erhalten:

  1. Starten Sie Internet Explorer und rufen Sie den CA HTTP-Service auf (verwenden Sie eine URL wie http://myCA.myDomain.com/certsrv).
  2. Melden Sie sich bei der CA mit dem Namen und Kennwort des von Ihnen erstellten Kontos (siehe oben) auf dem Authentifizierungsserver an. Der Benutzername und das Kennwort müssen nicht mit dem Windows Benutzernamen/Kennwort des aktuellen Bentuzers identisch sein.
  3. Wählen Sie in der Begrüßungsseite der CA die Option "Request a certificate" (Zertifikat anfordern) und reichen Sie das Formular ein.
  4. Wählen Sie auf der Seite "Choose Request Type" (Anforderungstypen auswählen) die "Advanced" (erweiterte) Anfrage und klicken Sie dann auf Weiter.
  5. Wählen Sie auf der Seite der erweiterten Zertifikatanforderungen "Submit a certificate request to this CA using a form" (Zertifikat durch Formular von dieser CA anfordern) und klicken Sie dann auf Submit (Einreichen).
  6. Wählen Sie auf der Seite der erweiterten Zertifikatanforderungen die Vorlage "Benutzerzertifikat". Wählen Sie "Mark keys as exportable" (Schlüssel als exportfähig kennzeichnen) aus, und klicken Sie auf Weiter. Übernehmen Sie die angezeigten Standardeinstellungen.
  7. Wählen Sie auf der Seite "Zertifikat ausgestellt" die Option "Dieses Zertifikat installieren".

Hinweis: Wenn dies das erste Zertifikat ist, das Sie anfordern, fragt die CA Sie, ob die CA ein verifiziertes CA-Zertifikat im Stammspeicher installieren soll. Das Dialogfeld zeigt nicht an, dass dies ein verifiziertes CA-Zertifikat ist, aber der Name des angezeigten Zertifikats ist der des Hosts der CA. Klicken Sie auf yes (Ja); Sie benötigen dieses Zertifikat für sowohl TLS als auch TTLS.

  1. Nach erfolgreicher Installation Ihres Zertifikats wird Ihnen eine Meldung angezeigt "Your new certificate has been successfully installed" (Ihr neues Zertifikat wurde erfolgreich installiert).
  2. Klicken Sie auf Internet Explorer > Tools > Internetoptionen > Inhalt > Zertifikate, um die Installation zu bestätigen. Das neue Zertifikat sollte im Ordner "Persönlich" installiert sein.

Ein Zertifikat aus einer Datei importieren

  1. Öffnen Sie die "Interneteinstellungen" (klicken Sie mit der rechten Maustaste auf das Internet Explorer Symbol auf dem Desktop und wählen Sie dann "Eigenschaften").
  2. Klicken Sie auf der Seite "Inhalt" auf die Schaltfläche Zertifikate. Damit öffnen Sie die Liste der installierten Zertifikate.
  3. Klicken Sie unterhalb der Liste der Zertifikate auf die Schaltfläche Importieren. Damit starten Sie den Zertifikatimportassistenten. (Hinweis: Schritt 1 bis 3 lassen sich auch durch Doppelklicken auf das Zertifikatsymbol aufrufen).
  4. Wählen Sie die Datei aus und gehen Sie zur Seite "Kennwort" vor.
  5. Geben Sie auf der Seite "Kennwort" Ihr Zugriffskennwort für die Datei ein. Heben Sie die Markierung der Option "Verstärkte Sicherheit für den privaten Schlüssel aktivieren" auf.
  6. Wählen Sie auf der Seite "Zertifikatsspeicher" die Option "Zertifikatsspeicher automatisch nach Zertifikattyp auswählen" (das Zertifikat muss sich im persönlichen Speicher des Benutzerkontos befinden, damit vom Dialogfeld "Konfigurieren" im Client darauf zugegriffen werden kann; dies ist der Fall, wenn ‘automatisch’ ausgewählt wurde).
  7. Gehen Sie vor zu "Zertifikatimport beenden" und klicken Sie auf die Schaltfläche Fertig stellen.

