Voltar ao índice

Configurar a segurança dos perfis: Manual do Utilizador da ligação de rede 3945ABG Intel(R) PRO/Wireless

Utilizar o software Intel(R) PROSet/Wireless
Segurança pessoal
Definições da segurança pessoal
Configurar a encriptação e autenticação de dados

• Configurar perfis para redes (ad hoc) de dispositivo para dispositivo
  • Configurar um cliente com autenticação aberta e sem encriptação de dados (nenhuma)
  • Configurar um cliente com encriptação de dados WEP de 64 bits ou WEP de 128 bits
• Configurar perfis para redes de infra-estrutura
  • Configurar um cliente sem encriptação de dados e sem autenticação de rede (nenhuma)
  • Configurar um cliente com encriptação de dados WEP de 64 bits ou WEP de 128 bits
  • Configurar um cliente com as definições de segurança de WPA-Pessoal (TKIP) ou de WPA2-Pessoal (TKIP)
  • Configurar um cliente com as definições de segurança de WPA-Pessoal (AES-CCMP) ou de WPA2-Pessoal (AES-CCMP)

Segurança empresarial
Definições da segurança empresarial

• Configurar perfis para redes (ad hoc) de dispositivo para dispositivo
  • Configurar um cliente com autenticação de rede aberta e sem encriptação de dados (nenhuma)
  • Configurar um cliente com autenticação de rede aberta e encriptação de dados WEP
• Configurar perfis para redes de infra-estrutura
  • Autenticação de rede
    • Configurar um cliente com autenticação de rede partilhada
    • Configurar um cliente com autenticação de rede WPA-Pessoal ou WPA2-Pessoal
    • Configurar um cliente com autenticação de rede WPA-Empresarial ou WPA2-Empresarial
  • Tipos de autenticação 802.1x
    • Configurar um cliente com autenticação de rede MD5
    • Configurar um cliente com encriptação de dados WEP e autenticação de rede EAP-SIM
    • Configurar um cliente com autenticação de rede TLS
    • Configurar um cliente com autenticação de rede TTLS
    • Configurar um cliente com autenticação de rede PEAP
    • Configurar um cliente com autenticação de rede LEAP
    • Para configurar um cliente com autenticação de rede EAP-FAST

Utilizar o software Intel(R) PROSet/Wireless

As seguintes secções descrevem como utilizar o Intel(R) PROSet/Wireless para configurar as definições de segurança necessárias para a sua placa sem fios. Consulte Segurança pessoal.

Também fornece informações sobre como configurar definições de segurança avançadas para a sua placa sem fios. Isto requer informação por parte de um administrador de sistema (ambiente empresarial) ou definições de segurança avançadas no seu ponto de acesso (para utilizadores domésticos). Consulte Segurança empresarial.

Para obter informações gerais sobre definições de segurança, consulte Perspectiva geral de segurança.

Segurança pessoal

Utilize a opção 'Segurança pessoal' se for um utilizador doméstico ou de uma pequena empresa que possa utilizar uma variedade de simples procedimentos de segurança para proteger a sua ligação sem fios. Seleccione na lista de definições de segurança que não exijam uma extensa configuração da infra-estrutura para a sua rede sem fios. Não é necessário um servidor RADIUS ou AAA.

• Estude a informação Configurar a encriptação e autenticação dos dados para saber acerca dos diferentes tipos de segurança.
• Para adicionar ou alterar as definições de segurança necessárias, clique em Definições de segurança para obter informação sobre como definir a segurança para a rede sem fios seleccionada.
• Consulte Gestão de perfis para uma descrição de quando deve utilizar o assistente de perfis.
• Consulte Perspectiva geral de segurança para obter mais informações sobre as diferentes opções de segurança das redes sem fios.
• Se quiser verificar as definições de segurança, seleccione uma rede sem fios na lista de redes sem fios. Clique em Detalhes para rever o modo de funcionamento, o nível de autenticação e a encriptação de dados.
• Consulte Segurança empresarial para definir a segurança de autenticação 802.1x.

Definições da segurança pessoal

Descrição das definições da segurança pessoal

Configurar a encriptação e autenticação dos dados

Numa rede sem fios doméstica, pode utilizar uma variedade de simples procedimentos de segurança para proteger a sua ligação sem fios. Estes incluem:

• Activar o WPA (Wi-Fi Protected Access)
• Alterar a palavra-passe
• Alterar o nome da rede (SSID)

A encriptação WPA (Wi-Fi Protected Access) proporciona protecção aos seus dados na rede. O WPA utiliza uma chave de encriptação chamada chave pré-partilhada (PSK, Pre-Shared Key) para encriptar os dados antes de serem transmitidos. Introduza a mesma palavra-passe em todos os computadores e pontos de acesso na sua rede doméstica ou na rede de uma pequena empresa. Apenas os dispositivos que utilizem a mesma chave de encriptação podem aceder à rede ou desencriptar os dados encriptados transmitidos por outros computadores. A palavra-passe inicia automaticamente o protocolo TKIP (Temporal Key Integrity Protocol) para o processo de encriptação de dados.

Chaves da rede

A encriptação WEP proporciona dois níveis de segurança:

• Chave de 64 bits (por vezes referida como chave de 40 bits)
• Chave de 128 bits (também conhecida como chave de 104 bits)

Para maior segurança, utilize uma chave de 128 bits. Se utilizar a encriptação, todos os dispositivos sem fios da rede sem fios têm de utilizar as mesmas chaves de encriptação.

Pode criar a chave e especificar o comprimento da chave (64 ou 128 bits) e o índice da chave (a localização onde uma determinada chave está guardada). Quanto maior o comprimento da chave, mais segura será a chave.

Comprimento da chave: 64 bits

Frase da palavra-passe (64 bits): Introduza cinco (5) caracteres alfanuméricos, 0-9, a-z ou A-Z.
Chave hexadecimal (64 bits): introduza 10 caracteres hexadecimais, 0-9, A-F.

Comprimento da chave: 128 bits

Frase da palavra-passe (128 bits): Introduza 13 caracteres alfanuméricos, 0-9, a-z ou A-Z.
Chave hexadecimal (128 bits): Introduza 26 caracteres hexadecimais, 0-9, A-F.

Com 802.11, é possível configurar uma estação sem fios com um máximo de quatro chaves (os valores do índice das chaves são 1, 2, 3 e 4). Quando um ponto de acesso ou uma estação sem fios transmite uma mensagem encriptada que utiliza uma chave guardada num determinado índice de chave, a mensagem transmitida indica o índice de chave utilizado para encriptar o corpo da mensagem. O ponto de acesso receptor ou a estação sem fios receptora poderá então obter a chave que está guardada no índice de chave e utilizá-la para descodificar o corpo da mensagem encriptada.

Segurança pessoal: Configurar perfis para redes (ad hoc) de dispositivo para dispositivo

Configurar um cliente com autenticação aberta e sem encriptação de dados (nenhuma)

No modo de dispositivo para dispositivo, também denominado modo ad hoc, os computadores sem fios enviam informações directamente para outros computadores sem fios. Pode utilizar o modo ad hoc para estabelecer uma rede de computadores em casa ou num escritório pequeno ou para configurar uma rede sem fios temporária para uma reunião.

Na janela principal do Intel(R)PROSet/Wireless, seleccione um dos seguintes métodos para estabelecer a ligação a uma rede de dispositivo para dispositivo:

• Faça duplo clique numa rede ad hoc na lista de redes sem fios.
• Seleccione uma rede na lista de redes sem fios. Clique em Ligar. O software Intel PROSet/Wireless detecta automaticamente as definições de segurança para a placa de rede.
• Crie um perfil de rede (ad hoc) de dispositivo para dispositivo, tal como descrito abaixo.

NOTA: As redes (ad hoc) de dispositivo para dispositivo são identificadas através de uma imagem de notebook () na lista de redes sem fios e de perfis.

Para criar um perfil para uma ligação de rede sem fios sem encriptação:

1. Clique em Perfis na janela principal do Intel PROSet/Wireless.
2. Na página 'Perfil', clique em Adicionar para abrir as definições gerais de 'Criar perfil sem fios'.
3. Nome do perfil: Introduza um nome de perfil descritivo.
4. N&ome da rede sem fios (SSID): Introduza o identificador da rede.
5. Modo de funcionamento: Clique em Dispositivo para dispositivo (ad hoc).
6. Clique em Next (seguinte).
7. Clique em Segurança pessoal para abrir as definições de segurança.
8. Encriptação de dados: A predefinição é Nenhuma, o que indica que não há segurança nesta rede sem fios.
9. Clique em OK. O perfil é adicionado à lista 'Perfis' e estabelece a ligação à rede sem fios.

Configurar um cliente com encriptação de dados WEP de 64 bits ou WEP de 128 bits

Quando a encriptação de dados WEP for activada, é utilizada uma chave ou palavra-passe de rede para a encriptação.

Tem de introduzir a chave e especificar o comprimento da chave (64 ou 128 bits) e o índice da chave (a localização onde uma determinada chave está guardada). Quanto mais complexa a chave (mistura de letras e números), mais segura será a chave.

Para adicionar uma chave de rede a uma ligação de rede de dispositivo para dispositivo:

1. Na janela principal do Intel PROSet/Wireless, faça duplo clique numa rede (ad hoc) de dispositivo para dispositivo na lista de redes sem fios ou seleccione a rede e clique em Ligar. Uma vez ligado, é adicionado um perfil à lista de perfis.

NOTA: As redes (ad hoc) de dispositivo para dispositivo são identificadas através de uma imagem de notebook () na lista de redes sem fios e de perfis.

2. Clique em Perfis para aceder à lista de perfis. Seleccione a rede à qual estabeleceu a ligação no passo 1.
3. Clique em Propriedades para abrir as definições gerais de 'Propriedades do perfil sem fios'. Aparece o nome do perfil e o nome da rede sem fios (SSID). Deve seleccionar o modo de funcionamento de rede (ad hoc) de dispositivo para dispositivo.
4. Clique em Seguinte para aceder às definições de segurança.
5. Clique em Segurança pessoal.
6. Configurações de segurança: A predefinição é Nenhuma, o que indica que não há segurança nesta rede sem fios.

Para adicionar uma palavra-chave ou chave de rede:

1. Configurações de segurança: Seleccione WEP de 64 bits ou WEP de 128 bits para configurar a encriptação de dados WEP com uma chave de 64 ou 128 bits.

Quando a encriptação WEP for activada num dispositivo, a chave WEP é utilizada para verificar o acesso à rede. Se o dispositivo sem fios não tiver a chave WEP correcta, o dispositivo não consegue transmitir dados, mesmo que a autenticação seja bem-sucedida.

2. Palavra-passe: Introduza a palavra-passe da segurança sem fios (chave de encriptação).
   • Frase da palavra-passe (64 bits): Introduza cinco (5) caracteres alfanuméricos, 0-9, a-z ou A-Z.
   • Chave WEP (64 bits): introduza 10 caracteres hexadecimais, 0-9, A-F.
   • Frase da palavra-passe (128 bits): introduza 13 caracteres alfanuméricos, 0-9, a-z ou A-Z.
   • Chave WEP (128 bits): introduza 26 caracteres hexadecimais, 0-9, A-F.

3. Í&ndice da chave:é possível especificar um máximo de quatro palavras-passe através da alteração do índice de chave.
4. Para adicionar mais de uma palavra-passe:
• Seleccione o número do índice de chave: 1, 2, 3 ou 4.
• Introduza a palavra-passe de segurança sem fios.
• Seleccione outro número do índice de chave.
• Introduza outra palavra-passe de segurança sem fios.
5. Clique em OK para voltar à lista de perfis.

Segurança pessoal: Configurar perfis para redes de infra-estrutura

Uma rede de infra-estrutura é composta por um ou mais pontos de acesso e um ou mais computadores com placas sem fios instaladas. Cada ponto de acesso tem de ter uma ligação com fios a uma rede sem fios. Para os utilizadores domésticos, isto é normalmente uma rede de banda larga ou por cabo.

Configurar um cliente sem (nenhuma) encriptação de dados

Na janela principal do Intel(R)PROSet/Wireless, seleccione um dos seguintes métodos para estabelecer a ligação a uma rede de infra-estrutura:

• Faça duplo clique numa rede de infra-estrutura na lista de redes sem fios.
• Seleccione numa rede de infra-estrutura na lista de redes sem fios. Clique em Ligar. O software Intel PROSet/Wireless detecta automaticamente as definições de segurança para a placa de rede.

