Usando a criptografia WEP (Wired Equivalent Privacy) da IEEE 802.11, você pode impedir a recepção não autorizada de dados de conexões sem fio. A criptografia WEP fornece dois níveis de segurança: chave de 64 bits (às vezes chamada de 40 bits) e chave de 128 bits (também chamada de 104 bits). Para obter mais segurança, use uma chave de 128 bits. Se você usar criptografia, todos os dispositivos sem fio precisarão ter as mesmas chaves de criptografia.
A criptografia WEP (Wired Equivalent Privacy) e autenticação compartilhada se destinam a proteger os dados da rede. A WEP usa uma chave de criptografia para codificar os dados antes de transmiti-los. Apenas os computadores que usarem a mesma chave de criptografia podem acessar a rede ou decodificar os dados transmitidos por outros computadores. A autenticação é um processo adicional de validação entre o adaptador e o ponto de acesso.
O algoritmo de criptografia WEP é vulnerável a ataques passivos e ativos à rede. Os algoritmos TKIP e CKIP contêm avanços em relação ao protocolo WEP para suprimir os ataques existentes à rede e para resolver os problemas causados por esses ataques.
O protocolo 802.11 suporta dois tipos de métodos de autenticação de rede: Sistema aberto e Chave compartilhada.
Como funciona a autenticação 802.1x
Recursos do 802.1x
A autenticação da 802.1x é independente do processo de autenticação da 802.11. O padrão 802.1x oferece uma gama de vários protocolos de autenticação e de gerenciamento de chaves. Existem diferentes tipos de autenticação da 802.1x, cada qual com uma abordagem diferente de autenticação mas todos usam o mesmo protocolo e framework da 802.1x para a comunicação entre um cliente e um ponto de acesso. Na maioria dos protocolos, quando o processo de autenticação do 802.1x termina, o requerente recebe uma chave que será usada para a criptografia de dados. Consulte a seção Como funciona a autenticação do 802.1x, para obter mais informações. Com a autenticação 802.1x, é usado um método de autenticação entre o cliente e o servidor RADIUS (Remote Authentication Dial-In User Service) conectado ao ponto de acesso. O processo de autenticação usa credenciais, como uma senha de usuário, que não são transmitidas através da rede sem fio. A maioria dos tipos 802.1x suporta chaves por usuário e por sessão para aumentar a segurança de chave estática. O 802.1x usa um protocolo de autenticação já existente chamado EAP (Extensible Authentication Protocol).
A autenticação da 802.1x para LANs sem fio tem três componentes principais:
A segurança de autenticação 802.1x inicia com uma solicitação de autorização do cliente sem fio para o ponto de acesso, que autentica o cliente em um servidor RADIUS compatível com o EAP (Extensible Authentication Protocol). O servidor RADIUS pode autenticar tanto o usuário (por senhas ou certificados) como o sistema (por endereço MAC). Teoricamente, o cliente sem fio não tem permissão para entrar na rede até que a transação se complete.
Há alguns algoritmos de autenticação usados para o 802.1x. Alguns exemplos: EAP-TLS, EAP-TTLS e Protected EAP (PEAP). Todos esses são métodos que o cliente sem fio usa para se identificar para o servidor RADIUS. Com a autenticação Radius, as identidades dos usuários são comparadas com as existentes em bancos de dados. RADIUS é um conjunto de padrões que lida com AAA (Authentication (Autenticação), Authorization (Autorização) e Accounting (Contabilidade)). O sistema Radius usa um processo proxy para validar clientes em um ambiente de vários servidores. O padrão IEEE 802.1x se destina ao controle e autenticação do acesso a redes Ethernet 802.11, com e sem fio, baseadas em portas. O controle de acesso a redes baseadas em portas é similar à infra-estrutura de redes (LAN) chaveadas, que autentica dispositivos conectados a uma porta da LAN e impede o acesso a essa porta se o processo de autenticação falhar.
RADIUS é o Serviço ao usuário para acesso remoto por discagem é um protocolo AAA (Authorization, Authentication, and Accounting) de cliente-servidor para uso quando o cliente faz login ou logoff de um servidor de acesso de rede. Geralmente, o servidor RADIUS é usado por provedores de serviços de Internet (ISP — Internet Service Providers) para executar tarefas de AAA. As fases de AAA (Authorization, Authentication e Accounting) são:
Uma descrição simplificada da autenticação 802.1x é:
O WPA ou WPA2 (Wi-Fi Protected Access) é uma melhoria de segurança que aumenta significativamente o nível de proteção de dados e de controle de acesso a uma rede sem fio. O modo WPA usa a autenticação 802.1x e a troca de chaves e só funciona com chaves de criptografia dinâmicas. Para melhorar a criptografia de dados, o WPA usa seu TKIP (Temporal Key Integrity Protocol). O TKIP propicia melhorias importantes à criptografia de dados, o que inclui uma função de combinação de chaves por pacote, um recurso MIC (message integrity check — verificação de integridade da mensagem) denominado "Michael", um recurso de vetor de inicialização estendida (IV — initialization vector) com regras de seqüenciamento e um mecanismo de rechaveamento. Com essas otimizações, o TKIP se protege contra as deficiências conhecidas do protocolo WEP.
A segunda geração do WPA, compatível com a especificação IEEE TGi, é conhecida como WPA2.
Modo Empresa: O Modo Empresa verifica os usuários da rede através de um servidor RADIUS ou outro servidor de autenticação. O protocolo WPA utiliza chaves de criptografia de 128 bits e chaves de sessão dinâmicas para garantir a privacidade da rede sem fio e a segurança corporativa. O Modo Empresa é destinado aos ambientes corporativos ou governamentais.
Modo pessoal: O Modo pessoal requer a configuração manual de uma chave pré-compartilhada (PSK) no ponto de acesso e nos clientes. A PSK autentica os usuários por senha ou código de identificação, na estação do cliente e no ponto de acesso. Não é necessário um servidor de autenticação. O Modo pessoal é destinado aos ambientes residenciais e de pequenas empresas.
WPA-Empresa e WPA2-Empresa: Fornece este nível de segurança em redes empresariais com um servidor RADIUS 802.1x. É selecionado um Tipo de Autenticação correspondente ao protocolo de autenticação do servidor do 801.1x.
WPA-Pessoal e WPA2-Pessoal: Fornece esse nível de segurança na rede pequena ou no ambiente doméstico. Utiliza uma senha também chamada Chave pré-compartilhada (PSK). Quanto mais longa for a senha, tanto mais confiável será a segurança da rede sem fio. Se o ponto de acesso sem fio ou o roteador suportar os tipos WPA-Pessoal e WPA2-Pessoal, você deverá ativá-los no ponto de acesso e fornecer uma senha longa e de alta segurança. É necessário usar a mesma senha inserida no ponto de acesso, neste computador e em todos os dispositivos sem fio que acessam a rede sem fio.
NOTA: WPA-Pessoal e WPA2-Pessoal não são interoperáveis.
AES-CCMP - (Advanced Encryption Standard - Counter CBC-MAC Protocol) é o novo método de proteção da privacidade das transmissão sem fio especificadas no padrão IEEE 802.11i. AES-CCMP fornece um método de criptografia mais seguro do que o TKIP. Escolha AES-CCMP como método de criptografia de dados sempre que a proteção de dados de alta segurança for importante.
NOTA: É possível que algumas soluções de segurança não sejam suportadas pelo sistema operacional do computador e exijam software ou itens de hardware adicionais, além de suporte para infra-estrutura de LAN sem fio. Consulte o fabricante de seu computador para obter detalhes.
TKIP (Temporal Key Integrity Protocol) é uma otimização para a segurança WEP (Wired Equivalent Privacy). O TKIP dispõe de uma combinação de chaves por pacote, uma verificação de integridade da mensagem e um mecanismo de rechaveamento, que corrige as deficiências da WEP.
O Message Digest 5 (MD5) é um método de autenticação unidirecional que usa nomes de usuários e senhas. Este método não tem suporte para o gerenciamento de chaves mas exige uma senha pré-configurada se for usada a criptografia de dados. Pode ser implantado de modo seguro na autenticação de conexões sem fio dentro dos métodos de túnel EAP.
Um tipo de método de autenticação que usa o EPA (Extensible Authentication Protocol) e um protocolo de segurança chamado TLS (Transport Layer Security). O EAP-TLS usa certificados que utilizam senhas. A autenticação EAP-TLS suporta o gerenciamento dinâmico de chaves WEP. O protocolo TLS foi elaborado para proteger e autenticar as comunicações através de uma rede pública, por meio da criptografia de dados. O Protocolo de Handshake do TLS permite que o servidor e o cliente forneçam autenticação mútua e negociem um algoritmo de criptografia e chaves criptográficas antes da transmissão dos dados.
Estas configurações definem o protocolo e as credenciais usadas para autenticar o usuário. No TTLS (Tunneled Transport Layer Security), o cliente usa o EAP-TLS para validar o servidor e criar um canal criptografado por TLS entre o cliente e o servidor. O cliente pode usar outro protocolo de autenticação, geralmente os baseados em senha, como o MD5 Challenge neste canal criptografado para ativar a validação de servidor. Os pacotes de desafio e resposta são enviados por um canal TLS não exposto e criptografado. Atualmente, as implementações do TTLS aceitam todos os métodos definidos pelo protocolo EAP, assim como vários métodos mais antigos (PAP, CHAP, MS-CHAP e MS-CHAPv2). O TTLS pode ser facilmente estendido para trabalhar com novos protocolos, definindo novos atributos para oferecer suporte para novos protocolos.
