Voltar à página do índice

Visão geral sobre a segurança: Guia do Usuário do Mini-adaptador PCI de rede Intel(R) PRO/Wireless


Criptografia e autenticação WEP
Visão geral sobre criptografia
Proteger a rede
Tipos de autenticação
Autenticação 802.1x
O que é RADIUS
WPA (Wi-Fi Protected Access)
PEAP
Cisco LEAP


Criptografia e autenticação WEP

A criptografia WEP (Wired Equivalent Privacy) e autenticação compartilhada se destinam a proteger os dados da rede. A WEP usa uma chave de criptografia para codificar os dados antes de transmiti-los. Apenas os computadores que usarem a mesma chave de criptografia podem acessar a rede ou decodificar os dados transmitidos. A autenticação é um processo adicional de validação entre o adaptador e o ponto de acesso.

Os esquemas de autenticação suportados são: autenticação aberta e de chave compartilhada:

  • A autenticação por chave compartilhada é suportada usando chaves de criptografia WEP de 64 bits e de 128 bits.
  • O modo aberto não usa um método de autenticação criptografado para associar-se a um ponto de acesso específico.

Chaves de rede

Quando a criptografia de dados (WEP, CKIP ou TKIP) está ativada, uma chave de rede é usada para criptografia. A chave de rede pode ser fornecida automaticamente (por exemplo, no adaptador de rede sem fio ou você mesmo pode digitá-la e especificar seu comprimento (64 ou 128 bits), seu formato (caracteres ASCII ou algarismos hexadecimais) e seu índice (o local onde uma chave específica é armazenada)). Quanto maior o comprimento da chave, maior a sua segurança. Sempre que o comprimento da chave é aumentado em um bit, o número de chaves possíveis dobra. No 802.11, pode ser configurada uma estação sem fio com até quatro chaves (os valores de índice de chave são 1, 2, 3 e 4). Quando um ponto de acesso ou uma estação sem fio transmite uma mensagem criptografada usando uma chave que está armazenada em um índice específico, o índice que está sendo usado para criptografar o corpo da mensagem é indicado. O ponto de acesso ou estação sem fio receptora pode recuperar a chave armazenada nesse índice de chave e usá-la para decodificar o corpo da mensagem criptografada.

Tipos de chave de criptografia estática e dinâmica

O padrão 802.1x usa dois tipos de chaves de criptografia: estática e dinâmica. As chaves de criptografia estáticas são alteradas manualmente e são mais vulneráveis. A autenticação MD5 usa somente chaves de criptografia estáticas. As chaves de criptografia dinâmicas são renovadas automaticamente a intervalos de tempo. Este recurso torna as chaves mais seguras. Para ativar as chaves de criptografia dinâmica, use os métodos de autenticação baseados no certificado 802.1x, como TLS, TTLS ou PEAP.


Visão geral sobre a criptografia

A segurança na WLAN pode ser complementada com a ativação da criptografia de dados usando WEP (Wireless Encryption Protocol). É possível escolher uma criptografia de 64 bits ou de 128 bits. Além disso, os dados podem ser criptografados com uma chave. Um outro parâmetro chamado índice de chave permite a opção de criar chaves múltiplas para aquele perfil. Contudo, apenas uma chave pode ser usada de cada vez. Você também pode proteger o perfil com uma senha, para garantir a privacidade.. A senha é usada para gerar uma chave WEP automaticamente. Você pode usar uma senha ou inserir uma chave WEP manualmente. Ao usar criptografia de 64 bits, a senha terá o tamanho de 5 caracteres e você poderá escolher entre digitar uma frase qualquer e fácil de lembrar, como Acme1, ou digitar dez números em hexadecimal para a chave WEP correspondentes à rede que o usuário deseja se conectar. Para a criptografia de 128 bits, a senha tem 13 caracteres ou você pode digitar 26 números em hexadecimal para a chave WEP, para se conectar à rede adequada.