  NOTA: As redes de infra-estrutura são identificadas através de uma imagem de ponto de acesso () na lista de redes sem fios e de perfis.

Configurar um cliente com encriptação de dados WEP de 64 bits ou WEP de 128 bits

Quando a encriptação de dados WEP for activada, é utilizada uma chave ou palavra-passe de rede para a encriptação.

É-lhe fornecida uma chave de rede automaticamente (por exemplo, poderá ser fornecida pelo fabricante da sua placa de rede sem fios) ou pode introduzi-la e especificar o comprimento da chave (64 ou 128 bits), o formato da chave (caracteres ASCII ou dígitos hexadecimais) e o índice da chave (a localização de uma determinada chave). Quanto maior o comprimento da chave, mais segura será a chave.

Para adicionar uma chave de rede para uma ligação de rede de infra-estrutura:

1. Na janela principal do Intel PROSet/Wireless, faça duplo clique numa rede de infra-estrutura na lista de redes sem fios ou seleccione a rede e clique em Ligar.

NOTA: As redes de infra-estrutura são identificadas através de uma imagem de ponto de acesso () na lista de redes sem fios e de perfis.

2. Clique em Perfis para aceder à lista de perfis.
3. Clique em Propriedades para abrir as definições gerais de 'Propriedades do perfil sem fios'. Aparece o nome do perfil e o nome da rede sem fios (SSID). Deve seleccionar 'Rede (Infra-estrutura)' como o modo de funcionamento.
4. Clique em Seguinte para aceder às definições de segurança.
5. Configurações de segurança: A predefinição é Nenhuma, o que indica que não há segurança nesta rede sem fios.

Para adicionar uma palavra-chave ou chave de rede:

1. Configurações de segurança: Seleccione WEP de 64 bits ou WEP de 128 bits para configurar a encriptação de dados WEP com uma chave de 64 ou 128 bits.

Quando a encriptação WEP for activada num ponto de acesso, a chave WEP é utilizada para verificar o acesso à rede. Apesar de a autenticação ter êxito, se o dispositivo sem fios não tiver a chave WEP correcta, o dispositivo não consegue transmitir os dados através do ponto de acesso nem desencriptar dados recebidos a partir do ponto de acesso.

2. Palavra-passe: Introduza a palavra-passe de segurança sem fios (frase de palavra-passe) ou chave de encriptação (chave WEP).
   • Frase da palavra-passe (64 bits): Introduza cinco (5) caracteres alfanuméricos, 0-9, a-z ou A-Z.
   • Chave WEP (64 bits): introduza 10 caracteres hexadecimais, 0-9, A-F.
   • Frase da palavra-passe (128 bits): introduza 13 caracteres alfanuméricos, 0-9, a-z ou A-Z.
   • Chave WEP (128 bits): introduza 26 caracteres hexadecimais, 0-9, A-F.
3. Í&ndice da chave: Altere o índice da chave para configurar até quatro palavras-passe.

Para adicionar mais de uma palavra-passe:

• Seleccione o número do índice de chave: 1, 2, 3 ou 4.
• Introduza a palavra-passe de segurança sem fios.
• Seleccione outro número do índice de chave.
• Introduza outra palavra-passe de segurança sem fios.
4. Clique em OK para voltar à lista de perfis.

Configurar um cliente com as definições de segurança de WPA-Pessoal (TKIP) ou de WPA2-Pessoal (TKIP)

O modo WPA-Pessoal requer uma configuração manual de uma chave pré-partilhada (PSK) no ponto de acesso e nos clientes. Esta PSK autentica os utilizadores através de uma palavra-passe ou código de identificação, tanto na estação cliente como no ponto de acesso. Não é necessário um servidor de autenticação. O modo WPA-Pessoal é destinado aos ambientes domésticos e de pequenas empresas.

O WPA2 é a segunda geração de segurança WPA que proporciona aos utilizadores empresariais e domésticos sem fios um elevado nível de garantia de que apenas os utilizadores autorizados poderão aceder às suas redes sem fios. O WPA2 proporciona um forte mecanismo de encriptação através da norma AES (Advanced Encryption Standard) de encriptação avançada, que é um requisito para alguns utilizadores empresariais e governamentais.

Para configurar um perfil com autenticação de rede WPA-Pessoal e encriptação de dados TKIP:

1. Na janela principal do Intel PROSet/Wireless, faça duplo clique numa rede de infra-estrutura na lista de redes sem fios ou seleccione a rede e clique em Ligar.

NOTA: As redes de infra-estrutura são identificadas através de uma imagem de ponto de acesso () na lista de redes sem fios e de perfis.

2. Clique em Perfis para aceder à lista de perfis.
3. Clique em Propriedades para abrir as definições gerais de 'Propriedades do perfil sem fios'. Aparece o nome do perfil e o nome da rede sem fios (SSID). Deve seleccionar 'Rede (Infra-estrutura)' como o modo de funcionamento.
4. Clique em Seguinte para aceder às definições de segurança.
5. Configurações de segurança: Seleccione WPA-Pessoal (TKIP) para proporcionar segurança a uma rede de pequena empresa ou a um ambiente doméstico. É utilizada uma palavra-passe chamada chave pré-partilhada (PSK). Quanto maior for a palavra-passe, mais forte será a segurança da rede sem fios.

Se o ponto de acesso sem fios ou o router suportar WPA2-Pessoal, active-o no ponto de acesso e especifique uma palavra-passe longa e forte. Quanto maior for a palavra-passe, mais forte será a segurança da rede sem fios. A palavra-passe introduzida no ponto de acesso tem de ser também utilizada neste computador e em todos os outros dispositivos sem fios com acesso à rede sem fios.

NOTA: O WPA-Pessoal e o WPA2-Pessoal não são interoperáveis.

6. &Palavra-passe da segurança sem fios (Chave de encriptação): Introduza uma frase de texto com oito a 63 caracteres. Verifique se a chave da rede corresponde à palavra-passe no ponto de acesso sem fios.
7. Clique em OK para voltar à lista de perfis.

Configurar um cliente com as definições de segurança de WPA-Pessoal (AES-CCMP) ou de WPA2-Pessoal (AES-CCMP)

O Wi-Fi Protected Access (WPA) é uma melhoria de segurança que aumenta significativamente o nível de protecção de dados e o controlo de acesso a uma rede sem fios. O WPA impõe a autenticação 802.1x e o intercâmbio de chaves, funcionando apenas com chaves de encriptação dinâmica. Para um utilizador doméstico ou de uma pequena empresa, a WPA-Pessoal utiliza o AES-CCMP (Advanced Encryption Standard - Counter CBC-MAC Protocol ) ou o protocolo TKIP (Temporal Key Integrity Protocol).

Para configurar um perfil com autenticação de rede WPA2-Pessoal e encriptação de dados AES-CCMP:

1. Na página 'Perfil', seleccione um perfil.
2. Clique em Propriedades para abrir as definições gerais de 'Propriedades do perfil sem fios'. Aparece o nome do perfil e o nome da rede sem fios (SSID). Deve seleccionar 'Rede (Infra-estrutura)' como o modo de funcionamento.
3. Clique em Next (seguinte). Aparece a página 'Definições de segurança'.
4. Configurações de segurança: Seleccione WPA-Pessoal (AES-CCMP) para proporcionar este nível de segurança na pequena rede ou no ambiente doméstico. Utiliza uma palavra-passe também denominada chave pré-partilhada (PSK). Quanto maior for a palavra-passe, mais forte será a segurança da rede sem fios.

O AES-CCMP (Advanced Encryption Standard - Counter CBC-MAC Protocol) é o novo método de protecção da privacidade em transmissões sem fios especificado na norma IEEE 802.11i. O AES-CCMP fornece um método de encriptação mais forte do que o TKIP. Escolha o AES-CCMP como método de encriptação de dados sempre que a protecção de dados forte for importante.

Se o ponto de acesso sem fios ou o router suportar WPA2-Pessoal, active-o no ponto de acesso e especifique uma palavra-passe longa e forte. A palavra-passe introduzida no ponto de acesso tem de ser também utilizada neste computador e em todos os outros dispositivos sem fios com acesso à rede sem fios.

NOTA: O WPA-Pessoal e o WPA2-Pessoal não são interoperáveis.

Algumas soluções de segurança poderão não ser suportadas pelo sistema operativo do seu computador. Poderá precisar de software ou hardware adicional, bem como suporte para uma infra-estrutura LAN sem fios. Contacte o fabricante do computador para obter mais detalhes.

Definir a palavra-passe:

1. Palavra-passe da segurança sem fios (chave de encriptação). Introduza uma frase de texto (comprimento entre oito e 63 caracteres). Verifique se a chave de rede utilizada corresponde à chave do ponto de acesso sem fios.
2. Clique em OK para voltar à lista de perfis.

Voltar ao topo

Voltar ao índice

Segurança empresarial

A página Configurações de segurança permite a introdução das configurações de segurança necessárias para a rede sem fios seleccionada.

Utilize a opção 'Segurança empresarial' se o ambiente da sua rede requer a autenticação 802.1x.

• Os métodos de autenticação 802.1x incluem palavras-passe, certificados e cartões inteligentes.
• Os tipos de autenticação 802.1x são:  MD5, EAP-SIM, LEAP, TLS, TTLS, PEAP, EAP-FAST.
• Consulte Gestão de perfis para uma descrição de quando é que o 'Assistente de perfis' é iniciado.
• Consulte Perspectiva geral de segurança para obter mais informações sobre as diferentes opções de segurança das redes sem fios.
• Consulte Segurança pessoal para definir a segurança WEP ou WPA básica num ambiente não empresarial (doméstico, pequena empresa).

Definições de segurança empresarial

Descrição das definições de segurança empresarial

Segurança empresarial: Configurar perfis para redes (ad hoc) de dispositivo para dispositivo

Configurar um cliente com autenticação de rede aberta e sem (nenhuma) encriptação de dados

Quando a autenticação Aberta é utilizada, qualquer estação sem fios pode pedir autenticação. A estação, que necessita de efectuar a autenticação junto de outra estação sem fios, envia um pacote de gestão de autenticação que contém a identidade da estação de envio. A estação de recepção concede qualquer pedido de autenticação. A autenticação aberta permite o acesso de rede a qualquer dispositivo. Se não houver qualquer encriptação activada na rede, qualquer dispositivo que conheça o SSID pode obter acesso à rede.

No modo (ad hoc) de dispositivo para dispositivo, os computadores sem fios enviam informações directamente para outros computadores sem fios. Pode utilizar o modo ad hoc para estabelecer uma rede de computadores em casa ou num escritório pequeno ou para configurar uma rede sem fios temporária para uma reunião.

1. Na janela principal do Intel(R)PROSet/Wireless, seleccione um dos seguintes métodos para estabelecer a ligação a uma rede de dispositivo para dispositivo:
   • Faça duplo clique numa rede (ad hoc) de dispositivo para dispositivo na lista de redes sem fios.
   • Seleccione uma rede (ad hoc) de dispositivo para dispositivo na lista de redes sem fios. Clique em Ligar. O software Intel PROSet/Wireless detecta automaticamente as definições de segurança para a placa de rede.

   NOTA: As redes (ad hoc) de dispositivo para dispositivo são identificadas através de uma imagem de notebook () na lista de redes sem fios e de perfis.

   • Autenticação:
     • Se não for necessária qualquer autenticação, a rede estabelece a ligação sem qualquer pedido para introduzir credenciais de início de sessão. Qualquer dispositivo sem fios com o nome de rede (SSID) correcto poderá associar-se aos dispositivos na rede.
     • Se a encriptação de dados for necessária, seleccione WEP. É-lhe solicitado que seleccione uma palavra-passe de segurança (chave de encriptação) com um nível de encriptação de 64 bits ou de 128 bits e um índice de chave. Estes valores têm de corresponder aos vários dispositivos na sua rede ad hoc, senão os dados não serão transferidos.

     NOTA: Se tiver de editar ou alterar as definições da rede sem fios, consulte Gestão de perfis para obter mais informações.

Para criar um perfil para uma ligação de rede sem fios sem encriptação:

1. Clique em Perfis na janela principal do Intel PROSet/Wireless.
2. Na página 'Perfil', clique em Adicionar para abrir as definições gerais de 'Criar perfil sem fios'.

