Artikel-ID: 815485 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Dieser Artikel beschreibt das neue WPA-Update (WPA = Wi-Fi Protected Access) in Microsoft Windows XP.

Die Norm 802.11i des Institute of Electrical & Electronics Engineers (IEEE) für drahtlose Netzwerkverbindungen legt Verbesserungen in Bezug auf die Sicherheit im drahtlosen LAN-Netzwerkverkehr fest. Die Norm 802.11i liegt zurzeit nur als Entwurf vor und wird voraussichtlich gegen Ende des Jahres 2003 ratifiziert. Die Norm 802.11i befasst sich mit vielen Sicherheitsproblemen, die bereits Gegenstand der ursprünglichen Norm 802.11 waren. Bis zur Ratifizierung der neuen IEEE-Norm 802.11i haben sich die Hersteller drahtloser Geräte auf einen vorläufigen Standard mit der Bezeichnung Wi-Fi Protected Access (WPA) geeinigt.

Features der WPA-Sicherheit

Die folgenden Sicherheitsfeatures sind Bestandteil des WPA-Standards:

WPA-Authentifizierung

In WPA ist die 802.1x-Authentifizierung erforderlich. In der Norm 802.11 war die 802.1x-Authentifizierung noch optional.

Für Umgebungen ohne RADIUS-Infrastruktur (RADIUS = Remote Authentication Dial-In User Service) unterstützt WPA die Verwendung eines vorinstallierten Schlüssels. Für Umgebungen mit RADIUS-Infrastruktur werden das Extensible Authentication-Protokoll (EAP) und RADIUS unterstützt.

WPA-Schlüsselverwaltung

Bei 802.1x ist die Neusetzung von Unicast-Verschlüsselungsschlüsseln optional. Außerdem gibt es bei 802.11 und 802.1x keinen Mechanismus zum Ändern des für Multicast- und Broadcast-Verkehr verwendeten globalen Verschlüsselungsschlüssels. Bei WPA ist die Neusetzung von Unicast- und globalen Verschlüsselungsschlüsseln obligatorisch. Im Fall des Unicast-Verschlüsselungsschlüssels ändert das Temporal Key Integrity-Protokoll (TKIP) den Schlüssel für jeden Frame. Diese Änderung wird dann zwischen dem drahtlosen Client und dem drahtlosen Zugriffspunkt synchronisiert. Für den globalen Verschlüsselungsschlüssel bietet WPA die Möglichkeit, dass der drahtlose Zugriffspunkt den geänderten Schlüssel an die angeschlossenen drahtlosen Clients übermittelt.

Temporal Key Integrity-Protokoll (TKIP)

Bei 802.11 ist die WEP-Verschlüsselung (WEP = Wired Equivalent Privacy) optional. Bei WPA ist TKIP obligatorisch. TKIP ersetzt WEP durch einen neuen Verschlüsselungsalgorithmus, der stärker ist als der WEP-Algorithmus, jedoch die Berechnungsmöglichkeiten der bereits existierenden drahtlosen Geräte nutzt, um Verschlüsselungsoperationen auszuführen. TKIP bietet zudem die folgenden Funktionen:
  • Überprüfung der Sicherheitskonfiguration nach Ermittlung der Verschlüsselungsschlüssel.
  • Synchronisiertes Ändern der Unicast-Verschlüsselungsschlüssel für jeden einzelnen Frame.
  • Festlegung eines eindeutigen Startschlüssels für die Unicast-Verschlüsselung für jede Authentifizierung eines vorinstallierten Schlüssels.

Michael

Bei 802.11 und WEP wird die Datenintegrität durch einen 32-Bit-Integritätsprüfungswert (Integrity Check Value, ICV) gewährleistet, der an die 802.11-Nutzlast angehängt und mit WEP verschlüsselt wird. Obwohl der ICV verschlüsselt ist, können mithilfe von Kryptoanalyse Bits in der verschlüsselten Nutzlast geändert und der verschlüsselte ICV aktualisiert werden, ohne dass der Empfänger dies erkennt.

