Tässä kohdassa kuvataan eri suojausmenetelmiä, joilla voidaan suojata WiFi-verkkoja.
802.1X-laillisuustarkistus (Enterprise-suojaus)
Laillisuustarkistuksen yhteyskäytännöt
Jos langatonta verkkoa ei suojata, sitä voidaan käyttää muista tietokoneista. Tässä kohdassa kuvatuilla suojausmenetelmillä voit helposti suojata kotiverkon ja pienen yritysverkon lähes kaikelta luvattomalta käytöltä.
Laillisuustarkistus on toimenpide, jossa tunnistetaan ja hyväksytään asiakaskoneen (yleensä kannettavan tietokoneen) pyyntö käyttää verkkoa tukiaseman kautta. Laillisuustarkistuksen suorittamisen ja käytön hyväksymisen jälkeen, asiakaskone voi käyttää verkkoa.
Voit salata langattomassa verkossa lähetettävät tiedot ja datan valitsemalla käyttöön salausalgoritmeja. Lähetetty data voidaan salata ja sen salaus voidaan purkaa vain tietokoneissa, joissa on ennalta jaetut avaimet. Salausavaimista on olemassa kaksi salaustasoa: 64-bittinen ja 128-bittinen. 128-bittisten avainten käyttäminen tehostaa suojausta.
Yksinkertainen tapa tehostaa verkon suojausta on määrittää, että verkon tukiasema ei yleislähetä SSID (Service Set Identifier) -tunnusta. Käyttöä varten tarvitaan SSID-tunnus. Vain tietokoneet, jotka tuntevat SSID-tunnuksen, voivat käyttää verkkoa. (Sitä ei määritetä sovittimessa käyttämällä Intel(R) PROSet/Wireless WiFi -yhteysapuohjelmaa, vaan tukiasemassa.)
IEEE 802.11 tukee kahta verkon laillisuustarkistusmenetelmää: avointa järjestelmää ja jaettua avainta.
WEP (Wired Equivalent Privacy) -menetelmässä langattoman datan luvaton vastaanotto estetään salausta käyttämällä. WEP-menetelmässä tiedot salataan salausavaimella ennen niiden lähettämistä. Ainoastaan samaa salausavainta käyttävät tietokoneet voivat käyttää verkkoa tai purkaa muiden tietokoneiden lähettämien salattujen tietojen salauksen. WEP-salaus käsittää kaksi suojaustasoa, joista toisessa käytetään 64-bittistä avainta (tähän viitataan joskus 40-bittisenä avaimena) ja toisessa 128-bittistä avainta (tunnetaan myös 104-bittisenä avaimena). Suojaus on tehokkaampi käytettäessä 128-bittistä avainta. Salausta käytettäessä langattoman lähiverkon kaikkien langattomien laitteiden on käytettävä samoja salausavaimia.
WEP-salauksessa langattomalle asemalle voidaan määrittää enintään neljä avainta (avainindeksiarvot ovat 1, 2, 3 ja 4). Kun tukiasema tai langaton asema lähettää salatun sanoman käyttämällä tietyllä avainindeksillä tallennettua avainta, lähetetty sanoma ilmaisee avainindeksin, jota käytettiin viestitekstin salaamisessa. Tämän jälkeen vastaanottava tukiasema tai langaton asema voi hakea tällä avainindeksillä tallennetun avaimen ja käyttää sitä salatun sanomatekstin dekoodaamiseen.
Koska WEP-salausavain on arka verkkohyökkäyksille, harkitse WPA-Personal- tai WPA2-Personal-suojauksen käyttämistä.
WPA Personal -tila on tarkoitettu käytettäväksi kodeissa ja pienissä toimistoissa. WPA Personal -tilassa tukiasemiin ja asiakaskoneisiin pitää määrittää PSK-avain manuaalisesti. Laillisuustarkistuspalvelinta ei tarvita. Tukiasemaan määritettyä salasanaa pitää käyttää tässä tietokoneessa ja langattoman verkon kaikissa muissa langattomissa laitteissa. Suojaus riippuu salasanan voimakkuudesta ja salaisuudesta. Mitä pidempi salasana on, sitä tehokkaampi on langattoman verkon suojaus. Jos langaton tukiasema tai reititin tukee WPA-Personal- ja WPA2-Personal-suojausta, ota se käyttöön tukiasemassa ja määritä pitkä ja tehokas salasana. WPA-Personal antaa käyttöön TKIP- ja AES-CCMP-salausalgoritmit.
WPA2-Personal -tilassa tukiasemiin ja asiakaskoneisiin pitää määrittää PSK-avain manuaalisesti. Laillisuustarkistuspalvelinta ei tarvita. Tukiasemaan määritettyä salasanaa pitää käyttää tässä tietokoneessa ja langattoman verkon kaikissa muissa langattomissa laitteissa. Suojaus riippuu salasanan voimakkuudesta ja salaisuudesta. Mitä pidempi salasana on, sitä tehokkaampi on langattoman verkon suojaus. WPA2 on WPA:n parannus, joka on täysin yhteensopiva IEEE 802.11i -standardin kanssa. WPA2 on takautuvasti yhteensopiva WPA:n kanssa. WPA2-Personal antaa käyttöön TKIP- ja AES-CCMP-salausalgoritmit.
HUOMAUTUS: WPA-Personal ja WPA2-Personal toimivat yhdessä.
Tässä kohdassa kuvataan suurissa yrityksissä yleisesti käytettävä suojaus.
Yleiskuvaus
RADIUS
802.1X-laillisuustarkistuksen toiminta
802.1X-ominaisuudet
802.1X-laillisuustarkistus on riippumaton 802.11-laillisuustarkistusprosessista. 802.11-standardi muodostaa puitteet erilaisille laillisuustarkistus- ja avaintenhallintayhteyskäytännöille. On olemassa erilaisia 802.1X-laillisuustarkistustyyppejä, joista kukin muodostaa erilaisen lähestymistavan laillisuustarkistukseen käyttämällä samaa 802.11-yhteyskäytäntöä ja tietoliikennekehystä asiakkaan ja tukiaseman välillä. Useimmissa yhteyskäytännöissä 802.1X-laillisuustarkistuksen suorittamisen jälkeen asiakaskone vastaanottaa avaimen, jota se käyttää tiedon salaamiseen. Lisätietoja on kohdassa 802.1X-laillisuustarkistuksen toiminta. 802.1X-laillisuustarkistuksessa käytetään laillisuustarkistusmenetelmää asiakkaan ja tukiasemaan kytketyn palvelimen (esimerkiksi RADIUS (Remote Authentication Dial-In User Service) -palvelimen) välillä. Laillisuustarkistusprosessissa käytetään käyttäjätietoja, kuten käyttäjän salasanaa, jota ei lähetetä langattoman verkon kautta. Useimmat 802.1X-tyypit tukevat käyttäjä- ja istuntokohtaisia dynaamisia avaimia salasanasuojauksen vahvistamiseksi. 802.1X-laillisuustarkistus hyödyntää olemassa olevaa laillisuustarkistusyhteyskäytäntöä, EAP (Extensible Authentication Protocol) -yhteyskäytäntöä.
Langattoman verkon 802.1X-laillisuustarkistus käsittää kolme pääkomponenttia:
802.1X-laillisuustarkistus käynnistää laillisuustarkistuspyynnön langattomasta asiakkaasta tukiasemaan, joka tarkistaa asiakkaan laillisuuden EAP (Extensible Authentication Protocol) -yhteensopivaan RADIUS-palvelimeen. RADIUS-palvelin voi tarkistaa joko käyttäjän (salasanojen tai sertifikaattien kautta) tai järjestelmän (MAC-osoitteen kautta) laillisuuden. Teoriassa langattoman asiakkaan ei sallita liittyvän verkkoon, ennen kuin tämä tapahtuma on valmis. (Kaikissa laillisuustarkistusmenetelmissä ei käytetä RADIUS-palvelinta. WPA-Personal ja WPA2-Personal käyttävät yhetistä salasanaa, joka pitää antaa tukiasemassa ja kaikissa laitteissa, jotka pyytävät verkon käyttöä.)
