Overzicht van de WPA (Wi-Fi Protected Access)-beveiligingsupdate in Windows XP

Samenvatting

In dit artikel wordt de nieuwe WPA-update (Wi-Fi Protected Access) in Microsoft Windows XP beschreven.

In de standaard voor draadloze netwerken IEEE 802.11i van het Institute of Electrical & Electronics Engineers worden verbeteringen gedefinieerd voor de beveiliging van draadloze LAN's (Local Area Networking). De standaard 802.11i is momenteel nog een concept en moet eind 2003 geratificeerd zijn. In de standaard 802.11i komt een groot aantal van de beveiligingsproblemen uit de standaard 802.11 aan bod. De leveranciers van draadloze netwerken hebben afgesproken om, zolang de nieuwe standaard IEEE 802.11i nog niet is geratificeerd, zich te houden aan een interoperabele interim-standaard die bekend staat als WPA (Wi-Fi Protected Access).

Terug naar begin

Functies van WPA-beveiliging

De volgende beveiligingsfuncties zijn opgenomen in de WPA-standaard:

WPA-verificatie

802.1x-verificatie is vereist in WPA. In de standaard 802.11 was 802.1x-verificatie nog optioneel.

Voor omgevingen zonder RADIUS-infrastructuur (Remote Authentication Dial-In User Service) ondersteunt WPA het gebruik van een vooraf gedeelde sleutel. Voor omgevingen met een RADIUS-infrastructuur worden EAP (Extensible Authentication Protocol) en RADIUS ondersteund.

Terug naar begin

WPA-sleutelbeheer

Met 802.1 x is het opnieuw versleutelen van unicast-coderingssleutels optioneel. Bovendien bieden 802.11 en 802.1x geen mechanisme voor het wijzigen van de globale coderingssleutel die wordt gebruikt voor multicast- en broadcastverkeer. Met WPA is het opnieuw versleutelen van zowel unicast- als globale coderingssleutels vereist. Voor de unicastcoderingssleutels wordt de sleutel voor elke frame gewijzigd met TKIP (Temporal Key Integrity Protocol) en wordt de wijziging gesynchroniseerd tussen de draadloze client en het draadloze toegangspunt (AP). Voor de globale coderingssleutel bevat WPA een functie waarmee het draadloze toegangspunt de gewijzigde sleutel kan adverteren naar de aangesloten draadloze clients.

Terug naar begin

TKIP (Temporal Key Integrity Protocol)

Voor 802.11 is WEP-versleuteling (Wired Equivalent Privacy) optioneel. Voor WPA is codering met TKIP verplicht. In TKIP wordt WEP vervangen door een nieuw coderingsalgoritme dat sterker is dan het WEP-algoritme, maar waarbij voor het uitvoeren van coderingsbewerkingen de berekeningsfuncties worden gebruikt die aanwezig zijn op bestaande draadloze apparatuur. TKIP maakt ook het volgende mogelijk:
 • De verificatie van de beveiligingsconfiguratie nadat de coderingssleutels zijn vastgesteld.
 • Het gesynchroniseerd wijzigen van de unicastcoderingssleutel voor elke frame.
 • Het vaststellen van een unieke unicastcoderingssleutel voor elke verificatie met een vooraf gedeelde sleutel.
Terug naar begin

Michael

Bij 802.11 en WEP wordt voor gegevensintegriteit gezorgd door een 32-bits integriteitscontrolewaarde (Integrity Check Value, ICV) die wordt toegevoegd aan de nettolading van 802.11 en die wordt gecodeerd met WEP. Hoewel de ICV gecodeerd is, kunt u via cryptoanalyse bits in de gecodeerde payload wijzigen en de gecodeerde ICV bijwerken zonder dat dit wordt opgemerkt door de ontvanger.

Bij WPA wordt met de methode Michael een nieuw algoritme opgegeven waarmee een MIC (Message Integrity Code) van 8 byte wordt berekend met behulp van de berekeningsfuncties die beschikbaar zijn op bestaande draadloze apparatuur. De MIC wordt tussen het gegevensgedeelte van de IEEE 802.11-frame en de 4-bytes ICV geplaatst. Het MIC-veld wordt samen met de framegegevens en de ICV gecodeerd.

Michael draagt ook bij aan replaybeveiliging. Het IEEE 802.11-frame bevat een nieuwe frameteller waarmee replayaanvallen kunnen worden voorkomen.

Terug naar begin

AES-ondersteuning

In WPA wordt het gebruik van AES (Advanced Encryption Standard) gedefinieerd als een extra vervanging voor WEP-versleuteling. Omdat het wellicht niet mogelijk is via een firmware-update AES-ondersteuning toe te voegen aan bestaande draadloze apparatuur, is ondersteuning voor AES optioneel en afhankelijk van ondersteuning door de stuurprogramma's van de leverancier.

Terug naar begin

Ondersteuning van een gemengde omgeving met WPA- en WEP-clients

Om een geleidelijke overgang van draadloze netwerken op basis van WEP naar WPA mogelijk te maken, kan een draadloos toegangspunt tegelijkertijd zowel WEP- als WPA-clients ondersteunen. Tijdens de koppeling bepaalt het draadloze toegangspunt welke clients WEP gebruiken en welke WPA. De ondersteuning van een gemengde omgeving met WEP- en WPA-clients is problematisch. De globale coderingssleutel is niet dynamisch omdat WEP-clients deze niet kunnen ondersteunen. Alle andere voordelen voor WPA-clients, zoals integriteit, blijven behouden.

Terug naar begin

Wijzigingen die nodig zijn ter ondersteuning van WPA

Voor WPA moeten softwarewijzigingen worden aangebracht in:
 • Draadloze toegangspunten
 • Draadloze netwerkadapters
 • Draadloze clientprogramma's
Terug naar begin

Wijzigingen in draadloze toegangspunten

De firmware van draadloze toegangspunten moet worden bijgewerkt om ondersteuning mogelijk te maken voor het volgende:
 • Het nieuwe WPA-informatie-element

  Om ondersteuning van WPA aan te kondigen, verzenden draadloze toegangspunten de beacon-frame met een nieuw 802.11 WPA-informatie-element dat de beveiligingsinformatie van het draadloze toegangspunt bevat (coderingsalgoritmen en informatie over de draadloze beveiligingsconfiguratie).
 • De WPA-verificatie in twee fasen

  Open system en open vervolgens 802.1x (EAP met RADIUS of vooraf gedeelde sleutel).
 • TKIP
 • Michael
 • AES (optioneel)
Als u draadloze toegangspunten wilt bijwerken om ondersteuning van WPA mogelijk te maken, vraagt u bij de leverancier van de draadloze toegangspunten een WPA-firmware-update aan die u kunt uploaden naar het draadloze toegangspunt.

Terug naar begin

Wijzigingen in draadloze netwerkadapters

De firmware van draadloze netwerkadapters moet worden bijgewerkt om ondersteuning mogelijk te maken voor het volgende:
 • Het nieuwe WPA-informatie-element
  Draadloze clients moeten het WPA-informatie-element kunnen verwerken en kunnen reageren met een specifieke beveiligingsconfiguratie.
 • De WPA-verificatie in twee fasen
 • Open system en open vervolgens 802.1x (EAP of vooraf gedeelde sleutel).
 • TKIP
 • Michael
 • AES (optioneel)
Als u draadloze netwerkadapters wilt bijwerken om ondersteuning van WPA mogelijk te maken, vraagt u bij de leverancier van de draadloze netwerkadapter een WPA-update aan, waarmee u het stuurprogramma van de draadloze netwerkadapter kunt bijwerken.

Voor Windows-clients moet u een bijgewerkt stuurprogramma voor de netwerkadapter aanvragen dat WPA ondersteunt. Voor stuurprogramma's voor draadloze netwerkadapters die compatibel zijn met Windows XP (Service Pack 1), moet het bijgewerkte stuurprogramma voor de netwerkadapter de WPA-functies en de beveiligingsconfiguratie van de adapter kunnen doorgeven aan de service Wireless Zero Configuration.

In samenwerking met Microsoft hebben veel leveranciers van draadloze apparatuur de WPA-firmware-update opgenomen in hun stuurprogramma's voor draadloze netwerkadapters. Als u de draadloze Windows-client wilt bijwerken, hoeft u daarom alleen maar het nieuwe, met WPA compatibele stuurprogramma aan te vragen en te installeren. De firmware wordt automatisch bijgewerkt als het stuurprogramma voor de draadloze netwerkadapter in Windows wordt geladen.

Terug naar begin

Wijzigingen in draadloze clientprogramma's

Draadloze clientprogramma's moeten worden bijgewerkt om de configuratie van WPA-verificatie (en vooraf gedeelde sleutels) en de nieuwe WPA-versleutelingsalgoritmen (TKIP en het optionele onderdeel AES) mogelijk te maken.

Voor draadloze clients met Windows XP Service Pack 1 (SP1) die gebruikmaken van een draadloze netwerkadapter die de service Wireless Zero Configuration ondersteunt, moet u de Windows WPA Client aanvragen en installeren. Voor draadloze clients met Windows XP Service Pack 2 (SP2) die een draadloze netwerkadapter gebruiken die de Wireless Zero Configuration-service ondersteunt, is de Windows WPA Client opgenomen in Windows XP SP2. Er zijn dus geen extra downloads nodig. Met de Windows WPA Client worden de dialoogvensters voor de configuratie van het draadloze netwerk bijgewerkt, zodat de nieuwe WPA-opties worden ondersteund.

Als u meer informatie wilt en u wilt het WPA-clientprogramma downloaden, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:

826942 Een updatepakket voor draadloze communicatie in Windows XP is beschikbaar

Voor draadloze clients met Windows 2000 (of clients met Windows XP SP1 en met een draadloze netwerkadapter die de service Wireless Zero Configuration niet ondersteunt), moet u een nieuw WPA-configuratieprogramma aanvragen bij de leverancier van uw draadloze netwerkadapter en dat installeren.

Terug naar begin

Intel-gerelateerde informatie

Bezoek de volgende website van Intel voor meer informatie: De niet-Microsoft-producten die in dit artikel worden vermeld, worden vervaardigd door fabrikanten die geheel onafhankelijk zijn van Microsoft. Microsoft verleent dan ook geen enkele garantie, impliciet noch anderszins, omtrent de prestaties of de betrouwbaarheid van deze producten.


Microsoft verstrekt deze contactinformatie om u te helpen bij het aanvragen van technische ondersteuning. Deze contactinformatie kan zonder aankondiging worden gewijzigd. Microsoft kan derhalve niet instaan voor de juistheid van deze contactinformatie.
Eigenschappen

Artikel-id: 815485 - Laatst bijgewerkt: 27 jun. 2014 - Revisie: 1

Feedback