Bei WPA legt eine als Michael bezeichnete Methode einen neuen Algorithmus fest, der mithilfe der Berechnungsmöglichkeiten vorhandener drahtloser Geräte einen 8-Byte-Nachrichtenintegritätscode (Message Integrity Code, MIC) berechnet. Der MIC wird zwischen dem Datenbereich des IEEE 802.11-Frames und dem 4-Byte-ICV eingefügt. Das MIC-Feld wird zusammen mit den Framedaten und dem ICV verschlüsselt.

Außerdem bietet Michael einen Replay-Schutz. Ein neuartiger Framezähler im IEEE 802.11-Frame dient der Erkennung und Abwehr von Replay-Attacken.

AES-Unterstützung

WPA definiert die Verwendung des Advanced Encryption Standard (AES) als zusätzlichen Ersatz für die WEP-Verschlüsselung. Da Sie die AES-Unterstützung eventuell nicht über ein Firmwareupdate Ihrer existierenden drahtlosen Ausrüstung hinzufügen können, ist AES optional und von entsprechender Treiberunterstützung durch den Hersteller abhängig.

Gleichzeitige Unterstützung von drahtlosen WPA- und WEP-Clients

Ein drahtloser Zugriffspunkt kann WEP- und WPA-Clients gleichzeitig unterstützen, um die allmähliche Umstellung von WEP-basierten drahtlosen Netzwerken auf WPA zu unterstützen. Beim Anschließen ermittelt der Zugriffspunkt, welche Clients WEP und welche Clients WPA verwenden. Die Unterstützung einer Mischung aus WEP- und WPA-Clients ist problematisch. Der globale Verschlüsselungsschlüssel ist nicht dynamisch, weil WEP-basierte Clients diesen nicht unterstützen können. Alle sonstigen Vorteile von WPA-Clients, einschließlich der verbesserten Integrität, bleiben erhalten.

Für die WPA-Unterstützung erforderliche Änderungen

WPA erfordert Softwareänderungen für folgende Komponenten:
  • Drahtlose Zugriffspunkte
  • Drahtlose Netzwerkadapter
  • Drahtlose Clientprogramme

Änderungen an drahtlosen Zugriffspunkten

Die Firmware der drahtlosen Zugriffspunkte muss aktualisiert werden, um die folgenden Komponenten zu unterstützen:
  • Das neue WPA-Informationselement

    Drahtlose Zugriffspunkte senden den Signalframe mit einem neuen 802.11-WPA-Informationselement, das die Sicherheitskonfiguration des drahtlosen Zugriffspunkts enthält (Verschlüsselungsalgorithmen und Informationen zur Sicherheitskonfiguration), um so ihre Unterstützung für WPA anzukündigen.
  • Die zweiphasige WPA-Authentifizierung

    Öffnen Sie System und anschließend 802.1x (EAP mit RADIUS oder vorinstallierter Schlüssel).
  • TKIP
  • Michael
  • AES (optional)
Sie müssen beim Hersteller Ihres drahtlosen Zugriffspunkts ein WPA-Firmwareupdate beziehen und auf dem drahtlosen Zugriffspunkt installieren, um diesen auf WPA-Unterstützung zu aktualisieren.

Änderungen an drahtlosen Netzwerkadaptern

Drahtlose Netzwerkadapter benötigen ein Firmwareupdate, um folgende Komponenten zu unterstützen:
  • Das neue WPA-Informationselement
    Drahtlose Clients müssen das WPA-Informationselement verarbeiten können und mit einer spezifischen Sicherheitskonfiguration reagieren.
  • Die zweiphasige WPA-Authentifizierung
  • Öffnen Sie System und anschließend 802.1x (EAP mit RADIUS oder vorinstallierter Schlüssel).
  • TKIP
  • Michael
  • AES (optional)
Sie müssen beim Hersteller Ihres drahtlosen Netzwerkadapters ein WPA-Update beziehen und den Treiber des drahtlosen Netzwerkadapters aktualisieren, um den Netzwerkadapter auf WPA-Unterstützung zu aktualisieren.

