Přehled aktualizace zabezpečení standardu WPA (Wi-Fi Protected Access) v systému Windows XP

Překlady článku Překlady článku
ID článku: 815485 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Tento článek popisuje novou aktualizaci WPA (Wi-Fi Protected Access) v systému Microsoft Windows XP.

Standard bezdrátových sítí IEEE (Institute of Electrical & Electronics Engineers) 802.11i obsahuje zdokonalené zabezpečení místních bezdrátových sítí (LAN). Standard 802.11i je aktuálně ve formě návrhu a k jeho ratifikaci by mělo dojít koncem roku 2003. Standard 802.11i řeší mnoho problémů se zabezpečením obsažených v původním standardu 802.11. V době probíhající ratifikace standardu IEEE 802.11i se dodavatelé bezdrátových sítí dohodli na používání prozatímního interoperabilního standardu, označovaného jako WPA (Wi-Fi Protected Access).

Funkce zabezpečení WPA

Standard WPA zahrnuje následující funkce zabezpečení:

Ověřování WPA

Ve standardu WPA je povinné ověřování 802.1x. U standardu 802.11 bylo ověřování 802.1x nepovinné.

V prostředích bez infrastruktury RADIUS (Remote Authentication Dial-In User Service) podporuje standard WPA použití předsdíleného klíče. V prostředích s infrastrukturou RADIUS jsou podporovány protokoly EAP (Extensible Authentication Protocol) a RADIUS.

Správa klíčů WPA

V případě standardu 802.1x je opětovné vytvoření klíčů pro jednosměrové šifrování volitelné. Standardy 802.11 a 802.1x kromě toho neposkytují žádný mechanismus změny globálního šifrovacího klíče používaného u vícesměrových a všesměrových přenosů. U standardu WPA je požadováno opětovné vytvoření šifrovacího klíče jednosměrového vysílání i globálního šifrovacího klíče. U šifrovacího klíče jednosměrového vysílání změní protokol TKIP (Temporal Key Integrity Protocol) klíč pro každý rámec a změna je mezi klientem bezdrátové sítě a bezdrátovým přístupovým bodem synchronizována. U globálního šifrovacího klíče zahrnuje standard WPA prostředek, který umožňuje bezdrátovému přístupovému bodu inzerovat změnu klíče připojeným klientům bezdrátové sítě.

Protokol TKIP (Temporal Key Integrity Protocol)

V případě standardu 802.11 je šifrování WEP (Wired Equivalent Privacy) volitelné. Standard WPA vyžaduje šifrování pomocí protokolu TKIP. Protokol TKIP nahrazuje šifrování WEP novým šifrovacím algoritmem, který je silnější než algoritmus WEP, k provádění šifrovacích operací však používá výpočetní možnosti existujících bezdrátových zařízení. Protokol TKIP obsahuje také následující funkce:
  • Ověření platnosti konfigurace zabezpečení po určení šifrovacích klíčů
  • Synchronizovaná změna šifrovacího klíče jednosměrového vysílání pro jednotlivé rámce
  • Určení jedinečného počátečního šifrovacího klíče jednosměrového vysílání u každého ověřování předsdílených klíčů

Metoda Michael

V případě standardu 802.11 se šifrováním WEP je integrita dat zajištěna pomocí 32bitové hodnotou ICV (Integrity Check Value), která je připojena k datové části 802.11 a šifrována metodou WEP. I když je hodnota ICV šifrovaná, je možné pomocí dešifrování změnit bity v šifrované datové části a aktualizovat šifrovanou hodnotu ICV, aniž by tato akce byla příjemcem zjištěna.

V případě standardu WPA určuje metoda označovaná jako Michael nový algoritmus, který pomocí výpočtových prostředků dostupných ve stávajících bezdrátových zařízeních počítá osmibajtový kontrolní součet MIC (Message Integrity Code). Kontrolní součet MIC je umístěn mezi datovou částí rámce IEEE 802.11 a čtyřbajtovou hodnotou ICV. Pole kontrolního součtu MIC je šifrováno společně s daty rámce a hodnotou ICV.

Metoda Michael také pomáhá zajistit ochranu proti přehrání. K zabránění útokům pomocí přehrání slouží nový čítač rámců v rámci IEEE 802.11.

Podpora standardu AES

Standard WPA definuje použití standardu AES (Advanced Encryption Standard) jako dodatečnou náhradu šifrování WEP. Podporu standardu AES nemusí být možné do existujících bezdrátových zařízení přidat pomocí aktualizace firmwaru, proto je podpora standardu AES nepovinná a závisí na podpoře ovladače ze strany dodavatele.

Současná podpora bezdrátových klientů WPA i WEP

Z důvodu umožnění postupného přechodu od bezdrátových sítí se šifrováním WEP na sítě se šifrováním WPA podporují bezdrátové přístupové body zároveň klienty WEP i WPA. V průběhu přidružení určí bezdrátový přístupový bod, kteří klienti používají šifrování WEP a kteří používají standard WPA. Podpora kombinace klientů WPA a WEP je problematická. Globální šifrovací klíč nebude dynamický, protože klienti WEP takové klíče nepodporují. Všechny ostatní výhody klientů WPA (včetně integrity) jsou zachovány.

Změny nutné pro podporu šifrování WPA

Šifrování WPA vyžaduje změny softwaru v následující místech:
  • Bezdrátové přístupové body
  • Bezdrátové síťové adaptéry
  • Klientské programy bezdrátových sítí

Změny bezdrátových přístupových bodů

Je třeba aktualizovat firmware bezdrátových přístupových bodů, aby byla umožněna podpora těchto funkcí:
  • Nový prvek informací standardu WPA

    Bezdrátové přístupové body inzerují podporu standardu WPA odesláním rámce s novým prvkem informací standardu 802.11 WPA, který obsahuje konfiguraci zabezpečení bezdrátového přístupového bodu (šifrovací algoritmy a informace o konfiguraci zabezpečení bezdrátové sítě).
  • Dvoufázové ověřování standardu WPA

    Otevřete položku Systém a potom položku 802.1x (protokol EAP s protokolem RADIUS nebo předsdílený klíč).
  • Protokol TKIP
  • Metoda Michael
  • Standard AES (volitelné)
Chcete-li upgradovat bezdrátové přístupové body, aby podporovaly standard WPA, získejte od dodavatele bezdrátových přístupových bodů aktualizaci firmwaru s podporou standardu WPA a nainstalujte ji do bezdrátového přístupového bodu.

Změny bezdrátových síťových adaptérů

Je třeba aktualizovat firmware bezdrátových síťových adaptérů, aby byla umožněna podpora těchto funkcí:
  • Nový prvek informací standardu WPA
    Je nutné, aby klienti bezdrátové sítě mohli zpracovat prvek informací WPA a odpovědět pomocí příslušné konfigurace zabezpečení.
  • Dvoufázové ověřování standardu WPA
  • Otevřete položku Systém a potom položku 802.1x (protokol EAP nebo předsdílený klíč).
  • Protokol TKIP
  • Metoda Michael
  • Standard AES (volitelné)
Chcete-li upgradovat bezdrátové síťové adaptéry, aby podporovaly standard WPA, získejte od dodavatele bezdrátových síťových adaptérů aktualizaci s podporou standardu WPA a aktualizujte ovladač bezdrátového síťového adaptéru.

U klientů bezdrátové sítě systému Windows je nutné získat aktualizovaný ovladač síťového adaptéru, který podporuje standard WPA. U ovladačů bezdrátových síťových adaptérů kompatibilních se systémy Windows XP (Service Pack 1) musí aktualizovaný ovladač síťového adaptéru umožňovat předání vlastností a konfigurace zabezpečení WPA adaptéru službě pro konfiguraci bezdrátových připojení.

Společnost Microsoft spolupracuje s řadou dodavatelů bezdrátových zařízení na vložení aktualizace firmwaru s podporou standardu WPA do ovladače bezdrátového adaptéru. Chcete-li tedy aktualizovat klienta bezdrátové sítě Windows, stačí pouze získat a nainstalovat nový ovladač kompatibilní se standardem WPA. Při zavedení ovladače bezdrátového síťového adaptéru do systému Windows je firmware automaticky aktualizován.

Změny programů bezdrátových klientů

Je třeba aktualizovat programy bezdrátových klientů, aby umožňovaly konfiguraci ověřování WPA (a předsdíleného klíče) a nový šifrovací algoritmus WPA (protokol TKIP a nepovinnou součást AES).

U klientů bezdrátových sítí se systémem Windows XP Service Pack 1 (SP1), kteří používají bezdrátový síťový adaptér podporující službu pro konfiguraci bezdrátových připojení, je nutné získat a nainstalovat klienta WPA systému Windows. U klientů bezdrátových sítí se systémem Windows XP Service Pack 2 (SP2), kteří používají bezdrátový síťový adaptér podporující službu pro konfiguraci bezdrátových připojení, je klient WPA systému Windows součástí aktualizace Windows XP SP2. Není proto třeba stahovat žádné další položky. Klient WPA systému Windows aktualizuje dialogová okna konfigurace bezdrátové sítě tak, aby podporovala nové možnosti WPA.

Další informace o možnostech získání klientského programu WPA naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
826942 Balíček kumulativních aktualizací bezdrátových sítí pro systém Windows XP je k dispozici
U klientů bezdrátových sítí se systémem Windows 2000 (nebo u klientů se systémem Windows XP SP1 používajících bezdrátový síťový adaptér, který nepodporuje službu pro konfiguraci bezdrátových připojení) je nutné získat od dodavatele bezdrátového síťového adaptéru nový nástroj pro konfiguraci odpovídající standardu WPA a nainstalovat jej.

Související informace společnosti Intel

Další informace naleznete na následujícím webu společnosti Intel:
http://support.intel.com/support/wireless/wlan/pro2100/index.htm
Produkty jiných výrobců popisované v tomto článku vyrábějí společnosti, které jsou nezávislé na společnosti Microsoft. Společnost Microsoft neposkytuje žádnou záruku (implicitně předpokládanou ani jinou) týkající se výkonu a spolehlivosti těchto produktů.

Společnost Microsoft se vám snaží usnadnit získání technické podpory poskytnutím informací o kontaktech na jiné výrobce. Tyto kontaktní informace se mohou bez upozornění změnit. Společnost Microsoft neručí za správnost těchto informací o kontaktech na jiné výrobce.

Vlastnosti

ID článku: 815485 - Poslední aktualizace: 10. června 2013 - Revize: 7.3
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
Klíčová slova: 
kbresolve kbmsnuseraccounts kbhotfixserver kbqfe kbenv kbnetwork kbdriver kbinfo KB815485

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com