3. N&ome da rede sem fios (SSID): Introduza o identificador da rede.
4. Nome do perfil: Introduza um nome de perfil descritivo.
5. Modo de funcionamento: Clique em Dispositivo para dispositivo (ad hoc).
6. Clique em Seguinte.

7. Clique em Segurança empresarial para abrir as definições de segurança.
8. Autenticação de rede: Aberta (seleccionado).

Quando a autenticação Aberta é utilizada, qualquer estação sem fios pode pedir autenticação. A estação, que necessita de efectuar a autenticação junto de outra estação sem fios, envia um pacote de gestão de autenticação que contém a identidade da estação de envio. A estação de recepção concede qualquer pedido de autenticação. A autenticação aberta permite o acesso de rede a qualquer dispositivo. Se não houver qualquer encriptação activada na rede, qualquer dispositivo que conheça o SSID pode obter acesso à rede. As redes (ad hoc) de dispositivo para dispositivo funcionam sempre com autenticação Aberta.

9. Encriptação de dados: 'Nenhuma' é a predefinição.
10. Clique em OK. O perfil é adicionado à lista 'Perfis' e estabelece a ligação à rede sem fios.

Configurar um cliente com autenticação de rede aberta e encriptação de dados WEP

Na janela principal do Intel PROSet/Wireless, seleccione um dos seguintes métodos para estabelecer a ligação a uma rede de dispositivo para dispositivo:

1. Faça duplo clique numa rede (ad hoc) de dispositivo para dispositivo na lista de redes sem fios.
2. Seleccione uma rede (ad hoc) de dispositivo para dispositivo na lista de redes sem fios. Clique em Ligar. O software Intel PROSet/Wireless detecta automaticamente as definições de segurança para a placa de rede.

NOTA: As redes (ad hoc) de dispositivo para dispositivo são identificadas através de uma imagem de notebook () na lista de redes sem fios e de perfis.

3. Se a encriptação de dados for necessária, pode seleccionar WEP. É-lhe solicitado que seleccione uma palavra-passe de segurança (chave de encriptação) com um nível de encriptação de 64 bits ou de 128 bits e um índice de chave. Estes valores têm de corresponder aos vários dispositivos na sua rede (ad hoc) de dispositivo para dispositivo, senão os dados não serão transferidos.

   NOTA: Se tiver de editar ou alterar as definições da rede sem fios, consulte Gestão de perfis para obter mais informações.

Para criar um perfil para uma ligação de rede sem fios com encriptação WEP:

1. Clique em Perfis na janela principal do Intel PROSet/Wireless.
2. Na página 'Perfil', clique em Adicionar para abrir as definições gerais de 'Criar perfil sem fios'.
3. N&ome da rede sem fios (SSID): Introduza o identificador da rede.
4. Nome do perfil: Introduza um nome de perfil descritivo.
5. Modo de funcionamento: Clique em Dispositivo para dispositivo (ad hoc).
6. Clique em Next (seguinte).
7. Clique em Segurança empresarial para abrir as definições de segurança.
8. Autenticação de rede: Aberta está seleccionado (predefinição). As redes ad hoc só utilizam a autenticação aberta.
9. Encriptação de dados: Seleccione WEP. A encriptação de dados WEP pode ser configurada com uma chave de 64 bits ou de 128 bits. Se o dispositivo sem fios não tiver a chave WEP correcta, o dispositivo não consegue transmitir dados ou desencriptar dados.
10. Nível de encriptação: Seleccione 64 ou 128 bits.
11. &Palavra-passe da segurança sem fios (Chave de encriptação): Introduza a palavra-passe de rede sem fios (chave WEP). A palavra-passe tem o mesmo valor utilizado pelo ponto de acesso sem fios ou pelo router. Contacte o administrador para obter esta palavra-passe.

• Frase da palavra-passe (64 bits): Introduza cinco (5) caracteres alfanuméricos, 0-9, a-z ou A-Z.
• Chave hexadecimal (64 bits): introduza 10 caracteres hexadecimais, 0-9, A-F.
• Frase da palavra-passe (128 bits): Introduza 13 caracteres alfanuméricos, 0-9, a-z ou A-Z.
• Chave hexadecimal (128 bits): introduza 26 caracteres hexadecimais, 0-9, A-F.

12. Índice de chave: Seleccione 1, 2, 3 ou 4. É possível especificar um máximo de quatro palavras-passe através da alteração do índice de chave.

Para alterar as definições de segurança:

1. Clique em Perfis na janela principal do Intel PROSet/Wireless. A rede à qual acabou de estabelecer a ligação está listada na lista de perfis.
2. Seleccione a rede sem fios.
3. Clique em Propriedades para abrir as definições gerais de 'Propriedades do perfil sem fios'. As opções Nome da rede sem fios (SSID) e Nome do perfil já estão definidas. Dispositivo para dispositivo (ad hoc) está seleccionado como o modo de funcionamento.
4. Clique em Seguinte para aceder às definições de segurança.
5. Clique em Segurança empresarial.
6. Autenticação de rede: 'Aberta' é a predefinição. Sem utilização de autenticação.
7. Encriptação de dados: 'WEP' está seleccionado. Pode alterar a chave WEP, o índice de chave ou o nível de encriptação.
8. Clique em OK para voltar à lista de perfis quando tiver terminado as alterações.

Segurança empresarial: Configurar perfis para redes de infra-estrutura

Uma rede de infra-estrutura é composta por um ou mais pontos de acesso e um ou mais computadores com placas sem fios instaladas. Cada ponto de acesso tem de ter uma ligação com fios a uma rede sem fios.

Configurar um cliente sem autenticação ou encriptação de dados (nenhuma)

Na página principal do Intel(R)PROSet/Wireless, seleccione um dos seguintes métodos para estabelecer a ligação a uma rede de infra-estrutura:

• Faça duplo clique numa rede de infra-estrutura na lista de redes sem fios.
• Seleccione numa rede de infra-estrutura na lista de redes sem fios. Clique em Ligar. O software Intel PROSet/Wireless detecta automaticamente as definições de segurança para a placa de rede.

Se não for necessária qualquer autenticação, a rede estabelece a ligação sem qualquer pedido para introduzir credenciais de início de sessão. Qualquer dispositivo sem fios com o nome de rede (SSID) correcto poderá associar-se a outros dispositivos na rede.

Para criar um perfil para uma ligação de rede sem fios sem encriptação:

1. Clique em Perfis na janela principal do Intel PROSet/Wireless.
2. Na página 'Perfil', clique em Adicionar para abrir as definições gerais de 'Criar perfil sem fios'.
3. Nome do perfil: Introduza um nome de perfil descritivo.
4. N&ome da rede sem fios (SSID): Introduza o identificador da rede.
5. Modo de funcionamento: Clique em Rede (infra-estrutura).
6. Clique em Next (seguinte).
7. Clique em Segurança empresarial para abrir as definições de segurança.
8. Autenticação de rede: Aberta (seleccionado).

A autenticação aberta permite ao dispositivo sem fios aceder a uma rede sem autenticação 802.11. Se a encriptação não estiver activada na rede, qualquer dispositivo sem fios com o nome de rede correcto (SSID) pode ser associado a um ponto de acesso e obter acesso à rede.

9. Encriptação de dados: 'Nenhuma' é a predefinição.
10. Clique em OK. O perfil é adicionado à lista 'Perfis' e estabelece a ligação à rede sem fios.

Configurar um cliente com autenticação de rede partilhada

Quando a autenticação de Chave partilhada é utilizada, parte-se do princípio de que cada estação sem fios recebeu uma chave partilhada confidencial através de um canal seguro independente do canal de comunicações de rede sem fios 802.11. A autenticação de chave partilhada requer que o cliente configure uma chave WEP ou CKIP estática. O acesso de cliente só é concedido se passar numa autenticação baseada em desafios. O CKIP proporciona uma encriptação de dados mais forte do que o WEP, mas nem todos os sistemas operativos e pontos de acesso o suportam.

NOTA: Embora a chave partilhada pudesse parecer a melhor opção para um nível de segurança mais elevado, é criada uma falha conhecida pela transmissão de texto claro da cadeia de caracteres de desafio para o cliente. Assim que um invasor encontrar a cadeia de caracteres de desafio, a chave de autenticação partilhada pode ser facilmente submetida a engenharia inversa. Por isso, a autenticação aberta é na realidade, e contra a intuição, mais segura. Para criar um perfil com autenticação partilhada:

1. Clique em Perfis na janela principal do Intel PROSet/Wireless.
2. Na página 'Perfil', clique em Adicionar para abrir as definições gerais de 'Criar perfil sem fios'.
3. Nome do perfil: Introduza um nome de perfil descritivo.
4. N&ome da rede sem fios (SSID): Introduza o identificador da rede.
5. Modo de funcionamento: Clique em Rede (infra-estrutura).
6. Clique em Seguinte para aceder às definições de segurança.
7. Clique em Segurança empresarial.
8. Autenticação de rede: Seleccione Partilhada. A autenticação partilhada é efectuada com uma chave WEP pré-configurada.
9. Encriptação de dados: Seleccione 'Nenhuma', 'WEP' (64 ou 128 bits) ou CKIP (64 ou 128 bits).
10. Activar 802.1x: Desactivado.
11. Nível de encriptação: 64 ou 128 bits: Quando alterna entre a encriptação de 64 bits e de 128 bits, as definições anteriores são apagadas e é necessário introduzir uma nova chave.
12. Índice de chave: Seleccione 1, 2, 3 ou 4. Altere o índice da chave para especificar até quatro palavras-passe.
13. Palavra-passe da segurança sem fios (Chave de encriptação): Introduza a palavra-passe da rede sem fios (chave de encriptação WEP). Esta palavra-passe tem o mesmo valor utilizado pelo ponto de acesso sem fios ou pelo router. Contacte o administrador para obter esta palavra-passe.
    • Frase da palavra-passe (64 bits): Introduza cinco (5) caracteres alfanuméricos, 0-9, a-z ou A-Z.
    • Chave hexadecimal (64 bits): introduza 10 caracteres hexadecimais, 0-9, A-F.
    • Frase da palavra-passe (128 bits): introduza 13 caracteres alfanuméricos, 0-9, a-z ou A-Z.
    • Chave hexadecimal (128 bits): introduza 26 caracteres hexadecimais, 0-9, A-F.

Configurar um cliente com autenticação de rede WPA-Pessoal ou WPA2-Pessoal

O Wi-Fi Protected Access (WPA) é uma melhoria de segurança que aumenta significativamente o nível de protecção de dados e o controlo de acesso a uma rede sem fios. O WPA impõe o intercâmbio de chaves e só funciona com chaves de encriptação dinâmicas. Se o ponto de acesso sem fios ou o router suportar WPA-Pessoal e WPA2-Pessoal, active-o no ponto de acesso e especifique uma palavra-passe longa e forte. Para as redes pessoais ou domésticas sem um servidor RADIUS ou AAA, utilize o acesso protegido Wi-Fi pessoal.

• WPA-Pessoal: Um método de segurança sem fios que proporciona uma forte protecção dos dados e impede o acesso não autorizado nas redes pequenas. Utiliza a encriptação TKIP (Temporal Key Integrity Protocol) ou AES-CCMP e protege contra o acesso não autorizado à rede através de uma chave pré-partilhada (PSK).
• WPA2-Pessoal: Um método de segurança sem fios que se segue ao WPA e que proporciona uma protecção de dados mais forte e impede o acesso não autorizado nas redes pequenas.

NOTA: O WPA-Pessoal ou o WPA2-Pessoal não são interoperáveis.

Algumas soluções de segurança podem não ser suportadas pelo sistema operativo do computador e poderão necessitar de software ou determinado hardware adicional, bem como de suporte de infra-estrutura de rede local sem fios. Contacte o fabricante do computador para obter mais detalhes.