Das folgende Beispiel zeigt, wie Sie unter Einsatz von TTLS- oder PEAP-Authentifizierung WPA mit TKIP-Verschlüsselung verwenden.

Client für TLS-Authentifizierung einrichten

Schritt 2: Das von Intel(R) PROSet verwendete Zertifikat angeben

  1. Fordern Sie ein Client-Zertifikat an und installieren es; siehe Schritt 1 oder wenden Sie sich an Ihren Systemadministrator.

  2. Klicken Sie auf der Seite Allgemein auf das Register Netzwerke.

  3. Klicken Sie auf die Schaltfläche Hinzufügen.

  4. Geben Sie einen Profil- und einen Netzwerknamen (SSID) ein.

  5. Wählen Sie als Betriebsmodus die Option Infrastruktur aus.

  6. Klicken Sie auf Weiter.

  7. Wählen Sie Offen als Netzwerkauthentifizierung. Sie können auch jeden anderen verfügbaren Authentifizierungsmodus wählen.

  8. Wählen Sie WEP als Datenverschlüsselung. Sie können auch jeden anderen verfügbaren Verschlüsselungstypen wählen.

  9. Markieren Sie das Kontrollkästchen 802.1x aktiviert.

  10. Stellen Sie den Authentifizierungstypen auf TLS zum Einsatz mit dieser Verbindung.

  11. Klicken Sie auf die Schaltfläche Konfigurieren, um das Einstellungsdialogfeld zu öffnen.

  12. Geben Sie im Benutzernamensfeld einen Benutzernamen ein.

  13. Wählen Sie den Zertifikataussteller aus der Liste aus. Wählen Sie "Alle verifizierten CA" als Standardeinstellung.

    • Markieren Sie das Kontrollkästchen Zwischenzertifikate zulassen, damit eine Reihe unbestimmter Zertifikate in die Serverzertifikataufstellung zwischen Serverzertifikat und angegebener CA mit aufgenommen werden. Wenn Sie dieses Feld nicht markieren, muss die angegebene CA das Serverzertifikat direkt ausstellen.

  14. Geben Sie den Servernamen ein.

    • Wenn Sie den Servernamen kennen, geben Sie diesen ein.

    • Wählen Sie die zutreffende Option für eine perfekte Übereinstimmung mit dem Servernamen oder geben Sie den Domänenamen an.

  15. Klicken Sie in der Option "Client-Zertifikat” auf die Schaltfläche Auswählen, um eine Liste der installierten Zertifikate zu öffnen.

    • Hinweis zu Zertifikaten: Die angegebene Identität muss mit dem Feld "Ausgestellt für" im Zertifikat übereinstimmen und sollte auf dem Authentifizierungsserver (d.h. dem RADIUS-Server) registriert sein, der von der authentifizierenden Partei verwendet wird. Ihr Zertifikat muss für den Authentifizierungsserver "gültig" sein. Diese Anforderung ist vom Authentifizierungsserver abhängig und bedeutet in der Regel, dass der Authentifizierungsserver den Aussteller Ihres Zertifikates als CA anerkennen muss. Sie sollten sich mit demselben Benutzernamen angemeldet haben, den Sie bei Installation des Zertifikats verwendeten.

  16. Wählen Sie das Zertifikat aus der Liste aus und klicken Sie auf die Schaltfläche OK. Die Client-Zertifikatinformationen werden unter "Client-Zertifikat" angezeigt.

  17. Klicken Sie anschließend auf Schließen.

  18. Klicken Sie auf die Schaltfläche Fertig stellen, um die Sicherheitseinstellungen für das Profil zu speichern.


Den Client für WEP- und MD5-Authentifizierung einrichten

So fügen Sie einem neuen Profil WEP- und MD5-Authentifizierung hinzu:

Hinweis: Vor Beginn sollten Sie vom Systemadministrator einen Benutzernamen und Kennwort für den RADIUS-Server erhalten.

