Omówienie aktualizacji zabezpieczeñ sieci bezprzewodowych WPA w systemie Windows XP

Ten artyku³ zawiera omówienie nowej aktualizacji sieci bezprzewodowych WPA w systemie Windows XP.

Standard sieci bezprzewodowych IEEE (Institute of Electrical & Electronics Engineers) 802.11i okreœla ulepszenia zabezpieczeñ bezprzewodowych sieci lokalnych (LAN, local area network). Standard 802.11i jest obecnie w wersji roboczej i powinien zostaæ przyjêty w roku 2003. W standardzie 802.11i rozwi¹zano szereg problemów z zabezpieczeniami oryginalnego standardu 802.11. W oczekiwaniu na przyjêcie standardu IEEE 802.11i producenci sprzêtu bezprzewodowego zgodzili siê na u¿ywanie tymczasowego standardu umo¿liwiaj¹cego wspó³pracê okreœlonego jako WPA (Wi-Fi Protected Access).

Funkcje zabezpieczeñ WPA

Standard WPA zawiera nastêpuj¹ce funkcje zabezpieczeñ:

Uwierzytelnianie WPA

W standardzie WPA jest wymagane uwierzytelnianie 802.1x. W standardzie 802.11 uwierzytelnianie 802.1x by³o opcjonalne.

W przypadku œrodowisk bez infrastruktury us³ugi RADIUS (Remote Authentication Dial-In User Service) standard WPA obs³uguje u¿ywanie klucza wstêpnego. W œrodowiskach z infrastruktur¹ us³ugi RADIUS jest dostêpna obs³uga protoko³u EAP (Extensible Authentication Protocol) i us³ugi RADIUS.

Zarz¹dzanie kluczami WPA

W przypadku protoko³u 802.1x ponowne tworzenie kluczy szyfrowania w emisji pojedynczej jest opcjonalne. Oprócz tego protoko³y 802.11 i 802.1x nie zawieraj¹ mechanizmu zmieniania globalnego klucza szyfrowania u¿ywanego na potrzeby ruchu w technice multiemisji i emisji. W technologii WPA ponowne tworzenie kluczy jest wymagane zarówno dla kluczy emisji pojedynczej, jak i dla globalnych kluczy szyfrowania. W przypadku klucza szyfrowania dla emisji pojedynczej protokó³ TKIP zmienia klucz dla ka¿dej ramki i synchronizuje te zmiany miêdzy klientem sieci bezprzewodowych a punktem dostêpu bezprzewodowego. W przypadku globalnego klucza szyfrowania protokó³ WPA zawiera funkcjê umo¿liwiaj¹c¹ punktom dostêpu bezprzewodowego anonsowanie zmienionego klucza pod³¹czonym klientom sieci bezprzewodowej.

Protokó³ TKIP (Temporal Key Integrity Protocol)

Szyfrowanie WEP jest opcjonalne w protokole 802.11. W protokole WPA jest wymagane szyfrowanie przy u¿yciu protoko³u TKIP. Protokó³ TKIP zastêpuje technologiê WEP nowym algorytmem szyfrowania, silniejszym ni¿ algorytm WEP, ale u¿ywaj¹cym do operacji szyfrowania funkcji obliczeniowych dostêpnych w istniej¹cych urz¹dzeniach sieci bezprzewodowych. Protokó³ TKIP udostêpnia równie¿ nastêpuj¹ce funkcje:

• weryfikacja konfiguracji zabezpieczeñ po okreœleniu kluczy szyfrowania,
• zsynchronizowane zmienianie klucza szyfrowania emisji pojedynczej dla ka¿dej ramki,
• okreœlanie unikatowego pocz¹tkowego klucza szyfrowania emisji pojedynczej przy ka¿dym uwierzytelnianiu klucza wstêpnego.

Metoda Michael

W protokole 802.11 z technologi¹ WEP integralnoœæ danych jest gwarantowana dziêki 32-bitowej wartoœci kontrolnej integralnoœci (ICV, integrity check value) do³¹czanej do ³adunku protoko³u 802.11 i szyfrowanej metod¹ WEP. Wartoœæ ICV jest szyfrowana, jednak korzystaj¹c z analizy kryptograficznej, mo¿na zmieniæ bity zaszyfrowanego ³adunku i zaktualizowaæ zaszyfrowan¹ wartoœæ ICV w sposób niemo¿liwy do wykrycia przez odbiorcê.

W przypadku protoko³u WPA jest dostêpna metoda okreœlona jako Michael, okreœlaj¹ca nowy algorytm obliczania 8-bajtowego kodu integralnoœci komunikatu (MIC, message integrity code) przy u¿yciu funkcji obliczeniowych dostêpnych na istniej¹cych urz¹dzeniach sieci bezprzewodowych. Wartoœæ MIC jest umieszczana miêdzy czêœci¹ danych ramki IEEE 802.11 a 4-bajtow¹ wartoœci¹ ICV. Pole MIC jest szyfrowane razem z danymi ramki i wartoœci¹ ICV.

Metoda Michael umo¿liwia ochronê przed powtarzaniem. Nowy licznik ramek w ramce IEEE 802.11 zapobiega atakom przez powtórzenie.

Obs³uga szyfrowania AES

W protokole WPA jako dodatkow¹ opcjê dostêpn¹ zamiast szyfrowania WEP zdefiniowano szyfrowanie AES (Advanced Encryption Standard). Obs³uga szyfrowania AES jest opcjonalna i zale¿y od funkcji sterowników producenta. Jest to spowodowane faktem, ¿e nie zawsze mo¿na uzyskaæ obs³ugê szyfrowania AES przez aktualizacjê oprogramowania uk³adowego istniej¹cego sprzêtu sieci bezprzewodowych.

Jednoczesna obs³uga klientów bezprzewodowych WPA i WEP

Aby umo¿liwiæ stopniowe przejœcie od sieci bezprzewodowych opartych na protokole WEP do sieci opartych na protokole WPA, punkt dostêpu bezprzewodowego mo¿e jednoczeœnie obs³ugiwaæ klientów WEP i WPA. Podczas kojarzenia punkt dostêpu bezprzewodowego okreœla, którzy klienci u¿ywaj¹ protoko³u WEP, a którzy WPA. Jednoczesna obs³uga klientów WEP i WPA powoduje pewne problemy. Globalny klucz szyfrowania nie jest dynamiczny, poniewa¿ klienci WEP takiego nie obs³uguj¹. S¹ zachowywane wszystkie pozosta³e korzyœci z u¿ywania klientów WPA (w tym integralnoœæ).

Zmiany wymagane do obs³ugi technologii WPA

Protokó³ WPA wymaga zmian w oprogramowaniu nastêpuj¹cych elementów:

• Punktów dostêpu bezprzewodowego
• Kart sieci bezprzewodowych
• Programów na klientach sieci bezprzewodowych

Zmiany dotycz¹ce punktów dostêpu bezprzewodowego

Punkty dostêpu bezprzewodowego wymagaj¹ aktualizacji oprogramowania uk³adowego w celu umo¿liwienia obs³ugi nastêpuj¹cych funkcji:

• Nowy element informacji protoko³u WPA
  
  W celu anonsowania obs³ugi protoko³u WPA punkty dostêpu bezprzewodowego wysy³aj¹ ramkê sygna³u z elementem informacji protoko³u 802.11 WPA zawieraj¹cym konfiguracjê zabezpieczeñ punktu dostêpu bezprzewodowego (algorytmy szyfrowania i informacji o konfiguracji zabezpieczeñ sieci bezprzewodowej).
• Dwufazowe uwierzytelnianie WPA
  
  Open System, a nastêpnie 802.1x (protokó³ EAP z us³ug¹ RADIUS lub klucz wstêpny).
• TKIP
• Metoda Michael
• AES (opcjonalne)

Aby uaktualniæ punkty dostêpu bezprzewodowego w celu uzyskania obs³ugi protoko³u WPA, nale¿y dla nich uzyskaæ od producenta aktualizacjê oprogramowania uk³adowego dotycz¹c¹ obs³ugi protoko³u WPA i przes³aæ j¹ do punktów dostêpu.

Zmiany dotycz¹ce kart sieci bezprzewodowych

Karty sieci bezprzewodowych wymagaj¹ aktualizacji oprogramowania uk³adowego w celu umo¿liwienia obs³ugi nastêpuj¹cych funkcji:

• Nowy element informacji protoko³u WPA
  Klienci sieci bezprzewodowych musz¹ byæ w stanie przetworzyæ element informacji WPA i odpowiedzieæ, podaj¹c okreœlon¹ konfiguracjê zabezpieczeñ.
• Dwufazowe uwierzytelnianie WPA
• Open System, a nastêpnie 802.1x (protokó³ EAP lub klucz wstêpny).
• TKIP
• Metoda Michael
• AES (opcjonalne)

Aby uaktualniæ karty sieci bezprzewodowych w celu uzyskania obs³ugi protoko³u WPA, nale¿y dla nich uzyskaæ od producenta aktualizacjê oprogramowania i zaktualizowaæ ich sterowniki.

