Usando a criptografia WEP (Wired Equivalent Privacy) da IEEE 802.11, você pode impedir a recepção não autorizada de seus dados sem fio. A criptografia WEP contém dois níveis de segurança: chave de 64 bits (às vezes chamada de 40 bits) e chave de 128 bits (também chamada de 104 bits). Para obter maior segurança, use a chave de 128 bits. Se você usar criptografia, todos os dispositivos sem fio precisarão ter as mesmas chaves de criptografia.
A criptografia e autenticação compartilhada WEP (Wired Equivalent Privacy) se destinam a proteger os dados da rede. A WEP usa uma chave de criptografia para codificar os dados antes de transmiti-los. Apenas os computadores que usarem a mesma chave de criptografia podem acessar a rede ou decodificar os dados transmitidos. A autenticação é um processo adicional de validação entre o adaptador e o ponto de acesso.
O algoritmo de criptografia WEP é vulnerável a ataques passivos e ativos à rede. Os algoritmos TKIP e CKIP contêm avanços em relação ao protocolo WEP para suprimir os ataques existentes à rede e para resolver os problemas causados por estes ataques.
O 802.11 suporta dois tipos de autenticação à rede: Sistema aberto e Chave compartilhada.
No modo de autenticação Aberta, qualquer estação sem fio pode solicitar autenticação. A estação que precisa se autenticar a outra estação sem fio envia um frame de gerenciamento de autenticação que contém a identidade da estação de origem. A estação receptora ou AP aceita todas as solicitações de autenticação. A autenticação aberta permite que qualquer dispositivo acesse a rede. Se não houver nenhuma criptografia ativada na rede, qualquer dispositivo que conhecer o SSID do ponto de acesso pode entrar na rede.
Com a autenticação de Chave compartilhada, presume-se que cada estação sem fio tenha recebido uma chave compartilhada secreta por um canal seguro que é independente do canal de comunicação da rede sem fio 802.11. A autenticação por chave compartilhada exige que o cliente configure uma chave WEP estática. O acesso do cliente só será concedido se ele passar por uma autenticação baseada em desafio.
Como funciona a autenticação 802.1x
Recursos do 802.1x
Visão geral
A autenticação 802.1x é independente do processo de autenticação 802.11. O padrão 802.1x oferece uma gama de vários protocolos de autenticação e de gerenciamento de chaves. Existem diferentes tipos de autenticação 802.1x, cada uma com abordagem diferente da autenticação mas todos eles usam o mesmo protocolo e framework 802.1x para a comunicação entre o cliente e o ponto de acesso. Na maioria dos protocolos, quando o processo de autenticação 802.1x termina, o requerente recebe uma chave que será usada para a criptografia de dados. Consulte Como funciona a autenticação 802.1x para obter mais informações. Com a autenticação 802.1x, é usado um método de autenticação entre o cliente e o servidor RADIUS (Remote Authentication Dial-In User Service) conectado ao ponto de acesso. O processo de autenticação usa credenciais, como a senha de usuário, que não são transmitidas para a rede sem fio. A maioria dos tipos 802.1x suporta chaves por usuário e por sessão para aumentar a segurança de chave estática. O 802.1x usa um protocolo de autenticação já existente chamado EAP (Extensible Authentication Protocol).
A autenticação 802.1x em LANs sem fio tem três componentes principais: O autenticador (ponto de acesso), o requerente (software cliente) e o servidor de autenticação (servidor RADIUS (Remote Authentication Dial-In User Service)). A segurança de autenticação 802.1x inicia com uma solicitação de autorização do cliente sem fio para o ponto de acesso, que autentica o cliente em um servidor RADIUS compatível com o EAP (Extensible Authentication Protocol). O servidor RADIUS pode autenticar tanto o usuário (por senhas ou certificados) como o sistema (por endereço MAC). Teoricamente, o cliente sem fio não tem permissão para entrar na rede até que a transação se complete. Há alguns algoritmos de autenticação usados para o 802.1x. Alguns exemplos são: MD5-Challenge, EAP-TLS, EAP-TTLS, PEAP (Protected EAP) e EAP Cisco Wireless LEAP (Light Extensible Authentication Protocol). Todos esses são métodos que o cliente sem fio usa para se identificar para o servidor RADIUS. Com a autenticação Radius, as identidades dos usuários são comparadas com as existentes em bancos de dados. RADIUS é um conjunto de padrões que lida com AAA (Authentication, Authorization and Accounting). O sistema Radius usa um processo proxy para validar clientes em um ambiente de vários servidores. O padrão IEEE 802.1x se destina ao controle e autenticação do acesso a redes Ethernet 802.11, com e sem fio, baseadas em portas. O controle de acesso a redes baseadas em portas é similar à infra-estrutura de redes LAN chaveadas que autentica dispositivos conectados a portas da LAN e impedem o acesso a estas portas se o processo de autenticação falhar.
