Esta seção descreve os vários métodos de segurança usados para ajudar a proteger as redes WiFi.
Autenticação 802.1X (Segurança Corporativa)
Tipos de criptografia de dados
Se permanecer desprotegida, sua rede sem fio ficará vulnerável ao acesso de outros computadores. Você pode proteger facilmente a rede de sua casa e da pequena empresa contra praticamente todas as formas de acesso não autorizado, com os métodos de segurança descritos nesta seção.
Autenticação é processo de identificar e aprovar uma solicitação de um cliente (geralmente um laptop) para acessar uma rede em um ponto de acesso de rede. Assim que a autenticação terminar e o acesso for concedido, o cliente terá acesso à rede.
É possível selecionar algoritmos de criptografia para criptografar as informações e os dados enviados através da rede sem fio. Somente os computadores equipados com chaves pré-compartilhadas poderão encriptografar e descriptografar os dados sendo transmitidos. As chaves de criptografia estão disponíveis com dois níveis de segurança, 64 e 128 bits. Use chaves de 128 bits para aumentar a segurança.
Uma maneira simples de aumentar a segurança da rede é definir o ponto de acesso da rede para não difundir o SSID (Service Set Identifier). O SSID é necessário para obter acesso. Somente os computadores que conhecerem o SSID poderão acessar a rede. (Isso não é definido no adaptador por meio do Utilitário de Conexão Intel® PROSet/Wireless WiFi mas, sim, no ponto de acesso.)
O protocolo 802.11 suporta dois tipos de métodos de autenticação de rede: Sistema aberto e Chave compartilhada.
O WEP (Wired Equivalent Privacy) usa a criptografia para ajudar a impedir o recebimento não autorizado de dados em conexões sem fio. A WEP usa uma chave de criptografia para codificar os dados antes de transmiti-los. Apenas os computadores que usarem a mesma chave de criptografia podem acessar a rede ou decodificar os dados transmitidos por outros computadores. A criptografia WEP oferece dois níveis de segurança, usando uma chave de 64 bits (às vezes chamada de 40 bits) ou uma chave de 128 bits (também conhecida como 104 bits). Para obter alta segurança, use uma chave de 128 bits. Se você usar criptografia, todos os dispositivos sem fio precisarão ter as mesmas chaves de criptografia.
Com a criptografia de dados WEP, pode ser configurada uma estação sem fio com até quatro chaves (os valores de índice de chave são 1, 2, 3 e 4). Quando um ponto de acesso (PA) ou uma estação sem fio transmite uma mensagem encriptografada usando uma chave armazenada em um índice específico, a mensagem transmitida indica o índice de chave usado para criptografar o corpo da mensagem. O PA ou estação sem fio receptor(a) pode recuperar a chave armazenada nesse índice de chave e usá-la para decodificar o corpo da mensagem encriptografada.
Como o algoritmo de criptografia WE é vulnerável a ataques de rede, considere o uso da segurança WPA-Pessoal ou WPA2-Pessoal.
O Modo WPA-Pessoal é destinado aos ambientes residenciais e de pequenas empresas. O Modo WPA-Pessoal requer a configuração manual de uma chave pré-compartilhada (PSK) no ponto de acesso e nos clientes. Não é necessário um servidor de autenticação. É necessário usar a mesma senha inserida no ponto de acesso, neste computador e em todos os outros dispositivos sem fio que acessam a rede sem fio. A segurança depende do nível de segurança e de sigilo da senha. Uma senha longa fornece segurança maior que uma senha curta. Se o ponto de acesso sem fio ou o roteador suportar os tipos WPA-Pessoal e WPA2-Pessoal, você deverá ativá-los no ponto de acesso e fornecer uma senha longa e de alta segurança. WPA-Pessoal disponibiliza os algoritmos de criptografia de dados TKIP e AES-CCMP.
O Modo WPA2-Pessoal requer a configuração manual de uma chave pré-compartilhada (PSK) no ponto de acesso e nos clientes. Não é necessário um servidor de autenticação. É necessário usar a mesma senha inserida no ponto de acesso, neste computador e em todos os outros dispositivos sem fio que acessam a rede sem fio. A segurança depende do nível de segurança e de sigilo da senha. Uma senha longa fornece segurança maior que uma senha curta. WPA2 é um aprimoramento do WPA e implementa o padrão IEEE 802.11i completo. O WPA2 tem compatibilidade ascendente com o WPA. WPA2-Pessoal disponibiliza os algoritmos de criptografia de dados TKIP e AES-CCMP.
NOTA: WPA-Pessoal e WPA2-Pessoal são interoperáveis.
Esta seção descreve a segurança mais utilizada por grandes empresas.
Visão geral
O que é RADIUS?
