 |
NOTA: WPA-Pessoal e WPA2-Pessoal são interoperáveis. |
Esta seção descreve os vários métodos de segurança usados para ajudar a proteger as redes sem fio.
Autenticação 802.1X (Segurança Corporativa)
Tipos de criptografia de dados
O protocolo 802.11 suporta dois tipos de métodos de autenticação de rede: Sistema aberto e Chave compartilhada.
O WEP (Wired Equivalent Privacy) usa a criptografia para ajudar a impedir o recebimento não autorizado de dados em conexões sem fio. A WEP usa uma chave de criptografia para codificar os dados antes de transmiti-los. Apenas os computadores que usarem a mesma chave de criptografia podem acessar a rede ou decodificar os dados transmitidos por outros computadores. A criptografia WEP contém dois níveis de segurança, usando uma chave de 64 bits (às vezes chamada de 40 bits) ou uma chave de 128 bits (também conhecida como 104 bits). Para obter alta segurança, use uma chave de 128 bits. Se você usar criptografia, todos os dispositivos sem fio precisarão ter as mesmas chaves de criptografia.
Com a criptografia de dados WEP, pode ser configurada uma estação sem fio com até quatro chaves (os valores de índice de chave são 1, 2, 3 e 4). Quando um ponto de acesso (PA) ou uma estação sem fio transmite uma mensagem encriptografada usando uma chave armazenada em um índice específico, a mensagem transmitida indica o índice de chave usado para criptografar o corpo da mensagem. O PA ou estação sem fio receptor(a) pode recuperar a chave armazenada nesse índice de chave e usá-la para decodificar o corpo da mensagem encriptografada.
Como o algoritmo de criptografia WE é vulnerável a ataques de rede, considere o uso da segurança WPA-Pessoal ou WPA2-Pessoal.
O Modo WPA-Pessoal é destinado aos ambientes residenciais e de pequenas empresas. O Modo WPA-Pessoal requer a configuração manual de uma chave pré-compartilhada (PSK) no ponto de acesso e nos clientes. Não é necessário um servidor de autenticação. É necessário usar a mesma senha inserida no ponto de acesso, neste computador e em todos os outros dispositivos sem fio que acessam a rede sem fio. A segurança depende do nível de segurança e de sigilo da senha. Quanto mais longa for a senha, tanto mais confiável será a segurança da rede sem fio. Se o ponto de acesso sem fio ou o roteador suportar os tipos WPA-Pessoal e WPA2-Pessoal, você deverá ativá-los no ponto de acesso e fornecer uma senha longa e de alta segurança. WPA-Pessoal disponibiliza os algoritmos de criptografia de dados TKIP e AES-CCMP.
O Modo WPA2-Pessoal requer a configuração manual de uma chave pré-compartilhada (PSK) no ponto de acesso e nos clientes. Não é necessário um servidor de autenticação. É necessário usar a mesma senha inserida no ponto de acesso, neste computador e em todos os outros dispositivos sem fio que acessam a rede sem fio. A segurança depende do nível de segurança e de sigilo da senha. Quanto mais longa for a senha, tanto mais confiável será a segurança da rede sem fio. WPA2 é um aprimoramento do WPA e implementa o padrão IEEE 802.11i completo. O WPA2 tem compatibilidade ascendente com o WPA. WPA2-Pessoal disponibiliza os algoritmos de criptografia de dados TKIP e AES-CCMP.
|
NOTA: WPA-Pessoal e WPA2-Pessoal são interoperáveis. |
NOTA: WPA-Pessoal e WPA2-Pessoal são interoperáveis.
Esta seção descreve a segurança mais utilizada por grandes empresas.
Visão geral
O que é Radius?
Como funciona a autenticação 802.1X
Recursos do 802.1X
A autenticação do 802.1X é independente do processo de autenticação do 802.11. O padrão 802.11 oferece uma gama de vários protocolos de autenticação e de gerenciamento de chaves. Existem diferentes tipos de autenticação 802.1X, cada qual com uma abordagem diferente de autenticação mas todos usam o mesmo protocolo e framework 802.11 para a comunicação entre um cliente e um ponto de acesso. Na maioria dos protocolos, quando o processo de autenticação do 802.1X termina, o cliente recebe uma chave que será usada para a criptografia de dados. Consulte Como funciona a autenticação do 802.1X, para obter mais informações. Com a autenticação do 802.1X, é usado um método de autenticação entre o cliente e um servidor (por exemplo, um servidor RADIUS [Remote Authentication Dial-In User Service]) conectado ao ponto de acesso. O processo de autenticação usa credenciais, como a senha de usuário, que não são transmitidas através da rede sem fio. A maioria dos tipos 802.1X suporta chaves por usuário e por sessão para aumentar a segurança da chave. A autenticação 802.1X se beneficia do uso de um protocolo de autenticação existente, conhecido como EAP (Extensible Authentication Protocol).
