Voltar à página do índice

Visão geral sobre segurança

Segurança das conexões sem fio

Uma vez que os dispositivos de redes sem fio transmitem informações por ondas de rádio, é imperativo que você configure os parâmetros de segurança para proteger estas informações. Existem três componentes que, quando usados juntos, podem proteger sua rede sem fio:

Diretrizes de segurança

Os recursos a seguir podem ajudar a obter segurança máxima para a rede sem fio:

  1. Ative o WEP e mude a chave WEP diariamente ou semanalmente.
  2. Proteja as unidades de disco e os arquivos com senhas.
  3. Mude o SSID padrão.
  4. Mude a chave WEP a cada sessão, se possível.
  5. Ative a filtragem de endereço MAC, se possível.
  6. Implemente um sistema de VPN (Virtual Private Network). Um cliente de VPN é parte da maioria dos sistemas operacionais.

Proteção da rede

Tipos de autenticação

O padrão IEEE 802.1x é uma estrutura genérica de autenticação para LANs 802 e especifica um EAP (Extensible Authentication Protocol) para permitir que a LAN transporte muitos tipos diferentes de protocolos de autenticação. 

Chaves de criptografia

Para proteger o tráfego do cliente, o padrão 802.11 define o WEP (Wireless Encryption Privacy) com chaves de criptografia fixas (e três comprimentos opcionais de chave). The use of fixed keys has made it easy to mount several types of attack against WEP.  Consulte Chaves de rede para obter mais informações.

Criptografia WEP

Você pode ajudar a impedir a recepção não autorizada de seus dados de rede usando o WEP (Wired Equivalent Privacy) da IEEE 802.11. O padrão contém dois níveis de segurança: chave de 64 bits (às vezes chamada de 40 bits) e chave de 128 bits. Para obter maior segurança, use a chave de 128 bits. Se você resolver usar criptografia, todos os dispositivos da WLAN precisarão ter as mesmas configurações de criptografia. O algoritmo de criptografia WEP é vulnerável a ataques passivos e ativos à rede. Os algoritmos TKIP e CKIP contém avanços em relação ao protocolo WEP para suprimir os ataques existentes à rede e para resolver os problemas causados por estes ataques.

Consulte a seção Configurar a criptografia WEP para obter mais informações.

802.1x

O cliente WAN faz a solicitação de autorização ao ponto de acesso, que autentica o cliente em um servidor RADIUS compatível com EAP (Extensible Authentication Protocol). O servidor RADIUS pode autenticar tanto o usuário (por senhas) como a máquina (por endereço MAC). A autenticação 802.1x é independente do processo de autenticação 802.11. O padrão 802.1x fornece um framework de autenticação. 

Existem diferentes tipos de autenticação 802.1x, cada um com uma abordagem diferente da autenticação mas todos eles usam o mesmo protocolo e framework para a comunicação entre o cliente e o ponto de acesso. Na maioria dos protocolos, quando o processo de autenticação 802.1x termina, o suplicante recebe uma chave que será usada para criptografia de dados.

Consulte Configurar o cliente para autenticação WEP e MD5 para obter detalhes sobre a configuração de perfis 802.1x.

IPSEC

Segurança de transporte IPSEC baseada em software.

WPA (Wi-Fi Protected Access)

O WPA (Wi-Fi Protected Access) é uma melhoria de segurança que aumenta significativamente o nível de proteção de dados e de controle de acesso à WLAN. O modo WPA obriga o uso da autenticação 802.1x e do intercâmbio de chaves. Ele só funciona com chaves de criptografia dinâmicas.

TKIP (Temporal Key Integrity Protocol)

Usa um método de criptografia chamado rechaveamento de pacote rápido que muda a frequência das chaves de criptografia.

PEAP

O PEAP é um novo tipo de autenticação IEEE 802.1x EAP (Extensible Authentication Protocol) criado para aproveitar as vantagens do EAP-TLS (EAP-Transport Layer Security) no lado do servidor e para suportar vários métodos de autenticação, inclusive as senhas de login, as senhas de uso único e o Generic Token Card.

VPNs (Virtual Private Networks)

Os softwares de cliente VPN a seguir são suportados pelo Intel(R) PROSet: Consulte VPN (Virtual Private Network) para obter mais informações.

  • Netstructure VPN (SST)
  • Netstructure VPN (IPsec-IKE)
  • Cisco VPN Gateway - Cisco VPN Gateway 3005s, Cisco Client V3.51B ou mais recente
  • Checkpoint VPN (modo “Non office transparent”, modo “connect office” e modo “connect non-office”)
  • Microsoft* VPN Cisco VPN Gateway - (L2TP sobre transporte IPsec, L2TP para configuração
    com ESP-in-UDP)

A segurança de VPN pode proteger dispositivos baseados em TCP/IP. Os protocolos IPSec e PPTP de túnel de VPN fornecem criptografia forte para dados transmitidos através de LANs sem fio. As VPNs são úteis se o administrador da rede determinar que todos os usuários deverão se autenticar através de um servidor de VPN existente compartilhando, ao mesmo tempo, bancos de dados de usuários autorizados. Para acomodar clientes VPN e não-VPN, todo o tráfego da WLAN deve ser direcionado para um gateway, de forma que os clientes possam receber recursos predefinidos de rede. Por exemplo, os usuários convidados podem ter acesso à Internet, enquanto usuários autenticados na VPN têm acesso à Internet e à intranet. O mesmo tipo de solução pode garantir segurança em aplicativos de acesso público, direcionando usuários de acordo com métodos específicos de autenticação.

Nota:O 802.11a e o 802.11b podem ser implementados com segurança de VPN para ajudar a proteger os serviços baseados em TCP/IP. 

Cisco LEAP

Cisco LEAP (Cisco Light EAP) é uma autenticação 802.1x de cliente e de servidor através de uma senha de login fornecida pelo usuário. Quando um ponto de acesso sem fio se comunica com um servidor RADIUS habilitado para Cisco LEAP (Cisco Secure Access Control Server (ACS)), o Cisco LEAP fornece o controle de acesso através de autenticação mútua entre os adaptadores do cliente sem fio e a rede sem fio e fornece chaves dinâmicas de criptografia de usuário individual para ajudar a proteger a privacidade dos dados transmitidos.

Recurso de segurança Cisco Rogue AP

O recurso Cisco Rogue AP fornece proteção de segurança a partir da introdução de um ponto de acesso falso que pode imitar um ponto access real da rede para extrair informações de credenciais de usuários e protocolos de autenticação que poderiam comprometer a segurança. Este recurso só funciona com a autenticação LEAP da Cisco. A tecnologia do padrão 802.11 não protege a rede contra a introdução de um ponto de acesso falso.

CKIP

O CKIP (Cisco Key Integrity Protocol) é um protocolo de segurança de propriedade da Cisco
para criptografia em mídia 802.11. O CKIP usa os recursos abaixo para melhorar a segurança do 802.11 no modo de infraestrutura:

  • KP (Key Permutation) - permutação de chaves
  • MIC (Message Integrity Check) - verificação de integridade da mensagem
  • Número de seqüência da mensagem

Voltar à página do índice


Copyright (c) 2003 Intel Corporation.