Como funciona a autenticação do 802.1X
Recursos do 802.1X
A autenticação do 802.1X é independente do processo de autenticação do 802.11. O padrão 802.11 oferece uma gama de vários protocolos de autenticação e de gerenciamento de chaves. Existem diferentes tipos de autenticação 802.1X, cada qual com uma abordagem diferente de autenticação, mas todos usam o mesmo protocolo e framework 802.11 para a comunicação entre um cliente e um ponto de acesso. Na maioria dos protocolos, quando o processo de autenticação do 802.1X termina, o cliente recebe uma chave que será usada para a criptografia de dados. Consulte Como funciona a autenticação do 802.1X, para obter mais informações. Com a autenticação do 802.1X, é usado um método de autenticação entre o cliente e um servidor (por exemplo, um servidor RADIUS [Remote Authentication Dial-In User Service]) conectado ao ponto de acesso. O processo de autenticação usa credenciais, como a senha de usuário, que não são transmitidas através da rede sem fio. A maioria dos tipos 802.1X suporta chaves por usuário e por sessão para aumentar a segurança da chave. A autenticação 802.1X se beneficia do uso de um protocolo de autenticação existente, conhecido como EAP (Extensible Authentication Protocol).
A autenticação 802.1X para redes sem fio tem três componentes principais:
A segurança da autenticação 802.1X inicia com uma solicitação de autorização do cliente sem fio para o ponto de acesso, que autentica o cliente junto a um servidor RADIUS compatível com o EAP (Extensible Authentication Protocol). O servidor RADIUS pode autenticar tanto o usuário (por senhas ou certificados) como o sistema (por endereço MAC). Teoricamente, o cliente sem fio não tem permissão para entrar na rede até que a transação se complete. (Nem todos os métodos de autenticação usam um servidor RADIUS. WPA-Pessoal e WPA2-Pessoal usam uma senha comum que deve ser digitada no ponto d acesso e em todos os dispositivos solicitando acesso à rede.)
Há diversos algoritmos de autenticação utilizados com 802.1X. Alguns exemplos são: EAP-TLS, EAP-TTLS, Protected EAP (PEAP) e EAP Cisco Wireless Light Extensible Authentication Protocol (LEAP). Todos esses são métodos que o cliente sem fio usa para se identificar para o servidor RADIUS. Com a autenticação Radius, as identidades dos usuários são comparadas com as existentes em bancos de dados. RADIUS é um conjunto de padrões que lida com AAA (Authentication, Authorization and Accounting). O RADIUS usa um processo proxy para validar clientes em um ambiente de vários servidores. O padrão IEEE 802.1X se destina ao controle e autenticação do acesso a redes Ethernet 802.11, com e sem fio, baseadas em portas. O controle de acesso a redes baseadas em portas é similar à infra-estrutura de redes LAN chaveadas que autentica dispositivos conectados a portas da LAN e impede o acesso a estas portas se o processo de autenticação falhar.
RADIUS é o Serviço ao usuário para autenticação remota por discagem, um protocolo AAA (Authorization, Authentication e Accounting) de cliente-servidor para uso quando um cliente AAA por discagem faz login ou logoff de um servidor de acesso à rede. Geralmente, o servidor RADIUS é usado por provedores de serviços de Internet (ISP — Internet Service Providers) para executar tarefas de AAA. As fases de AAA (Authorization, Authentication e Accounting) são:
A seguir, uma descrição simplificada de como funciona a autenticação 802.1X.
Os métodos de autenticação a seguir são suportados pelo Windows* XP:
Consulte Autenticação aberta.
Consulte Autenticação compartilhada.
Consulte WPA-Pessoal.
Consulte WPA2-Pessoal.
A autenticação do Modo Empresa é destinado aos ambientes corporativos ou governamentais. O WPA-Empresa verifica os usuários da rede através de um servidor RADIUS ou outro servidor de autenticação. O protocolo WPA utiliza chaves de criptografia de 128 bits e chaves de sessão dinâmicas para garantir a privacidade da rede sem fio e a segurança corporativa. É selecionado um Tipo de Autenticação correspondente ao protocolo de autenticação do servidor do 801.1X.
A autenticação WPA-Empresa é destinada aos ambientes corporativos ou governamentais. O WPA2-Empresa verifica os usuários da rede através de um servidor RADIUS ou outro servidor de autenticação. O protocolo WPA2 utiliza chaves de criptografia de 128 bits e chaves de sessão dinâmicas para garantir a privacidade da rede sem fio e a segurança corporativa. É selecionado um Tipo de Autenticação correspondente ao protocolo de autenticação do servidor do 801.1X. O Modo Empresa é destinado aos ambientes corporativos ou governamentais. WPA2 é um aprimoramento do WPA e implementa o padrão IEEE 802.11i completo.
