Streszczenie
W tym artykule omówiono nową aktualizację standardu WPA (Wi-Fi Protected Access) w systemie Microsoft Windows XP.
Standard łączności bezprzewodowej 802.11i, opracowany przez organizację Institute of Electrical & Electronics Engineers (IEEE), określa zasady modernizacji zabezpieczeń bezprzewodowych sieci lokalnych (LAN). Aktualnie dostępna jest wersja robocza standardu 802.11i, a ratyfikację standardu zaplanowano na koniec roku 2003. Standard 802.11i umożliwia rozwiązanie wielu problemów dotyczących zabezpieczeń, związanych z oryginalnym standardem 802.11. W związku z ratyfikacją nowego standardu IEEE 802.11i dostawcy rozwiązań w zakresie komunikacji bezprzewodowej uzgodnili zastępczy tymczasowy standard WPA.
Funkcje zabezpieczeń sieci bezprzewodowych WPA
W standardzie WPA uwzględniono następujące funkcje zabezpieczeń:
Uwierzytelnianie WPA
Uwierzytelnianie 802.1x jest wymagane w przypadku standardu WPA. W standardzie 802.11 uwierzytelnianie 802.1x było opcjonalne.
W przypadku środowisk bez infrastruktury RADIUS (Remote Authentication Dial-In User Service) standard WPA uwzględnia korzystanie z klucza wstępnego. W środowiskach z infrastrukturą RADIUS obsługiwany jest protokół EAP (Extensible Authentication Protocol) i protokół RADIUS.
Zarządzanie kluczami WPA
W standardzie 802.1x ponowne wprowadzanie kluczy szyfrowania emisji pojedynczej jest opcjonalne. Ponadto standardy 802.11 i 802.1x nie zapewniają mechanizmu zmiany globalnego klucza szyfrowania, używanego do obsługi ruchu sieciowego związanego z multiemisją i emisją. W przypadku standardu WPA wymagane jest ponowne wprowadzanie zarówno kluczy szyfrowania emisji pojedynczej, jak i globalnych kluczy szyfrowania. W przypadku klucza szyfrowania emisji pojedynczej protokół TKIP (Temporal Key Integrity Protocol) zmienia klucz dla każdej ramki, a zmiana jest synchronizowana między klientem bezprzewodowym i punktem dostępu bezprzewodowego (AP). W przypadku globalnego klucza szyfrowania w standardzie WPA uwzględniono możliwość anonsowania zmienionego klucza przez punkt dostępu bezprzewodowego na podłączonych komputerach klientów bezprzewodowych.
Protokół TKIP (Temporal Key Integrity Protocol)
W przypadku standardu 802.11 szyfrowanie WEP (Wired Equivalent Privacy) jest opcjonalne. W przypadku standardu WPA wymagane jest szyfrowanie przy użyciu protokołu TKIP. Protokół TKIP zastępuje protokół WEP, zapewniając nowy algorytm szyfrowania, który jest silniejszy niż algorytm WEP, jednak używa funkcji obliczeniowych istniejących urządzeń bezprzewodowych do wykonywania operacji związanych z szyfrowaniem. W protokole TKIP uwzględniono również następujące funkcje:
• |
Weryfikacja konfiguracji zabezpieczeń po ustaleniu kluczy szyfrowania. |
• |
Synchronizowana zmiana klucza szyfrowania emisji pojedynczej dla każdej ramki. |
• |
Ustalanie unikatowego początkowego klucza szyfrowania emisji pojedynczej dla każdego uwierzytelniania opartego na kluczu wstępnym. |
Metoda Michael
W przypadku protokołów 802.11 i WEP integralność danych jest zapewniona przez 32-bitową wartość sprawdzania integralności (ICV) dołączaną do ładunku protokołu 802.11 i szyfrowaną przy użyciu protokołu WEP. Wartość ICV jest szyfrowana, jednak przy użyciu kryptoanalizy można zmieniać bity w zaszyfrowanym ładunku i aktualizować zaszyfrowaną wartość ICV bez wykrycia tej operacji przez odbiorcę.
W przypadku standardu WPA metoda zwana Michael określa nowy algorytm obliczający 8-bajtowy kod integralności wiadomości (MIC) przy użyciu funkcji obliczeniowych istniejących urządzeń bezprzewodowych. Kod MIC jest umieszczany między porcją danych ramki IEEE 802.11 a 4-bajtową wartością ICV. Pole kodu MIC jest szyfrowane razem z danymi ramki i wartością ICV.
Metoda Michael pomaga również zapewnić ochronę pakietów zawierających odpowiedzi. Nowy licznik ramek w ramce IEEE 802.11 pomaga zapobiegać atakom sieciowym ukierunkowanym na pakiety tego typu.
Obsługa szyfrowania AES
Protokół WPA definiuje wykorzystanie standardu AES (Advanced Encryption Standard) jako dodatkowego zastępstwa dla szyfrowania WEP. Nie zawsze można zapewnić zgodność ze standardem AES przez aktualizację oprogramowania układowego istniejącego wyposażenia bezprzewodowego, dlatego zgodność ze standardem AES jest opcjonalna i zależna od obsługi sterownika dostawcy.
Mieszana obsługa klientów bezprzewodowych WPA i WEP
Aby uwzględnić stopniowe przekształcanie sieci bezprzewodowych WEP w sieci zgodne ze standardem WPA, punkt dostępu bezprzewodowego może równocześnie obsługiwać klientów WEP i WPA. Podczas kojarzenia punkt dostępu bezprzewodowego rozpoznaje klientów korzystających z protokołu WEP i protokołu WPA. Mieszana obsługa klientów WEP i WPA stwarza problemy. Globalny klucz szyfrowania nie jest dynamiczny, ponieważ klienci zgodni ze standardem WEP nie mogą obsługiwać klucza tego typu. Wszystkie pozostałe funkcje korzystne dla klientów WPA (włącznie z integralnością) są zachowywane.
Zmiany wymagane do zapewnienia zgodności ze standardem WPA
Standard WPA wymaga wprowadzenia następujących zmian oprogramowania:
• |
Punkty dostępu bezprzewodowego |
• |
Punkty dostępu bezprzewodowego |
• |
Karty sieci bezprzewodowych |
Zmiany punktów dostępu bezprzewodowego
Należy zaktualizować oprogramowanie układowe punktów dostępu bezprzewodowego, aby zapewnić obsługę następujących funkcji:
• |
Nowy element informacyjny WPA |
• |
Dwuetapowe uwierzytelnianie WPA |
• |
TKIP |
• |
Metoda Michael |
• |
Standard AES (opcjonalny) |
Aby uaktualnić punkty dostępu bezprzewodowego w celu zapewnienia zgodności ze standardem WPA, należy uzyskać od dostawcy i pobrać do punktu dostępu bezprzewodowego aktualizację oprogramowania układowego WPA.
Zmiany kart sieci bezprzewodowych
Należy zaktualizować oprogramowanie układowe kart sieciowych, aby zapewnić obsługę następujących funkcji:
• |
Nowy element informacyjny WPA |
• |
Dwuetapowe uwierzytelnianie WPA |
• |
Otwórz folder system, a następnie otwórz folder 802.1x802 (protokół EAP lub klucz wstępny). |
• |
TKIP |
• |
Metoda Michael |
• |
Standard AES (opcjonalny) |
Aby uaktualnić karty sieci bezprzewodowych w celu zapewnienia zgodności ze standardem WPA, należy uzyskać aktualizację WPA od dostawcy karty sieci bezprzewodowej i zaktualizować sterownik karty.
W przypadku klientów bezprzewodowych systemu Windows należy uzyskać zaktualizowany sterownik karty sieci bezprzewodowej zgodny ze standardem WPA. W przypadku sterowników kart sieci bezprzewodowej zgodnych z systemem Windows XP (dodatek Service Pack 1) zaktualizowany sterownik karty sieciowej musi być zdolny do przekazywania informacji dotyczących funkcji WPA i konfiguracji zabezpieczeń karty do usługi konfiguracji zerowej sieci bezprzewodowej (WZC, Wireless Zero Configuration).
Firma Microsoft współpracowała z wieloma dostawcami rozwiązań w zakresie komunikacji bezprzewodowej w celu osadzenia aktualizacji oprogramowania układowego WPA w sterowniku karty sieci bezprzewodowej. Aby zaktualizować klienta bezprzewodowego systemu Windows, wystarczy więc uzyskać i zainstalować nowy sterownik zgodny ze standardem WPA. Oprogramowanie układowe jest aktualizowane automatycznie podczas ładowania sterownika karty sieci bezprzewodowej w systemie Windows.
Zmiany oprogramowania klientów bezprzewodowych
Należy zaktualizować oprogramowanie klientów bezprzewodowych, aby zezwolić na konfigurację uwierzytelniania WPA (i uwierzytelniania opartego na kluczu wstępnym) oraz nowych algorytmów szyfrowania WPA (protokół TKIP i opcjonalny składnik AES).
W przypadku klientów bezprzewodowych, na których jest uruchomiony system Windows XP z dodatkiem Service Pack 1 (SP1), korzystających z karty sieci bezprzewodowej zgodnej z usługą konfiguracji zerowej sieci bezprzewodowej, należy uzyskać i zainstalować klienckie oprogramowanie WPA systemu Windows. W przypadku klientów bezprzewodowych, na których jest uruchomiony system Windows XP z dodatkiem Service Pack 2 (SP2), korzystających z karty sieci bezprzewodowej zgodnej z usługą konfiguracji zerowej sieci bezprzewodowej, klienckie oprogramowanie WPA systemu Windows znajduje się w dodatku SP2 systemu Windows XP. Nie jest więc potrzebne pobieranie dodatkowych plików. Klient WPA systemu Windows aktualizuje okna dialogowe konfiguracji sieci bezprzewodowej w celu zapewnienia obsługi nowych opcji WPA.
Aby uzyskać dodatkowe informacje i program klienta WPA, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
826942 (http://support.microsoft.com/kb/826942/PL/) Dostępny jest kumulatywny pakiet aktualizacji funkcji interfejsu bezprzewodowego systemu Windows XP
W przypadku klientów bezprzewodowych z systemem Windows 2000 (lub klientów z systemem Windows XP z dodatkiem SP1, używających karty sieci bezprzewodowej niezgodnej z usługą konfiguracji zerowej sieci bezprzewodowej) należy uzyskać od dostawcy karty sieci bezprzewodowej i zainstalować nowe narzędzie konfiguracyjne zgodne ze standardem WPA.
Informacje publikowane przez firmę Intel
Aby uzyskać dodatkowe informacje, odwiedź następującą witrynę firmy Intel w sieci Web:
http://support.intel.com/support/wireless/wlan/pro2100/index.htm (http://support.intel.com/support/wireless/wlan/pro2100/index.htm)
Produkty omówione w tym artykule są wytwarzane przez producentów niezależnych od firmy Microsoft. Firma Microsoft nie daje żadnych gwarancji, domyślnych ani żadnego innego rodzaju, odnośnie do wydajności lub niezawodności tych produktów.
Firma Microsoft podaje informacje o sposobach kontaktu z innymi firmami, aby ułatwić uzyskanie niezbędnej pomocy technicznej. Informacje tego typu mogą ulec zmianie bez powiadomienia. Firma Microsoft nie gwarantuje dokładności informacji dotyczących innych firm.