802.1X:n kanssa voidaan käyttää useita laillisuustarkistusalgoritmeja. Joitakin esimerkkejä: EAP-TLS, EAP-TTLS, PEAP (Protected EAP) ja LEAP (EAP Cisco Wireless Light Extensible Authentication Protocol). Nämä kaikki ovat menetelmiä, joilla RADIUS-palvelin voi tunnistaa langattoman asiakkaan. RADIUS-laillisuustarkistuksessa käyttäjien henkilöllisyydet tarkistetaan tietokannoista. RADIUS käsittää joukon AAA (Authentication, Authorization ja Accounting) -standardeja. RADIUS sisältää välityspalvelinprosessin asiakkaiden todentamiseksi monipalvelinympäristössä. IEEE 802.1X -standardi antaa käyttöön mekanismin porttiperustaisten langattomien 802.11-verkkojen ja 802.11-Ethernet-kaapeliverkkojen hallinta- ja laillisuustarkistuskäyttöä. Porttiperustainen verkkokäytön hallinta on samanlainen kuin kytkentäisen lähiverkon perusrakenne, joka tarkistaa lähiverkkoporttiin kytkettyjen laitteiden laillisuuden ja estää tämän portin käyttämisen, jos laillisuustarkistus epäonnistuu.
RADIUS (Remote Authentication Dial-In User Service) on AAA (Authorization, Authentication, and Accounting) asiakaspalvelinyhteyskäytäntö, jota käytetään AAA-puhelinverkkoasiakkaan kirjautuessa verkkokäyttöpalvelimeen tai siitä ulos. Tyypillisesti Internet-palveluntarjoajat (ISP:t) käyttävät RADIUS-palvelinta AAA-tehtävien suorittamiseen. AAA-vaiheet ovat seuraavat:
Alla on yksinkertaistettu kuvaus 802.1X-laillisuustarkistuksen toiminnasta.
Windows XP tukee seuraavia laillisuustarkistusmenetelmiä:
Katso Avoin-laillisuustarkistus.
Katso Jaettu-laillisuustarkistus.
Katso WPA-Personal.
Katso WPA2-Personal.
Enterprise-tila on yritys- ja virastokäyttöön tarkoitettu laillisuustarkistusmenetelmä. WPA-Enterprise-tila varmentaa verkon käyttäjät RADIUS-palvelimen tai muun laillisuustarkistuspalvelimen avulla. WPA:ssa käytetään 128-bittisiä salausavaimia ja dynaamisia istuntoavaimia varmistamaan langattoman verkon yksityisyys ja yrityksen suojaus. Laillisuustarkistuksen tyyppi valitaan vastaamaan 802.1X-palvelimen laillisuustarkistusyhteyskäytäntöä.
WPA-Enterprise-tila on yritys- ja virastokäyttöön tarkoitettu laillisuustarkistusmenetelmä. WPA2-Enterprise-tila varmentaa verkon käyttäjät RADIUS-palvelimen tai muun laillisuustarkistuspalvelimen avulla. WPA2:ssa käytetään 128-bittisiä salausavaimia ja dynaamisia istuntoavaimia varmistamaan langattoman verkon yksityisyys ja yrityksen suojaus. Laillisuustarkistuksen tyyppi valitaan vastaamaan 802.1X-palvelimen laillisuustarkistusyhteyskäytäntöä. Enterprise-tila on tarkoitettu yritys- ja virastokäyttöön. WPA2 on WPA:n parannus, joka on täysin yhteensopiva IEEE 802.11i -standardin kanssa.
Advanced Encryption Standard - Counter CBC-MAC Protocol. IEEE 802.11i -standardissa määritetty uusi menetelmä langattomien lähetysten luottamuksellisuuden suojaamista varten. AES-CCMP antaa käyttöön tehokkaamman salauksen kuin TKIP. Valitse AES-CCMP suojausmenetelmäksi aina, kun tietojen tehokas suojaus on tärkeää. AES-CCMP on käytettävissä verkon WPA/WPA2 Personal/Enterprise -laillisuustarkistuksessa.
HUOMAUTUS: Tietokoneen käyttöjärjestelmä ei ehkä tue joitakin suojausratkaisuja ja tietokoneeseen voi olla tarpeen asentaa lisäohjelmistoa ja/tai erityislaitteistoa sekä tuki langattoman lähiverkon perusrakennetta varten. Yksityiskohtaisia lisätietoja saat tietokoneen valmistajalta.
TKIP (Temporal Key Integrity Protocol) antaa käyttöön avainten pakettikohtaisen sekoituksen, sanoman yhtenäisyystarkistuksen ja uudelleenavainnusmekanismin. TKIP on käytettävissä verkon WPA/WPA2 Personal/Enterprise -laillisuustarkistuksessa.
