Voltar ao índice

Visão geral sobre a segurança: Guia do usuário de conexão de rede do Intel(R) PRO/Wireless 2915ABG



Criptografia WEP

Usando a criptografia WEP (Wired Equivalent Privacy) da IEEE 802.11, você pode impedir a recepção não autorizada de seus dados sem fio. A criptografia WEP contém dois níveis de segurança: chave de 64 bits (às vezes chamada de 40 bits) e chave de 128 bits (também chamada de 104 bits). Para obter maior segurança, use a chave de 128 bits. Se você usar criptografia, todos os dispositivos sem fio precisarão ter as mesmas chaves de criptografia.

A criptografia e autenticação compartilhada WEP (Wired Equivalent Privacy) se destinam a proteger os dados da rede. A WEP usa uma chave de criptografia para codificar os dados antes de transmiti-los. Apenas os computadores que usarem a mesma chave de criptografia podem acessar a rede ou decodificar os dados transmitidos. A autenticação é um processo adicional de validação entre o adaptador e o ponto de acesso.

O algoritmo de criptografia WEP é vulnerável a ataques passivos e ativos à rede. Os algoritmos TKIP e CKIP contêm avanços em relação ao protocolo WEP para suprimir os ataques existentes à rede e para resolver os problemas causados por estes ataques.

Autenticação aberta e de chave compartilhada

O 802.11 suporta dois tipos de autenticação à rede: Sistema aberto e Chave compartilhada.


Autenticação 802.1x

Como funciona a autenticação 802.1x
Recursos do 802.1x

Visão geral

A autenticação 802.1x é independente do processo de autenticação 802.11. O padrão 802.1x oferece uma gama de vários protocolos de autenticação e de gerenciamento de chaves. Existem diferentes tipos de autenticação 802.1x, cada uma com abordagem diferente da autenticação mas todos eles usam o mesmo protocolo e framework 802.1x para a comunicação entre o cliente e o ponto de acesso. Na maioria dos protocolos, quando o processo de autenticação 802.1x termina, o requerente recebe uma chave que será usada para a criptografia de dados.  Consulte Como funciona a autenticação 802.1x para obter mais informações. Com a autenticação 802.1x, é usado um método de autenticação entre o cliente e o servidor RADIUS (Remote Authentication Dial-In User Service) conectado ao ponto de acesso. O processo de autenticação usa credenciais, como a senha de usuário, que não são transmitidas para a rede sem fio. A maioria dos tipos 802.1x suporta chaves por usuário e por sessão para aumentar a segurança de chave estática. O 802.1x usa um protocolo de autenticação já existente chamado EAP (Extensible Authentication Protocol).

A autenticação 802.1x em LANs sem fio tem três componentes principais: O autenticador (ponto de acesso), o requerente (software cliente) e o servidor de autenticação (servidor RADIUS (Remote Authentication Dial-In User Service)). A segurança de autenticação 802.1x inicia com uma solicitação de autorização do cliente sem fio para o ponto de acesso, que autentica o cliente em um servidor RADIUS compatível com o EAP (Extensible Authentication Protocol). O servidor RADIUS pode autenticar tanto o usuário (por senhas ou certificados) como o sistema (por endereço MAC). Teoricamente, o cliente sem fio não tem permissão para entrar na rede até que a transação se complete. Há alguns algoritmos de autenticação usados para o 802.1x. Alguns exemplos são: MD5-Challenge, EAP-TLS, EAP-TTLS, PEAP (Protected EAP) e EAP Cisco Wireless LEAP (Light Extensible Authentication Protocol). Todos esses são métodos que o cliente sem fio usa para se identificar para o servidor RADIUS. Com a autenticação Radius, as identidades dos usuários são comparadas com as existentes em bancos de dados. RADIUS é um conjunto de padrões que lida com AAA (Authentication, Authorization and Accounting). O sistema Radius usa um processo proxy para validar clientes em um ambiente de vários servidores. O padrão IEEE 802.1x se destina ao controle e autenticação do acesso a redes Ethernet 802.11, com e sem fio, baseadas em portas. O controle de acesso a redes baseadas em portas é similar à infra-estrutura de redes LAN chaveadas que autentica dispositivos conectados a portas da LAN e impedem o acesso a estas portas se o processo de autenticação falhar.

O que é RADIUS?

RADIUS é o Serviço ao usuário para acesso remoto por discagem é um protocolo AAA (Authorization, Authentication, and Accounting) de cliente-servidor para uso quando o cliente faz login ou logoff de um servidor de acesso de rede. Geralmente, o servidor RADIUS é usado por provedores de serviços de Internet (ISP Internet Service Providers) para executar tarefas de AAA. As fases de AAA (Authorization, Authentication, and Accounting) são:


Como funciona a autenticação 802.1x

Uma descrição simplificada da autenticação 802.1x é:

  1. O cliente envia uma mensagem de "solicitação de acesso" ao ponto de acesso. O ponto de acesso pede a identidade do cliente.

  2. O cliente responde com seu pacote de identidade que é então passado ao servidor de autenticação.

  3. O servidor de autenticação envia um "pacote de aceitação" ao ponto de acesso.

  4. O ponto de acesso coloca a porta do cliente no estado "autorizado" e o tráfego de dados é permitido.


Recursos do 802.1x

Consulte Configurações de segurança para obter mais informações.