RADIUS é o Serviço ao usuário para acesso remoto por discagem é um protocolo AAA (Authorization, Authentication, and Accounting) de cliente-servidor para uso quando o cliente faz login ou logoff de um servidor de acesso de rede. Geralmente, o servidor RADIUS é usado por provedores de serviços de Internet (ISP Internet Service Providers) para executar tarefas de AAA. As fases de AAA (Authorization, Authentication, and Accounting) são:
Fase de autenticação: Verifica o nome e senha de usuário em relação ao banco de dados local. Depois que as credenciais são confirmadas, o processo de autorização é iniciado.
Fase de autorização: Determina se a solicitação de acesso ao recurso será aceita ou não. Um endereço IP é atribuído ao cliente de discagem.
Fase de contabilidade: Coleta informações sobre o uso do recurso para análise de tendências, auditoria, cobrança por tempo da sessão ou alocação de custos.
Uma descrição simplificada da autenticação 802.1x é:
O cliente envia uma mensagem de "solicitação de acesso" ao ponto de acesso. O ponto de acesso pede a identidade do cliente.
O cliente responde com seu pacote de identidade que é então passado ao servidor de autenticação.
O servidor de autenticação envia um "pacote de aceitação" ao ponto de acesso.
O ponto de acesso coloca a porta do cliente no estado "autorizado" e o tráfego de dados é permitido.
Suporte para o protocolo de requerente do 802.1x
Suporte para EAP (Extensible Authentication Protocol) - RFC 2284
Métodos de autenticação suportados:
MD5 - RFC 2284
Protocolo de autenticação TLS EAP - RFC 2716 e RFC 2246
EAP Tunneled TLS (TTLS)
Cisco LEAP
EAP-FAST
EAP-SIM
PEAP
Suporta o Windows XP e 2000
Consulte Configurações de segurança para obter mais informações.
O WPA/WPA (Wi-Fi Protected Access) é uma melhoria de segurança que aumenta significativamente o nível de proteção de dados e de controle de acesso à rede sem fio. O modo WPA usa a autenticação 802.1x e a troca de chaves e só funciona com chaves de criptografia dinâmicas. Para melhorar a criptografia de dados, o WPA utiliza seu TKIP (Temporal Key Integrity Protocol). O TKIP oferece melhorias importantes à criptografia de dados, o que inclui uma função de combinação de chaves por pacote, um recurso MIC (message integrity check — verificação de integridade de mensagens) denominado Michael, um recurso de vetor de inicialização estendida (IV — initialization vector) com regras de seqüenciamento e um mecanismo de rechaveamento. Com essas otimizações, o TKIP se protege contra os pontos fracos desconhecidos do WEP.
A segunda geração do WPA que é compatível com a especificação IEEE TGi é conhecida como WPA2.
WPA/WPA2 – A empresa fornece este nível de segurança em redes empresariais com um servidor RADIUS 802.1x. Um tipo de autenticação é selecionado para ser igual ao protocolo de autenticação do servidor 802.1x.