  1. Klicken Sie auf der Seite Allgemein auf das Register Netzwerke.
  2. Klicken Sie von der Profilliste aus auf die Schaltfläche Hinzufügen.
  3. Geben Sie einen Profil- und einen Netzwerknamen (SSID) ein.
  4. Wählen Sie als Betriebsmodus die Option Infrastruktur aus.
  5. Klicken Sie auf Weiter.
  6. Wählen Sie Offen (empfohlen) als Netzwerkauthentifizierung.
  7. Wählen Sie WEP als Datenverschlüsselung.
  8. Wählen Sie unter "Verschlüsselungsstufe" die Option 64-Bit oder 128-Bit.
  9. Wählen Sie den Schlüsselindex 1, 2, 3 oder 4 aus.
  10. Geben Sie den erforderlichen Kennsatz oder den Hex-Schlüssel ein.
  11. Markieren Sie das Kontrollkästchen 802.1x aktiviert.
  12. Wählen Sie MD5 als 802.1x Authentifizierungstyp.
  13. Klicken Sie auf Konfigurieren, um das Dialogfeld "MD5-Einstellungen" zu öffnen. Geben Sie den Benutzernamen und das Kennwort ein. Hinweis: Benutzername und Kennwort müssen nicht mit dem Benutzernamen/Kennwort identisch sein, das Sie gleichzeitig für die Anmeldung unter Windows verwenden.
  14. Klicken Sie auf Schließen, um die Einstellungen zu speichern.
  15. Wenn das Kontrollkästchen "Kennwortschutz" auf der Seite "Allgemeine Einstellungen" markiert wurde,
    klicken Sie auf Weiter, um die Seite "Kennwort" anzuzeigen und ein Profilkennwort einzugeben.
  16. Klicken Sie auf Fertigstellen, um die Profileinstellungen zu speichern.

Den Client für WPA-PSK mit WEP- oder TKIP-Authentifizierung einrichten

Verwenden Sie den WPA-PSK-Modus (Wi-Fi Protected Access - Pre Shared Key oder geschützter Zugriff - vorab freigegebener Schlüssel), wenn kein Authentifizierungsserver verwendet wird. Dieser Modus verwendet nicht das 802.1x Authentifizierungsprotokoll und kann mit diesen Datenverschlüsselungstypen eingesetzt werden: WEP oder TKIP. WPA-PSK erfordert die Konfiguration eines PSK (vorab freigegebenen Schlüssels). Geben Sie einen Kennsatz oder 64 hexadezimale Zeichen für den vorab freigegebenen Schlüssel bis zu einer Länge von 256 Bits ein. Der Datenverschlüsselungscode wird aus dem PSK abgeleitet.

So konfigurieren Sie ein Profil für WPA-PSK:

  1. Klicken Sie auf der Seite Allgemein auf das Register Netzwerke.

  2. Klicken Sie auf die Schaltfläche Hinzufügen.

  3. Geben Sie einen Profil- und einen Netzwerknamen (SSID) ein.

  4. Wählen Sie als Betriebsmodus die Option Infrastruktur aus.

  5. Klicken Sie auf Weiter.

  6. Wählen Sie WPA-PSK als Netzwerkauthentifizierung. Sie können auch den Authentifizierungsmodus wählen.

  7. Wählen Sie WEP als Datenverschlüsselung.

  8. Wählen Sie eine der folgenden Optionen:

    • Kennsatz verwenden: Klicken Sie auf Kennsatz verwenden, um die Option zu aktivieren. Geben Sie im Feld "Kennsatz" einen Text von bis zu 5 (bei der Verwendung von 64-Bit) oder 13 (bei der Verwendung von 128-Bit) alphanummerischen Zeichen (0-9, a-z oder A-Z) ein.

    • Hex-Schlüssel verwenden: Klicken Sie auf Hex-Schlüssel verwenden, um die Option zu aktivieren. Geben Sie im Hex-Schlüsselfeld bis zu 10 (bei der Verwendung von 64-Bit) oder 26 (bei der Verwendung von 128-Bit) alphanummerische Zeichen (0-9, A-F) ein. 