Für drahtlose Windows-Clients benötigen Sie einen aktualisierten Netzwerkadaptertreiber, der WPA unterstützt. Für drahtlose Netzwerkadaptertreiber, die mit Windows XP (Service Pack 1) kompatibel sind, muss der aktualisierte Netzwerkadaptertreiber die WPA-Funktionen und die Sicherheitskonfiguration des Adapters an den Konfigurationsfreien Dienst für drahtlose Verbindung übermitteln können.

Microsoft ist es in Zusammenarbeit mit vielen Herstellern von drahtlosen Geräten gelungen, das WPA-Firmwareupdate in den Treiber für den drahtlosen Adapter zu integrieren. Daher müssen Sie nur den neuen WPA-kompatiblen Treiber beziehen und installieren, um Ihren drahtlosen Windows-Client zu aktualisieren. Die Firmware wird automatisch aktualisiert, wenn der Treiber für den drahtlosen Netzwerkadapter in Windows geladen wird.

Änderungen an drahtlosen Clientprogrammen

Drahtlose Clientprogramme müssen aktualisiert werden, um die Konfiguration der WPA-Authentifizierung (und vorinstallierter Schlüssel) und die neuen WPA-Verschlüsselungsalgorithmen (TKIP und die optionale AES-Komponente) zu ermöglichen.

Für drahtlose Clients mit Windows XP Service Pack 1 (SP1), die einen drahtlosen Netzwerkadapter verwenden, der den Konfigurationsfreien Dienst für drahtlose Verbindung unterstützt, müssen Sie den Windows-WPA-Client beziehen und installieren. Für drahtlose Clients mit Windows XP Service Pack 2 (SP2), die einen drahtlosen Netzwerkadapter verwenden, der den Konfigurationsfreien Dienst für drahtlose Verbindung unterstützt, ist der Windows-WPA-Client in Windows XP SP2 enthalten. Es sind daher keine zusätzlichen Downloads erforderlich. Der Windows-WPA-Client aktualisiert die Dialogfelder für die Konfiguration des drahtlosen Netzwerks, um neue WPA-Optionen zu unterstützen.

Weitere Informationen zum WPA-Clientprogramm und wie Sie es beziehen können, finden Sie in folgendem Artikel der Microsoft Knowledge Base:
826942 Update Rollup Package für drahtlose Verbindungen in Windows XP verfügbar
Für drahtlose Clients mit Windows 2000 (oder Clients mit Windows XP SP1, die einen drahtlosen Netzwerkadapter verwenden, der den konfigurationsfreien Dienst für drahtlose Verbindung nicht unterstützt) müssen Sie ein neues WPA-kompatibles Konfigurationsprogramm beim Hersteller Ihres drahtlosen Netzwerkadapters beziehen und installieren.

Weitere Informationen zu Intel

Weitere Informationen finden Sie auf der folgenden Website von Intel:
http://support.intel.com/support/wireless/wlan/pro2100/index.htm
Die in diesem Artikel genannten Fremdanbieterprodukte stammen von Herstellern, die von Microsoft unabhängig sind. Microsoft gewährt keine implizite oder sonstige Garantie in Bezug auf die Leistung oder Zuverlässigkeit dieser Produkte.

Die Kontaktinformationen bezüglich der in diesem Artikel erwähnten Fremdanbieter sollen Ihnen helfen, den benötigten technischen Support zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Sie werden von Microsoft ohne jede Gewähr weitergegeben.

Eigenschaften

Artikel-ID: 815485 - Geändert am: Montag, 10. Juni 2013 - Version: 7.3
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
Keywords: 
kbresolve kbmsnuseraccounts kbhotfixserver kbqfe kbenv kbnetwork kbdriver kbinfo KB815485
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns