Questa sezione spiega come configurare la sicurezza wireless per la rete wireless. La scheda della stampante di rete Samsung supporta varie caratteristiche di sicurezza, come WEP statico, IEEE 802.1x e WPA, per proteggere la rete contro l'accesso non autorizzato, e fornisce tre modalità di sicurezza:
• Nessuno: è utilizzata quando la validazione dell'identità e della crittatura dei dati del dispositivo wireless non è necessaria per la rete. Il sistema aperto è usato per l'autenticazione IEEE 802.11.
• WEP statico: utilizza l'algoritmo WEP (Wired Equivalent Privacy) suggerito dallo standard IEEE 802.11 per l'autenticazione. La modalità di sicurezza WEO statico richiede una chiave WEP adeguata per la crittatura e la decrittatura dei dati e per l'autenticazione IEEE 802.11.
• Sicurezza migliorata: fornisce maggiore sicurezza e una migliore gestione delle chiavi rispetto al WEP statico, grazie all'autenticazione IEEE 802.1xEAP, al WPA-PSK e alla crittatura dinamica, come WEP, TKIP e AES dinamico Nella modalità Sicurezza migliorata, esistono quattro
autenticazioni, a seconda dell'autenticazione WPA e dell'autenticazione 802.1x:
Ambiente di rete wireless 6.5
- Autenticazione WPA-PSK: è possibile selezionare WPA-PSK per autenticare il server di stampa in base alla chiave precondivisa WPA. Utilizza una chiave segreta condivisa (generalmente chiamata frase di autorizzazione a chiave precondivisa) che è configurata manualmente sul punto di accesso di ciascuno dei relativi client. Questa chiave è idonea per gli utenti che desiderano utilizzare WPA, ma non hanno un server RADIUS installato nella rete.
- Autenticazione EAP-TLS: EAP-TLS utilizza certificati digitali conformi allo standard X.509 sia per
l'autenticazione del client che del server di rete. I certificati principale e i certificati client devono essere installati sul server di stampa.
- Autenticazione EAP-TTLS: EAP-TTLS utilizza un certificato digitale conforme allo standard X.509 per l'autenticazione del server di rete. Questo richiede anche un nome utente 802.1x, una password utente, un'identità TTLS utilizzata dai protocolli di autenticazione interni per l'autenticazione client su una connessione sicura.
- Autenticazione PEAP: PEAP è simile a EAP-TTLS. Utilizza anche un certificato digitale conforme allo standard X.509 per l'autenticazione del server di rete e richiede un nome utente e una password 802.1x utilizzati dai protocolli di autenticazione interni per l'autenticazione del client su una connessione sicura.
Inoltre, è possibile configurare i relativi parametri per l'uso di una modalità di sicurezza speciale. La seguente tabella riepiloga le modalità di sicurezza e le opzioni di autenticazione disponibili sul server di stampa di rete Samsung e descrive le caratteristiche di ciascuna opzione:
Modalità sicurezza
Metodo di autenticazione
utilizzato
Metodo di crittatura utilizzato
Nessuno Sistema aperto Nessuna crittatura WEP
NOTA: il server di stampa di rete Samsung fornisce
l'autenticazione “Nessuno” e WEP statico senza 802.1x nella modalità Ad-hoc, mentre “Nessuno”, WEP statico con autenticazione 802.1x e Sicurezza migliorata vengono forniti nella modalità Infrastruttura.
Prima di tutto è possibile scegliere una delle modalità di sicurezza e configurare altri parametri per ciascuna modalità di sicurezza.
Impostazioni della modalità di sicurezza
“Nessuno”
Utilizza Sistema aperto per l'autenticazione IEEE 802.11 e non richiede l'impostazione di parametri aggiuntivi.
Impostazioni della modalità di sicurezza WEP statica
Per utilizzare WEP statico, è necessario configurare i seguenti parametri:
• Autenticazione IEEE 802.11: consente di scegliere una delle seguenti autenticazioni IEEE 802.11:
- Sistema aperto: è utilizzato se la rete wireless non richiede l'autenticazione per l'accesso alla rete. Tuttavia, la rete potrebbe comunque utilizzare le chiavi di crittatura per la sicurezza dei dati.
- Chiave condivisa: utilizzare l'autenticazione Chiave condivisa se la rete richiede che ciascun dispositivo sia configurato con lo stessa chiave WEP segreta per l'accesso di rete.
• Crittatura WEP: consente di scegliere WEP a 64 bit o WEP a 128 bit. Se la propria rete utilizza le chiavi di crittatura WEP, è necessario configurarle.
Sicurezza migliorata
WPA-PSK Uso della gestione dinamica delle chiavi TKIP e AES
EAP-TLS Uso della gestione dinamica delle chiavi TKIP, AES, WEP a 64 bit e WEP a 128 bit
EAP-TTLS Uso della gestione dinamica delle chiavi TKIP, AES, WEP a 64 bit e WEP a 128 bit
PEAP Uso della gestione
dinamica delle chiavi TKIP, AES, WEP a 64 bit e WEP
Metodo di crittatura utilizzato
Ambiente di rete wireless 6.6
• Chiave 1/2/3/4: se la rete utilizza le chiavi di crittatura WEP, è necessario specificare una chiave di crittatura WEP statica.
È possibile configurare fino a quattro chiavi. La chiave attiva (chiamata chiave d'uso) deve corrispondere al valore e alla posizione della chiave attiva (ad esempio, Chiave 1) configurata sugli altri dispositivi wireless. È necessario configurare le dimensioni della chiave appropriate in base al formato di ingresso della chiave WEP e al tipo di chiave di crittatura WEP. La tabella seguente mostra come configurare le chiavi di crittatura utilizzando i valori HEX o ASCII.
• Autenticazione 802.1x: consente di scegliere una delle autenticazioni IEEE 802.1x: Nessuna, EAP-MD5 o EAP-MSCHAPv2.
• Nome utente: i metodi di autenticazione 802.1x EAP, come EAP-MD5, EAP-MSCAHPv2, EAP-TTLS e PEAP, richiedono un nome utente EAP come nome dell'account.
Se l'autenticazione 802.1x è attivata, è necessario un nome utente composto da un massimo di 31 caratteri. Non viene salvato come valore predefinito.
• Password utente: i metodi di autenticazione 802.1x EAP, come EAP-MD5, EAP-MSCAHPv2, EAP-TTLS e PEAP, richiedono una password utente EAP come password dell'account. Se l'autenticazione 802.1x è attivata, è necessaria una password composta da un massimo di 15 caratteri. Non viene salvato come valore predefinito.
Impostazioni della modalità Sicurezza migliorata
• Autenticazione WPA: WPA supporta WPA-PSK ed IEEE 802.1x per l'autenticazione. Scegliere uno dei due metodi di autenticazione.
• Crittatura: consente di scegliere uno dei tipi di chiave di crittatura: TKIP, AES, WEP a 64 bit o WEP a 128 bit. WPA supporta TKIP e AES per la crittatura dei dati.
• Chiave condivisa WPA: se si sta usando WPA-PSK, la chiave condivisa WPA del server di stampa deve essere identica a quella di un punto di accesso. La chiave condivisa WPA viene usata per autenticare e creare una chiave di sessione principale.
• Autenticazione 802.1x: è necessario selezionare un metodo di autenticazione supportato da un server RADIUS.
Il metodo di autenticazione è determinato dalla negoziazione tra i client e il server. Pertanto, non è necessario che l'autenticazione selezionata abbia una priorità superiore su un server RADIUS. Le autenticazioni disponibili sono NONE, EAP-MD5, EAP MSCHAPv2 nell'autenticazione 802.1x sulla sicurezza WEB statica.
Chiave Formato esadecimale Formato ASCII WEP 64 bit 10 cifre (0 ~ 9, A ~ F) 5 caratteri
alfanumerici WEP 128 bit 26 cifre (0 ~ 9, A ~ F) 13 caratteri alfanumerici
• Protocollo di autenticazione interno: EAP-TTLS e PEAP consentono i protocolli RADIUS standard all'interno del loro tunnel interno. L'autenticazione dell'utente viene eseguita mediante una password. Le credenziali della password vengono trasportate in un tunnel ben crittato stabilito usando il certificato del server. EAP-TTLS supporta EAP-MD5, CHAP, MS-CHAP e MS-CHAPv2. PEAP supporta EAP-MD5 e MSCHAPv2 come autenticazioni interne.