Nota: Você precisa usar o mesmo tipo de criptografia, o mesmo número de índice da chave e a mesma chave WEP que os outros dispositivos da rede sem fio. Além disso, se a autenticação usada for de 802.1x, a criptografia WEP precisa ser desativada.


Proteção da rede


Tipos de autenticação

O padrão IEEE 802.1x oferece uma estrutura de autenticação geral para as redes do 802 e especifica um EAP (Extensible Authentication Protocol — protocolo de autenticação extensível) para ativar o transporte por LAN para vários tipos diferentes de protocolos de autenticação. Um cliente da WAN inicia uma solicitação de autorização para o ponto de acesso, que autentica o cliente para um servidor RADIUS compatível com o EAP (Extensible Authentication Protocol). O servidor RADIUS pode autenticar tanto o usuário (por senhas) como a máquina (por endereço MAC). A autenticação 802.1x é independente do processo de autenticação 802.11. O padrão 802.1x fornece um framework de autenticação.  Existem diferentes tipos de autenticação 802.1x, cada um com uma abordagem diferente da autenticação mas todos eles usam o mesmo protocolo e framework para a comunicação entre o cliente e o ponto de acesso. Na maioria dos protocolos, quando o processo de autenticação 802.1x termina, o requerente recebe uma chave que será usada para criptografia de dados. 

Consulte Configuração do cliente para autenticação WEP e MD5 para obter detalhes sobre como configurar um perfil 802.1x.


Autenticação 802.1x

Recursos do 802.1x

Notas de autenticação 802.1x

Visão geral

A autenticação 802.1x é independente do processo de autenticação 802.11. O padrão 802.1x oferece uma gama de vários protocolos de autenticação e de gerenciamento de chaves. Existem diferentes tipos de autenticação 802.1x, cada uma com abordagem diferente da autenticação mas todos eles usam o mesmo protocolo e framework 802.1x para a comunicação entre o cliente e o ponto de acesso. Na maioria dos protocolos, quando o processo de autenticação 802.1x termina, o requerente recebe uma chave que será usada para criptografia de dados.  Consulte 802.1x e criptografia de dados para obter mais informações.

Com a autenticação 802.1x, é usado um método de autenticação entre o cliente e o servidor RADIUS (Remote Authentication Dial-In User Service) conectado ao ponto de acesso. O processo de autenticação usa credenciais, como a senha de usuário, que não são transmitidas para a rede sem fio. A maioria dos tipos 802.1x suporta chaves por usuário e por sessão para aumentar a segurança de chave estática. O 802.1x usa um protocolo de autenticação já existente chamado EAP (Extensible Authentication Protocol). A autenticação 802.1x em LANs sem fio tem três componentes principais: o autenticador (ponto de acesso), o requerente (software cliente) e o servidor de autenticação (servidor RADIUS (Remote Authentication Dial-In User Service)). A segurança de autenticação 802.1x inicia uma solicitação de autorização do cliente WLAN para o ponto de acesso, que autentica o cliente em um servidor RADIUS compatível com o EAP (Extensible Authentication Protocol). O servidor RADIUS pode autenticar tanto o usuário (por senhas ou certificados) como o sistema (por endereço MAC). Teoricamente, o cliente sem fio não tem permissão para entrar na rede até que a transação se complete. Existem vários algoritmos de autenticação usados para o 802.1x: MD5-Challenge, EAP-TLS, EAP-TTLS, PEAP (Protected EAP) e EAP Cisco Wireless LEAP (Light Extensible Authentication Protocol). Estes são métodos que o cliente WLAN usa para se identificar para o servidor RADIUS. Com a autenticação do RADIUS, as identidades dos usuários são comparadas com as existentes em bancos de dados. RADIUS é um conjunto de padrões que lida com AAA (Authentication, Authorization and Accounting). O sistema Radius usa um processo proxy para validar clientes em um ambiente de vários servidores. O padrão IEEE 802.1x se destina ao controle e autenticação em redes Ethernet 802.11, com e sem fio, baseadas em portas. O controle de acesso a redes baseadas em portas é similar à infraestrutura de redes LAN chaveadas que autentica dispositivos conectados a portas da LAN e impedem o acesso a estas portas se o processo de autenticação falhar.