Para adicionar um perfil com a autenticação de rede WPA-Pessoal ou WPA2-Pessoal:

1. Clique em Perfis na janela principal do Intel PROSet/Wireless.
2. Na página 'Perfil', clique em Adicionar para abrir as definições gerais do 'Assistente de perfis'.
3. Nome do perfil: Introduza um nome de perfil descritivo.
4. N&ome da rede sem fios (SSID): Introduza o identificador da rede.
5. Modo de funcionamento: Clique em Rede (infra-estrutura).
6. Clique em Seguinte para aceder às definições de segurança.
7. Clique em Segurança empresarial.
8. Autenticação de rede: Seleccione WPA-Pessoal ou WPA2-Pessoal. Consulte Perspectiva geral de segurança.
9. Encriptação de dados: Seleccione uma das seguintes opções:
   • O TKIP proporciona a mistura de chaves por pacote, uma verificação de integridade das mensagens e um mecanismo de regeração de chaves.
   • AES-CCMP (Advanced Encryption Standard - Counter CBC-MAC Protocol) é utilizado como o método de encriptação de dados sempre que uma forte protecção de dados for importante.
10. Palavra-passe: Introduza uma frase de texto com 8 a 63 caracteres. Quanto maior for a palavra-passe, mais forte será a segurança da rede sem fios. A palavra-passe introduzida no ponto de acesso tem de ser também utilizada neste computador e em todos os outros dispositivos sem fios com acesso à rede sem fios.

Configurar um cliente com autenticação de rede WPA-Empresarial ou WPA2-Empresarial

O WPA2-Empresarial requer um servidor de autenticação.

• WPA-Empresarial: Um método de segurança sem fios que proporciona uma forte protecção de dados a vários utilizadores e grandes redes geridas. Utiliza a estrutura de autenticação 802.1X com encriptação TKIP e impede o acesso não autorizado à rede verificando os utilizadores da rede através de um servidor de autenticação.
• WPA2-Empresarial: O método de segurança sem fios que se segue ao WPA e que proporciona uma protecção de dados mais forte a vários utilizadores e grandes redes geridas. Impede o acesso não autorizado à rede verificando os utilizadores da rede através de um servidor de autenticação.

NOTA: O WPA-Empresarial e o WPA2-Empresarial não são interoperáveis.

Para adicionar um perfil que utilize a autenticação WPA-Empresarial ou WPA2-Empresarial:

1. Obtenha do seu administrador um nome de utilizador e palavra-passe no servidor RADIUS.
2. Determinados tipos de autenticação requerem que obtenha e instale um certificado de cliente. Consulte Configurar o cliente para autenticação TLS ou contacte o seu administrador.
3. Clique em Perfis na janela principal do Intel PROSet/Wireless.
4. Na página 'Perfil', clique em Adicionar para abrir as definições gerais do 'Assistente de perfis'.
5. Nome do perfil: Introduza um nome de perfil descritivo.
6. N&ome da rede sem fios (SSID): Introduza o identificador da rede.
7. Modo de funcionamento: Clique em Rede (infra-estrutura).
8. Clique em Next (seguinte).
9. Clique em Segurança empresarial.
10. Autenticação de rede: Seleccione WPA-Empresarial ou WPA2-Empresarial.
11. Encriptação de dados: Seleccione uma das seguintes opções:
    • O TKIP proporciona a mistura de chaves por pacote, uma verificação de integridade das mensagens e um mecanismo de regeração de chaves.
    • AES-CCMP (Advanced Encryption Standard - Counter CBC-MAC Protocol) é utilizado como o método de encriptação de dados sempre que uma forte protecção de dados for importante. AES-CCMP é recomendado.
12. Activar 802.1x: Seleccionado.
13. Tipo de autenticação: Seleccione uma das seguintes opções: EAP-SIM, LEAP, TLS, TTLS, PEAP, EAP-FAST.

Configurar um cliente com encriptação de dados WEP e autenticação de rede MD5

A autenticação MD5 é um método de autenticação unidireccional que utiliza nomes de utilizador e palavras-passe. Este método não suporta gestão de chaves mas requer uma chave pré-configurada se a encriptação de dados for utilizada. Para adicionar autenticação WEP e MD5 a um perfil novo:

NOTA: Antes de começar, tem de saber o nome de utilizador e a palavra-passe no servidor RADIUS que lhe concede o acesso à rede.

1. Clique em Perfis na janela principal do Intel PROSet/Wireless.
2. Na página 'Perfil', clique em Adicionar para abrir as definições gerais do 'Assistente de perfis'.
3. Nome do perfil: Introduza um nome de perfil descritivo.
4. N&ome da rede sem fios (SSID): Introduza o identificador da rede.
5. Modo de funcionamento: Clique em Rede (infra-estrutura).
6. Clique em Next (seguinte).
7. Clique em Segurança empresarial.
8. Autenticação de rede: Seleccione Aberta (recomendado).
9. Encriptação de dados:Seleccione WEP.
10. Clique em 802.1x activado.
11. Tipo de autenticação: Seleccione MD5.

Passo 1 de 2: Palavra-passe

1. Nível de encriptação: Seleccione 64 ou 128 bits.
2. Palavra-passe da segurança sem fios (Chave de encriptação): Introduza a sua chave de rede (palavra-passe de segurança sem fios) para a sua rede sem fios. Verifique se a chave de rede corresponde ao ponto de acesso sem fios.
   • Utilizar frase de palavra-passe: Introduza uma frase de texto, até 5 (64 bits) ou 13 (128 bits) caracteres alfanuméricos (0-9, a-z ou A-Z).
   • Utilizar chave hexadecimal: Introduza até 10 caracteres alfanuméricos (64 bits, 0-9, A-F) ou 26 caracteres alfanuméricos (128 bits, 0-9, A-F).
3. Índice de chave: Seleccione 1, 2, 3 ou 4. (A chave predefinida é 1.)
4. Clique em Next (seguinte).

Passo 2 de 2: Utilizador MD5

1. Seleccione um dos seguintes métodos de credenciais:
   • Utilizar o nome do utilizador e a palavra-passe de início de sessão do Windows: As credenciais 802.1x correspondem ao nome de utilizador e palavra-passe do Windows. Antes de efectuar a ligação, é-lhe solicitado que introduza as credenciais de início de sessão do Windows.

   NOTA: Esta opção não está disponível se a opção de ligação de pré-início de sessão não for seleccionada durante a instalação do Intel PROSet/Wireless. Consulte Instalar ou desinstalar a funcionalidade de início de sessão único.

• Pedir nome de utilizador e palavra-passe: Solicitar o seu nome de utilizador e palavra-passe sempre que iniciar sessão na rede sem fios.
• U&tilizar o seguinte nome do utilizador e palavra-passe: Utilizar as suas credenciais guardadas para iniciar sessão na rede.
  • Nome do utilizador: Este nome de utilizador deve corresponder ao nome de utilizador definido no servidor de autenticação pelo administrador antes da autenticação do cliente. O nome de utilizador é sensível a maiúsculas e minúsculas. Este nome especifica a identidade fornecida ao autenticador pelo protocolo de autenticação utilizado no túnel TLS. A identidade é transmitida com segurança ao servidor apenas depois de um canal encriptado ter sido estabelecido.
  • Domínio: Nome do domínio no servidor de autenticação. O nome do servidor identifica um domínio ou um dos seus subdomínios (por exemplo, zeelans.com, em que o servidor é blueberry.zeelans.com). NOTA: Contacte o seu administrador para obter o nome do domínio.
  • Palavra-passe: Especifica a palavra-passe do utilizador. Os caracteres da palavra-passe são apresentados em formato de asterisco. Esta palavra-passe deve corresponder à palavra-passe definida no servidor de autenticação.
  • Confirmar palavra-passe: Volte a introduzir a palavra-passe do utilizador.

2. Clique em OK para guardar as credenciais.
3. Clique em Ligar para estabelecer a ligação a uma rede sem fios seleccionada.

Se não seleccionou Utilizar início de sessão do Windows na página 'Definições de segurança' e também não configurou as credenciais de utilizador, aparece uma mensagem Introduzir credenciais quando tenta estabelecer a ligação a este perfil. Introduza o seu nome de utilizador, domínio e palavra-passe. Clique em OK para aceder ao perfil.

4. Clique em OK para fechar o Intel PROSet/Wireless.

Configurar um cliente com encriptação de dados WEP e autenticação de rede EAP-SIM

O EAP-SIM utiliza uma chave WEP dinâmica baseada na sessão, que é derivada da placa do cliente e do servidor RADIUS, para encriptar os dados. O EAP-SIM exige que introduza um código de verificação do utilizador, ou PIN (Número de identificação pessoal - Personal identification number), para fins de comunicação com o cartão do Módulo de Identidade do Subscritor (Subscriber Identity Module - SIM) card. O cartão SIM é um cartão inteligente especial que é utilizado pelo Sistema global para comunicações móveis (Global System for Mobile Communications - GSM) com base em redes celulares digitais. Para adicionar um perfil com autenticação EAP-SIM:

1. Na página 'Perfil', clique em Adicionar para abrir as definições gerais.
2. Nome do perfil: Introduza o nome de um perfil.
3. N&ome da rede sem fios (SSID): Introduza o identificador da rede.
4. Modo de funcionamento: Clique em Rede (infra-estrutura).
5. Clique em Seguinte para aceder às definições de segurança.
6. Clique em Segurança empresarial.
7. Autenticação de rede: Seleccione Aberta (recomendado).
8. Encriptação de dados:Seleccione WEP.
9. Clique em Activar 802.1x.
10. Tipo de autenticação: Seleccione EAP-SIM.

A autenticação EAP-SIM pode ser utilizada com:

• Tipos de autenticação de rede: Aberta, Partilhada, WPA-Empresarial e WPA2-Empresarial
• Tipos de encriptação de dados: Nenhuma, WEP, AES-CCMP e CKIP

Utilizador EAP-SIM (opcional)

1. Especificar nome do utilizador (identidade): Clique para especificar o nome de utilizador.

• Nome do utilizador: Introduza o nome de utilizador atribuído ao cartão SIM.

2. Clique em OK.

Configurar um cliente com autenticação de rede TLS

Estas configurações definem o protocolo e as credenciais utilizados na autenticação de um utilizador. A autenticação TLS (Transport Layer Security) é um método de autenticação bidireccional que utiliza apenas certificados digitais para verificar a identidade de um cliente e de um servidor.

Para adicionar um perfil com autenticação TLS:

1. Clique em Perfis na janela principal do Intel PROSet/Wireless.
2. Na página 'Perfil', clique em Adicionar para abrir as definições gerais do 'Assistente de perfis'.
3. Nome do perfil: Introduza um nome de perfil descritivo.
4. N&ome da rede sem fios (SSID): Introduza o identificador da rede.
5. Modo de funcionamento: Clique em Rede (infra-estrutura).
6. Clique em Seguinte para aceder às definições de segurança.
7. Clique em Segurança empresarial.
8. Autenticação de rede: Seleccione WPA-Empresarial ou WPA2-Empresarial.
9. Encriptação de dados: Seleccione AES-CCMP (recomendado).
10. Activar 802.1x: Seleccionado.
11. Tipo de autenticação: Seleccione TLS a ser utilizado com esta ligação.

Passo 1 de 2: Utilizador TLS

1. Obtenha e instale um certificado de cliente. Consulte Configurar o cliente para autenticação TLS ou informe-se junto do administrador do sistema.
2. Seleccione uma das seguintes opções para obter um certificado:
   • Utilizar o meu cartão inteligente: Seleccione se o certificado residir num cartão inteligente.
   • Utilizar o certificado emitido para este computador.
   • Utilizar um certificado de utilizador neste computador: Clique em Seleccionar para escolher um certificado que resida neste computador.
3. Clique em Next (seguinte).

Passo 2 de 2: Servidor TLS

Seleccione uma das seguintes opções:

1. Seleccione uma das seguintes opções:
   • Validar certificado do servidor: Seleccione para verificar o certificado do servidor.

   Emissor do certificado: Clique em Qualquer CA confiável como predefinição, ou seleccione um emissor do certificado a partir da lista.

   • Especificar nome do servidor ou do certificado:

     Nome do &servidor ou certificado: Introduza o nome do servidor.

     Foi seleccionado o nome do servidor ou um domínio ao qual o servidor pertence baseado numa das duas opções abaixo.

   O nome do servidor tem de corresponder exactamente à entrada especificada: Quando seleccionado, o nome do servidor tem de corresponder exactamente ao nome de servidor constante do certificado. O nome do servidor deve incluir o nome de domínio completo (por exemplo, nomeservidor.nomedomínio).