  9. Markieren Sie das Kontrollkästchen 802.1x aktiviert.

  10. Stellen Sie den Authentifizierungstypen auf TLS zum Einsatz mit dieser Verbindung.

  11. Klicken Sie auf die Schaltfläche Fertig stellen, um die Sicherheitseinstellungen für das Profil zu speichern.


 

Den Client für WPA mit TKIP-Verschlüsselung und TLS-Authentifizierung einrichten

WPA (Wi-Fi Protected Access)-Modus arbeitet mit TLS, TTLS oder PEAP. 802.1x Authentifizierungsprotokoll mit Datenverschlüsselungsoptionen; WEP oder TKIP. WPA (Wi-Fi Protected Access)-Modus arbeitet mit 802.1x Authentifizierung. Der Datenverschlüsselungscode wird vom 802.1x Schlüsselaustausch gesendet. Wi-Fi Protected Access verwendet zur verbesserten Datenverschlüsselung das TKIP (Temporal Key Integrity Protocol oder temporäres Schlüsselintegritätsprotokoll). TKIP bietet wichtige Datenverschlüsselungsverbesserungen einschließlich einer erneuten Schlüsseleingabemethode.

  1. Fordern Sie ein Client-Zertifikat an und installieren es; weitere Informationen finden Sie unter Den Client für TLS-Authentifizierung einrichten oder wenden Sie sich an Ihren Systemadministrator.

  2. Klicken Sie auf der Seite Allgemein auf das Register Netzwerke.

  3. Klicken Sie auf die Schaltfläche Hinzufügen.

  4. Geben Sie einen Profil- und einen Netzwerknamen (SSID) ein.

  5. Wählen Sie als Betriebsmodus die Option Infrastruktur aus.

  6. Klicken Sie auf Weiter.

  7. Wählen Sie WPA als Netzwerkauthentifizierung.

  8. Wählen Sie TKIP als Datenverschlüsselung.

  9. Stellen Sie den Authentifizierungstypen auf TLS zum Einsatz mit dieser Verbindung.

  10. Klicken Sie auf die Schaltfläche Konfigurieren, um das Einstellungsdialogfeld zu öffnen.

  11. Geben Sie im Benutzernamensfeld einen Benutzernamen ein.

  12. Wählen Sie den Zertifikataussteller aus der Liste aus. Wählen Sie "Alle verifizierten CA" als Standardeinstellung.

    • Markieren Sie das Kontrollkästchen Zwischenzertifikate zulassen, damit eine Reihe unbestimmter Zertifikate in die Serverzertifikataufstellung zwischen Serverzertifikat und angegebener CA mit aufgenommen werden. Wenn Sie dieses Feld nicht markieren, muss die angegebene CA das Serverzertifikat direkt ausstellen.

  13. Geben Sie den Servernamen ein.

    • Wenn Sie den Servernamen kennen, geben Sie diesen ein.

    • Wählen Sie die zutreffende Option für eine perfekte Übereinstimmung mit dem Servernamen oder geben Sie den Domänenamen an.

  14. Client-Zertifikat verwenden: Diese Option wählt ein Client-Zertifikat aus dem privaten Zertifikatspeicher des unter Windows angemeldeten Benutzers aus. Dieses Zertifikat wird zur Client-Authentifizierung verwendet. Klicken Sie auf die Schaltfläche Auswählen, um eine Liste der installierten Zertifikate zu öffnen.

    • Hinweis zu Zertifikaten: Die angegebene Identität muss mit dem Feld "Ausgestellt für" im Zertifikat übereinstimmen und sollte auf dem Authentifizierungsserver (d.h. dem RADIUS-Server) registriert sein, der von der authentifizierenden Partei verwendet wird. Ihr Zertifikat muss für den Authentifizierungsserver "gültig" sein. Diese Anforderung ist vom Authentifizierungsserver abhängig und bedeutet in der Regel, dass der Authentifizierungsserver den Aussteller Ihres Zertifikates als CA anerkennen muss. Sie sollten sich mit demselben Benutzernamen angemeldet haben, den Sie bei Installation des Zertifikats verwendeten.

  15. Wählen Sie das Zertifikat aus der Liste aus und klicken Sie auf die Schaltfläche OK. Die Client-Zertifikatinformationen werden unter "Client-Zertifikat" angezeigt.

