Voltar à página do índice
Uma vez que os dispositivos de redes sem fio transmitem informações por ondas de rádio, é imperativo que você configure os parâmetros de segurança para proteger estas informações. Existem três componentes que, quando usados juntos, Os recursos a seguir podem ajudar a obter segurança máxima para a rede sem fio:
Visão geral sobre segurança
Segurança das conexões sem fio
Diretrizes de segurança
Proteção da rede
O padrão IEEE 802.1x é uma estrutura genérica de autenticação para LANs 802 e especifica um EAP (Extensible Authentication Protocol) para permitir que a LAN transporte muitos tipos diferentes de protocolos de autenticação.
Para proteger o tráfego do cliente, o padrão 802.11 define o WEP (Wireless Encryption Privacy) com chaves de criptografia fixas (e três comprimentos opcionais de chave). The use of fixed keys has made it easy to mount several types of attack against WEP. Chaves de criptografia
Você pode
ajudar a impedir a recepção não autorizada de seus dados de rede usando o WEP (Wired Equivalent Privacy) da IEEE 802.11. O padrão contém dois níveis de segurança: chave de 64 bits (às vezes chamada de 40 bits) e chave de 128 bits. Para obter maior segurança, use a chave de 128 bits. Se você resolver usar criptografia, todos os dispositivos da WLAN precisarão ter as mesmas configurações de criptografia. O algoritmo de criptografia WEP é vulnerável a ataques passivos e ativos à rede. Os algoritmos TKIP e CKIP contém avanços em relação ao protocolo WEP para suprimir os ataques existentes à rede e para resolver os problemas causados por estes ataques.Consulte a seção Configurar a criptografia WEP para obter mais informações.
O cliente WAN faz a solicitação de autorização ao ponto de acesso, que autentica o cliente em um servidor RADIUS compatível com EAP (Extensible Authentication Protocol). O servidor RADIUS pode autenticar tanto o usuário (por senhas) como a máquina (por endereço MAC).802.1x
Existem diferentes tipos de autenticação 802.1x, cada um com uma abordagem diferente da autenticação mas todos eles usam o mesmo protocolo e framework para a comunicação entre o cliente e o ponto de acesso. Na maioria dos protocolos, quando o processo de autenticação 802.1x termina, o suplicante recebe uma chave que será usada para criptografia de dados.
Consulte Configurar o cliente para autenticação WEP e MD5 para obter detalhes sobre a configuração de perfis 802.1x.
Segurança de transporte IPSEC baseada em software.IPSEC
O WPA (Wi-Fi Protected Access) é uma melhoria de segurança que aumenta significativamente o nível de proteção de dados e de controle de acesso à WLAN. O modo WPA obriga o uso da autenticação 802.1x e do intercâmbio de chaves. Ele só funciona com chaves de criptografia dinâmicas.
Usa um método de criptografia chamado rechaveamento de pacote rápido que muda a frequência das chaves de criptografia.
O PEAP é um novo tipo de autenticação IEEE 802.1x EAP (Extensible Authentication Protocol) criado para aproveitar as vantagens do EAP-TLS (EAP-Transport Layer Security) no lado do servidor e para suportar vários métodos de autenticação, inclusive as senhas de login, as senhas de uso único e o Generic Token Card.
VPNs (Virtual Private Networks)
Os softwares de cliente VPN a seguir são suportados pelo Intel(R) PROSet: Consulte VPN (Virtual Private Network) para obter mais informações.
A segurança de VPN pode proteger dispositivos baseados em TCP/IP. Os protocolos IPSec e PPTP de túnel de VPN fornecem criptografia forte para dados transmitidos através de LANs sem fio. As VPNs são úteis se o administrador da rede determinar que todos os usuários deverão se autenticar através de um servidor de VPN existente compartilhando, ao mesmo tempo, bancos de dados de usuários autorizados. Para acomodar clientes VPN e não-VPN, todo o tráfego da WLAN deve ser direcionado para um gateway, de forma que os clientes possam receber recursos predefinidos de rede. Por exemplo, os usuários convidados podem ter acesso à Internet, enquanto usuários autenticados na VPN têm acesso à Internet e à intranet. O mesmo tipo de solução pode garantir segurança em aplicativos de acesso público, direcionando usuários de acordo com métodos específicos de autenticação.
Nota:O 802.11a e o 802.11b podem ser implementados com segurança de VPN para ajudar a proteger os serviços baseados em TCP/IP.
Cisco LEAP (Cisco Light EAP) é uma autenticação 802.1x de cliente e de servidor através de uma senha de login fornecida pelo usuário. Quando um ponto de acesso sem fio se comunica com um servidor RADIUS habilitado para Cisco LEAP (Cisco Secure Access Control Server (ACS)), o Cisco LEAP fornece o controle de acesso através de autenticação mútua entre os adaptadores do cliente sem fio e a rede sem fio e fornece chaves dinâmicas de criptografia de usuário individual para ajudar a proteger a privacidade dos dados transmitidos.
Recurso de segurança Cisco Rogue AP CKIP
O CKIP (Cisco Key Integrity Protocol) é um protocolo de segurança de propriedade da Cisco
O recurso Cisco Rogue AP fornece proteção de segurança a partir da introdução de um ponto de acesso falso que pode imitar um ponto access real da rede para extrair informações de credenciais de usuários e protocolos de autenticação que poderiam comprometer a segurança. Este recurso só funciona com a autenticação LEAP da Cisco. A tecnologia do padrão 802.11 não protege a rede contra a introdução de um ponto de acesso falso.
para criptografia em mídia 802.11. O CKIP usa os recursos abaixo para melhorar a segurança do 802.11 no modo de infraestrutura:
Copyright (c) 2003 Intel Corporation.