   O nome do domínio tem de terminar com a entrada especificada: Quando seleccionar esta opção, o nome do servidor identifica um domínio e o certificado tem de ter um nome de servidor pertencente a este domínio ou a um dos respectivos subdomínios (por exemplo, zeelans.com, em que o servidor é blueberry.zeelans.com). NOTA: Estes parâmetros devem ser obtidos junto do administrador.

NOTA: Estes parâmetros devem ser obtidos junto do administrador.

2. Clique em OK para guardar a definição e fechar a página.

Configurar um cliente com autenticação de rede TLS

Autenticação TTLS: Estas definições definem o protocolo e as credenciais utilizados para autenticar um utilizador. O cliente utiliza EAP-TLS para validar o servidor e criar um canal encriptado TLS entre o cliente e o servidor. O cliente pode utilizar outro protocolo de autenticação, normalmente protocolos baseados em palavra-passe (por exemplo, o MD5 Challenge neste canal encriptado para activar a validação do servidor). Os pacotes de desafio e resposta são enviados num canal encriptado TLS não exposto. O seguinte exemplo descreve como utilizar o WPA com encriptação AES-CCMP com autenticação TLS.

Para configurar um cliente com autenticação de rede TTLS:

1. Clique em Perfis na janela principal do Intel PROSet/Wireless.
2. Na página 'Perfil', clique em Adicionar para abrir as definições gerais do 'Assistente de perfis'.
3. Nome do perfil: Introduza um nome de perfil descritivo.
4. N&ome da rede sem fios (SSID): Introduza o identificador da rede.
5. Modo de funcionamento: Clique em Rede (Infra-estrutura).
6. Clique em Seguinte para aceder às definições de segurança.
7. Clique em Segurança empresarial.
8. Autenticação de rede: Seleccione WPA-Empresarial ou WPA2-Empresarial.
9. Encriptação de dados: Seleccione uma das seguintes opções:
   • O TKIP proporciona a mistura de chaves por pacote, uma verificação de integridade das mensagens e um mecanismo de regeração de chaves.
   • AES-CCMP (Advanced Encryption Standard - Counter CBC-MAC Protocol) é utilizado como o método de encriptação de dados sempre que uma forte protecção de dados for importante. AES-CCMP é recomendado.
10. Activar 802.1x: Seleccionado.
11. Tipo de autenticação: Seleccione TTLS a ser utilizado com esta ligação.

Passo 1 de 2: Utilizador TTLS

1. Protocolo de autenticação: Este parâmetro especifica o protocolo de autenticação utilizado no túnel TTLS. Os protocolos são: PAP (Predefinição), CHAP, MD5, MS-CHAP e MS-CHAP-V2. Consulte Perspectiva geral de segurança para obter mais informações.

Para os protocolos PAP, CHAP, MD5, MS-CHAP e MS-CHAP-V2, seleccione um destes métodos de autenticação:

• Utilizar início de sessão do Windows: Seleccione para obter as credenciais do utilizador a partir do processo de início de sessão do Windows.

NOTA: Esta opção não está disponível se a opção de ligação de pré-início de sessão não for seleccionada durante a instalação do Intel PROSet/Wireless. Consulte Instalar ou desinstalar a funcionalidade de início de sessão único.

• Pedir cada vez que ligar: Seleccione para solicitar a introdução do nome do utilizador e da palavra-passe antes de estabelecer a ligação à rede sem fios. O nome de utilizador e a palavra-passe têm de ser definidos primeiro no servidor de autenticação pelo administrador.
• Utilizar o seguinte: O nome de utilizador e a palavra-passe são guardados com segurança (encriptados) no perfil.
  • Nome do utilizador: este nome de utilizador deve corresponder ao nome de utilizador definido no servidor de autenticação.
  • Domínio: Nome do domínio no servidor de autenticação. O nome do servidor identifica um domínio ou um dos seus subdomínios (por exemplo, zeelans.com, em que o servidor é blueberry.zeelans.com). NOTA: Contacte o seu administrador para obter o nome do domínio.
  • Palavra-passe: esta palavra-passe deve corresponder à palavra-passe definida no servidor de autenticação. Os caracteres introduzidos para a palavra-passe são apresentados em formato de asterisco.
  • Confirmar palavra-passe:Volte a introduzir a palavra-passe do utilizador.

2. Identidade do roaming: Se a opção 'Identidade do roaming' não for seleccionada, %domínio%\%nomedeutilizador% é a predefinição.

Quando utilizar o 802.1x MS RADIUS como servidor de autenticação, este autentica o dispositivo que utiliza o nome de utilizador da Identidade do roaming do Intel PROSet/Wireless e ignora o nome de utilizador do Protocolo de autenticação MS-CHAP-V2. Esta funcionalidade é a identidade 802.1x fornecida pelo autenticador. O Microsoft IAS RADIUS aceita apenas um nome de utilizador válido (utilizador dotNet) para clientes EAP. Quando o 802.1x MS RADIUS é utilizado, introduza um nome de utilizador válido. Para todos os outros servidores, isto é opcional. Portanto, recomenda-se a utilização do domínio pretendido (por exemplo, anónimo@meudomínio), em vez de uma verdadeira identidade.

Passo 2 de 2: Servidor TTLS

• Validar certificado do servidor: Seleccionado.
• Emissor do certificado: O certificado de servidor recebido durante o intercâmbio de mensagens TTLS tem de ter sido emitido por esta autoridade de certificação (AC). As autoridades de certificação intermédias e as autoridades de raiz fidedignas, cujos certificados existem no arquivo do sistema, estão disponíveis para serem seleccionadas. Se a opção Qualquer AC fidedigna estiver seleccionada, qualquer AC existente na lista é aceitável.
• Especificar nome do servidor ou do certificado: O nome do servidor ou o domínio ao qual o servidor pertence, dependendo da opção que foi seleccionada abaixo.

• O nome do servidor tem de corresponder exactamente: quando seleccionada, o nome do servidor introduzido deve corresponder exactamente ao nome de servidor constante do certificado. O nome do servidor deve incluir o nome de domínio completo (por exemplo, nomeservidor.nomedomínio).
• O nome do domínio tem de terminar no nome especificado: Quando seleccionar esta opção, o nome do servidor identifica um domínio e o certificado tem de ter um nome de servidor pertencente a este domínio ou a um dos respectivos subdomínios (por exemplo, zeelans.com, em que o servidor é blueberry.zeelans.com).

NOTA: Estes parâmetros devem ser obtidos junto do administrador.

3. Clique em OK para guardar a definição e fechar a página.

Configurar um cliente com autenticação de rede PEAP

Autenticação PEAP: As definições PEAP são necessárias para a autenticação do cliente junto do servidor de autenticação. O cliente utiliza EAP-TLS para validar o servidor e criar um canal encriptado TLS entre o cliente e o servidor. O cliente pode utilizar outro mecanismo EAP (por exemplo, o protocolo de autenticação por desafio da Microsoft (MS-CHAP, Microsoft Challenge Authentication Protocol) versão 2), neste canal encriptado para activar a validação do servidor. Os pacotes de desafio e resposta são enviados num canal encriptado TLS não exposto. O seguinte exemplo descreve como utilizar o WPA com encriptação AES-CCMP ou TKIP com autenticação PEAP.

Para configurar um cliente com autenticação PEAP:

Obtenha e instale um certificado de cliente. Consulte Configurar o cliente para autenticação TLS ou contacte o seu administrador.

1. Clique em Perfis na janela principal do Intel PROSet/Wireless.
2. Na página 'Perfil', clique em Adicionar para abrir as definições gerais do 'Assistente de perfis'.
3. Nome do perfil: Introduza um nome de perfil descritivo.
4. N&ome da rede sem fios (SSID): Introduza o identificador da rede.
5. Modo de funcionamento: Clique em Rede (infra-estrutura).
6. Clique em Seguinte para aceder às definições de segurança.
7. Clique em Segurança empresarial.
8. Autenticação de rede: Seleccione WPA-Empresarial ou WPA2-Empresarial.
9. Encriptação de dados: Seleccione uma das seguintes opções:
   • O TKIP proporciona a mistura de chaves por pacote, uma verificação de integridade das mensagens e um mecanismo de regeração de chaves.
   • AES-CCMP (Advanced Encryption Standard - Counter CBC-MAC Protocol) é utilizado como o método de encriptação de dados sempre que uma forte protecção de dados for importante. AES-CCMP é recomendado.
10. Activar 802.1x: Seleccionado.
11. Tipo de autenticação: Seleccione PEAP a ser utilizado com esta ligação.

Passo 1 de 2: Utilizador PEAP

O PEAP depende do TLS (Transport Layer Security) para permitir tipos de autenticação não encriptados (por exemplo, GTC (EAP-Generic Token Card) e OTP (palavra-passe única).

1. Protocolo de autenticação: Seleccione GTC, MS-CHAP-V2 (predefinição) ou TLS. Consulte Protocolos de autenticação.
2. Credenciais do utilizador: Seleccione uma das seguintes opções:
   • Utilizar início de sessão do Windows: Permite que as credenciais 802.1x correspondam ao nome de utilizador e palavra-passe do Windows. Antes de efectuar a ligação, é-lhe solicitado que introduza as credenciais de início de sessão do Windows.
   • Pedir cada vez que ligar: Solicita o seu nome de utilizador e palavra-passe sempre que iniciar sessão na rede.
   • Utilizar o seguinte: o nome de utilizador e a palavra-passe são guardados com segurança (encriptados) no perfil.
     • Nome do utilizador: este nome de utilizador deve corresponder ao nome de utilizador definido no servidor de autenticação.
     • Domínio: Nome do domínio no servidor de autenticação. O nome do servidor identifica um domínio ou um dos seus subdomínios (por exemplo, zeelans.com, em que o servidor é blueberry.zeelans.com). NOTA: Contacte o seu administrador para obter o nome do domínio.
     • Palavra-passe: esta palavra-passe deve corresponder à palavra-passe definida no servidor de autenticação. Os caracteres introduzidos para a palavra-passe são apresentados em formato de asterisco.
     • Confirmar palavra-passe:Volte a introduzir a palavra-passe do utilizador.
   • Identidade do &roaming: Se a opção 'Identidade do roaming' não for seleccionada, %domínio%\%nomedeutilizador% é a predefinição.

Quando utilizar o 802.1x MS RADIUS como servidor de autenticação, este autentica o dispositivo utilizando o nome de utilizador da Identidade do roaming do utilitário Intel PROSet/Wireless e ignora o nome de utilizador do Protocolo de autenticação MS-CHAP-V2. Esta funcionalidade é a identidade 802.1x fornecida pelo autenticador. O Microsoft IAS RADIUS aceita apenas um nome de utilizador válido (utilizador dotNet) para clientes EAP. Introduza um nome de utilizador válido sempre que 802.1x MS RADIUS for utilizado. Para os restantes servidores, isto é opcional, pelo que se recomenda que não utilize uma identidade verdadeira, mas antes o domínio pretendido (por exemplo, anónimo@meudomínio).

Configurar a identidade do roaming para suportar vários utilizadores:

Se utilizar um perfil de ligação de pré-início de sessão ou comum que exija que a identidade de roaming se baseie nas credenciais de início de sessão do Windows, o criador do perfil pode adicionar uma identidade de roaming que utilize %nomedeutilizador% e %domínio%. A identidade de roaming é analisada e os dados de início de sessão apropriados são substituídos pelas palavras-chave. Isto permite a máxima flexibilidade na configuração da identidade de roaming, ao mesmo tempo que permite a vários utilizadores partilhar o perfil.

Consulte o manual do utilizador do servidor de autenticação para obter instruções sobre como formatar uma identidade de roaming adequada. Os formatos possíveis são:

%domínio%\%nomeutilizador%
%nomeutilizador%@%domínio%
%nomeutilizador%@%domínio%.com
%nomeutilizador%@aminharede.com

Se a opção 'Identidade do roaming' não for seleccionada, %domínio%\%nomedeutilizador% é a predefinição.

Notas sobre as credenciais: Este nome de utilizador e domínio devem corresponder ao nome de utilizador definido no servidor de autenticação pelo administrador antes da autenticação do cliente. O nome de utilizador é sensível a maiúsculas e minúsculas. Este nome especifica a identidade fornecida ao autenticador pelo protocolo de autenticação utilizado no túnel TLS. A identidade deste utilizador é transmitida com segurança ao servidor apenas depois de um canal encriptado ter sido verificado e estabelecido.