A autenticação 802.1X para redes sem fio tem três componentes principais:
A segurança da autenticação 802.1X inicia com uma solicitação de autorização do cliente sem fio para o ponto de acesso, que autentica o cliente junto a um servidor RADIUS compatível com o EAP (Extensible Authentication Protocol). O servidor RADIUS pode autenticar tanto o usuário (por senhas ou certificados) como o sistema (por endereço MAC). Teoricamente, o cliente sem fio não tem permissão para entrar na rede até que a transação se complete. (Nem todos os métodos de autenticação usam um servidor RADIUS. WPA-Pessoal e WPA2-Pessoal usam uma senha comum que deve ser digitada no ponto d acesso e em todos os dispositivos solicitando acesso à rede.)
Há vários algoritmos de autenticação usados com o 802.1X. Alguns exemplos: EAP-TLS, EAP-TTLS, Protected EAP (PEAP) e EAP Cisco Wireless Light Extensible Authentication Protocol (LEAP). Todos esses são métodos que o cliente sem fio usa para se identificar para o servidor RADIUS. Com a autenticação Radius, as identidades dos usuários são comparadas com as existentes em bancos de dados. RADIUS é um conjunto de padrões que lida com AAA (Authentication, Authorization and Accounting). O RADIUS usa um processo proxy para validar clientes em um ambiente de vários servidores. O padrão IEEE 802.1X se destina ao controle e autenticação do acesso a redes Ethernet 802.11, com e sem fio, baseadas em portas. O controle de acesso a redes baseadas em portas é similar à infra-estrutura de redes LAN chaveadas que autentica dispositivos conectados a portas da LAN e impede o acesso a estas portas se o processo de autenticação falhar.
RADIUS é o Serviço ao usuário para autenticação remota por discagem, um protocolo AAA (Authorization, Authentication e Accounting) de cliente-servidor para uso quando um cliente AAA por discagem faz login ou logoff de um servidor de acesso à rede. Geralmente, o servidor RADIUS é usado por provedores de serviços de Internet (ISP — Internet Service Providers) para executar tarefas de AAA. As fases de AAA (Authorization, Authentication e Accounting) são:
A seguir, uma descrição simplificada de como funciona a autenticação 802.1X.
Examine a seguir os métodos de autenticação aceitos no Windows XP:
Consulte Autenticação aberta.
Consulte Autenticação compartilhada.
Consulte WPA-Pessoal.
Consulte WPA2-Pessoal.
A autenticação do Modo Empresa é destinado aos ambientes corporativos ou governamentais. O WPA-Empresa verifica os usuários da rede através de um servidor RADIUS ou outro servidor de autenticação. O protocolo WPA utiliza chaves de criptografia de 128 bits e chaves de sessão dinâmicas para garantir a privacidade da rede sem fio e a segurança corporativa. É selecionado um Tipo de Autenticação correspondente ao protocolo de autenticação do servidor do 801.1X.
A autenticação WPA-Empresa é destinada aos ambientes corporativos ou governamentais. O WPA2-Empresa verifica os usuários da rede através de um servidor RADIUS ou outro servidor de autenticação. O protocolo WPA2 utiliza chaves de criptografia de 128 bits e chaves de sessão dinâmicas para garantir a privacidade da rede sem fio e a segurança corporativa. É selecionado um Tipo de Autenticação correspondente ao protocolo de autenticação do servidor do 801.1X. O Modo Empresa é destinado aos ambientes corporativos ou governamentais. WPA2 é um aprimoramento do WPA e implementa o padrão IEEE 802.11i completo.
Protocolo Advanced Encryption Standard - Counter CBC-MAC. O novo método de proteção da privacidade das transmissões sem fio especificadas no padrão IEEE 802.11i. AES-CCMP fornece um método de criptografia mais seguro do que o TKIP. Escolha AES-CCMP como método de criptografia de dados sempre que a proteção de dados de alta segurança for importante. O protocolo AES-CCMP está disponível com a autenticação de rede WPA/WPA2-Pessoal/Empresa.
NOTA: É possível que algumas soluções de segurança não sejam suportadas pelo sistema operacional do computador e exijam itens de software ou hardware adicionais, além de suporte para infra-estrutura de LAN sem fio. Consulte o fabricante de seu computador para obter detalhes.
O Temporal Key Integrity Protocol dispõe de uma combinação de chaves por pacote, uma verificação de integridade da mensagem e um mecanismo de rechaveamento. O TKIP está disponível com a autenticação de rede WPA/WPA2-Pessoal/Empresa.
Consulte CKIP.