Como a autenticação 802.1x funciona

Uma descrição simplificada da autenticação 802.1x é:

  1. O cliente envia uma mensagem de "solicitação de acesso" ao ponto de acesso. O ponto de acesso pede a identidade do cliente.
  2. O cliente responde com seu pacote de identidade que é então passado ao servidor de autenticação.
  3. O servidor de autenticação envia um "pacote de aceitação" ao ponto de acesso.
  4. O ponto de acesso coloca a porta do cliente no estado autorizado e o tráfego de dados pode prosseguir.

O que é RADIUS?

RADIUS (Remote Access Dial-In User Service - Serviço ao usuário para acesso remoto por discagem) é um protocolo AAA (Authorization, Authentication, and Accounting) de cliente-servidor para uso quando o cliente faz login ou logoff de um servidor de acesso de rede. Geralmente, o servidor RADIUS é usado por provedores de serviços de Internet (ISP — Internet Service Providers) para executar tarefas de AAA. As fases de AAA (Authorization, Authentication, and Accounting) são:


WPA (Wi-Fi Protected Access*)

O WPA (Wi-Fi Protected Access) é uma melhoria de segurança que aumenta significativamente o nível de proteção de dados e de controle de acesso à WLAN. O modo WPA usa a autenticação 802.1x e a troca de chaves e só funciona com chaves de criptografia dinâmicas. Para melhorar a criptografia de dados, o WPA utiliza seu protocolo Temporal Key Integrity Protocol (.TKIP). O TKIP fornece otimizações importantes de criptografia de dados, que incluem uma função de combinação de chaves por pacote, uma verificação de integridade da mensagem (MIC - message integrity check) denominada Michael, um vetor de inicialização estendida (IV — initialization vector) com normas de seqüenciamento e também um mecanismo de rechaveamento. Ao usar essas otimizações de aperfeiçoamentos, o TKIP se protege contra as deficiências do WEP já detectadas.


PEAP

O PEAP é um novo tipo de autenticação IEEE 802.1x EAP (Extensible Authentication Protocol) criado para aproveitar as vantagens do EAP-TLS (EAP-Transport Layer Security) no lado do servidor e para suportar vários métodos de autenticação, inclusive as senhas de usuário, as senhas de uso único e o Generic Token Cards.


Cisco LEAP

Cisco LEAP (EAP Cisco Wireless) é uma autenticação 802.1x de cliente e servidor, através de uma senha de login fornecida pelo usuário. Quando um ponto de acesso sem fio se comunica com um servidor RADIUS habilitado para Cisco LEAP (Cisco Secure Access Control Server (ACS)), o Cisco LEAP fornece o controle de acesso através de autenticação mútua entre os adaptadores cliente sem fio e a rede sem fio, e disponibiliza chaves dinâmicas de criptografia de usuário individual para ajudar a proteger a privacidade dos dados transmitidos. 

Recurso de segurança Cisco Rogue AP

O recurso Cisco Rogue AP fornece proteção de segurança a partir da introdução de um ponto de acesso falso que pode imitar um ponto de acesso real da rede para extrair informações de credenciais de usuários e protocolos de autenticação que poderiam comprometer a segurança. Este recurso só funciona com a autenticação LEAP da Cisco. A tecnologia do padrão 802.11 não protege uma rede contra a introdução de um ponto de acesso falso. 

CKIP

O CKIP (Cisco Key Integrity Protocol) é um protocolo de segurança de propriedade da Cisco
para criptografia em mídia 802.11. O CKIP usa os recursos abaixo para melhorar a segurança do 802.11 no modo de infraestrutura:

  • Permutação de chaves
  • Verificação de integridade da mensagem
  • Número de seqüência da mensagem

Voltar à página do Índice


Leia todas as restrições e isenções de responsabilidade.