WPA/WPA2 - Pessoal fornece este nível de segurança na rede pequena ou no ambiente doméstico. Ela usa uma senha também chamada de PSK (pre-shared key). Quanto mais antiga for a senha mais intensa é a segurança da rede sem fio. Se o ponto de acesso sem fio ou o roteador suportarem WPA/WPA2 Pessoal (WPA-PSK), então, você deverá ativá-los no ponto de acesso e fornecer uma senha intensa e longa. A mesma senha digitada no ponto de acesso precisa ser usada neste computador e em todos os dispositivos sem fio que acessam a rede sem fio.
Cisco LEAP (Cisco Light EAP) é uma autenticação 802.1x de cliente e de servidor através de uma senha de login fornecida pelo usuário. Quando um ponto de acesso sem fio se comunica com um RADIUS habilitado para Cisco LEAP (servidor ACS (Cisco Secure Access Control Server)), o Cisco LEAP fornece o controle de acesso através de autenticação mútua entre os adaptadores sem fio cliente e a rede sem fio, e disponibiliza chaves dinâmicas de criptografia de usuário individual para ajudar a proteger a privacidade dos dados transmitidos.
Quando uma LAN sem fio é configurada para reconexão rápida, um dispositivo cliente ativado por LEAP pode fazer roaming de um ponto de acesso para outro, sem a interferência do servidor principal. Com o CCKM (Cisco Centralized Key Management), um ponto de acesso configurado para fornecer WDS (Wireless Domain Services — Serviços de Domínio Sem Fio) substitui o servidor RADIUS e autentica o cliente sem um atraso perceptível de voz ou de outras aplicações sensíveis ao tempo.
O CKIP (Cisco Key Integrity Protocol) é um protocolo de segurança de propriedade da Cisco para criptografia em mídia 802.11. O CKIP usa os recursos abaixo para melhorar a segurança do 802.11 no modo de infra-estrutura:
KP (Key Permutation) - permutação de chaves
MIC (Message Integrity Check) - verificação de integridade da mensagem
Número de seqüência da mensagem
EAP-FAST, como EAP-TTLS e PEAP, usam o túnel para proteger o tráfego. A diferença principal é que EAP-FAST não usam certificados para autenticar.
O fornecimento no EAP-FAST é negociado somente pelo cliente como o primeiro intercâmbio quando EAP-FAST for solicitado a partir do servidor. Se o cliente não tiver uma PAC secreta pré-compartilhada (Protected Access Credential), ele pode solicitar para iniciar um fornecimento de intercâmbio EAP-FAST para obter um dinamicamente do servidor.
O EAP-FAST documenta dois métodos para fornecer a PAC: entrega manual através de um mecanismo seguro fora da banda e do fornecimento automático.
Os mecanismos de entrega manual podem ser quaisquer mecanismos de saída que o administrador de rede achar que são suficientemente seguros para a rede.
O fornecimento automático estabelece um túnel criptografado para proteger a autenticação do cliente e a entrega da PAC para o cliente. O mecanismo, enquanto não for seguro como um método manual, é mais seguro que o método de autenticação usado no LEAP.
O método EAP-FAST pode ser dividido em duas partes: fornecimento e autenticação.
A fase de fornecimento envolve a entrega inicial da PAC para o cliente. Esta fase somente precisa ser executada uma vez por cliente e usuário.
Alguns pontos de acesso, como o Cisco 350 ou Cisco 1200, aceitam ambientes em que nem todas as estações cliente têm suporte para a criptografia WEP; este é o modo de Célula mista. Quando essas redes sem fio operam no modo “criptografia opcional”, as redes cliente que entram no modo WEP enviam todas as mensagens codificadas, e as estações que entram usando o modo padrão enviam todas as mensagens descodificadas. Esses PAs difundem que a rede não está usando criptografia, mas permitem a entrada de clientes usando o modo WEP. Quando a opção de “Célula mista” é ativada em um perfil, permite a conexão com os pontos de acesso configurados para “criptografia opcional”. Consulte as Opções Cisco Compatible Extensions para obter mais informações.
Quando esse recurso for ativado, o adaptador sem fio fornece gerenciamento de rádio para a infra-estrutura Cisco. Se o utilitário de gerenciamento de rádio Cisco for usado na infra-estrutura, ele irá configurar parâmetros de rádio, detectar interferência e pontos de acesso de invasão.