W przypadku klientów sieci bezprzewodowych z systemem Windows nale¿y uzyskaæ zaktualizowany sterownik karty sieciowej z obs³ug¹ protoko³u WPA. W przypadku sterowników kart sieci bezprzewodowych zgodnych z systemem Windows XP (z dodatkiem Service Pack 1) zaktualizowany sterownik karty sieciowej musi mieæ mo¿liwoœæ przekazywania funkcji protoko³u WPA karty i konfiguracji zabezpieczeñ do us³ugi konfiguracji zerowej sieci bezprzewodowej.

Firma Microsoft osadzi³a aktualizacje oprogramowania uk³adowego dla protoko³u WPA w sterownikach kart sieci bezprzewodowych we wspó³pracy z wieloma producentami urz¹dzeñ bezprzewodowych. Oznacza to, ¿e w celu zaktualizowania klienta sieci bezprzewodowych opartego na systemie Windows nale¿y uzyskaæ i zainstalowaæ nowy sterownik zgodny z protoko³em WPA. Oprogramowanie uk³adowe zostanie automatycznie zaktualizowane, gdy sterownik karty sieci bezprzewodowej zostanie za³adowany w systemie Windows.

Zmiany programów klienckich dla sieci bezprzewodowych

Umo¿liwienie konfigurowania uwierzytelniania WPA (i klucza wstêpnego) oraz nowych algorytmów szyfrowania WPA (TKIP i opcjonalnego sk³adnika AES) wymaga aktualizacji programów na klientach sieci bezprzewodowych.

W przypadku klientów sieci bezprzewodowych z systemem Windows XP z dodatkiem Service Pack 1 (SP1) u¿ywaj¹cych kart sieci bezprzewodowych obs³uguj¹cych us³ugê konfiguracji zerowej sieci bezprzewodowej nale¿y uzyskaæ i zainstalowaæ klienta protoko³u WPA dla systemu Windows. W przypadku klientów sieci bezprzewodowych z systemem Windows XP z dodatkiem Service Pack 2 (SP2) u¿ywaj¹cych kart sieci bezprzewodowych obs³uguj¹cych us³ugê konfiguracji zerowej sieci bezprzewodowej klient protoko³u WPA dla systemu Windows jest do³¹czony do dodatku SP2 dla systemu Windows XP. Nie trzeba wiêc pobieraæ ¿adnych dodatkowych plików. Klient protoko³u WPA dla systemu Windows aktualizuje okna dialogowe konfiguracji sieci bezprzewodowych i dodaje opcje obs³ugi nowych opcji protoko³u WPA.

Aby dowiedzieæ siê wiêcej o uzyskiwaniu programu klienckiego protoko³u WPA, kliknij nastêpuj¹cy numer artyku³u w celu wyœwietlenia go w bazie wiedzy Microsoft Knowledge Base: W przypadku klientów sieci bezprzewodowych z systemem Windows 2000 (oraz klientów z systemem Windows XP z dodatkiem SP1 i u¿ywaj¹cych kart sieci bezprzewodowych, które nie obs³uguj¹ us³ugi konfiguracji sieci bezprzewodowej) nale¿y uzyskaæ od producenta karty nowe narzêdzie konfiguracji zgodne z protoko³em WPA i zainstalowaæ je.

Pokrewne informacje firmy Intel

Aby uzyskaæ dodatkowe informacje, odwiedŸ nastêpuj¹c¹ witrynê firmy Intel w sieci Web: Produkty innych firm omówione w tym artykule s¹ wytwarzane przez producentów niezale¿nych od firmy Microsoft. Firma Microsoft nie daje ¿adnych gwarancji, domyœlnych ani ¿adnego innego rodzaju, odnoœnie do wydajnoœci lub niezawodnoœci tych produktów.

Firma Microsoft udostêpnia informacje dotycz¹ce sposobu kontaktowania siê z innymi firmami, aby u³atwiæ uzyskanie niezbêdnej pomocy technicznej. Informacje tego typu mog¹ ulec zmianie bez powiadomienia. Firma Microsoft nie gwarantuje, ¿e informacje dotycz¹ce innych firm s¹ precyzyjne.