Protocolos de autenticação: Este parâmetro especifica os protocolos de autenticação utilizados no túnel TTLS. Seguem-se instruções sobre como configurar um perfil que utilize a autenticação PEAP com os protocolos de autenticação GTC, MS-CHAP-V2 (predefinição) ou TLS. Generic Token Card (GTC)

Para configurar uma palavra-passe única:

1. Protocolo de autenticação: Seleccione GTC (Generic Token Card).
2. Credenciais do &utilizador: Seleccione Pedir cada vez que ligar.
3. Pedido de ligação para: Seleccione uma das seguintes opções:
   • Palavra-passe estática: No momento da ligação, introduza as credenciais do utilizador.
   • Palavra-passe única (OTP): Obtenha a palavra-passe de um dispositivo de tokens de hardware.
   • PIN (soft token): Obtenha a palavra-passe de um programa de soft tokens.
4. Clique em OK.
5. Seleccione o perfil na lista de redes sem fios.
6. Clique em Ligar. Quando solicitado, introduza o nome de utilizador, o domínio e a palavra-passe única (OTP).
7. Clique em OK. É-lhe solicitado que verifique os dados de início de sessão.

NOTA: A opção Pedir cada vez que ligar deixa de estar disponível se um administrador tiver limpo a definição de credenciais em cache na Ferramenta do Administrador. Consulte Definições do administrador para obter mais informações.



MS-CHAP-V2. Este parâmetro especifica o protocolo de autenticação utilizado no túnel PEAP.

1. Credenciais do utilizador: Seleccione uma das seguintes opções:
   • Utilizar início de sessão do Windows: Permite que as credenciais 802.1x correspondam ao nome de utilizador e palavra-passe do Windows. Antes de efectuar a ligação, é-lhe solicitado que introduza as credenciais de início de sessão do Windows.
   • Pedir cada vez que ligar: Solicita o seu nome de utilizador e palavra-passe sempre que iniciar sessão na rede.
   • U&tilizar o seguinte nome do utilizador e palavra-passe: o nome de utilizador e a palavra-passe são guardados com segurança (encriptados) no perfil.
     • Nome do utilizador: este nome de utilizador deve corresponder ao nome de utilizador definido no servidor de autenticação.
     • Domínio: Nome do domínio no servidor de autenticação. O nome do servidor identifica um domínio ou um dos seus subdomínios (por exemplo, zeelans.com, em que o servidor é blueberry.zeelans.com). NOTA: Contacte o seu administrador para obter o nome do domínio.
     • Palavra-passe: esta palavra-passe deve corresponder à palavra-passe definida no servidor de autenticação. Os caracteres introduzidos para a palavra-passe são apresentados em formato de asterisco.
     • Confirmar palavra-passe:Volte a introduzir a palavra-passe do utilizador.
   NOTA: Esta opção não está disponível se a opção de ligação de pré-início de sessão não for seleccionada durante a instalação do Intel PROSet/Wireless. Consulte Instalar ou desinstalar a funcionalidade de início de sessão único.

TLS: A autenticação TLS (Transport Layer Security) é um método de autenticação bidireccional que utiliza apenas certificados digitais para verificar a identidade de um cliente e de um servidor.

1. Obtenha e instale um certificado de cliente. Consulte Configurar o cliente para autenticação TLS ou informe-se junto do administrador do sistema.
2. Seleccione uma das seguintes opções para obter um certificado:
   • Utilizar o meu cartão inteligente: Seleccione se o certificado residir num cartão inteligente.
   • Utilizar o certificado emitido para este computador: Clique em Seleccionar para escolher um certificado que resida no arquivo do computador.
   • Utilizar um certificado de utilizador neste computador. Clique em Seleccionar para escolher um certificado que resida neste computador.
3. Clique em Next (seguinte).

Passo 2 de 2: Servidor PEAP


1. Seleccione uma das seguintes opções:
   • Validar certificado do servidor: Seleccione para verificar o certificado do servidor.

   Emissor do certificado: Clique em Qualquer CA confiável como predefinição, ou seleccione um emissor do certificado a partir da lista.

   • Especificar nome do servidor ou do certificado:

     Nome do &servidor ou certificado: Introduza o nome do servidor.

     Foi seleccionado o nome do servidor ou um domínio ao qual o servidor pertence baseado numa das duas opções abaixo.

   O nome do servidor tem de corresponder exactamente à entrada especificada: Quando seleccionado, o nome do servidor tem de corresponder exactamente ao nome de servidor constante do certificado. O nome do servidor deve incluir o nome de domínio completo (por exemplo, nomeservidor.nomedomínio).

   O nome do domínio tem de terminar com a entrada especificada: Quando seleccionar esta opção, o nome do servidor identifica um domínio e o certificado tem de ter um nome de servidor pertencente a este domínio ou a um dos respectivos subdomínios (por exemplo, zeelans.com, em que o servidor é blueberry.zeelans.com). NOTA: Estes parâmetros devem ser obtidos junto do administrador.

Notas sobre os certificados: A identidade especificada deve corresponder à identidade Emitido para do certificado e estar registada no servidor de autenticação (por exemplo, servidor RADIUS) utilizado pelo autenticador. O certificado deve ser válido para o servidor de autenticação. Este requisito depende do servidor de autenticação e, geralmente, significa que o servidor de autenticação deve reconhecer o emissor do certificado como uma autoridade de certificação. Utilize o mesmo nome de utilizador que utilizou para iniciar a sessão quando o certificado foi instalado.

2. Clique em OK. O perfil é adicionado à lista de perfis.
3. Clique no novo perfil no fim da lista de perfis. Utilize as setas para cima e para baixo para alterar a prioridade do novo perfil.
4. Clique em Ligar para estabelecer a ligação a uma rede sem fios seleccionada.

Se não seleccionou Utilizar início de sessão do Windows na página de definições de segurança e também não configurou as credenciais do utilizador, não são guardadas credenciais para este perfil. Introduza as suas credenciais para efectuar a autenticação na rede.

5. Clique em OK para fechar o Intel PROSet/Wireless.

Registo automático do certificado PEAP-TLS

Em Definições da aplicação (definições avançadas), seleccione Aviso de Certificado TLS Intel(R) PROSet rejeitado se quiser que seja emitido um aviso quando o certificado PEAP-TLS for rejeitado. Quando um certificado tem uma data de expiração inválida, o utilizador é informado de que tem de tomar uma das seguintes medidas:Foi detectado um potencial problema de autenticação para o perfil <nome do perfil>. A data de expiração no certificado associado pode ser inválida. Escolha uma das seguintes opções:

Controlo	Descrição
Continuar com os parâmetros actuais.	Continuar com o certificado actual.
Actualizar o certificado manualmente.	Aparece a página 'Seleccionar certificado' para escolher outro certificado.
Actualizar certificado automaticamente com base nos certificados no armazenamento local.	Esta opção só é activada quando o armazenamento local contém um ou mais certificados cujos campos “emitido para” e “emitido por” correspondem ao certificado actual e cuja “data de expiração” não expirou. Se escolher esta opção, a aplicação selecciona o primeiro certificado válido.
Termine a sessão para obter o certificado durante o processo de início de sessão (isto não actualiza o perfil e apenas se aplica aos certificados configurados para o registo automático).	Termina a sessão do utilizador, que tem de obter um certificado adequado no próximo processo de início de sessão. O perfil tem de ser actualizado para seleccionar o novo certificado.
Registo automático	Ser-lhe-á pedido o seguinte: Aguarde enquanto o sistema está a tentar obter o certificado automaticamente. Clique em Cancelar para terminar a obtenção de certificados.
Não voltar a mostrar esta mensagem.	Um utilizador pode evitar este passo em sessões posteriores. A opção seleccionada fica memorizada para futuras sessões.

---

Configurar um cliente com autenticação de rede LEAP

O Cisco LEAP (Light Extensible Authentication Protocol) é um tipo de autenticação 802.1X que suporta uma forte autenticação mútua entre o cliente e um servidor RADIUS. As definições dos perfis LEAP incluem LEAP, CKIP com integração da detecção de pontos de acesso não controlados. Para configurar um cliente com autenticação LEAP:

1. Clique em Perfis na janela principal do Intel PROSet/Wireless.
2. Na página 'Perfil', clique em Adicionar. As definições gerais de 'Criar perfil sem fios' abrem-se.
3. Nome do perfil: Introduza um nome de perfil descritivo.
4. N&ome da rede sem fios (SSID): Introduza o identificador da rede.
5. Modo de funcionamento: Clique em Rede (infra-estrutura).
6. Clique em Seguinte para aceder às definições de segurança.
7. Clique em Segurança empresarial.
8. Autenticação de rede: Seleccione WPA-Empresarial ou WPA2-Empresarial.
9. Encriptação de dados: Seleccione uma das seguintes opções:
   • O TKIP proporciona a mistura de chaves por pacote, uma verificação de integridade das mensagens e um mecanismo de regeração de chaves.
   • AES-CCMP (Advanced Encryption Standard - Counter CBC-MAC Protocol) é utilizado como o método de encriptação de dados sempre que uma forte protecção de dados for importante. AES-CCMP é recomendado.
10. Activar 802.1x: Seleccionado.
11. Tipo de autenticação: Seleccione LEAP a ser utilizado com esta ligação.
12. Clique em Opções Cisco.
13. Clique em Activar extensões compatíveis da Cisco para activar a segurança das extensões compatíveis da Cisco (CCX) (Permitir roaming rápido (CCKM), Activar suporte de gestão de rádio, Activar modo de células mistas.).

15. Clique em Activar suporte de gestão de rádio. Utilize a gestão de rádio para detectar pontos de acesso não controlados.
16. Clique em OK para voltar às definições de segurança.

Utilizador LEAP:


1. Seleccione um dos seguintes métodos de autenticação:
   • Utilizar o nome do utilizador e a palavra-passe de início de sessão do Windows:Permite que as credenciais 802.1x correspondam ao nome de utilizador e palavra-passe do Windows. As credenciais do utilizador são obtidas a partir do processo de início de sessão do Windows do utilizador. As credenciais só são utilizadas se o utilizador não tiver qualquer palavra-passe definida nas credenciais de início de sessão do Windows ou se houver um problema a captar as credenciais de início de sessão do Windows.

   NOTA: Esta opção não está disponível se a opção de ligação de pré-início de sessão não for seleccionada durante a instalação do Intel PROSet/Wireless. Consulte Instalar ou desinstalar a funcionalidade de início de sessão único.

   • Pedir nome de utilizador e palavra-passe: Seleccione para solicitar a introdução do nome do utilizador e da palavra-passe antes de estabelecer a ligação à rede sem fios. O nome de utilizador e a palavra-passe têm de ser definidos primeiro no servidor de autenticação pelo administrador.
   • Utilizar o seguinte nome do utilizador e palavra-passe: Seleccione para guardar o seu nome de utilizador e palavra-passe para uma futura utilização com um perfil de autenticação 802.1x.
     • Nome do utilizador: Este nome de utilizador deve corresponder ao nome de utilizador definido no servidor de autenticação pelo administrador antes da autenticação do cliente. O nome de utilizador é sensível a maiúsculas e minúsculas. Este nome especifica a identidade fornecida ao autenticador pelo protocolo de autenticação. A identidade do utilizador é transmitida com segurança ao servidor apenas depois de um canal encriptado ter sido estabelecido.
     • Domínio: Nome do domínio no servidor de autenticação. O nome do servidor identifica um domínio ou um dos seus subdomínios (por exemplo, zeelans.com, em que o servidor é blueberry.zeelans.com). NOTA: O nome do domínio deve ser obtido junto do administrador.
     • Palavra-passe: Especifica a palavra-passe do utilizador. Os caracteres da palavra-passe são apresentados em formato de asterisco. Esta palavra-passe deve corresponder à palavra-passe definida no servidor de autenticação.
     • Confirmar palavra-passe:Volte a introduzir a palavra-passe do utilizador.
2. Clique em OK para guardar a definição e fechar a página.

Opções de extensões compatíveis da Cisco

Opções da Cisco: Utilize para activar ou desactivar a 'Gestão de rádio' e o 'Modo de células mistas' ou 'Permitir roaming rápido (CCKM)'.

NOTA: as extensões compatíveis da Cisco são activadas automaticamente para os perfis CKIP, LEAP ou EAP-FAST. Para ignorar este comportamento, seleccione ou anule a selecção das opções nesta página.

• Permitir roaming rápido (CCKM): Seleccione para activar a placa sem fios do cliente para um roaming rápido e seguro. Quando uma LAN sem fios é configurada para uma nova ligação rápida, um dispositivo cliente activado por EAP-FAST, EAP-TLS, PEAP-GTC, PEAP-MSCHAPv2 ou LEAP pode efectuar o roaming de um ponto de acesso para outro sem envolver o servidor principal. Utilize o CCKM (Cisco Centralized Key Management), um ponto de acesso configurado para fornecer serviços WDS (Wireless Domain Services), para substituir o servidor RADIUS e autenticar o cliente sem qualquer atraso perceptível nas aplicações de voz ou outras com requisitos de tempo.

Activar opções compatíveis da Cisco: Seleccione para activar as extensões compatíveis da Cisco para este perfil de ligação sem fios.

• Activar suporte de gestão de rádio: Seleccione para que a placa sem fios forneça a gestão de rádio à infra-estrutura Cisco. Se o utilitário 'Gestão de rádio da Cisco' for utilizado na infra-estrutura, ele configura os parâmetros de rádio e detecta as interferências e os pontos de acesso não controlados. É seleccionada a predefinição.
• Activar modo de células mistas: Seleccione para permitir que a placa sem fios comunique com células mistas. Uma célula mista é uma rede sem fios na qual existem dispositivos que utilizam WEP e outros que não. Consulte Modo de células mistas para obter mais informações. É anulada a selecção da predefinição.

---

Para configurar um cliente com autenticação de rede EAP-FAST

Nas Extensões compativeis da Cisco, Versão 3 (CCXv3), a Cisco adicionou suporte para o EAP-FAST (Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling - Protocolo de autenticação extensível-Autenticação flexível através de túnel seguro), que utiliza credenciais de acesso protegidas (PACs) para estabelecer um túnel autenticado entre um cliente e um servidor.

As Extensões compatíveis da Cisco, Versão 4 (CCXv4) melhoram os métodos de provisionamento para melhor segurança e fornece inovações para melhor segurança, mobilidade, qualidade de serviço e gestão da rede.

Extensões compatíveis da Cisco, Versão 3 (CCXv3)

Para configurar um cliente com uma autenticação EAP-FAST com as Extensões compatíveis da Cisco, versão 3 (CCXv3):

1. Clique em Perfis na janela principal do Intel PROSet/Wireless.
2. Na página 'Perfil', clique em Adicionar para abrir as definições gerais de 'Criar perfil sem fios'.
3. N&ome da rede sem fios (SSID): Introduza o identificador da rede.
4. Nome do perfil: Introduza um nome de perfil descritivo.
5. Modo de funcionamento: Clique em Rede (infra-estrutura).
6. Clique em Seguinte para abrir as definições de segurança.
7. Clique em Segurança empresarial.
8. Autenticação de rede: Seleccione WPA-Empresarial ou WPA2-Empresarial.
9. Encriptação de dados: Seleccione uma das seguintes opções:
   • O TKIP proporciona a mistura de chaves por pacote, uma verificação de integridade das mensagens e um mecanismo de regeração de chaves.
   • AES-CCMP (Advanced Encryption Standard - Counter CBC-MAC Protocol) é utilizado como o método de encriptação de dados sempre que uma forte protecção de dados for importante. AES-CCMP é recomendado.
10. Activar 802.1x: Seleccionado.
11. Tipo de autenticação: Seleccione EAP-FAST a ser utilizado com esta ligação.



NOTA: Se a definição da aplicação CCXv4 não tiver sido instalada através de um Pacote de Administrador, só se encontram definições EAP-FAST do utilização disponíveis para fins de configuração. Consulte as definições EAP-FAST do utilizador.

Passo 1 de 2: Fornecimento EAP-FAST

1. Clique em Desactivar as melhorias EAP-FAST (CCXv4) para permitir o aprovisionamento no interior de um túnel TLS não autenticado pelo servidor (Unauthenticated-TLS-Server Provisioning Mode).
2. Clique em Seleccionar servidor para visualizar quaisquer PACs não autenticadas que já tenham sido fornecidas e residem neste computador.

NOTA: Se a PAC aprovisionada for válida, o Intel(R) PROSet/Wireless não solicita ao utilizador para aceitar a PAC. Se a PAC não for válida, o Intel PROSet/Wireless falha automaticamente o aprovisionamento. Aparece uma mensagem de estado no 'Visualizador de eventos sem fios' informando que um administrador pode rever no computador do utilizador.

Para importar uma PAC:



• Clique em Seleccionar servidor para abrir a lista de Credenciais de Acesso Protegido (PAC).
• Clique em Importar para importar uma PAC que resida neste computador ou num servidor.
• Seleccione a PAC e clique em Abrir.
• Introduza a palavra-passe da PAC (opcional).
• Clique em OK para fechar esta página. A PAC seleccionada é adicionada à lista de PACs.

3. Clique em Seguinte para seleccionar o método de recuperação da credencial ou clique em OK para guardar as definições EAP-FAST e regressar à lista de Perfis. A PAC é utilizada para este perfil sem fios.

Passo 2 de 2: Informações adicionais de EAP-FAST

Para efectuar a autenticação do cliente no túnel estabelecido, um cliente envia um nome do utilizador e palavra-passe para autenticar e estabelecer a política de autorização do cliente.

1. Clique em Credenciais do utilizador para seleccionar o método de obtenção de credenciais:

• Utilizar o nome do utilizador e a palavra-passe de início de sessão do Windows: As credenciais do utilizador são obtidas a partir do processo de início de sessão do Windows.

NOTA: Esta opção não está disponível se a opção de ligação de pré-início de sessão não for seleccionada durante a instalação do Intel PROSet/Wireless. Consulte Instalar ou desinstalar a funcionalidade de início de sessão único.

• Pedir nome de utilizador e palavra-passe: Solicita a introdução do nome do utilizador e da palavra-passe antes de estabelecer a ligação à rede sem fios. O nome de utilizador e a palavra-passe têm de ser definidos primeiro no servidor de autenticação pelo administrador.
• U&tilizar o seguinte nome do utilizador e palavra-passe: O nome de utilizador e a palavra-passe têm de ser definidos primeiro no servidor de autenticação pelo administrador.
  • Nome do utilizador: este nome de utilizador deve corresponder ao nome de utilizador definido no servidor de autenticação.
  • Domínio: Nome do domínio no servidor de autenticação. O nome do servidor identifica um domínio ou um dos seus subdomínios (por exemplo, zeelans.com, em que o servidor é blueberry.zeelans.com). NOTA: Contacte o seu administrador para obter o nome do domínio.
  • Palavra-passe: esta palavra-passe deve corresponder à palavra-passe definida no servidor de autenticação. Os caracteres introduzidos para a palavra-passe são apresentados em formato de asterisco.
  • Confirmar palavra-passe:Volte a introduzir a palavra-passe do utilizador.

2. Clique em OK para guardar as definições e fechar a página. Não é necessária a verificação do servidor.
   

Extensões compatíveis da Cisco, Versão 4 (CCXv4)

Para configurar um cliente com uma autenticação EAP-FAST com as Extensões compatíveis da Cisco, versão 4 (CCXv4):

1. Clique em Perfis na janela principal do Intel PROSet/Wireless.
2. Na página 'Perfil', clique em Adicionar para abrir as definições gerais de 'Criar perfil sem fios'.
3. N&ome da rede sem fios (SSID): Introduza o identificador da rede.
4. Nome do perfil: Introduza um nome de perfil descritivo.
5. Modo de funcionamento: Clique em Rede (infra-estrutura).
6. Clique em Seguinte para abrir as definições de segurança.
7. Autenticação de rede: Seleccione WPA-Empresarial ou WPA2-Empresarial.
8. Encriptação de dados: Seleccione uma das seguintes opções:
   • O TKIP proporciona a mistura de chaves por pacote, uma verificação de integridade das mensagens e um mecanismo de regeração de chaves.
   • AES-CCMP (Advanced Encryption Standard - Counter CBC-MAC Protocol) é utilizado como o método de encriptação de dados sempre que uma forte protecção de dados for importante. AES-CCMP é recomendado.
9. Encriptação de dados: Seleccione AES-CCMP.
10. Activar 802.1x: Seleccionado.
11. Tipo de autenticação: Seleccione EAP-FAST a ser utilizado com esta ligação.

Passo 1 de 3: Aprovisionamento EAP-FAST

Com o CCXv4, o EAP-FAST suporta dois modos de aprovisionamento:

• Modo autenticado pelo servidor: Aprovisionamento no interior de um túnel (TLS) autenticado pelo servidor.
• Modo não autenticado pelo servidor: Aprovisionamento no interior de um túnel (TLS) não autenticado pelo servidor.

NOTA: O Modo autenticado pelo servidor fornece vantagens de segurança significativa em relação ao Modo não autenticado do servidor mesmo quando o EAP-MSCHAPv2 está a ser utilizado como um método interior. Este modo protege as trocas do EAP-MSCHAPv2 de potenciais ataques efectuados por intermediários ao verificar a autenticidade do servidor antes de trocar o MSCHAPv2. Assim sendo, o Modo autenticado pelo servidor é o preferido sempre que possível. O par EAP-FAST deve utilizar o Modo autenticado pelo servidor sempre que se encontra disponível um certificado ou chave pública para autenticar o servidor e assegurar as melhores práticas de segurança.

Aprovisionamento de Credenciais de Acesso Protegido (PAC):

O EAP-FAST utiliza uma chave PAC para proteger as credenciais do utilizador que são trocadas. Todos os autenticadores EAP-FAST estão identificados por uma identidade de autoridade (ID-A). O autenticador local envia o seu AID para um cliente de autenticação e o cliente verifica a sua base de dados para localizar um AID correspondente. Se o cliente não reconhecer o AID, pede uma nova PAC.

NOTA: Se a PAC (Credencial de Acesso Protegido) aprovisionada for válida, o Intel(R) PROSet/Wireless não solicita ao utilizador para aceitar a PAC. Se a PAC não for válida, o Intel PROSet/Wireless falha automaticamente o aprovisionamento. Aparece uma mensagem de estado no Visualizador de eventos sem fios informando que um administrador pode rever no computador do utilizador.

1. Certifique-se de que a opção Desactivar melhorias de EAP-FAST (CCXv4) não se encontra seleccionada. Permitir aprovisionamento não autenticado e Permitir aprovisionamento autenticado são seleccionados por predefinição. Uma vez seleccionada uma PAC no servidor predefinido, o utilizador pode anular a selecção de qualquer um destes métodos de aprovisionamento.
2. Servidor predefinido: 'Nenhuma' está seleccionado como predefinição. Clique em Seleccionar servidor para seleccionar uma PAC no servidor de autoridade PAC predefinido ou seleccione um servidor na lista Grupo de servidores. Abre-se a página de selecção do servidor EAP-FAST predefinido (autoridade PAC).

NOTA: Os grupos de servidores só são listados se tiver instalado um Pacote de administrador que contenha as definições de grupos de ID-A do EAP-FAST.

A distribuição de PACs também pode ser terminada manualmente (fora de banda). O fornecimento manual permite-lhe criar uma PAC para um utilizador num servidor ACS e depois importá-la para o computador de um utilizador. Um ficheiro PAC pode ser protegido por uma palavra-passe, a qual o utilizador tem de introduzir durante a importação da PAC.

Para importar uma PAC:

1. Clique em Importar para importar uma PAC do servidor de PAC.
2. Clique em Abrir.
3. Introduza a palavra-passe da PAC. (Opcional)
4. Clique em OK para fechar esta página. A PAC seleccionada é utilizada para este perfil sem fios.

O EAP-FAST CCXv4 permite o suporte para o provisionamento de outras credenciais para além da PAC actualmente provisionada para estabelecimento do túnel. Os tipos de credencial suportados incluem uma certificado AC fidedigno, credenciais da máquina para a autenticação da máquina e credenciais do utilizador temporárias utilizadas para contornar a autenticação do utilizador.

Utilizar um cer&tificado (Autenticação TLS)

1. Clique em Utilizar um certificado (Autenticação TLS).
2. Clique em Protecção da identidade quando o túnel estiver protegido.
3. Seleccione uma das seguintes opções:
   • Utilizar um certificado de utilizador neste computador. Clique em Seleccionar para escolher um certificado de utilizador. Clique em OK. Avance para o passo 4.
   • Utilizar o certificado emitido para este computador. Avance para o passo 5.
   • Utilizar o meu cartão inteligente. Seleccione se o certificado residir num cartão inteligente. Avance para o passo 5.
4. Nome do utilizador: Introduza o nome de utilizador atribuído ao certificado de utilizador.
5. Clique em Next (seguinte).