  16. Klicken Sie anschließend auf Schließen.

  17. Klicken Sie auf die Schaltfläche Fertig stellen, um die Sicherheitseinstellungen für das Profil zu speichern.


 

Den Client für WPA mit TKIP-Verschlüsselung und TTLS- oder PEAP-Authentifizierung einrichten

TTLS-Authentifizierung verwenden: Diese Einstellungen definieren das Protokoll und die Berechtigungsnachweise, mit denen der Anwender authentifiziert wird. Unter TTLS verwendet der Client EAP-TLS zur Serverbestätigung und Einrichtung eines TLS-verschlüsselten Kanals zwischen Client und Server. Der Client kann zur Serverbestätigung über diesen verschlüsselten Kanal auch ein anderes Authentifizierungsprotokoll einsetzen, normalerweise wären dies kennwortbasierende Protokolle wie z. B. MD5 Challenger (Herausforderung). Die Herausforderungs- und Antwortpakete werden über einen verschlüsselten, nicht sichtbaren TLS-Kanal gesendet.

PEAP-Authentifizierung verwenden: PEAP-Einstellungen werden zur Authentifizierung des Client auf dem Authentifizierungsserver benötigt. Unter PEAP verwendet der Client EAP-TLS zur Serverbestätigung und Einrichtung eines TLS-verschlüsselten Kanals zwischen Client und Server. Der Client kann zur Serverbestätigung über diesen verschlüsselten Kanal auch ein anderes EAP-Verfahren einsetzen wie z. B. MSCHAP Version 2 (Microsoft Challenge Authentication Protocol). Die Herausforderungs- und Antwortpakete werden über einen verschlüsselten, nicht sichtbaren TLS-Kanal gesendet.

Das folgende Beispiel zeigt, wie Sie unter Einsatz von TTLS- oder PEAP-Authentifizierung WPA mit TKIP-Verschlüsselung verwenden.

  1. Fordern Sie ein Client-Zertifikat an und installieren es; weitere Informationen finden Sie unter Den Client für TLS-Authentifizierung einrichten oder wenden Sie sich an Ihren Systemadministrator.

  2. Klicken Sie auf der Seite Allgemein auf das Register Netzwerke.

  3. Klicken Sie auf die Schaltfläche Hinzufügen.

  4. Geben Sie einen Profil- und einen Netzwerknamen (SSID) ein.

  5. Wählen Sie als Betriebsmodus die Option Infrastruktur aus.

  6. Klicken Sie auf Weiter.

  7. Wählen Sie WPA als Netzwerkauthentifizierung.

  8. Wählen Sie TKIP als Datenverschlüsselung.

  9. Stellen Sie den Authentifizierungstypen auf TTLS oder PEAP zum Einsatz mit dieser Verbindung.

  10. Klicken Sie auf die Schaltfläche Konfigurieren, um das Einstellungsdialogfeld zu öffnen.

  11. Geben Sie den Roaming-Identitätsnamen in das Feld Roaming-Identität ein. Diese optionale Funktion stellt die 802.1X Identität dar, die dem Authentifizierer angegeben wird. Es wird empfohlen, nicht die wahre Identität sondern einen gewünschten Bereich in dieses Feld einzugeben (z. B. anonym@meinBereich).

  12. Wählen Sie den Zertifikataussteller aus der Liste aus. Wählen Sie "Alle verifizierten CA" als Standardeinstellung.

    • Markieren Sie das Kontrollkästchen Zwischenzertifikate zulassen, damit eine Reihe unbestimmter Zertifikate in die Serverzertifikataufstellung zwischen Serverzertifikat und angegebener CA mit aufgenommen werden. Wenn Sie dieses Feld nicht markieren, muss die angegebene CA das Serverzertifikat direkt ausstellen.

  13. Geben Sie den Servernamen ein.

    • Wenn Sie den Servernamen kennen, geben Sie diesen ein.

    • Wählen Sie die zutreffende Option für eine perfekte Übereinstimmung mit dem Servernamen oder geben Sie den Domänenamen an.

  14. Authentifizierungsprotokoll:

    • PEAP: Wählen Sie MS-CHAP-V2. Dieser Parameter gibt das Authentifizierungsprotokoll an, das über den PEAP-Tunnel ausgeführt wird. Die Protokolle sind: MS-CHAP-V2 (Standard), GTC und TLS.

