Visão geral da atualização de segurança WPA sem fio no Windows XP

Este artigo fala sobre a nova atualização WPA (Wi-Fi Protected Access) no Windows XP.

O padrão de rede 802.11i do IEEE (Institute of Electrical & Electronics Engineers) específica melhorias na segurança LAN (local area networking). O padrão 802.11i está atualmente no formato de rascunho, com confirmação no final de 2003. Esse padrão relata muitos problemas de segurança do padrão 802.11 original. Enquanto o novo padrão 802.11 do IEEE é aceito, os fornecedores resolveram criar um padrão conhecido como WPA (Wi-Fi Protected Access).

Recursos da segurança WPA

Os seguintes recursos de segurança estão incluídos no padrão WPA:

Autenticação WPA

No WPA, é necessária a autenticação 802.1x. No padrão 802.11, essa autenticação era opcional.

Para ambientes sem uma infra-estrutura RADIUS (Remote Authentication Dial-In User Service), WPA suporta o uso de uma chave pré-compartilhada. Para ambientes com uma infra-estrutura, EAP (Extensible Authentication Protocol) e RADIUS são suportados.

Gerenciamento de chaves WPA

Com 802.1x, o rekeying das chaves de criptografia unicast é opcional. Além disso, 802.11 e 802.1x não fornecem mecanismos para alterar a chave de criptografia global usada para o tráfego multicast e broadcast. Com WPA, o rekeying das chaves de criptografia global e unicast é necessário. Para a chave de criptografia unicast, o TKIP (Temporal Key Integrity Protocol) altera a chave para cada quadro, e a alteração é sincronizada entre o cliente e o ponto de acesso (AP). Para a chave de criptografia global, WPA inclui um recurso para o AP para avisar aos clientes conectados sobre a chave alterada.

TKIP (Temporal Key Integrity Protocol)

Para 802.11, a criptografia WEP (Wired Equivalent Privac) é opcional. Para WPA, a criptografia usando TKIP é necessária. TKIP substitui WEP por um novo algoritmo de criptografia mais forte do que o WEP, mas usa recursos de cálculo apresentados em dispositivos existentes para executar as operações de criptografia. TKIP também fornece o seguinte:

• A verificação da configuração de segurança após as chaves de criptografia serem determinadas.
• A alteração sincronizada da chave de criptografia unicast para cada quadro.
• A determinação de uma única chave de criptografia unicast de partida para cada autenticação de chave pré-compartilhada.

Michael

Com 802.11 e WEP, a integridade dos dados é fornecida por um valor de verificação de integridade (ICV) de 32-bit que aparece com a carga útil 802.11 e é criptografado com WEP. Embora o ICV esteja criptografado, você pode alterar os bits na carga criptografada e atualizar o ICV criptografado sem ser detectado pelo receptor.

Com WPA, um método conhecido como Michael específica um novo algoritmo que calcula um código de integridade da mensagem (MIC) de 8 bytes usando os recursos de cálculo disponíveis nos dispositivos existentes. O MIC está localizado entre a parte de dados do quadro 802.11 do IEEE e o ICV de 4 bytes. O campo MIC é criptografado com os dados do quadro e o ICV.

Michael também ajuda a fornecer proteção à reexecução. Para ajudar a evitar ataques de repetição, é usado um novo contador de quadros no IEEE 802.11.

Suporte AES

WPA define o uso de AES (Advanced Encryption Standard) como uma substituição adicional da criptografia WEP. Como talvez não seja possível agregar suporte AES por meio de uma atualização de firmware ao equipamento existente, o suporte a AES é opcional e depende do suporte ao driver do fornecedor.

Como suportar um misto de WPA e clientes sem fio WEP

Para suportar a transição gradual de redes sem fio com base em WEP para WPA, um AP pode suportar clientes WEP e WPA ao mesmo tempo. Durante a associação, o AP determina quais clientes usam WEP e quais usam WPA. O suporte da mistura de clientes WEP e WPA é problemática. A chave de criptografia global não é dinâmica porque os clientes com base WEP não podem suportá-la. Todos os demais benefícios aos clientes WPA, incluindo a integridade, são mantidos.