WPA/WPA2

O WPA/WPA (Wi-Fi Protected Access) é uma melhoria de segurança que aumenta significativamente o nível de proteção de dados e de controle de acesso à rede sem fio. O modo WPA usa a autenticação 802.1x e a troca de chaves e só funciona com chaves de criptografia dinâmicas. Para melhorar a criptografia de dados, o WPA utiliza seu TKIP (Temporal Key Integrity Protocol). O TKIP oferece melhorias importantes à criptografia de dados, o que inclui uma função de combinação de chaves por pacote, um recurso MIC (message integrity check — verificação de integridade de mensagens) denominado Michael, um recurso de vetor de inicialização estendida (IV — initialization vector) com regras de seqüenciamento e um mecanismo de rechaveamento. Com essas otimizações, o TKIP se protege contra os pontos fracos desconhecidos do WEP.

A segunda geração do WPA que é compatível com a especificação IEEE TGi é conhecida como WPA2.

WPA/WPA2 – A empresa fornece este nível de segurança em redes empresariais com um servidor RADIUS 802.1x. Um tipo de autenticação é selecionado para ser igual ao protocolo de autenticação do servidor 802.1x.

WPA/WPA2 - Pessoal fornece este nível de segurança na rede pequena ou no ambiente doméstico. Ela usa uma senha também chamada de PSK (pre-shared key). Quanto mais antiga for a senha mais intensa é a segurança da rede sem fio. Se o ponto de acesso sem fio ou o roteador suportarem WPA/WPA2 Pessoal (WPA-PSK), então, você deverá ativá-los no ponto de acesso e fornecer uma senha intensa e longa. A mesma senha digitada no ponto de acesso precisa ser usada neste computador e em todos os dispositivos sem fio que acessam a rede sem fio.


Recursos Cisco

Cisco LEAP

Cisco LEAP (Cisco Light EAP) é uma autenticação 802.1x de cliente e de servidor através de uma senha de login fornecida pelo usuário. Quando um ponto de acesso sem fio se comunica com um RADIUS habilitado para Cisco LEAP (servidor ACS (Cisco Secure Access Control Server)), o Cisco LEAP fornece o controle de acesso através de autenticação mútua entre os adaptadores sem fio cliente e a rede sem fio, e disponibiliza chaves dinâmicas de criptografia de usuário individual para ajudar a proteger a privacidade dos dados transmitidos. 

Permitir roaming rápida (CCKM)

Quando uma LAN sem fio é configurada para reconexão rápida, um dispositivo cliente ativado por LEAP pode fazer roaming de um ponto de acesso para outro, sem a interferência do servidor principal. Com o CCKM (Cisco Centralized Key Management), um ponto de acesso configurado para fornecer WDS (Wireless Domain Services — Serviços de Domínio Sem Fio) substitui o servidor RADIUS e autentica o cliente sem um atraso perceptível de voz ou de outras aplicações sensíveis ao tempo.

CKIP

O CKIP (Cisco Key Integrity Protocol) é um protocolo de segurança de propriedade da Cisco para criptografia em mídia 802.11. O CKIP usa os recursos abaixo para melhorar a segurança do 802.11 no modo de infra-estrutura:

 

EAP-FAST

 

EAP-FAST, como EAP-TTLS e PEAP, usam o túnel para proteger o tráfego. A diferença principal é que EAP-FAST não usam certificados para autenticar.

 

O fornecimento no EAP-FAST é negociado somente pelo cliente como o primeiro intercâmbio quando EAP-FAST for solicitado a partir do servidor.  Se o cliente não tiver uma PAC secreta pré-compartilhada (Protected Access Credential), ele pode solicitar para iniciar um fornecimento de intercâmbio EAP-FAST para obter um dinamicamente do servidor.

 

O EAP-FAST documenta dois métodos para fornecer a PAC: entrega manual através de um mecanismo seguro fora da banda e do fornecimento automático.

O método EAP-FAST pode ser dividido em duas partes: fornecimento e autenticação.

A fase de fornecimento envolve a entrega inicial da PAC para o cliente. Esta fase somente precisa ser executada uma vez por cliente e usuário.

 

 

Modo de células mistas

 

Alguns pontos de acesso, como o Cisco 350 ou Cisco 1200, aceitam ambientes em que nem todas as estações cliente têm suporte para a criptografia WEP; este é o modo de Célula mista. Quando essas redes sem fio operam no modo “criptografia opcional”, as redes cliente que entram no modo WEP enviam todas as mensagens codificadas, e as estações que entram usando o modo padrão enviam todas as mensagens descodificadas. Esses PAs difundem que a rede não está usando criptografia, mas permitem a entrada de clientes usando o modo WEP. Quando a opção de “Célula mista” é ativada em um perfil, permite a conexão com os pontos de acesso configurados para “criptografia opcional”.  Consulte as Opções Cisco Compatible Extensions para obter mais informações.

 

Gerenciamento de rádio

 

Quando esse recurso for ativado, o adaptador sem fio fornece gerenciamento de rádio para a infra-estrutura Cisco. Se o utilitário de gerenciamento de rádio Cisco for usado na infra-estrutura, ele irá configurar parâmetros de rádio, detectar interferência e pontos de acesso de invasão.

 

 


 

Voltar ao índices