Katso CKIP.
WEP (Wired Equivalent Privacy) -menetelmässä langattoman datan luvaton vastaanotto estetään salausta käyttämällä. WEP-menetelmässä tiedot salataan salausavaimella ennen niiden lähettämistä. Ainoastaan samaa salausavainta käyttävät tietokoneet voivat käyttää verkkoa tai purkaa muiden tietokoneiden lähettämien salattujen tietojen salauksen. Enterprise-WEP ei ole täysin samalnlainen kuin Personal-WEP, koska siinä voi valita Avoin-laillisuustarkistuksen, valita Ota käyttöön 802.1X ja sitten valita jonkin kaikista asiakaslaillisuustarkistustyypeistä. Laillisuustarkistustyyppien valinta ei ole käytettävissä Personal-WEP-menetelmässä.
Eräs laillisuustarkistusmenetelmä, jossa käytetään EAP (Extensible Authentication Protocol) -yhteyskäytäntöä ja TLS (Transport Layer Security) -suojausyhteyskäytäntöä. EAP-TLS:ssä käytetään salasanoja käyttäviä sertifikaatteja. EAP-TLS-laillisuustarkistus tukee dynaamista WEP-avainten hallintaa. TLS-yhteyskäytännön tarkoituksena on tietoja salaamalla suojata tietoliikenne ja varmistaa sen laillisuus julkisessa verkossa. TLS Handshake -yhteyskäytäntö sallii palvelimen ja asiakkaan varmistaa toistensa laillisuus ja neuvotella salausalgoritmi sekä salausavaimet ennen tietojen lähettämistä.
Nämä asetukset määrittävät käyttäjän varmentamisessa käytettävät käyttäjätiedot. TTLS (Tunneled Transport Layer Security) -laillisuustarkistuksessa asiakas käyttää EAP-TLS-menetelmää palvelimen laillisuuden tarkistamiseksi ja TLS-salatun kanavan luomiseksi asiakkaan ja palvelimen välille. Asiakkaassa voidaan käyttää muuta laillisuustarkistusyhteyskäytäntöä. Tyypillisesti salasanaan perustuvat yhteyskäytännöt ohittavat näkymättömän TLS-salatun kanavan. Nykyiset TTLS-toteutukset tukevat kaikkia EAP-menetelmiä sekä useita vanhempia menetelmiä (PAP, CHAP, MS-CHAP ja MS-CHAP-V2). TTLS voidaan helposti laajentaa toimimaan uusien yhteyskäytäntöjen kanssa määrittämällä siihen uusia yhteyskäytäntöjä tukevia määritteitä.
PEAP on uusi EAP (Extensible Authentication Protocol) IEEE 802.1X -laillisuustarkistustyyppi, joka on suunniteltu hyödyntämään palvelinpuolen EAP-TLS:ää (EAP-Transport Layer Security) ja tukemaan eri laillisuustarkistusmenetelmiä, mukaan lukien käyttäjän salasanat ja kertakäyttöiset salasanat, Generic Token Card -tunnuksia.
EAP (Extensible Authentication Protocol) -yhteyskäytännön versio. LEAP (Light Extensible Authentication Protocol) on Ciscon oma EAP-yhteyskäytäntö, joka antaa käyttöön haaste-vastaus-laillisuustarkistusmekanismin ja avainten dynaamisen määrittämisen.
Extensible Authentication Protocol Method for GSM Subscriber Identity (EAP-SIM) on mekanismi, jota käytetään laillisuustarkistuksessa ja istuntoavaimen jakelussa. Siinä käytetään GSM (Global System for Mobile Communications) -järjestelmän SIM (Subscriber Identity Module) -korttia. EAP-SIM-laillisuustarkistuksessa käytetään tiedon salaamisessa istuntopohjaista WEP-avainta, joka saadaan asiakassovittimesta ja RADIUS-palvelimesta. EAP-SIM vaatii käyttäjää antamaan käyttäjävarmenteen eli PIN-tunnuksen viestimiseen SIM (Subscriber Identity Module) -kortin kanssa. SIM-kortti on erityinen älykortti, jota käytetään GSM-pohjaisissa digitaalisissa solukkoverkoissa. Julkaisussa RFC 4186 määritetään EAP-SIM.
EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) on laillisuustarkistuksen ja istunnon avaimen jakamisen EAP-mekanismi, jossa käytetään the Universal Mobile Telecommunications System (UMTS) -järjestelmän Subscriber Identity Module (USIM) -korttia. USIM-kortti on matkapuhelinverkoissa käytettävä erikoisälykortti, jota käytetään tietyn käyttäjän varmentamiseen verkossa.
PAP (Password Authentication Protocol) on kaksisuuntainen kättely-yhteyskäytäntö, joka on tarkoitettu käytettäväksi PPP:n kanssa. PAP on pelkkä salasana, jota käytettiin vanhoissa SLIP-järjestelmissä. Se ei ole turvallinen. Käytettävissä vain TTLS-laillisuustarkistuksessa.
CHAP (Challenge Handshake Authentication Protocol) on kolmisuuntainen kättely-yhteyskäytäntö, jota pidetään PAP:tä turvallisempana. Käytettävissä vain TTLS-laillisuustarkistuksessa.
Tässä menetelmässä käytetään RSA Message Digest 4 -haaste-vastaus-yhteyskäytännön Microsoft-versiota. Se toimii ainoastaan Microsoft-järjestelmissä ja antaa käyttöön tiedon salauksen. Tämän laillisuustarkistuksen ottaminen käyttöön aiheuttaa kaiken datan salaamisen. Käytettävissä vain TTLS-laillisuustarkistuksessa.
Sisältää salasanan vaihtamisominaisuuden, jota ei ole käytettävissä MS-CHAP-V1-laillisuustarkistuksessa eikä tavallisessa CHAP-laillisuustarkistuksessa. Tämän ominaisuuden ansiosta asiakas voi vaihtaa tilin salasanan, jos RADIUS-palvelin ilmoittaa salasanan vanhentuneen. Käytettävissä TTLS- ja PEAP-laillisuustarkistuksissa.
Sisältää käyttäjäkohtaiset tunnistekortit laillisuustarkistusta varten. GTC:n tärkein ominaisuus on digitaaliseen sertifikaattiin tai tunnistekorttiin perustuva laillisuustarkistus. Lisäksi GTC:ssä kyetään piilottamaan käyttäjänimi-identiteetit, kunnes TLS-salattu tunneli on muodostettu, mikä antaa käyttöön lisäsuojauksen, koska käyttäjänimiä ei yleislähetetä laillisuustarkistusvaiheen aikana. Käytettävissä vain PEAP-laillisuustarkistuksessa.
TLS-yhteyskäytännön tarkoituksena on tietoja salaamalla suojata tietoliikenne ja varmistaa sen laillisuus julkisessa verkossa. TLS Handshake -yhteyskäytäntö sallii palvelimen ja asiakkaan varmistaa toistensa laillisuus ja neuvotella salausalgoritmi sekä salausavaimet ennen tietojen lähettämistä. Käytettävissä vain PEAP-laillisuustarkistuksessa.
Cisco LEAP (Cisco Light EAP) on palvelimen ja asiakkaan 802.1X-laillisuustarkistus käyttäjän toimittaman kirjautumissalasanan avulla. Kun langaton tukiasema viestii Cisco LEAP -yhteensopivan RADIUS-palvelimen (Cisco Secure Access Control Server (ACS) -palvelimen) kanssa, Cisco LEAP mahdollistaa käytönhallinnan langattomien asiakassovittimien ja langattomien verkkojen keskinäisen laillisuustarkistuksen kautta ja antaa käyttöön dynaamiset, käyttäjäkohtaiset salausavaimet, jotka helpottavat lähetettävien tietojen salaamista.
Cisco Rogue AP -ominaisuus antaa käyttöön suojan epäluotettavilta tukiasemilta, jotka voivat jäljitellä verkon laillisia tukiasemia saadakseen tietoonsa käyttäjätietoja ja laillisuustarkistuksen yhteyskäytäntöjä, mikä voi vaarantaa tietoturvan. Tämä ominaisuus on käytettävissä vain Ciscon LEAP-laillisuustarkistuksen kanssa. 802.11-vakiotekniikka ei suojaa verkkoa epäluotettavilta tukiasemilta. Lisätietoja on kohdassa LEAP-laillisuustarkistus.