Alterações necessárias para suportar WPA

WPA requer as seguintes alterações no software:

• Pontos de acesso sem fio
• Adaptadores de rede sem fio
• Programas de cliente sem fio

Alterações nos pontos de rede sem fio

Os pontos de acesso sem fio devem ter o firmware atualizado para suportar:

• O novo elemento de informações WPA
  
  Para anunciar o suporte a WPA, APs sem fio enviam o quadro de beacon com um novo elemento de informações WPA 802.11 que apresenta configuração de segurança APs sem fio (algoritmos de criptografia e informações sobre a configuração de segurança sem fio).
• A autenticação WPA de duas fases
  
  Abra sistema e abra 802.1x (EAP com RADIUS ou chave pré-compartilhada).
• TKIP
• Michael
• AES (opcional)

Para atualizar seus pontos de acesso sem fio ao suporte WPA, obtenha uma atualização firmware WPA de seu fornecedor AP e carregue-o para seu AP sem fio.

Alterações nos adaptadores de rede sem fio

Os adaptadores de rede sem fio devem ter o firmware atualizado para suportar:

• O novo elemento de informações WPA
  Os clientes devem processar o elemento de informações WPA e responder usando uma configuração de segurança específica.
• A autenticação WPA de duas fases
• Abra sistema e abra 802.1x (EAP ou chave pré-compartilhada).
• TKIP
• Michael
• AES (opcional)

Para atualizar seus adaptadores de rede sem fio ao suporte WPA, obtenha uma atualização WPA de seu fornecedor de adaptador de rede sem fio e atualize o driver do mesmo.

Para clientes do Windows, é necessário obter um driver de adaptador de rede atualizado que suporte WPA. Para drivers de adaptador de rede sem fio compatíveis com o Windows XP (Service Pack 1), o driver de adaptador de rede atualizado deve conseguir ultrapassar as capacidades WPA do adaptador e a configuração de segurança ao serviço Wireless Zero Configuration.

A Microsoft entrou em contato com muitos fornecedores para que fosse possível incluir a atualização do firmware WPA no driver de adaptador sem fio. Além disso, para atualizar o cliente Windows sem fio, é necessário obter o driver WPA compatível e instalá-lo. O firmware é automaticamente atualizado quando o driver de adaptador de rede sem fio é carregado no Windows.

Alterações nos programas sem fio do cliente

Os programas do cliente devem ser atualizados para que seja possível configurar a autenticação WPA (e chave pré-compartilhada) e os novos algoritmos de criptografia WPA (TKIP e o componente AES opcional).

Para clientes executando o Windows XP service pack 1 (SP1) e posterior usando um adaptador de rede sem fio que suporta o serviço Wireless Zero Configuration, é necessário obter e instalar o Windows WPA Client. Para clientes sem fio executando o Windows XP service pack 2 (SP2) e usando um adaptador de rede sem fio que suporta o serviço Wireless Zero Configuration, o Windows WPA Client está incluído no Windows XP SP2. Além disso, não são necessários downloads adicionais. O Windows WPA Client atualiza as caixas de diálogo da configuração de rede sem fio para que suportem as novas opções WPA.

Para obter informações adicionais e obter o cliente WPA, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft: Para clientes executando o Windows 2000 (ou o Windows XP SP1 e usando um adaptador de rede sem fio que não suporte o serviço Wireless Zero Configuration), é necessário obter e instalar uma nova ferramenta de configuração compatível com WPA a partir de seu fornecedor de adaptador de rede sem fio.

Informações relacionadas à Intel

Para obter informações adicionais, visite o seguinte site da Intel (em inglês): Os outros produtos mencionados neste artigo são produzidos por empresas independentes da Microsoft. A Microsoft não oferece garantia, implícita ou não, em relação ao desempenho ou à confiabilidade desses produtos.

A Microsoft fornece informações para contato com outras empresas para ajudá-lo a encontrar o suporte técnico. Essas informações para contato podem ser alteradas sem notificação prévia. A Microsoft não garante a precisão dessas informações para contato com outras empresas.