    • TTLS: Wählen Sie PAP. Dieser Parameter gibt das Authentifizierungsprotokoll an, das über den TTLS-Tunnel ausgeführt wird. Die Protokolle sind: PAP (Standard), CHAP, MD5, MS-CHAP und MS-CHAP-V2.

  15. Benutzernamen eingeben. Der Benutzername muss mit dem Benutzernamen übereinstimmen, der vor der Client-Authentifizierung vom IT-Administrator auf dem Authentifizierungsserver eingerichtet wurde. Achten Sie beim Benutzernamen auf Groß- und Kleinschreibung. Der Name gibt die Identität an, die der authentifizierenden Partei vom Authentifizierungsprotokoll auf dem TLS-Tunnel angegeben wird. Die Identität dieses Benutzers wird erst nach Bestätigung und Verbindung über den verschlüsselten Kanal in gesicherter Übertragung an den Server weitergeleitet.

  16. Kennwort eingeben. Gibt das Benutzerkennwort an. Dieses Kennwort muss mit dem Kennwort übereinstimmen, das auf dem Authentifizierungsserver eingerichtet wurde.

  17. Benutzerkennwort erneut eingeben. Bei Bestätigung wird dasselbe Kennwort angezeigt, das im Kennwortfeld eingegeben wurde.

  18. Client-Zertifikat verwenden: Diese Option wählt ein Client-Zertifikat aus dem privaten Zertifikatspeicher des unter Windows angemeldeten Benutzers aus. Dieses Zertifikat wird zur Client-Authentifizierung verwendet. Klicken Sie auf die Schaltfläche Auswählen, um eine Liste der installierten Zertifikate zu öffnen.

    • Hinweis zu Zertifikaten: Die angegebene Identität muss mit dem Feld "Ausgestellt für" im Zertifikat übereinstimmen und sollte auf dem Authentifizierungsserver (d.h. dem RADIUS-Server) registriert sein, der von der authentifizierenden Partei verwendet wird. Ihr Zertifikat muss für den Authentifizierungsserver "gültig" sein. Diese Anforderung ist vom Authentifizierungsserver abhängig und bedeutet in der Regel, dass der Authentifizierungsserver den Aussteller Ihres Zertifikates als CA anerkennen muss. Das bedeutet, dass der Authentifizierungsserver den Aussteller Ihres Zertifikates als CA anerkennen muss. Sie sollten sich mit demselben Benutzernamen angemeldet haben, den Sie bei Installation des Zertifikats verwendeten.

  19. Wählen Sie das Zertifikat aus der Liste aus und klicken Sie auf die Schaltfläche OK. Die Client-Zertifikatinformationen werden unter "Client-Zertifikat" angezeigt.

  20. Klicken Sie anschließend auf Schließen.

  21. Klicken Sie auf die Schaltfläche Fertig stellen, um die Sicherheitseinstellungen für das Profil zu speichern.


Den Client für CCX mit CKIP-Verschlüsselung und LEAP-Authentifizierung einrichten

  1. Markieren Sie im Register Allgemein das Kontrollkästchen Cisco Client eXtentions, um CCX zu aktivieren.
  2. Wählen Sie unter "Netzwerkauthentifizierung" die Option Offen.
  3. Wählen Sie CKIP als Datenverschlüsselung.
  4. Markieren Sie das Kontrollkästchen 802.1x aktiviert, um die 802.1x Sicherheitsoption zu aktivieren.
  5. Wählen Sie LEAP als 802.1x Authentifizierungstyp.
  6. Klicken Sie auf die Schaltfläche Konfigurieren, um das Dialogfeld "LEAP-Einstellungen" zu öffnen. Geben Sie den Namen und das Kennwort des Benutzers ein, den Sie auf dem Authentifizierungsserver eingerichtet haben. Benutzername und Kennwort müssen nicht mit dem Benutzernamen/Kennwort identisch sein, das Sie gleichzeitig für die Anmeldung unter Windows verwenden.
  7. Klicken Sie auf Schließen, um die Einstellungen zu speichern.

Zurück zum Inhaltsverzeichnis


Bitte lesen Sie alle Einschränkungen und Haftungsablehnungen.