Utilize a encriptação IEEE 802.11 Wired Equivalent Privacy (WEP) para impedir a recepção não autorizada de dados sem fios. A encriptação WEP proporciona dois níveis de segurança: uma chave de 64 bits (por vezes, referida como de 40 bits) ou uma chave de 128 bits (também conhecida como de 104 bits). Para maior segurança, utilize uma chave de 128 bits. Se utilizar a encriptação, todos os dispositivos sem fios da rede sem fios têm de utilizar as mesmas chaves de encriptação.
A encriptação Wired Equivalent Privacy (WEP) e a autenticação partilhada fornecem protecção aos dados da rede. O WEP utiliza uma chave de encriptação para encriptar os dados antes da respectiva transmissão. Apenas os computadores que utilizem a mesma chave de encriptação podem aceder à rede ou desencriptar os dados encriptados transmitidos por outros computadores. A autenticação fornece um processo de validação adicional do adaptador ao ponto de acesso.
O algoritmo de encriptação WEP é vulnerável aos ataques de rede passivos e activos. Os algoritmos TKIP e CKIP incluem melhorias ao protocolo WEP que atenuam os ataques de rede existentes e eliminam as suas falhas.
A norma IEEE 802.11 suporta dois tipos de métodos de autenticação de rede: Sistema aberto e Chave partilhada.
Como funciona a autenticação 802.1x
Funcionalidades 802.1x
A autenticação 802.1x é independente do processo de autenticação 802.11. A norma 802.1x fornece uma estrutura para diversos protocolos de autenticação e gestão de chaves. Existem diferentes tipos de autenticação 802.1x, cada um proporcionando uma abordagem diferente à autenticação, mas utilizando o mesmo protocolo e a mesma estrutura 802.1x para comunicação entre um cliente e um ponto de acesso. Na maior parte dos protocolos, o suplicante recebe uma chave que utiliza na encriptação de dados após a conclusão do protocolo de autenticação 802.1x. Consulte a secção Como funciona a autenticação 802.1x para obter mais informações. A autenticação 802.1x utiliza um método de autenticação entre o cliente e um servidor de serviço de autenticação remota para utilizadores de acesso telefónico (RADIUS, Remote Authentication Dial-In User Service) ligado ao ponto de acesso. O processo de autenticação utiliza credenciais como, por exemplo, uma palavra-passe do utilizador, que não são transmitidas na rede sem fios. A maior parte dos tipos 802.1x suportam chaves dinâmicas por utilizador e por sessão para reforçar a segurança da chave estática. O 802.1x beneficia da utilização de um protocolo de autenticação existente denominado protocolo de autenticação extensível (EAP, Extensible Authentication Protocol).
A autenticação 802.1x para redes locais sem fios tem três componentes principais:
A segurança de autenticação 802.1x inicia um pedido de autorização a partir do cliente sem fios para o ponto de acesso, que autentica o cliente junto de um servidor RADIUS compatível com o protocolo de autenticação extensível (EAP). Este servidor RADIUS pode autenticar o utilizador (através de palavras-passe ou certificados) ou o sistema (através do endereço MAC). Em teoria, o cliente sem fios só poderá juntar-se às redes depois de a transacção ser concluída.
Existem diversos algoritmos de autenticação utilizados para o 802.1x. Alguns exemplos são: EAP-TLS, EAP-TTLS e EAP protegido (PEAP). São todos métodos que permitem ao cliente sem fios identificar-se junto do servidor RADIUS. Na autenticação RADIUS, as identidades dos utilizadores são verificadas em bases de dados. O RADIUS forma um conjunto de normas que resolvem a autenticação, a autorização e a contabilização (Authentication, Authorization and Accounting, AAA). O RADIUS inclui um processo de proxy que valida os clientes num ambiente multiservidor. A norma IEEE 802.1x visa controlar e autenticar o acesso a redes Ethernet sem fios ou com fios baseadas na porta 802.11. O controlo de acesso a redes baseadas em portas é semelhante a uma infra-estrutura de rede local (LAN) comutada que autentica os dispositivos ligados a uma porta de rede local e que impede o acesso a essa porta caso o processo de autenticação falhe.
O RADIUS é o serviço de acesso remoto para utilizadores de acesso telefónico, um protocolo AAA (Authorization, Authentication, and Accounting) de cliente/servidor que é utilizado quando um cliente AAA de acesso telefónico inicia ou termina sessão num servidor de acesso à rede. Normalmente, um servidor RADIUS é utilizado pelos ISP (fornecedor de serviços Internet) para executar tarefas AAA. As fases AAA são descritas da seguinte forma:
Uma descrição simplificada da autenticação 802.1x é:
O acesso protegido WPA (WPA ou WPA2) é uma melhoria de segurança que aumenta significativamente o nível de protecção dos dados e de controlo do acesso a uma rede sem fios. O WPA impõe a autenticação 802.1x e o intercâmbio de chaves, funcionando apenas com chaves de encriptação dinâmica. Para reforçar a encriptação de dados, o WPA utiliza o protocolo de integridade de chave temporal (TKIP). O TKIP proporciona melhorias importantes na encriptação de dados que incluem uma função de mistura de chaves por pacote, uma verificação de integridade das mensagens (MIC) chamada Michael, um vector de inicialização estendido (IV) com regras de sequenciação e um mecanismo de regeração de chaves. Com estas melhorias, o TKIP oferece protecção contra as falhas conhecidas do WEP.