O WEP (Wired Equivalent Privacy) usa a criptografia para ajudar a impedir o recebimento não autorizado de dados em conexões sem fio. A WEP usa uma chave de criptografia para codificar os dados antes de transmiti-los. Apenas os computadores que usarem a mesma chave de criptografia podem acessar a rede ou decodificar os dados transmitidos por outros computadores. A WEP corporativa não idêntica à WEP pessoal, porque é possível selecionar a autenticação de rede Aberta e clicar em Ativar 802.1X e escolher entre todos os tipos de autenticação de cliente. A seleção de tipos de autenticação não está disponível na WEP pessoal.
Um tipo de método de autenticação que usa o EPA (Extensible Authentication Protocol) e um protocolo de segurança chamado TLS (Transport Layer Security). O EAP-TLS usa certificados que utilizam senhas. A autenticação EAP-TLS suporta o gerenciamento dinâmico de chaves WEP. O protocolo TLS foi elaborado para proteger e autenticar as comunicações através de uma rede pública, por meio da criptografia de dados. O Protocolo de Handshake do TLS permite que o servidor e o cliente forneçam autenticação mútua e negociem um algoritmo de criptografia e chaves criptográficas antes da transmissão dos dados.
Estas configurações definem o protocolo e as credenciais usadas para autenticar o usuário. No TTLS (Tunneled Transport Layer Security), o cliente usa o EAP-TLS para validar o servidor e criar um canal encriptografado por TLS entre o cliente e o servidor. O cliente pode usar outro protocolo de autenticação. Geralmente, os protocolos baseados em senhas desafiam através de um canal TLS não-exposto e codificado. Atualmente, as implementações do TTLS aceitam todos os métodos definidos pelo protocolo EAP, assim como vários métodos mais antigos (PAP, CHAP, MS-CHAP e MS-CHAPV2). O TTLS pode ser facilmente estendido para trabalhar com novos protocolos, definindo novos atributos para oferecer suporte para novos protocolos.
PEAP é um novo tipo de autenticação de EAP (Extensible Authentication Protocol) do IEEE 802.1X, criado para tirar proveito das vantagens do EAP-TLS (EAP-Transport Layer Security) do lado servidor e para suportar vários métodos de autenticação, inclusive senhas de usuário, senhas ocasionais e o Generic Token Cards.
Uma versão do EAP (Extensible Authentication Protocol). LEAP (Light Extensible Authentication Protocol) é um protocolo de autenticação extensível proprietário, desenvolvido pela Cisco, que dispõe de um mecanismo de autenticação de respostas a desafios e um processo de atribuição de chaves dinâmicas.
O EAP-SIM (Extensible Authentication Protocol Method for GSM Subscriber Identity) é um mecanismo de autenticação e de distribuição de chaves de sessão. Ele utiliza o SIM (Subscriber Identity Module — Mòdulod de Identificação de Assinante) do GSM (Global System for Mobile Communications). EAP-SIM usa uma chave dinâmica WEP baseada em sessão, originária do adaptador do cliente e do servidor RADIUS, para codificar os dados. O EAP-SIM exige que você insira um código de verificação do usuário, ou PIN, para a comunicação com o cartão SIM (Subscriber Identity Module). Um cartão SIM é um smart card especial usado pelas redes de celulares digitais baseadas em GSM (Global System for Mobile Communications). O RFC 4186 descreve o EAP-SIM.
EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) é um mecanismo EAP para autenticação e distribuição de chaves de sessão, usando o Universal Mobile Telecommunications System (UMTS) Subscriber Identity Module (USIM). O cartão USIM é um smart card especial usado em redes de celulares para validar um usuário específico junto à rede.
O CHAP (Challenge Handshake Authentication Protocol) é um protocolo de handshake tridirecional, considerado mais seguro do que o Protocolo de Autenticação PAP. Disponível apenas para o tipo de autenticação TTLS.
Usa uma versão Microsoft do protocolo de desafio-e-resposta do RSA Message Digest 4. Isso só funciona nos sistemas Microsoft e permite a criptografia de dados. Ao selecionar esse método de autenticação, todos os dados serão codificados. Disponível apenas para o tipo de autenticação TTLS.
Introduz um recurso adicional não disponível na autenticação MS-CHAP-V1 ou CHAP padrão, o recurso de alteração de senha. Este recurso permite que o cliente altere a senha da conta se o servidor RADIUS informar que a senha expirou. Disponível para os tipos de autenticação TTLS e PEAP.
Contém token cards específicos do usuário para fins de autenticação. O principal recurso no GTC é a autenticação baseada em Certificado Digital/Token Card. Além disso, o GTC pode ocultar identidades de nome de usuário até que o túnel encriptografado TLS seja estabelecido, o que propicia uma confidencialidade adicional no sentido de que os nomes dos usuários não sejam revelados na fase de autenticação. Disponível apenas para o tipo de autenticação PEAP.
