Tableau 32 – Description des paramètres du gestionnaire SSID (suite)
Paramètre
Client Authentication Settings and
Methods Accepted
Server Priorities
Authenticated Key Management
Key Management
WPA Pre-shared Key
IDS Client MFP
AP Authentication
Description
Authentification ouverte
Choisissez Open Authentication (Authentification ouverte) en cochant la case à cocher.
Ceci permet à tout dispositif de s'authentifier et ensuite de tenter de communiquer avec le point d'accès.
Des méthodes supplémentaires telles que EAP ou la clé prépartagée WPA/WPA2 doivent être utilisées pour fournir une authentification sûre.
Après avoir choisi l'authentification ouverte, vous pouvez sélectionner la méthode supplémentaire dans le menu déroulant. Le menu déroulant
propose ces options.
• Authentification MAC
• EAP
• Authentification MAC et EAP
• Authentification MAC ou EAP, ou EAP facultatif.
Pour valider EAP, les serveurs d'authentification EAP doivent être définis dans cette page ou dans le page du Server Manager (Gestionnaire de
serveur). Pour valider l'authentification MAC, vous devez entrer localement l'adresse MAC ou sélectioner l' o ption Authentication Server Only
(Serveur d'authentification seul) dans la page Advanced Security (Sécurité évoluée). Choisissez Optional EAP (EAP facultatif) pour permettre
aux clients et aux clients EAP facultatifs de s'associer et devenir authentifiés par l'une ou l'autre méthode.
Bien qu'un point d'accès puisse utiliser la méthode Authentification ouverte avec EAP pour authentifier un dispositif client sans fil, un point
d'accès ne peut pas utiliser EAP pour authentifier un autre point d'accès. Autrement dit, les points d'accès ne peuvent pas s'authentifier entre
eux en utilisant les méthodes d'authentifications ouvertes, partagées ou EAP réseau.
Authentification partagée
Choisissez Shared Authentication (Authentification partagée ) en cochant la case à cocher Shared Authentication. La clé d'authentification
partagé n' e st pas recomandée à cause des failles de sécurité. Utilisez plutôt l'authentification avec EAP ou la clé pré-partagée WPA/WPA2.
Le point d'accès envoie une chaîne de défi non chiffrée à tout dispositif tentant de communiquer avec le point d'accès. Le dispositif demandant
l'authentification chiffre le texte de défi et le renvoie au point d'accès. Si le texte de défi est correctement encodé, le point d'accès autorise le
dispositif demandeur à s'authentifier.
Le défi non chiffré et le défi encodé peuvent être surveillés, toutefois cela laisse le point d'accès ouvert à une attaque d'un intrus qui devine la
clé WEP en comparant les chaînes textuelles non chiffrées et encodées. En raison de cette faiblesse, l'authentification par clé partagée peut être
moins sûre que l'authentification ouverte. Un seul SSID peut utilisé l'authentification partagée. Après avoir choisi l'authentification partagée,
vous pouvez sélectionner la méthode à utiliser dans le menu déroulant. Les choix sont Authentification MAC, EAP ou Authentification MAC et
EAP.
EAP réseau
Choisissez Network EAP (EAP réseau) en cochant la case correspondante. Le dispositif utilise le protocole d'authentification extensible
(Extensible Authentication Protocol – EAP) pour interagir avec un serveur RADIUS compatible EAP sur votre réseau pour fournir
l'authentification des dispositifs client sans fil. Les dispositifs client utilisent des clés WEP dynamiques pour s'authentifier sur le réseau. Aprés
avoir choisi EAP réseau, vous pouvez sélectionner l'authentification MAC.
EAP réseau est nécessaire pour fonctionner avec les dispositis client Cisco qui prennent en charge la méthode d'authentification LEAP.
Habituellemnt, l'authentification ouverte avec EAP est utilisée à défaut de méthode plus sûre.
Détermine comment vous allez utiliser des serveurs RADIUS spécifiques sur ce SSID. Dans les sections serveur EAP et authentification MAC, vous
pouvez choisir d'utiliser les valeurs par défaut ou de personnaliser la priorité à l'aide du menu déroulant. Si vous cliquez pour valider l'utilisation
des valeurs par défaut, cliquez sur le lien Define Defaults pour aller à la page Server Manager (Gestionnaire de serveur).
WPA et CCKM sont les solutions pour la gestion des clés authentifiées. L'accès Wi-Fi protégé (Wi-Fi Protected Access – WPA) s'appuie sur la
version 802.11i de la norme IEEE. WPA prend en charge les algorithmes de chiffrement TKIP et WEP ainsi que 802.1X et EAP pour une
intégration simple avec le système d'authentification existant. La gestion de clé WPA utilise une combinaison de méthodes de chiffrement pour
protéger la communication entre les dispositifs client et le point d'accès.
Actuellement, le gestionnaire de clé WPA prend en charge deux gestionnaires de clé authentifiée mutuellement exclusifs : WPA et WPA-PSK. Si
le gestionnaire d'authentification de clé est WPA, le client et le serveur d'authentification s'authentifient mutuellement en utilisant une
méthode d'authentification EAP (telle que EAP-TLS) et génèrent une clé maîtresse par paire (Pairwise Master Key – PMK). Si le gestionnaire
d'authentification de clé est WPA-PSK, la clé pré-partagée est utilisée directement en PMK.
En utilisant le gestionnaire Cisco Centralized Key Management (CCKM), les dispositifs client authentifiés peuvent naviguer d'un point d'accès à
un autre sans retard perceptible pendant la réassociation. Un point d'accès sur votre réseau se comporte comme un service de domaine sans fil
(WDS) et crée un cache de justificatifs de sécurité pour des dispositifs client compatibles CCKM sur le sous-réseau.
Le cache de justificatifs WDS réduit notablement le temps requis pour la réassociation lorsqu'un dispositif client compatible CCKM navigue vers
un nouveau point d'accès. Pour valider CCKM pour un SSID, vous devez également activer l'authentification Network-EAP. Quand CCKM et
Network EAP sont validés pour un SSID, les dispositifs client utilisant LEAP, EAP-FAST, PEAP/GTC, MSPEAP et EAP-TLS peuvent s'authentifier en
utilisant le SSID. pour valider WPA pour un SSID, vous devez aussi valider l'authentification ouverte ou Network-EAP, ou les deux. Avant de
pouvoir valider CCKM ou WPA, vous devez définir le mode de chiffrement des SSID de VLAN pour une des options de suite de chiffrage.
Utilisez le menu déroulant pour indiquer si vous voulez que la gestion de clé soit obligatoire ou facultative. Vous pouvez sélectionner en même
temps les gestionnaires de clé d'anthentificaion CCKM et WPA pour la radio 802.11b ou 802.11g. Pour la radio 802.11a, seulement un
gestionnaire de clé peut être sélectionné.
Pour prendre en charge les dispositifs client utilisant le gestionnaire de clé WPA, vous devez configurer une cle pré-partagée sur le point d'accès.
Entrez la clé et indiquez si vous saisissez des caractères hexadécimaux ou ASCII.
Si vous utilisez le format hexadécimal, vous devez saisir 64 caractères hexadécimaux pour obtenir une clé de 256 bits. Si vous utilisez le format
ASCII, vous devez saisir un minimum de 8 lettres, chiffres ou symboles, et le point d'accès étendra la clé pour vous. Au maximum vous pouvez
saisir 63 caractères ASCII.
Valider Client MFP sur ce SSID pour protéger le trafic de gestion sans fil entre le client et le point d'accès.
Des justificatifs d'identité sont utilisés pour authentifier le point d'accès sur le réseau. Ceci n' e st pas la même chose que l'authentification de
client.
Publication Rockwell Automation 1783-UM006B-FR-P– Janvier 2015
Définition des paramètres de Stratix 5100 Device Manager
Chapitre 4
113