Voltar à página do índice

Visão geral sobre a segurança: Guia do Usuário do Mini-adaptador PCI de rede Intel(R) PRO/Wireless


Criptografia e autenticação WEP
Visão geral sobre criptografia
Proteger a rede
Tipos de autenticação
Autenticação 802.1x
O que é RADIUS
WPA (Wi-Fi Protected Access)
PEAP
Cisco LEAP


Criptografia e autenticação WEP

A criptografia WEP (Wired Equivalent Privacy) e autenticação compartilhada se destinam a proteger os dados da rede. A WEP usa uma chave de criptografia para codificar os dados antes de transmiti-los. Apenas os computadores que usarem a mesma chave de criptografia podem acessar a rede ou decodificar os dados transmitidos. A autenticação é um processo adicional de validação entre o adaptador e o ponto de acesso.

Os esquemas de autenticação aceitossão os de chave aberta e de chave compartilhada:

  • A autenticação por chave compartilhada é suportada usando chaves de criptografia WEP de 64 bits e de 128 bits.
  • O modo aberto não usa um método de autenticação criptografado para associar-se a um ponto de acesso específico.

Chaves de rede

Quando a criptografia de dados (WEP, CKIP ou TKIP) está ativada, uma chave de rede é usada para criptografia. A chave de rede pode ser fornecida automaticamente (por exemplo, pode ser fornecida no adaptador de rede sem fio ou você mesmo pode digitá-la e especificar seu comprimento (64 ou 128 bits), seu formato (caracteres ASCII ou algarismos hexadecimais) e seu índice (o local onde uma chave específica é armazenada)). Quanto maior o comprimento da chave, maior a sua segurança. Sempre que o comprimento da chave é aumentado em um bit, o número de chaves possíveis dobra. No 802.11, pode ser configurada uma estação sem fio com até quatro chaves (os valores de índice de chave são 1, 2, 3 e 4). Quando um ponto de acesso ou uma estação sem fio transmite uma mensagem criptografada usando uma chave que está armazenada em um índice específico, o índice que está sendo usado para criptografar o corpo da mensagem é indicado. O ponto de acesso ou estação sem fio receptora pode recuperar a chave armazenada nesse índice de chave e usá-la para decodificar o corpo da mensagem criptografada.

Tipos de chave de criptografia estática e dinâmica

O padrão 802.1x usa dois tipos de chaves de criptografia: estática e dinâmica. As chaves de criptografia estáticas são alteradas manualmente e são mais vulneráveis. A autenticação MD5 usa somente chaves de criptografia estáticas. As chaves de criptografia dinâmicas são renovadas automaticamente a intervalos de tempo. Este recurso torna as chaves mais seguras. Para ativar as chaves de criptografia dinâmica, use os métodos de autenticação baseados no certificado 802.1x, como TLS, TTLS ou PEAP.


Visão geral sobre a criptografia

A segurança na WLAN pode ser complementada com a ativação da criptografia de dados usando WEP (Wireless Encryption Protocol). É possível escolher uma criptografia de 64 bits ou de 128 bits. Além disso, os dados podem ser criptografados com uma chave. Um outro parâmetro chamado índice de chave permite a opção de criar chaves múltiplas para aquele perfil. Contudo, apenas uma chave pode ser usada de cada vez. Também é possível proteger o perfil com uma senha para assegurar a privacidade.. A senha é usada para gerar uma chave WEP automaticamente. Você pode usar uma senha ou inserir uma chave WEP manualmente. Ao usar criptografia de 64 bits, a senha terá o tamanho de 5 caracteres e você poderá escolher entre digitar uma frase qualquer e fácil de lembrar, como Acme1, ou digitar dez números em hexadecimal para a chave WEP correspondentes à rede que o usuário deseja se conectar. Para a criptografia de 128 bits, a senha tem 13 caracteres e você pode digitar 26 números em hexadecimal para a chave WEP para se conectar à rede adequada.

Nota: Você precisa usar o mesmo tipo de criptografia, o mesmo número de índice da chave e a mesma chave WEP que os outros dispositivos da rede sem fio. Além disso, se a autenticação usada for de 802.1x, a criptografia WEP precisa ser desativada.


Proteção da rede


Tipos de autenticação

O padrão IEEE 802.1x oferece uma estrutura de autenticação geral para as redes do 802 e especifica um EAP (Extensible Authentication Protocol — protocolo de autenticação extensível) para ativar o transporte por LAN para vários tipos diferentes de protocolos de autenticação. Um cliente da WAN inicia uma solicitação de autorização para o ponto de acesso, que autentica o cliente para um servidor RADIUS compatível com o EAP (Extensible Authentication Protocol). O servidor RADIUS pode autenticar tanto o usuário (por senhas) como a máquina (por endereço MAC). A autenticação 802.1x é independente do processo de autenticação 802.11. O padrão 802.1x dispõe de uma estrutura de autenticação. Existem diferentes tipos de autenticação 802.1x, cada qual com um método diferente de autenticação mas todos eles usam o mesmo protocolo e estrutura para a comunicação entre o cliente e o ponto de acesso. Na maioria dos protocolos, quando o processo de autenticação 802.1x termina, o requerente recebe uma chave que será usada para criptografia de dados. 

Consulte Configuração do cliente para autenticação WEP e MD5 para obter detalhes sobre como configurar um perfil 802.1x.


Autenticação 802.1x

Recursos do 802.1x

  • Suporte para o protocolo de requerente do 802.1x

  • Suporte para EAP (Extensible Authentication Protocol) - RFC 2284

  • Métodos de autenticação suportados:

    • MD5 - RFC 2284

    • Protocolo de autenticação TLS EAP - RFC 2716 e RFC 2246

    • EAP Tunneled TLS (TTLS)

    • Cisco LEAP

    • PEAP

  • Suporta o Windows XP e 2000  

Notas de autenticação 802.1x

  • Métodos de autenticação 802.1x, inclusive senhas, certificados e placas inteligentes (placas plásticas que armazenam dados)

  • A opção de autenticação 802.1x só pode ser usada com o modo de operação de infraestrutura.

  • Os modos de autenticação de rede são: EAP-TLS, EAP-TTLS, MD5 Challenge, LEAP (para o modo Cisco-Client eXtentions apenas) e PEAP (para os modos WPA somente).

Visão geral

A autenticação 802.1x é independente do processo de autenticação 802.11. O padrão 802.1x oferece uma gama de vários protocolos de autenticação e de gerenciamento de chaves. Existem diferentes tipos de autenticação 802.1x, cada uma com abordagem diferente da autenticação mas todos eles usam o mesmo protocolo e framework 802.1x para a comunicação entre o cliente e o ponto de acesso. Na maioria dos protocolos, quando o processo de autenticação 802.1x termina, o requerente recebe uma chave que será usada para criptografia de dados.  Consulte 802.1x e criptografia de dados para obter mais informações. Com a autenticação 802.1x, é usado um método de autenticação entre o cliente e o servidor RADIUS (Remote Authentication Dial-In User Service) conectado ao ponto de acesso. O processo de autenticação usa credenciais, como a senha de usuário, que não são transmitidas para a rede sem fio. A maioria dos tipos 802.1x suporta chaves por usuário e por sessão para aumentar a segurança de chave estática. O 802.1x usa um protocolo de autenticação já existente chamado EAP (Extensible Authentication Protocol). A autenticação 802.1x em LANs sem fio tem três componentes principais: o autenticador (ponto de acesso), o requerente (software cliente) e o servidor de autenticação (servidor RADIUS (Remote Authentication Dial-In User Service)). A segurança de autenticação 802.1x inicia uma solicitação de autorização do cliente WLAN para o ponto de acesso, que autentica o cliente em um servidor RADIUS compatível com o EAP (Extensible Authentication Protocol). O servidor RADIUS pode autenticar tanto o usuário (por senhas ou certificados) como o sistema (por endereço MAC). Teoricamente, o cliente sem fio não tem permissão para entrar na rede até que a transação se complete. Existem vários algoritmos de autenticação usados para o 802.1x: MD5-Challenge, EAP-TLS, EAP-TTLS, PEAP (Protected EAP) e EAP Cisco Wireless LEAP (Light Extensible Authentication Protocol). Todos esses são métodos que o cliente WLAN usa para se identificar para o servidor RADIUS.Com a autenticação Radius, as identidades dos usuários são comparadas com as existentes em bancos de dados. RADIUS é um conjunto de padrões que lida com AAA (Authentication, Authorization and Accounting). O sistema Radius usa um processo proxy para validar clientes em um ambiente de vários servidores. O padrão IEEE 802.1x se destina ao controle e autenticação em redes Ethernet 802.11, com e sem fio, baseadas em portas. O controle de acesso a redes baseadas em portas é similar à infra-estrutura de redes LAN chaveadas que autentica dispositivos conectados a portas da LAN e impedem o acesso a estas portas se o processo de autenticação falhar.

Como a autenticação 802.1x funciona

Uma descrição simplificada da autenticação 802.1x é:

  1. O cliente envia uma mensagem de "solicitação de acesso" ao ponto de acesso. O ponto de acesso pede a identidade do cliente.
  2. O cliente responde com seu pacote de identidade que é então passado ao servidor de autenticação.
  3. O servidor de autenticação envia um "pacote de aceitação" ao ponto de acesso.
  4. O ponto de acesso coloca a porta do cliente no estado autorizado e o tráfego de dados pode prosseguir.

O que é RADIUS?

RADIUS (Remote Access Dial-In User Service - Serviço ao usuário para acesso remoto por discagem) é um protocolo AAA (Authorization, Authentication, and Accounting) de cliente-servidor para uso quando o cliente faz login ou logoff de um servidor de acesso de rede. Geralmente, o servidor RADIUS é usado por provedores de serviços de Internet (ISP — Internet Service Providers) para executar tarefas de AAA. As fases de AAA (Authorization, Authentication, and Accounting) são:

  • Fase de autenticação: Compara o nome e a senha de usuário aos dados já existentes em um banco de dados local. Depois que as credenciais são confirmadas, o processo de autorização é iniciado.

  • Fase de autorização: Determina se a solicitação de acesso ao recurso será aceita ou não. Um endereço IP é atribuído ao cliente de discagem.

  • Fase de contabilidade: Coleta informações sobre o uso do recurso para análise de tendências, auditoria, cobrança por tempo da sessão ou alocação de custos.


WPA (Wi-Fi Protected Access*)

O WPA (Wi-Fi Protected Access) é uma melhoria de segurança que aumenta significativamente o nível de proteção de dados e de controle de acesso à WLAN. O modo WPA usa a autenticação 802.1x e a troca de chaves e só funciona com chaves de criptografia dinâmicas. Para melhorar a criptografia de dados, o WPA utiliza seu protocolo Temporal Key Integrity Protocol (TKIP). O TKIP fornece otimizações importantes de criptografia de dados, que abrangem uma função de combinação de chaves por pacote, uma verificação de integridade da mensagem (MIC), denominada Michael um vetor d einicialização estendida (IV) com regras de seqüenciamento, além de um mecanismo de rechaveamento. A usar essas otimizações de aprimoramento, o TKIP se protege contra os pontos fracos conhecidos da WEP .


PEAP

O PEAP é um novo tipo de autenticação IEEE 802.1x EAP (Extensible Authentication Protocol) criado para aproveitar as vantagens do EAP-TLS (EAP-Transport Layer Security) no lado do servidor e para suportar vários métodos de autenticação, inclusive as senhas de usuário, as senhas de uso único e o Generic Token Cards.


Cisco LEAP

Cisco LEAP (EAP Cisco Wireless) é uma autenticação 802.1x de cliente e servidor, através de uma senha de login fornecida pelo usuário. Quando um ponto de acesso sem fio se comunica com um servidor RADIUS habilitado para Cisco LEAP (Cisco Secure Access Control Server (ACS)), o Cisco LEAP fornece o controle de acesso através de autenticação mútua entre os adaptadores cliente sem fio e a rede sem fio, e disponibiliza chaves dinâmicas de criptografia de usuário individual para ajudar a proteger a privacidade dos dados transmitidos. 

Recurso de segurança Cisco Rogue AP

O recurso Cisco Rogue AP fornece proteção de segurança a partir da introdução de um ponto de acesso falso que pode imitar um ponto de acesso real da rede para extrair informações de credenciais de usuários e protocolos de autenticação que poderiam comprometer a segurança. Este recurso só funciona com a autenticação LEAP da Cisco. A tecnologia do padrão 802.11 não protege uma rede contra a introdução de um ponto de acesso falso. 

CKIP

O CKIP (Cisco Key Integrity Protocol) é um protocolo de segurança de propriedade da Cisco
para criptografia em mídia 802.11. O CKIP usa os recursos abaixo para melhorar a segurança do 802.11 no modo de infraestrutura:

  • Permutação de chaves
  • Verificação de integridade da mensagem
  • Número de seqüência da mensagem

Voltar à página do Índice


Leia todas as restrições e isenções de responsabilidade.