附錄 D:WPA 支援

發佈日期: 2004 年 11 月 10 日|更新日期: 2005 年 5 月 26 日

簡介

《以憑證服務保護無線區域網路的安全》解決方案,其設計相容於無線區域網路(WLAN) 的 Wi–Fi 保護存取 (WPA) 安全性。在實驗室內依據本指南步驟設定後,已經成功測試 WPA 相容性。本文件說明您評估如何以本解決方案使用 WPA 時,應考慮的幾個事項。

WEP 與 WPA 概觀

有線等位私密 (WEP) 經定義為美國電機電子工程師學會 (IEEE) 1999 802.11 的無線網路標準之一,可提供相當於有線系統的保護等級。基本 (或靜態) WEP 為基於預先共用金鑰的無線傳輸,提供加密及存取控制功能。WEP 有多項已廣為周知的弱點,只要攻擊者不斷嘗試,即可破解此項 802.11 的原生安全性控制功能。

為解決 WEP 的問題,WLAN 產業推出了更強健的安全性解決方案:WPA。WPA 透過以標準為基礎、可互通的安全性規格,提高 WLAN 系統的資料保護與存取控制等級。WPA 的第一版是 802.11i 標準的早期子集,預期未來仍具有相容性。目前預期 802.11i 將發佈為 WPA 2.0 版。

在發佈時,許多組織仍然部署了許多不支援 WPA 的 WLAN 硬體。這個解決方案能支援這個硬體以及較新的 WPA 相容設備,這一點很重要。雖然 WPA 提供的安全性等級高於動態 WEP,但是在所有硬體能升級以支援 WPA 之前,後者仍然是可用的解決方案。

WPA 對於這個解決方案的影響

您在《以憑證服務保護無線區域網路的安全》解決方案中,可以把 WPA 視為 WEP 的替代方案。大部分的解決方案元件不會因導入 WPA 而受到影響。藉著以類似 WEP 型設備的方式來設定具有 WPA 功能的網路設備,並變更用戶端電腦,此解決方案成功通過與 WPA 的相容性測試。

由於 WPA 使用 802.1X 通訊協定進行網路驗證,因此遠端驗證撥號使用者服務 (RADIUS)、Microsoft® 憑證服務,以及大部分的 Microsoft Active Directory® 目錄服務設定均按照設定運作。一項重大的考慮是:如果您擁有至少一個執行 Windows Server 2003 Service Pack 1 的網域控制站,則只能使用群組原則來設定特定的 WPA 設定 (或者,您也許能在執行 Windows Server 2003、而且不是網域控制站的網域成員上設定群組原則設定)。您稍後在本附錄會發現有關這個主題的其他資訊。以這個解決方案使用 WPA 時,請參考下表列項。

表 D.1:需要考慮的解決方案元件

解決方案項目

考慮

註解

Microsoft Windows® XP 硬體驅動程式

您應聯繫網路介面卡 (NIC) 廠商,以評估哪些卡可以升級為支援 WPA,以及 Windows XP 用戶端驅動程式的可用性。

尋找通過 Windows 硬體相容性小組 (WHQL) 測試的驅動程式。支援 Windows Wireless Zero Configuration 服務的驅動程式能使介面卡的韌體動態更新以支援 WPA。請向廠商確認驅動程式支援 WZC 服務。

Windows XP 用戶端設定

用戶端設定將需要變更。這個解決方案的測試選擇 WPA 作為驗證方法,並選擇暫時金鑰整合通訊協定 (TKIP) 作為加密通訊協定。

TKIP 取代 WEP 成為加密方法,WPA 指定以 802.1X 作為驗證方法。

定時用戶端重新驗證

這個解決方案使用 RADIUS 設定以確保用戶端每 10 分鐘執行重新驗證,以便重新產生 WEP 金鑰。

TKIP 會重設每一封包的金鑰,因此不需要為 WEP 金鑰進行用戶端重新驗證。如果將時間設定為 10 分鐘,會增加 Microsoft 網際網路驗證服務 (IAS) 伺服器不必要的負載。使用 WPA 時,可將工作階段逾時變更為 10 小時。

無線網路群組原則

Windows Server 2003 在 SP1 之前所附的現有無線網路群組原則是在 WPA 可用之前開發的,因此無法設定用戶端的 WPA 設定。

您必須使用 Windows Server 2003 SP1 設定群組原則 WPA 設定。
否則您必須手動設定無線用戶端設定。

以 WPA 設定安全無線區域網路解決方案

您可以執行下列高階步驟,以將解決方案設定為使用 WPA:

  1. 將現有無線存取點 (AP) 上的韌體升級為支援 WPA,或部署能支援 WPA 的新無線 AP。請務必依據本指南內的指示,將任何新的無線 AP 作為 RADIUS 用戶端新增到 IAS 伺服器內。請依據廠商規格來設定無線 AP 上的 WPA 設定。

  2. 將 WLAN 網路介面卡 (NIC) 的驅動程式升級到能支援 WPA 的版本。Microsoft 與許多 WLAN 卡廠商通力合作,透過介面卡驅動程式來支援韌體的升級。

  3. 從套用無線網路群組原則的安全性群組中移除無線電腦。使用 Windows Server 2003 SP1 來建立新的群組原則物件 (GPO),並設定 WPA 的無線用戶端設定。將 WPA 指定為驗證類型,並將 TKIP 指定為加密類型。建立其它的安全性群組,並授予在 WPA GPO 上的 [套用原則] 權限。使用本群組來控制哪些用戶端接收 WPA 設定。如果您尚未部署 Windows Server 2003 的 SP1,則必須手動設定 WPA 的無線用戶端設定。

  4. 使用 WPA 以測試對於 WLAN 的驗證 IAS 應以 IAS 的來源以及事件識別碼 1 來記錄系統事件日誌的訊息。這表示驗證成功。  

其他資訊

請使用下列資源,尋找本附錄內主題的更多資訊:


顯示: