Torna al Sommario
Impostazione della crittografia dei dati e dell'autenticazioneProtezione e crittografia:
Manuale dell'utente per la scheda di rete Intel PRO/Wireless LAN Mini PCI
Protezione e crittografia
Panoramica sulla crittografia
Come attivare la crittografia WEP
Operazioni dell'amministratore del sistema
Impostazione del client per l'autenticazione WEP e MD5
Impostazione del client per WPA-PSK usando l'autenticazione WEP o TKIP
Impostazione del client per WPA usando la crittografia TKIP e l'autenticazione TLS
Impostazione del client per WPA usando la crittografia TKIP e l'autenticazione TTLS o PEAP
Impostazione del client per CCX usando la crittografia CKIP e l'autenticazione LEAP
La crittografia WEP (Wired Equivalent Privacy) e l'autenticazione condivisa aiutano a proteggere i dati sulla rete. Quando si utilizza la crittografia WEP i dati vengono codificati tramite una chiave di crittografia prima di essere trasmessi. Solo i computer che usano la stessa chiave di crittografia possono accedere alla rete o decodificare i dati crittografati trasmessi da altri computer. L'autenticazione offre un ulteriore processo di convalida a partire dalla scheda di rete verso il punto di accesso. L'algoritmo di crittografia WEP è vulnerabile agli attacchi attivi e passivi della rete. Autenticazione con chiave aperta e condivisa
802.11 supporta due tipi di metodi di autenticazione di rete: sistema aperto e chiave condivisa. Gli schemi di autenticazione supportati sono l'autenticazione in modalità di apertura e quella a chiave condivisa:
Quando la crittografia dati (WEP, CKIP o TKIP) è attivata, per la crittografia viene usata una chiave di rete. Una chiave di rete può essere fornita all'utente automaticamente (per esempio, potrebbe essere inclusa nella propria scheda di rete wireless) oppure può essere immessa dall'utente che ne specifica la lunghezza (64 o 128 bit), il formato (caratteri ASCII o cifre esadecimali) e l'indice (la posizione in cui è memorizzata la chiave specifica). Maggiore è la lunghezza della chiave e più protetta è la chiave. Ogni volta che la lunghezza di una chiave viene aumentata di un bit, il numero possibile di chiavi raddoppia.
In 802.11, una stazione wireless può essere configurata con un massimo di quattro chiavi (i valori di indice delle chiavi sono 1, 2, 3 e 4). Quando un punto di accesso o una stazione wireless trasmette un messaggio crittografato usando la chiave memorizzata in uno specifico indice di chiave, il messaggio trasmesso indica l'indice di chiave che è stato utilizzato per crittografare il testo del messaggio. Il punto di accesso o la stazione wireless ricevente può quindi richiamare la chiave che è memorizzata in corrispondenza dell'indice della chiave e usarla per decodificare il testo crittografato del messaggio.
802.1x utilizza due tipi di chiavi di crittografia, uno statico e uno dinamico. Le chiavi di crittografia statiche vengono cambiate manualmente e sono più vulnerabili. L'autenticazione MD5 usa solo chiavi di crittografia statiche. Le chiavi di crittografia dinamiche vengono rinnovate automaticamente con scadenza periodica. Per questo motivo le chiavi di crittografia dinamiche sono più sicure. Per attivare le chiavi di crittografia dinamiche è necessario utilizzare i metodi di autenticazione 802.1x, come TLS, TTLS, PEAP o LEAP.
È possibile proteggere ulteriormente la WLAN tramite l'attivazione della crittografia dei dati basata su WEP (Wireless Encryption Protocol). È possibile scegliere tra il livello di crittografia a 64 bit e quello a 128 bit. Anche i dati possono essere crittografati utilizzando una chiave. Un altro parametro, chiamato indice chiavi, consente di creare più chiavi per un profilo. È tuttavia possibile utilizzare solo una chiave alla volta. È inoltre possibile scegliere di utilizzare una password per il profilo per assicurarne la protezione.
La frase di accesso è utilizzata per generare automaticamente una chiave WEP. Viene data l'opzione di utilizzare la frase di accesso oppure di immettere manualmente la chiave WEP. Nella crittografia a 64 bit la frase di accesso è lunga 5 caratteri ed è possibile scegliere di immettere una frase arbitraria qualsiasi facile da ricordare, come Ditta, oppure immettere come chiave WEP 10 numeri esadecimali, corrispondenti alla rete a cui l'utente desidera connettersi. Nella crittografia a 128 bit la frase di accesso è lunga 13 caratteri oppure è possibile immettere come chiave WEP 26 numeri esadecimali per connettersi alla rete appropriata.
Nota: è necessario usare lo stesso tipo di crittografia, numero di indice chiavi e chiave WEP delle altre periferiche della rete wireless. Se si usa l'autenticazione 802.1x è inoltre necessario disattivare la crittografia WEP.
Nell'esempio seguente è descritto come modificare un profilo esistente e applicare la crittografia WEP.
Per attivare la crittografia WEP:
- Usa frase di accesso: fare clic su Usa frase di accesso per abilitare la funzione corrispondente. Nel campo della frase di accesso, immettere una frase di testo, composta da un massimo di cinque (se si usano 64 bit) oppure tredici (se si usano 128 bit) caratteri alfanumerici (0-9, a-z o A-Z).
- Usa chiavi esadecimali: fare clic su Usa frase chiavi esadecimali per abilitare la funzione corrispondente. Nel campo della chiave esadecimale, immettere fino a un massimo di dieci (se si usano 64 bit) oppure ventisei (se si usano 128 bit) caratteri alfanumerici (0-9, A-F).
- Frase di accesso: fare clic su Usa frase di accesso per abilitare la funzione corrispondente. Nel campo della frase di accesso, immettere una frase di testo, composta da un massimo di cinque (se si usano 64 bit) oppure tredici (se si usano 128 bit) caratteri alfanumerici (0-9, a-z o A-Z).
![]() |
NOTA: è necessario usare lo stesso tipo di cifratura, numero di indice e chiave WEP delle altre periferiche della rete wireless. |
![]() |
NOTA: le informazioni seguenti sono destinate agli amministratori dei sistemi. |
Se non si dispone di alcun certificato per EAP-TLS o EAP-TTLS, per concedere l'autenticazione è necessario ottenere un certificato del client. È in genere necessario rivolgersi all'amministratore della propria rete per avere istruzioni su come è possibile ottenere un certificato sulla rete. I certificati possono essere gestiti in "Impostazioni Internet", accessibili da Internet Explorer o dall'applet del Pannello di controllo di Windows. Usare la pagina “Contenuto” di “Impostazioni Internet”.
Windows XP e 2000: quando si ottiene il certificato di un client non attivare la protezione avanzata della chiave privata. Se in un certificato si attiva la protezione avanzata della chiave privata, sarà necessario immettere una password di accesso per il certificato ogni volta che questo certificato viene usato. Se si sta configurando il servizio per l'autenticazione TLS/TTLS è necessario disattivare la protezione avanzata della chiave privata per il certificato. In caso contrario, il servizio 802.1x non riuscirà a effettuare l'autenticazione poiché non vi è un utente collegato che può leggere la finestra di dialogo della richiesta.
Note sulle smart card
Dopo aver installato una smart card il certificato viene automaticamente installato sul computer e può essere selezionato dall'archivio dei certificati personale e dall'archivio principale dei certificati.
Passaggio 1: Ottenere un certificato
Per permettere l'autenticazione TLS è necessario che un certificato client (utente) valido si trovi nell'archivio locale relativo all'account dell'utente connesso. È necessario inoltre che nell'archivio principale ci sia un certificato di CA più attendibile.
Le informazioni seguenti descrivono due metodi per ottenere un certificato:
Da un'autorità di certificazione aziendale implementata su un server Windows 2000
Usando l'Importazione guidata certificati di Internet Explorer per importare un certificato da un file
Nota: se questo è il primo certificato che si è ottenuto, la CA chiederà dapprima se installare un certificato di CA più attendibile nell'archivio principale. La finestra di dialogo non indicherà se si tratta di un certificato CA più attendibile, ma il nome che comparirà sul certificato sarà quello dell'host dell'autorità di certificazione (CA). Fare clic su Sì se è necessario avere questo certificato sia per TLS che per TTLS.
Nell'esempio seguente è descritto come usare WPA con la crittografia TKIP usando l'autenticazione TTLS o PEAP.
Passaggio 2: Specificare il certificato usato da Intel(R) PROSet
Ottenere e installare un certificato del client (fare riferimento al Passaggio 1) o rivolgersi all'amministratore del sistema.
Dalla pagina Generale, fare clic sulla scheda Reti.
Fare clic sul pulsante Aggiungi.
Immettere il nome del profilo e della rete (SSID).
Selezionare Infrastruttura come modalità operativa.
Fare clic su Avanti.
Selezionare Apri per Autenticazione di rete. È possibile inoltre selezionare qualunque altra modalità di autenticazione disponibile.
Selezionare WEP per Crittografia dati. È possibile inoltre selezionare qualunque altro tipo di crittografia disponibile.
Fare clic sulla casella di controllo 802.1x attivato.
Impostare su TLS il tipo di autenticazione da utilizzare con questa connessione.
Fare clic sul pulsante Configura per aprire la finestra di dialogo delle impostazioni.
Immettere il proprio nome utente nel campo Nome utente.
Selezionare l'"Autorità di certificazione" dall'elenco. Selezionare come impostazione predefinita Qualunque CA attendibile.
Selezionare la casella di controllo "Consenti certificati intermedi" per consentire l'emissione di un numero di certificati non specificati lungo la catena che va dal certificato del server alla autorità di certificazione (CA) specificata. Se la casella non viene selezionata, il certificato deve essere emesso direttamente all'autorità di certificazione specificata.
Immettere il nome del server.
Se si conosce il nome del server, immetterlo.
Selezionare l'opzione appropriata, cioè se il nome del server deve corrispondere esattamente al nome immesso oppure se specificare il nome del dominio.
Sotto l'opzione "Certificati client” fare clic sul pulsante Seleziona per aprire l'elenco dei certificati installati.
Nota sui certificati: l'identità specificata deve corrispondere al nome che compare nel campo "Autorità di certificazione" del certificato e deve essere registrata sul server di autenticazione (es. il server RADIUS) che è usato dall'autenticatore. Il certificato deve essere "valido" rispetto al server di autenticazione. Questo requisito dipende dal server di autenticazione e generalmente significa che il server di autenticazione deve riconoscere l'emittente del certificato come l'Autorità di certificazione. È necessario effettuare la connessione usando lo stesso nome utente utilizzato al momento dell'installazione del certificato.
Selezionare il certificato dall'elenco e fare clic su OK. Le informazioni riguardanti il certificato del client sono visualizzate sotto "Certificato client".
Fare clic su Chiudi.
Fare clic sul pulsante Fine per salvare le impostazioni di protezione del profilo.
Per aggiungere l'autenticazione WEP e MD5 a un nuovo profilo:
Nota: prima di iniziare ottenere dall'amministratore del sistema un nome utente e una password per il server RADIUS.
Usare la modalità di accesso protetto Wi-Fi WPA-PSK (Pre Shared Key) se non viene utilizzato un server di autenticazione. Questa modalità non usa alcun protocollo di autenticazione 802.1x e può essere utilizzata insieme alla crittografia dei dati di tipo WEP o TKIP. WPA-PSK richiede la configurazione di una chiave precondivisa (PSK). Per una chiave PSK da 256 bit è necessario immettere una frase di accesso o 64 caratteri esadecimali. La chiave di crittografia dei dati è derivata dalla chiave PSK.
Per configurare un profilo usando WPA-PSK:
Dalla pagina Generale, fare clic sulla scheda Reti.
Fare clic sul pulsante Aggiungi.
Immettere il nome del profilo e della rete (SSID).
Selezionare Infrastruttura come modalità operativa.
Fare clic su Avanti.
Selezionare WPA-PSK come autenticazione di rete. È possibile anche selezionare la modalità di autenticazione.
Selezionare WEP per Crittografia dati.
Selezionare una delle opzioni seguenti:
Usa frase di accesso: fare clic su Usa frase di accesso per abilitare la funzione corrispondente. Nel campo della frase di accesso, immettere una frase di testo, composta da un massimo di cinque (se si usano 64 bit) oppure tredici (se si usano 128 bit) caratteri alfanumerici (0-9, a-z o A-Z).
Usa chiavi esadecimali: fare clic su Usa frase chiavi esadecimali per abilitare la funzione corrispondente. Nel campo della chiave esadecimale, immettere fino a un massimo di dieci (se si usano 64 bit) oppure ventisei (se si usano 128 bit) caratteri alfanumerici (0-9, A-F).
Fare clic sulla casella di controllo 802.1x attivato.
Impostare su TLS il tipo di autenticazione da utilizzare con questa connessione.
Fare clic sul pulsante Fine per salvare le impostazioni di protezione del profilo.
Impostazione del client per WPA usando la crittografia TKIP e l'autenticazione TLS
La modalità di accesso protetto (WPA) può essere usata con TLS, TTLS o PEAP. Protocollo di autenticazione 802.1x che usa le opzioni di crittografia dei dati WEP o TKIP. La modalità di accesso protetto Wi-Fi (WPA) è associata con l'autenticazione 802.1x. La chiave di crittografia dei dati viene ricevuta con lo scambio di chiavi 802.1x. per migliorare la crittografia dei dati, l'accesso protetto Wi-Fi utilizza TKIP (Temporal Key Integrity Protocol). TKIP offre importanti miglioramenti per la crittografia dei dati, inclusa la modalità di rigenerazione delle chiavi.
Ottenere e installare un certificato del client (fare riferimento a Impostazione del client per l'autenticazione TLS) o rivolgersi all'amministratore del sistema.
Dalla pagina Generale, fare clic sulla scheda Reti.
Fare clic sul pulsante Aggiungi.
Immettere il nome del profilo e della rete (SSID).
Selezionare Infrastruttura come modalità operativa.
Fare clic su Avanti.
Selezionare WPA per Autenticazione di rete.
Selezionare TKIP per Crittografia dati.
Impostare su TLS il tipo di autenticazione da utilizzare con questa connessione.
Fare clic sul pulsante Configura per aprire la finestra di dialogo delle impostazioni.
Immettere il proprio nome utente nel campo Nome utente.
Selezionare l'"Autorità di certificazione" dall'elenco. Selezionare come impostazione predefinita Qualunque CA attendibile.
Selezionare la casella di controllo "Consenti certificati intermedi" per consentire l'emissione di un numero di certificati non specificati lungo la catena che va dal certificato del server alla autorità di certificazione (CA) specificata. Se la casella non viene selezionata, il certificato deve essere emesso direttamente all'autorità di certificazione specificata.
Immettere il nome del server.
Se si conosce il nome del server, immetterlo.
Selezionare l'opzione appropriata, cioè se il nome del server deve corrispondere esattamente al nome immesso oppure se specificare il nome del dominio.
Usa certificato client: questa opzione seleziona un certificato client dell'archivio certificati personali dell'utente Windows connesso. Questo certificato verrà usato per l'autenticazione del client. Fare clic sul pulsante Seleziona per aprire l'elenco dei certificati installati.
Nota sui certificati: l'identità specificata deve corrispondere al nome che compare nel campo "Autorità di certificazione" del certificato e deve essere registrata sul server di autenticazione (es. il server RADIUS) che è usato dall'autenticatore. Il certificato deve essere "valido" rispetto al server di autenticazione. Questo requisito dipende dal server di autenticazione e generalmente significa che il server di autenticazione deve riconoscere l'emittente del certificato come l'Autorità di certificazione. È necessario effettuare la connessione usando lo stesso nome utente utilizzato al momento dell'installazione del certificato.
Selezionare il certificato dall'elenco e fare clic su OK. Le informazioni riguardanti il certificato del client sono visualizzate sotto "Certificato client".
Fare clic su Chiudi.
Fare clic sul pulsante Fine per salvare le impostazioni di protezione del profilo.
Utilizzo dell'autenticazione TTLS: queste impostazioni definiscono il protocollo e le credenziali usate per autenticare un utente. In TTLS, il client usa EAP-TLS per convalidare il server e creare un canale crittografato TLS tra il client e il server. Su questo canale crittografato il client può utilizzare un altro protocollo di autenticazione, in genere un protocollo basato su password quale una richiesta MD5, per abilitare la convalida del server. I pacchetti di richiesta e di risposta sono inviati su un canale TLS crittografato e non esposto.
Utilizzo dell'autenticazione PEAP: le impostazioni PEAP sono richieste per l'autenticazione del client presso il server di autenticazione. In PEAP, il client usa EAP-TLS per convalidare il server e creare un canale crittografato TLS tra il client e il server. Su questo canale crittografato il client può utilizzare un altro meccanismo EAP, quale Microsoft Challenge Authentication Protocol (MSCHAP) versione 2, per abilitare la convalida del server. I pacchetti di richiesta e di risposta sono inviati su un canale TLS crittografato e non esposto.
Nell'esempio seguente è descritto come usare WPA con la crittografia TKIP usando l'autenticazione TTLS o PEAP.
Ottenere e installare un certificato del client (fare riferimento a Impostazione del client per l'autenticazione TLS) o rivolgersi all'amministratore del sistema.
Dalla pagina Generale, fare clic sulla scheda Reti.
Fare clic sul pulsante Aggiungi.
Immettere il nome del profilo e della rete (SSID).
Selezionare Infrastruttura come modalità operativa.
Fare clic su Avanti.
Selezionare WPA per Autenticazione di rete.
Selezionare TKIP per Crittografia dati.
Impostare a TTLS o PEAP il tipo di autenticazione da utilizzare con questa connessione.
Fare clic sul pulsante Configura per aprire la finestra di dialogo delle impostazioni.
Immettere il nome dell'identità di roaming nel campo Identità di roaming. Questa funzione facoltativa rappresenta l'identità 802.1X fornita all'autenticatore. Si consiglia di non inserire in questo campo un'identità vera, ma un'area di autenticazione desiderata (es. anonimo@miaAreaAutenticazione).
Selezionare l'"Autorità di certificazione" dall'elenco. Selezionare come impostazione predefinita Qualunque CA attendibile.
Selezionare la casella di controllo "Consenti certificati intermedi" per consentire l'emissione di un numero di certificati non specificati lungo la catena che va dal certificato del server alla autorità di certificazione (CA) specificata. Se la casella non viene selezionata, il certificato deve essere emesso direttamente all'autorità di certificazione specificata.
Immettere il nome del server.
Se si conosce il nome del server, immetterlo.
Selezionare l'opzione appropriata, cioè se il nome del server deve corrispondere esattamente al nome immesso oppure se specificare il nome del dominio.
Protocollo di autenticazione:
PEAP: selezionare MS-CHAP-V2. Questo parametro specifica il protocollo di autenticazione che opera sul tunnel PEAP. I protocolli sono i seguenti: MS-CHAP-V2 (impostazione predefinita), GTC e TLS.
TTLS: selezionare PAP. Questo parametro specifica il protocollo di autenticazione che opera sul tunnel TTLS. I protocolli sono i seguenti: PAP (impostazione predefinita), CHAP, MD5, MS-CHAP e MS-CHAP-V2.
Immettere il nome dell'utente. questo nome utente deve corrispondere al nome utente che è impostato nel server di autenticazione dall'amministratore IT prima che avvenga l'autenticazione del client. Il nome utente distingue tra maiuscole e minuscole. Questo nome indica l'identità fornita all'autenticatore dal protocollo di autenticazione che opera sul tunnel TLS. L'identità di questo utente è trasmessa in modo protetto al server solo dopo che è stato verificato e stabilito un canale crittografato.
Immettere la password dell'utente.specifica la password dell'utente. La password immessa in questo campo deve corrispondere alla password che è stata impostata sul server di autenticazione.
Reimmettere la password dell'utente. Se è confermata, vengono visualizzati gli stessi caratteri della password immessi nel campo Password.
Usa certificato client: questa opzione seleziona un certificato client dell'archivio certificati personali dell'utente Windows connesso. Questo certificato verrà usato per l'autenticazione del client. Fare clic sul pulsante Seleziona per aprire l'elenco dei certificati installati.
Nota sui certificati: l'identità specificata deve corrispondere al nome che compare nel campo "Autorità di certificazione" del certificato e deve essere registrata sul server di autenticazione (es. il server RADIUS) che è usato dall'autenticatore. Il certificato deve essere "valido" rispetto al server di autenticazione. Questo requisito dipende dal server di autenticazione e generalmente significa che il server di autenticazione deve riconoscere l'emittente del certificato come l'Autorità di certificazione. Questo significa che il server di autenticazione deve riconoscere l'emittente del certificato come l'Autorità di certificazione. È necessario effettuare la connessione usando lo stesso nome utente utilizzato al momento dell'installazione del certificato.
Selezionare il certificato dall'elenco e fare clic su OK. Le informazioni riguardanti il certificato del client sono visualizzate sotto "Certificato client".
Fare clic su Chiudi.
Fare clic sul pulsante Fine per salvare le impostazioni di protezione del profilo.
Leggere le sezioni relative alle limitazioni e declinazioni di responsabilità.