O protocolo TLS foi elaborado para proteger e autenticar as comunicações através de uma rede pública, por meio da criptografia de dados. O Protocolo de Handshake do TLS permite que o servidor e o cliente forneçam autenticação mútua e negociem um algoritmo de criptografia e chaves criptográficas antes da transmissão dos dados. Disponível apenas para o tipo de autenticação PEAP.
Cisco LEAP (Cisco Light EAP) é uma autenticação 802.1X de cliente e servidor através de uma senha de login fornecida pelo usuário. Quando um ponto de acesso sem fio se comunica com um RADIUS habilitado para Cisco LEAP (servidor ACS [Cisco Secure Access Control Server]), o Cisco LEAP fornece o controle de acesso através de autenticação mútua entre os adaptadores sem fio do cliente e as redes sem fio, e disponibiliza chaves dinâmicas de criptografia de usuário individual para ajudar a proteger a privacidade dos dados transmitidos.
O recurso Cisco Rogue AP fornece proteção de segurança a partir da introdução de um ponto de acesso não autorizado, que pode simular um ponto access legítimo de uma rede para extrair informações sobre credenciais de usuários e protocolos de autenticação que possam comprometer a segurança. Este recurso só funciona com a autenticação LEAP da Cisco. A tecnologia do padrão 802.11 não protege uma rede contra a introdução de um ponto de acesso não autorizado. Consulte Autenticação LEAP para obter mais informações.
Alguns pontos de acesso, como o Cisco 350 ou Cisco 1200, aceitam ambientes em que nem todas as estações cliente têm suporte para a criptografia WEP; este é chamado modo de Célula mista. Quando essas redes sem fio operam no modo “criptografia opcional”, as estações cliente que entram no modo WEP enviam todas as mensagens codificadas, e as estações que usam o modo padrão enviam todas as mensagens decodificadas. Esses pontos de acesso difundem que a rede não está usando criptografia, mas permitem a entrada de clientes usando o modo WEP. Quando a opção de “Célula mista” é ativada em um perfil, você pode se conectar com os pontos de acesso configurados para “criptografia opcional”.
O CKIP (Cisco Key Integrity Protocol) é um protocolo de segurança de propriedade da Cisco para criptografia em mídia 802.11. O CKIP usa os recursos abaixo para melhorar a segurança do 802.11 no modo de infra-estrutura:
NOTA: O CKIP não é usado com a autenticação de rede WPA/WPA2-Pessoal/Empresa.
NOTA: O CKIP só é aceito através do uso do Utilitário de Conexão WiFi no Windows XP.
Quando uma LAN sem fio é configurada para reconexão rápida, um dispositivo cliente ativado por LEAP pode fazer roaming de um ponto de acesso para outro, sem a interferência do servidor principal. Com o CCKM (Cisco Centralized Key Management), um ponto de acesso configurado para fornecer WDS (Wireless Domain Services — Serviços de Domínio Sem Fio) substitui o servidor RADIUS e autentica o cliente sem um retardo perceptível de voz ou de outras aplicações sensíveis ao tempo.
Alguns pontos de acesso, como o Cisco 350 ou Cisco 1200, aceitam ambientes em que nem todas as estações cliente têm suporte para a criptografia WEP; este é chamado modo de Célula mista. Quando essas redes sem fio operam no modo “criptografia opcional”, as estações cliente que entram no modo WEP enviam todas as mensagens codificadas, e as estações que usam o modo padrão enviam todas as mensagens decodificadas. Esses pontos de acesso difundem que a rede não está usando criptografia, mas permite a entrada de clientes usando o modo WEP. Quando a opção de “Célula mista” é ativada em um perfil, permite a conexão com os pontos de acesso configurados para “criptografia opcional”.
Quando esse recurso for ativado, o adaptador sem fio fornece gerenciamento de rádio para a infra-estrutura Cisco. Se usado na infra-estrutura, o utilitário de Gerenciamento de rádio Cisco configurará os parâmetros do rádio, detectará interferência e pontos de acesso não autorizados.
O EAP-FAST, como o EAP-TTLS e o PEAP, usa o tunelamento para proteger o tráfego. A principal diferença é que o EAP-FAST não usa certificados para autenticar. O fornecimento do EAP-FAST é negociado unicamente pelo cliente na primeira troca de comunicações, quando o EAP-FAST é solicitado no servidor. Se o cliente não tiver uma PAC (Protected Access Credential) secreta pré-compartilhada, poderá iniciar um intercâmbio de fornecimento EAP-FAST para obter uma PAC dinamicamente do servidor.
O EAP-FAST documenta dois métodos de liberação da PAC: entrega manual através de um mecanismo seguro fora da faixa, e o fornecimento automático.
O método EAP-FAST é dividido em duas partes: fornecimento e autenticação. A fase do fornecimento abrange a liberação inicial da PAC para o cliente. Só é necessário realizar essa fase uma única vez por cliente e usuário.