A segunda geração do WPA que cumpre a especificação IEEE TGi denomina-se WPA2.
Modo empresarial: O modo empresarial verifica os utilizadores da rede através de um servidor RADIUS ou outro servidor de autenticação. O WPA utiliza chaves de encriptação de 128 bits e chaves de sessão dinâmicas para garantir a privacidade e segurança empresarial da rede. O modo empresarial destina-se aos ambientes empresariais ou governamentais.
Modo pessoal: O modo pessoal requer a configuração manual de uma chave pré-partilhada (PSK) no ponto de acesso e nos clientes. A PSK autentica os utilizadores através de uma palavra-passe ou código de identificação, tanto na estação cliente como no ponto de acesso. Não é necessário qualquer servidor de autenticação. O modo pessoal é destinado aos ambientes domésticos e de pequenas empresas.
WPA-Empresarial e WPA2-Empresarial: Proporciona este nível de segurança em redes empresariais com um servidor RADIUS 802.1x. É seleccionado um tipo de autenticação que corresponde ao protocolo de autenticação do servidor 802.1x.
WPA-Pessoal e WPA2-Pessoal: Proporcione este nível de segurança num ambiente de rede pequena ou doméstica. Utiliza uma palavra-passe também denominada chave pré-partilhada (PSK). Quanto maior for a palavra-passe, mais forte será a segurança da rede sem fios. Se o ponto de acesso sem fios ou o router suportar WPA-Pessoal e WPA2-Pessoal, active-o no ponto de acesso e especifique uma palavra-passe longa e forte. A palavra-passe introduzida no ponto de acesso tem de ser também utilizada neste computador e em todos os outros dispositivos sem fios com acesso à rede sem fios.
NOTA: O WPA-Pessoal e o WPA2-Pessoal não são interoperáveis.
O AES-CCMP - (Advanced Encryption Standard - Counter CBC-MAC Protocol) é um novo método de protecção da privacidade em transmissões sem fios especificado na norma IEEE 802.11i. O AES-CCMP fornece um método de encriptação mais forte do que o TKIP. Escolha o AES-CCMP como método de encriptação de dados sempre que a protecção de dados forte for importante.
NOTA: Algumas soluções de segurança podem não ser suportadas pelo sistema operativo do computador e poderão necessitar de software ou hardware adicional, bem como de suporte de infra-estrutura de rede local sem fios. Contacte o fabricante do computador para obter mais detalhes.
O TKIP (protocolo de integridade de chave temporal) é uma melhoria à segurança WEP (Wired Equivalent Privacy). O TKIP proporciona a mistura de chaves por pacote, uma verificação de integridade das mensagens e um mecanismo de regeração de chaves que corrige as falhas do WEP.
O Message Digest 5 (MD5) é um método de autenticação unidireccional que utiliza nomes de utilizador e palavras-passe. Este método não suporta gestão de chaves mas requer uma chave pré-configurada se a encriptação de dados for utilizada. Pode ser implementado com segurança para autenticação sem fios dentro dos métodos de túnel EAP.
Um tipo de método de autenticação que usa o protocolo de autenticação extensível (Extensible Authentication Protocol - EAP) e um protocolo de segurança chamado Transport Layer Security (TLS). EAP-TLS utiliza certificados que usam palavras-passe. A autenticação EAP-TLS suporta a gestão dinâmica de chaves WEP. O protocolo TLS destina-se a proteger e autenticar as comunicações numa rede pública através da encriptação de dados. O protocolo de intercâmbio TLS permite ao servidor e ao cliente fornecerem autenticação mútua e negociarem um algoritmo de encriptação e chaves criptográficas antes da transmissão dos dados.
Estas configurações definem o protocolo e as credenciais utilizadas na autenticação de um utilizador. No TTLS (Tunneled Transport Layer Security), o cliente utiliza o EAP-TLS para validar o servidor e criar um canal encriptado TLS entre o cliente e o servidor. O cliente pode utilizar outro protocolo de autenticação, normalmente protocolos baseados em palavra-passe, como o MD5 Challenge, neste canal encriptado para activar a validação do servidor. Os pacotes de desafio e resposta são enviados num canal encriptado TLS não exposto. As actuais implementações TTLS suportam todos os métodos definidos pelo EAP e outros métodos mais antigos (PAP, CHAP, MS-CHAP e MS-CHAPv2). O TTLS pode ser facilmente expandido para funcionar com novos protocolos através da definição de novos atributos que suportem novos protocolos.
O PEAP é um novo tipo de autenticação IEEE 802.1x por EAP (protocolo de autenticação extensível) concebido para beneficiar do EAP-TLS (EAP-Transport Layer Security) do lado do servidor e para suportar diversos métodos de autenticação, incluindo palavras-passe do utilizador, palavras-passe únicas e placas token genéricas.
O Cisco LEAP (Cisco Light EAP) é uma autenticação 802.1x de servidor e de cliente efectuada através de uma palavra-passe de início de sessão fornecida pelo utilizador. Quando um ponto de acesso sem fios comunica com um RADIUS activado por Cisco LEAP (servidor Cisco Secure Access Control Server [ACS]), o Cisco LEAP proporciona controlo de acesso mediante a autenticação mútua entre as placas sem fios do cliente e as redes sem fios, fornecendo chaves de encriptação de utilizador individuais e dinâmicas que ajudam a proteger a privacidade dos dados transmitidos.
A funcionalidade de pontos de acesso não controlados da Cisco proporciona protecção de segurança contra a introdução de um ponto de acesso não controlado que poderia imitar um ponto de acesso legítimo numa rede por forma a extrair informação sobre as credenciais dos utilizadores e os protocolos de autenticação que poderão comprometer a segurança. Esta funcionalidade só funciona com a autenticação LEAP da Cisco. A tecnologia 802.11 padrão não protege uma rede contra a introdução de um ponto de acesso não controlado. Consulte Autenticação LEAP para obter mais informações.
Quando uma rede local sem fios está configurada para restabelecer a ligação rapidamente, um dispositivo cliente activado por LEAP pode efectuar o roaming de um ponto de acesso para outro sem envolver o servidor principal. A utilização do CCKM (Cisco Centralized Key Management) permite a um ponto de acesso configurado para fornecer serviços WDS (Wireless Domain Services) substituir o servidor RADIUS e autenticar o cliente sem qualquer atraso perceptível nas aplicações de voz ou outras com requisitos de tempo.
O CKIP (Cisco Key Integrity Protocol) é um protocolo de segurança proprietário da Cisco para encriptação em suportes 802.11. O CKIP utiliza as seguintes funcionalidades para melhorar a segurança 802.11 em modo de infra-estrutura:
Alguns pontos de acesso (por exemplo, Cisco 350 ou Cisco 1200) suportam ambientes nos quais nem todas as estações cliente suportam encriptação WEP. Tal denomina-se modo de células mistas. Quando estas redes sem fios funcionam em modo de “encriptação opcional”, as estações cliente que aderem em modo WEP enviam todas as mensagens encriptadas. As estações que aderem em modo padrão enviam todas as mensagens sem encriptação. Estes pontos de acesso transmitem a indicação de que a rede não utiliza a encriptação, mas permite a adesão de clientes que utilizam o modo WEP. Quando a opção Células mistas está activada num perfil, ela permite-lhe ligar a pontos de acesso configurados para “encriptação opcional”.
À semelhança do EAP-TTLS e do PEAP, o EAP-FAST utiliza o tunneling para proteger o tráfego. A diferença principal é que o EAP-FAST não utiliza certificados na autenticação. O fornecimento no EAP-FAST é negociado apenas pelo cliente como o primeiro intercâmbio de comunicação quando o EAP-FAST é pedido a partir do servidor. Se o cliente não tiver uma credencial de acesso protegido (PAC) confidencial pré-partilhada, ele pode iniciar um intercâmbio EAP-FAST de fornecimento para obter uma PAC dinamicamente a partir do servidor.
O EAP-FAST tem dois métodos de fornecimento da PAC: a entrega manual, através de um mecanismo seguro fora da banda, e o fornecimento automático.
O método EAP-FAST pode ser dividido em duas partes: fornecimento e autenticação. A fase de fornecimento envolve a entrega inicial da PAC ao cliente. Esta fase só necessita de ser efectuada uma vez por cada cliente e utilizador.
Alguns pontos de acesso (por exemplo, Cisco 350 ou Cisco 1200) suportam ambientes nos quais nem todas as estações cliente suportam encriptação WEP. Tal denomina-se modo de células mistas. Quando estas redes sem fios funcionam em modo de “encriptação opcional”, as estações cliente que aderem em modo WEP enviam todas as mensagens encriptadas. As estações que aderem em modo padrão enviam todas as mensagens sem encriptação. Estes pontos de acesso transmitem a indicação de que a rede não utiliza a encriptação, mas permite a adesão dos clientes que utilizam o modo WEP. Quando a opção de células mistas está activada num perfil, ela permite-lhe ligar a pontos de acesso configurados para “encriptação opcional”.
Quando esta funcionalidade está activa, o adaptador sem fios fornece informações de gestão de rádio à infra-estrutura Cisco. Se o utilitário 'Gestão de rádio da Cisco' for utilizado na infra-estrutura, ele configura os parâmetros de rádio e detecta as interferências e os pontos de acesso não controlados.