PEAP é um novo tipo de autenticação de EAP (Extensible Authentication Protocol) do IEEE 802.1x, criado para tirar proveito das vantagens do EAP-TLS (EAP-Transport Layer Security) do lado servidor e para suportar vários métodos de autenticação, inclusive as senhas de usuário, as senhas ocasionais e o Generic Token Cards.
Cisco LEAP (Cisco Light EAP) é uma autenticação 802.1x de cliente e servidor através de uma senha de login fornecida pelo usuário. Quando um ponto de acesso sem fio se comunica com um RADIUS habilitado para Cisco LEAP (servidor ACS [Cisco Secure Access Control Server]), o Cisco LEAP fornece o controle de acesso através de autenticação mútua entre os adaptadores sem fio do cliente e as redes sem fio, e disponibiliza chaves dinâmicas de criptografia de usuário individual para ajudar a proteger a privacidade dos dados transmitidos.
O recurso Cisco Rogue AP fornece proteção de segurança a partir da introdução de um ponto de acesso não autorizado, que pode simular um ponto de acesso legítimo de uma rede para extrair informações sobre credenciais de usuários e protocolos de autenticação que possam comprometer a segurança. Este recurso só funciona com a autenticação LEAP da Cisco. A tecnologia do padrão 802.11 não protege uma rede contra a introdução de um ponto de acesso não autorizado. Consulte Autenticação LEAP para obter mais informações.
Quando uma LAN sem fio é configurada para reconexão rápida, um dispositivo cliente ativado por LEAP pode fazer roaming de um ponto de acesso para outro, sem a interferência do servidor principal. Com o CCKM (Cisco Centralized Key Management), um ponto de acesso configurado para fornecer WDS (Wireless Domain Services — Serviços de Domínio Sem Fio) substitui o servidor RADIUS e autentica o cliente sem um retardo perceptível de voz ou de outras aplicações sensíveis ao tempo.
O CKIP (Cisco Key Integrity Protocol) é um protocolo de segurança de propriedade da Cisco para criptografia em mídia 802.11. O CKIP usa os recursos abaixo para melhorar a segurança do 802.11 no modo de infra-estrutura:
Alguns pontos de acesso, como o Cisco 350 ou Cisco 1200, aceitam ambientes em que nem todas as estações cliente têm suporte para a criptografia WEP; este é chamado modo de Célula mista. Quando essas redes sem fio operam no modo “criptografia opcional”, as estações cliente que entram no modo WEP enviam todas as mensagens codificadas, e as estações que usam o modo padrão enviam todas as mensagens decodificadas. Esses pontos de acesso difundem que a rede não está usando criptografia, mas permitem a entrada de clientes usando o modo WEP. Quando a opção Célula mista é ativada em um perfil, permite a conexão com os pontos de acesso configurados para “criptografia opcional”.
O EAP-FAST, como o EAP-TTLS e o PEAP, usa o tunelamento para proteger o tráfego. A principal diferença é que o EAP-FAST não usa certificados para autenticar. O fornecimento do EAP-FAST é negociado unicamente pelo cliente na primeira troca de comunicações, quando o EAP-FAST é solicitado no servidor. Se o cliente não tiver uma PAC (Protected Access Credential) secreta pré-compartilhada, poderá iniciar um intercâmbio de fornecimento EAP-FAST para obter uma PAC dinamicamente do servidor.
O EAP-FAST documenta dois métodos de liberação da PAC: entrega manual através de um mecanismo seguro fora da faixa, e o fornecimento automático.
O método EAP-FAST é dividido em duas partes: fornecimento e autenticação. A fase do fornecimento abrange a liberação inicial da PAC para o cliente. Só é necessário realizar essa fase uma única vez por cliente e usuário.
Alguns pontos de acesso, como o Cisco 350 ou Cisco 1200, aceitam ambientes em que nem todas as estações cliente têm suporte para a criptografia WEP; este é chamado modo de Célula mista. Quando essas redes sem fio operam no modo “criptografia opcional”, as estações cliente que entram no modo WEP enviam todas as mensagens codificadas, e as estações que usam o modo padrão enviam todas as mensagens decodificadas. Esses pontos de acesso difundem que a rede não está usando criptografia, mas permite a entrada de clientes usando o modo WEP. Quando a opção de “Célula mista” é ativada em um perfil, permite a conexão com os pontos de acesso configurados para “criptografia opcional”.
Quando esse recurso for ativado, o adaptador sem fio fornece gerenciamento de rádio para a infra-estrutura Cisco. Se usado na infra-estrutura, o utilitário de gerenciamento de rádio Cisco configurará os parâmetros de rádio, detectará interferência e pontos de acesso não autorizados.