Toiset tukiasemat, kuten Cisco 350 ja Cisco 1200, tukevat ympäristöjä, joissa kaikki asiakasasemat eivät tue WEP-salausta. Tätä kutsutaan sekasolutilaksi. Kun tällainen langaton verkko toimii valinnaisessa salaustilassa, WEP-tilassa siihen liittyvät asiakasasemat lähettävät kaikki sanomat salattuina ja vakiotilaa käyttävät asemat lähettävät kaikki sanomat salaamattomina. Nämä tukiasemat ilmoittavat, että verkossa ei käytetä salausta, mutta sallivat WEP-tilaa käyttävät asiakkaat. Kun sekasolutila on otettu käyttöön profiilissa, on mahdollista muodostaa yhteys tukiasemiin, joissa salaus on määritetty valinnaiseksi.
Cisco Key Integrity Protocol (CKIP) on Ciscon oma suojausyhteyskäytäntö tietojen salaamiseksi 802.11-tietovälineissä. CKIP parantaa 802.11-suojausta perusrakennetilassa hyödyntämällä seuraavia ominaisuuksia:
HUOMAUTUS: CKIP:tä ei käytetä verkon WPA/WPA2 Personal/Enterprise -laillisuustarkistuksessa.
HUOMAUTUS: CKIP:tä tuetaan vain käytettäessä WiFi-yhteysapuohjelmaa Windows XP -tietokoneessa.
Kun langaton lähiverkko on määritetty nopeaa uudelleenliittämistä varten, LEAP:ta käyttävä asiakaslaite voi siirtyä tukiasemasta toiseen ilman, että pääpalvelimen tarvitsee puuttua tähän. Käyttämällä Cisco Centralized Key Management (CCKM) -ominaisuutta Wireless Domain Services (WDS) -palveluita muodostamaan määritetty tukiasema ottaa RADIUS-palvelimen paikan ja suorittaa asiakkaan laillisuustarkistuksen ilman havaittavaa viivettä puhesovelluksissa tai muissa aikaherkissä sovelluksissa.
Toiset tukiasemat, kuten Cisco 350 ja Cisco 1200, tukevat ympäristöjä, joissa kaikki asiakasasemat eivät tue WEP-salausta. Tätä kutsutaan sekasolutilaksi. Kun tällaiset langattomat verkot toimivat valinnaisessa salaustilassa, WEP-tilassa liittyvät asiakasasemat lähettävät kaikki sanomat salattuina ja vakiotilaa käyttävät asemat lähettävät kaikki sanomat salaamattomina. Nämä tukiasemat ilmoittavat, että verkossa ei käytetä salausta, mutta sallivat WEP-tilaa käyttävät asiakkaat. Kun sekasolutila on otettu käyttöön profiilissa, on mahdollista muodostaa yhteys tukiasemiin, joissa salaus on määritetty valinnaiseksi.
Kun tämä toiminto on käytössä, WiFi-sovitin huolehtii Cisco-perusrakenteen radiohallinnasta. Jos perusrakenteessa käytetään Cisco Radio Management -apuohjelmaa, se määrittää radioparametrit, tunnistaa häiriöt ja Rogue-tukiasemat.
EAP-FAST:ssä liikenne suojataan EAP-TTLS:n ja PEAP:n tavoin käyttämällä tunnelointia. Suurin ero on se, että EAP-FAST:ssä ei käytetä sertifikaatteja laillisuuden tarkistamiseksi. EAP-FAST:ssä asiakas neuvottelee käyttöönoton yksin ensimmäisessä tiedonvaihdossa, kun EAP-FAST:tä vaaditaan palvelimesta. Jos asiakkaalla ei ole ennalta jaettua salaista PAC (Protected Access Credential) -tietoa, se voi pyytää aloittamaan käyttöönoton EAP-FAST-tiedonvaihdon tällaisen saamiseksi palvelimesta.
EAP-FAST:ssä käytetään kahta menetelmää PAC:n toimittamiseksi: manuaalinen toimitus kaistan ulkopuolisen suojatun mekanismin kautta ja automaattinen käyttöönotto.
EAP-FAST-menetelmä jakautuu kahteen osaan: käyttöönotto ja laillisuustarkistus. Käyttöönottovaihe käsittää PAC-tiedon ensitoimituksen asiakkaaseen. Tämä vaihe on suoritettava vain kerran asiakasta ja käyttäjää kohti.