• Nome identità: EAP-TTLS ha una caratteristica univoca, Identità TTLS, che gli altri protocolli di autenticazione EAP non offrono. Trasmette il nome utente attraverso un tunnel crittato (generalmente chiamato TLS con tunnel) come credenziali. Utilizza Identità TTLS come credenziali, prima della creazione del tunnel crittato.
• Nome utente: i metodi di autenticazione 802.1x EAP, come EAP-MD5, EAP-MSCAHPv2, EAP-TTLS e PEAP, richiedono un nome utente EAP come nome dell'account. È necessario un nome utente, se è attivata l'autenticazione 802.1x. Non viene salvato come valore predefinito.
• Password utente: i metodi di autenticazione 802.1x EAP, come EAP-MD5, EAP-MSCAHPv2, EAP-TTLS e PEAP, richiedono una password utente EAP come password dell'account. È necessaria una password utente, se è attivata l'autenticazione 802.1x. Non viene salvato come valore predefinito.
• Certificato principale: consente di installare un certificato principale. Per essere installato sulla scheda della stampante di rete wireless Samsung, un certificato principale deve essere nel formato di Base64 Encoded X.509 con l'estensione .cer ed essere inferiore a 3.072 byte. Le autenticazioni EAP-TLS, EAP-TTLS e PEAP hanno bisogno di certificati principale.
1. Fare clic su Configura.
Se il certificato principale è stato configurato, vengono visualizzate informazioni dettagliate sul certificato principale.
2. Selezionare il file del certificato principale.
3. Caricare il file e fare clic su Indietro per tornare alla pagina anteriore.
• Certificato client: consente di installare un certificato client. Per essere installato sulla scheda della stampante di rete wireless Samsung, un certificato client deve essere nel formato di PKCS #12 / Personal Information Exchange con l'estensione .pfx ed essere inferiore a 3.072 byte.
L'autenticazione EAP-TLS ha bisogno di un certificato client.
1. Fare clic su Configura.
Se il certificato client è stato configurato, vengono visualizzate informazioni dettagliate sul certificato client.
2. Selezionare il file del certificato client.
3. Caricare il file e fare clic su Indietro per tornare alla pagina anteriore.
Ambiente di rete wireless 6.7
NOTA: è possibile creare un certificato in un file mediante la console di Windows:
1. Dal menu Start di Windows, selezionare Esegui.
2. Immettere mmc nella finestra di dialogo Esegui.
3. Selezionare File Æ Aggiungi/Rimuovi snap-in.
4. Fare clic su Aggiungi, selezionare Certificato e fare quindi clic su Aggiungi.
5. Nella finestra di dialogo Snap-in del certificato, selezionare Account del computer e fare clic su Avanti Æ Fine Æ Chiudi Æ OK.
6. Selezionare il certificato da trasformare in un file.
• Quando si crea un certificato principale, selezionare uno dei certificati nella cartella dell'autorità di certificazione.
• Quando si crea un certificato client, selezionare uno dei certificati nella cartella personale.
7. Fare clic con il pulsante destro del mouse e selezionare Tutte le attività Æ Esporta.
8. Nell'Esportazione guidata certificati, fare clic su Avanti 9. Selezionare DER encoded X.509 Binary (.cer) per un
certificato principale, oppure PKCS #12 (.PFX) per un certificato client e fare clic su Avanti.
10. Immettere un nome di file e fare clic su Avanti.
11. Fare clic su Fine per chiudere la procedura guidata.
• Attiva validazione certificato server: questa opzione determina se il client autentica o meno il server. Se l'opzione Validazione certificato server è disattivata, l'autenticazione EAP-TTLS e PEAP non richiedono un certificato principale.
Nella modalità Sicurezza migliorata, esistono quattro autenticazioni, a seconda dell'autenticazione WPA e
dell'autenticazione 802.1x. Per usare ciascuna autenticazione nella modalità Sicurezza avanzata, procedere come segue:
Uso di WPA-PSK
1
Impostare Modalità sicurezza su Sicurezza migliorata.2
Impostare Autenticazione WPA su WPA-PSK.3
Scegliere TKIP o AES per la crittatura. Sul punto di accesso deve essere configurato lo stesso algoritmo di crittatura.4
Immettere la chiave condivisa WPA come chiave segreta.Sul punto di accesso deve essere configurata la stessa chiave condivisa WPA.
Uso di EAP-TLS
1
Impostare Modalità sicurezza su Sicurezza migliorata.2
Impostare Autenticazione WPA su IEEE 802.1x.3
Impostare Autenticazione 802.1x su EAP-TLS.4
Scegliere TKIP, AES, WEP 64 bit, o WEP 128 bit per la crittatura. Sul punto di accesso deve essere configurato lo stesso algoritmo di crittatura.5
Installare un certificato principale. Un certificato principale deve essere rilasciato dall'autorità di certificazione (CA) che ha firmato il certificato del server di autenticazione e deve avere il formato Base64 Encoded X.509 con estensione .cer.Deve anche essere inferiore a 3.072 byte.
6
Installare un certificato client. Un certificato client deve essere rilasciato dall'autorità di certificazione (CA) ed è usato per il server RADIUS per convalidare l'identità del server di stampa. Deve essere nel formato PKCS #12 / Personal Information Exchange con estensione .pfx ed essere inferiore a 3.072 byte. È inoltre necessario immettere la stessa password di chiave privata utilizzata quando un certificato client viene rilasciato dalla CA.Uso di EAP-TTLS
1
Impostare Modalità sicurezza su Sicurezza migliorata.2
Impostare Autenticazione WPA su IEEE 802.1x.3
Impostare Autenticazione 802.1x su EAP-TLS.4
Scegliere TKIP, AES, WEP 64 bit, o WEP 128 bit per la crittatura. Sul punto di accesso deve essere configurato lo stesso algoritmo di crittatura.5
Scegliere EAP-MD5, CHAP, MS-CHAP o MS-CHAPv2 per il protocollo di autenticazione interno. Il protocollo di autenticazione interna deve essere supportato dal server RADIUS.6
Impostare un nome Identità contenente 31 caratteri al massimo come altro nome di identità.7
Impostare un nome utente fino a 31 caratteri. Questo nome di account va impostato anche sul server RADIUS.8
Impostare una password utente fino a 15 caratteri. Questa password di account va impostata anche sul server RADIUS.9
Selezionare o deselezionare Attiva validazionecertificato server. Se questa opzione è deselezionata, il server di stampa considera sempre il server RADIUS come un server di autenticazione valido senza certificato principale.
10
Installare un certificato principale. Un certificato principale deve essere emesso dall'autorità di certificazione (CA) che ha firmato il certificato del server di autenticazione e deve avere il formato Base64 Encoded X.509 con estensione .cer.Deve anche essere inferiore a 3.072 byte. Se si deseleziona Attiva validazione certificato server, non è necessario installare un certificato principale.
Ambiente di rete wireless 6.8
Uso di PEAP
1
Impostare Modalità sicurezza su Sicurezza migliorata.2
Impostare Autenticazione WPA su IEEE 802.1x.3
Impostare Autenticazione 802.1x su EAP-TLS.4
Scegliere TKIP, AES, WEP 64 bit, o WEP 128 bit per la crittatura. Sul punto di accesso deve essere configurato lo stesso algoritmo di crittatura.5
Scegliere EAP-MD5 o MS-CHAPv2 per il protocollo di autenticazione interno. Il protocollo di autenticazione interna deve essere supportato dal server RADIUS.6
Impostare un nome utente fino a 31 caratteri. Questo nome di account va impostato anche sul server RADIUS.7
Impostare una password utente fino a 15 caratteri. Questa password di account va impostata anche sul server RADIUS.8
Selezionare o deselezionare Attiva validazione certificato server. Se questa opzione è deselezionata, il server di stampa considera sempre il server RADIUS come un server di autenticazione valido senza certificato principale.9
Installare un certificato principale. Un certificato principale deve essere rilasciato dall'autorità di certificazione (CA) che ha firmato il certificato del server di autenticazione e deve avere il formato Base64 Encoded X.509 con estensione .cer.Deve anche essere inferiore a 3.072 byte. Se si deseleziona Attiva validazione certificato server, non è necessario installare un certificato principale.
NOTA: le modifiche all'impostazione di base wireless verranno applicate dopo il riavvio del server di stampa. Per riavviare il server di stampa, da SyncThru Web Service, selezionare Impostazionirete Æ Reimpostae fare clic su Riavvia o spegnere e riaccendere il server di stampa.
Appendice 7.1