Passo 2 de 3: Informações adicionais de EAP-FAST

Se seleccionou a opção Utilizar um certificado (Autenticação TLS) e Utilizar um certificado de utilizador neste computador, clique em Seguintet (não é necessária uma identidade do roaming) e avance para Passo 3 para configurar as definições do certificado do servidor EAP-FAST. Se não precisar de configurar as definições do servidor EAP-FAST, clique em OK para memorizar as suas definições e regressar à página dos Perfis.

Se optar por utilizar um cartão inteligente, adicione a identidade do roaming, se necessário. Clique em OK para guardar as definições e regressar à página dos Perfis.

Se não seleccionou Utilizar um certificado (Autenticação TLS), clique em Seguinte para seleccionar um protocolo de autenticação. O CCXv4 permite a credenciais adicionais ou suites de cifra TLS para estabelecer o túnel.

Protocolo de autenticação: Seleccione GTC ou MS-CHAP-V2 (predefinição)

Generic Token Card (GTC)

O GTC pode ser utilizado com um Modo autenticado pelo servidor. Isto permite aos pares que utilizem outras bases de dados, tais como o LDAP (Lightweight Directory Access Protocol) e a tecnologia de palavra-passe única (OTP), sejam provisionados na banda. No entanto, a substituição só pode ser alcançada quando utilizada com as suites de cifra TLS que asseguram a autenticação do servidor.

Para configurar uma palavra-passe única:

1. Protocolo de autenticação: Seleccione GTC (Generic Token Card).
2. Credenciais do &utilizador: Seleccione Pedir cada vez que ligar.
3. Pedido de ligação para: Seleccione uma das seguintes opções:
   • Palavra-passe estática: No momento da ligação, introduza as credenciais do utilizador.
   • Palavra-passe única (OTP): Obtenha a palavra-passe de um dispositivo de tokens de hardware.
   • PIN (soft token): Obtenha a palavra-passe de um programa de soft tokens.
4. Clique em OK.
5. Seleccione o perfil na lista de redes sem fios.
6. Clique em Ligar. Quando solicitado, introduza o nome de utilizador, o domínio e a palavra-passe única (OTP).
7. Clique em OK.

MS-CHAP-V2. Este parâmetro especifica o protocolo de autenticação utilizado no túnel PEAP.

1. Credenciais do utilizador: Seleccione uma das seguintes opções:
   • Utilizar início de sessão do Windows: Permite que as credenciais 802.1x correspondam ao nome de utilizador e palavra-passe do Windows. Antes de efectuar a ligação, é-lhe solicitado que introduza as credenciais de início de sessão do Windows.

NOTA: Esta opção não está disponível se a opção de ligação de pré-início de sessão não for seleccionada durante a instalação do Intel PROSet/Wireless. Consulte Instalar ou desinstalar a funcionalidade de início de sessão único.

• Pedir cada vez que ligar: Solicita o seu nome de utilizador e palavra-passe sempre que iniciar sessão na rede.
• U&tilizar o seguinte nome do utilizador e palavra-passe: o nome de utilizador e a palavra-passe são guardados com segurança (encriptados) no perfil.
• Nome do utilizador: este nome de utilizador deve corresponder ao nome de utilizador definido no servidor de autenticação.
• Domínio: Nome do domínio no servidor de autenticação. O nome do servidor identifica um domínio ou um dos seus subdomínios (por exemplo, zeelans.com, em que o servidor é blueberry.zeelans.com).

NOTA: Contacte o seu administrador para obter o nome do domínio.

• Palavra-passe: esta palavra-passe deve corresponder à palavra-passe definida no servidor de autenticação. Os caracteres introduzidos para a palavra-passe são apresentados em formato de asterisco.
• Confirmar palavra-passe:Volte a introduzir a palavra-passe do utilizador.
2. Identidade do roaming: Se a opção 'Identidade do roaming' não for seleccionada, %domínio%\%nomedeutilizador% é a predefinição.

Quando utilizar o 802.1x MS RADIUS como servidor de autenticação, este autentica o dispositivo que utiliza o nome de utilizador da Identidade do roaming do Intel PROSet/Wireless e ignora o nome de utilizador do Protocolo de autenticação MS-CHAP-V2. Esta funcionalidade é a identidade 802.1x fornecida pelo autenticador. O Microsoft IAS RADIUS aceita apenas um nome de utilizador válido (utilizador dotNet) para clientes EAP. Quando o 802.1x MS RADIUS é utilizado, introduza um nome de utilizador válido. Para todos os outros servidores, isto é opcional. Portanto, recomenda-se a utilização do domínio pretendido (por exemplo, anónimo@meudomínio), em vez de uma verdadeira identidade.

Passo 3 de 3: Servidor EAP-FAST

O Modo de provisionamento do servidor TLS autenticado é suportado utilizando um certicado de AC fidedigno, um certificado de servidor com assintura própria ou chaves públicas do servidor e o GTC como o método EAP interno.

Validar certificado do servidor:

• Validar certificado do servidor:
  • Emissor do ce&rtificado: O certificado de servidor recebido durante o intercâmbio de mensagens TLS tem de ser emitido por esta autoridade de certificação (AC). As autoridades de certificação intermédias e as autoridades de raiz fidedignas, cujos certificados existem no arquivo do sistema, estão disponíveis para serem seleccionadas. Se a opção Qualquer AC fidedigna estiver seleccionada, qualquer AC existente na lista é aceitável.
• Permitir certificados intermédios: O certificado de servidor recebido durante a negociação pode ter sido emitido directamente pela AC ou também por uma das suas autoridades de certificação intermédias. Seleccione para permitir que diversos certificados não especificados existam na cadeia de certificados do servidor entre o certificado do servidor e a AC especificada. Se esta opção estiver desmarcada, o certificado do servidor deve ser emitido directamente pela AC especificada.
• Especificar nome do servidor ou do certificado: Seleccione esta opção se pretender especificar o nome do servidor ou do certificado.

Foi seleccionado o nome do servidor ou um domínio ao qual o servidor pertence baseado numa das duas opções abaixo.

• O nome do servidor tem de corresponder exactamente: quando seleccionada, o nome do servidor introduzido deve corresponder exactamente ao nome de servidor constante do certificado. O nome do servidor deve incluir o nome de domínio qualificado (por exemplo, nomeservidor.nomedomínio).
• O nome do domínio tem de terminar no nome especificado: Quando seleccionar esta opção, o nome do servidor identifica um domínio e o certificado tem de ter um nome de servidor pertencente a este domínio ou a um dos respectivos subdomínios (por exemplo, zeelans.com, em que o servidor é blueberry.zeelans.com).

NOTA: Estes parâmetros devem ser obtidos junto do administrador.

3. Clique em OK para fechar as definições de segurança.

---

Definições do utilizador EAP-FAST:

NOTA: Se um Pacote de administrador for instalado num computador do utilizador que não aplique as definições da aplicação Extensões compatíveis da Cisco, Versão 4, só as definições do utilizador EAP-FAST é que se encontram disponíveis para serem configuradas.

Para configurar um cliente com autenticação EAP-FAST:

1. Clique em Perfis na janela principal do Intel PROSet/Wireless.
2. Na página 'Perfil', clique em Adicionar para abrir as definições gerais de 'Criar perfil sem fios'.
3. N&ome da rede sem fios (SSID): Introduza o identificador da rede.
4. Nome do perfil: Introduza um nome de perfil descritivo.
5. Modo de funcionamento: Clique em Rede (infra-estrutura).
6. Clique em Seguinte para abrir as definições de segurança.
7. Clique em Segurança empresarial.
8. Autenticação de rede: Seleccione WPA-Empresarial ou WPA2-Empresarial.
9. Encriptação de dados: Seleccione uma das seguintes opções:
   • O TKIP proporciona a mistura de chaves por pacote, uma verificação de integridade das mensagens e um mecanismo de regeração de chaves.
   • AES-CCMP (Advanced Encryption Standard - Counter CBC-MAC Protocol) é utilizado como o método de encriptação de dados sempre que uma forte protecção de dados for importante. AES-CCMP é recomendado.
10. Activar 802.1x: Seleccionado.
11. Tipo de autenticação: Seleccione EAP-FAST a ser utilizado com esta ligação.
12. Clique em Opções da Cisco para seleccionar Permitir roaming rápido (CCKM), o que activa a placa sem fios do cliente para um roaming seguro e rápido.    

Utilizador EAP-FAST:

Seleccione o método de recuperação das credenciais:

1. Seleccione as credenciais do utilizador.
   • Utilizar o nome do utilizador e a palavra-passe de início de sessão do Windows: As credenciais do utilizador são obtidas a partir do processo de início de sessão do Windows.

NOTA: Esta opção não está disponível se a opção de ligação de pré-início de sessão não for seleccionada durante a instalação do Intel PROSet/Wireless. Consulte Instalar ou desinstalar a funcionalidade de início de sessão único.

• Pedir nome de utilizador e palavra-passe: Solicita a introdução do nome do utilizador e da palavra-passe antes de estabelecer a ligação à rede sem fios. O nome de utilizador e a palavra-passe têm de ser definidos primeiro no servidor de autenticação pelo administrador.
• U&tilizar o seguinte nome do utilizador e palavra-passe: O nome de utilizador e a palavra-passe têm de ser definidos primeiro no servidor de autenticação pelo administrador.
  • Nome do utilizador: este nome de utilizador deve corresponder ao nome de utilizador definido no servidor de autenticação.
  • Domínio: Nome do domínio no servidor de autenticação. O nome do servidor identifica um domínio ou um dos seus subdomínios (por exemplo, zeelans.com, em que o servidor é blueberry.zeelans.com).

  NOTA: Contacte o seu administrador para obter o nome do domínio.

• Palavra-passe: esta palavra-passe deve corresponder à palavra-passe definida no servidor de autenticação. Os caracteres introduzidos para a palavra-passe são apresentados em formato de asterisco.
• Confirmar palavra-passe:Volte a introduzir a palavra-passe do utilizador.
2. Permitir fornecimento automático de Credenciais de Acesso Protegido (PAC):

O EAP-FAST utiliza uma chave PAC para proteger as credenciais do utilizador que são trocadas. Todos os autenticadores EAP-FAST estão identificados por uma identidade de autoridade (ID-A). O autenticador local envia o seu AID para um cliente de autenticação e o cliente verifica a sua base de dados para localizar um AID correspondente. Se o cliente não reconhecer o AID, pede uma nova PAC.

Clique em PACs para visualizar quaisquer PACs que já tenham sido fornecidas e residem neste computador. Já deve ter obtida uma PAC para limpar a opção Permitir fornecimento automático nas 'Definições de segurança'.

NOTA: Se a PAC (Credencial de Acesso Protegido) aprovisionada for válida, o Intel(R) PROSet/Wireless não solicita ao utilizador para aceitar a PAC. Se a PAC não for válida, o Intel PROSet/Wireless falha automaticamente o aprovisionamento. Aparece uma mensagem de estado no Visualizador de eventos sem fios informando que um administrador pode rever no computador do utilizador.

A distribuição de PACs também pode ser terminada manualmente (fora de banda). O fornecimento manual permite-lhe criar uma PAC para um utilizador num servidor ACS e depois importá-la para o computador de um utilizador. Um ficheiro PAC pode ser protegido por uma palavra-passe, a qual o utilizador tem de introduzir durante a importação da PAC.

Para importar uma PAC:

1. Clique em PACs para abrir a lista Credenciais de Acesso Protegido (PAC).
2. Clique em Importar para importar uma PAC que resida neste computador ou num servidor.
3. Seleccione a PAC e clique em Abrir.
4. Introduza a palavra-passe da PAC (opcional).
5. Clique em OK para fechar esta página. A PAC seleccionada é adicionada à lista de PACs.
6. Clique em OK para guardar as definições de EAP-FAST e voltar à lista dos perfis. A PAC é utilizada para este perfil sem fios.

---

 

---

Voltar ao topo

Voltar ao índice

• Marcas comerciais e exonerações de responsabilidade