Protocolo Advanced Encryption Standard - Counter CBC-MAC. O novo método de proteção da privacidade das transmissões sem fio especificadas no padrão IEEE 802.11i. AES-CCMP fornece um método de criptografia mais seguro do que o TKIP. Escolha AES-CCMP como método de criptografia de dados sempre que a proteção de dados de alta segurança for importante. O protocolo AES-CCMP está disponível com a autenticação de rede WPA/WPA2-Pessoal/Empresa.
NOTA: É possível que algumas soluções de segurança não sejam suportadas pelo sistema operacional do computador e exijam itens de software ou hardware adicionais, além de suporte para infra-estrutura de LAN sem fio. Consulte o fabricante de seu computador para obter detalhes.
O Temporal Key Integrity Protocol dispõe de uma combinação de chaves por pacote, uma verificação de integridade da mensagem e um mecanismo de rechaveamento. O TKIP está disponível com a autenticação de rede WPA/WPA2-Pessoal/Empresa.
Consulte CKIP.
O WEP (Wired Equivalent Privacy) usa a criptografia para ajudar a impedir o recebimento não autorizado de dados em conexões sem fio. A WEP usa uma chave de criptografia para codificar os dados antes de transmiti-los. Apenas os computadores que usarem a mesma chave de criptografia podem acessar a rede ou decodificar os dados transmitidos por outros computadores. A WEP corporativa não idêntica à WEP pessoal, porque é possível selecionar a autenticação de rede Aberta e clicar em Ativar 802.1X e escolher entre todos os tipos de autenticação de cliente. A seleção de IS de tipos de autenticação não está disponível na WEP pessoal.
Um tipo de método de autenticação que usa o EPA (Extensible Authentication Protocol) e um protocolo de segurança chamado TLS (Transport Layer Security). O EAP-TLS usa certificados que utilizam senhas. A autenticação EAP-TLS suporta o gerenciamento dinâmico de chaves WEP. O protocolo TLS foi elaborado para proteger e autenticar as comunicações através de uma rede pública, por meio da criptografia de dados. O Protocolo de Handshake do TLS permite que o servidor e o cliente forneçam autenticação mútua e negociem um algoritmo de criptografia e chaves criptográficas antes da transmissão dos dados.
Estas configurações definem o protocolo e as credenciais usadas para autenticar o usuário. No TTLS (Tunneled Transport Layer Security), o cliente usa o EAP-TLS para validar o servidor e criar um canal encriptografado por TLS entre o cliente e o servidor. O cliente pode usar outro protocolo de autenticação. Geralmente, os protocolos baseados em senhas desafiam através de um canal criptografado não exposto a TLS. Atualmente, as implementações do TTLS aceitam todos os métodos definidos pelo protocolo EAP, assim como vários métodos mais antigos (PAP, CHAP, MS-CHAP e MS-CHAPV2). O TTLS pode ser facilmente estendido para trabalhar com novos protocolos, definindo novos atributos para oferecer suporte para novos protocolos.
PEAP é um novo tipo de autenticação de EAP (Extensible Authentication Protocol) do IEEE 802.1X, criado para tirar proveito das vantagens do EAP-TLS (EAP-Transport Layer Security) do lado servidor e para suportar vários métodos de autenticação, inclusive senhas de usuário, senhas ocasionais e o Generic Token Cards.
Uma versão do EAP (Extensible Authentication Protocol). LEAP (Light Extensible Authentication Protocol) é um protocolo de autenticação extensível proprietário, desenvolvido pela Cisco, que dispõe de um mecanismo de autenticação de respostas a desafios e um processo de atribuição de chaves dinâmicas.
O EAP-SIM (Extensible Authentication Protocol Method for GSM Subscriber Identity) é um mecanismo de autenticação e de distribuição de chaves de sessão. Ele utiliza o SIM (Subscriber Identity Module — Módulo de Identificação de Assinante) do GSM (Global System for Mobile Communications). EAP-SIM usa uma chave dinâmica WEP baseada em sessão, originária do adaptador do cliente e do servidor RADIUS, para criptografar os dados. O EAP-SIM exige que você insira um código de verificação do usuário, ou PIN, para a comunicação com o cartão SIM (Subscriber Identity Module). Um cartão SIM é um smart card especial usado pelas redes de celulares digitais baseadas em GSM (Global System for Mobile Communications). O RFC 4186 descreve o EAP-SIM.
EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) é um mecanismo EAP para autenticação e distribuição de chaves de sessão, usando o Universal Mobile Telecommunications System (UMTS) Subscriber Identity Module (USIM). O cartão USIM é um smart card especial usado em redes de celulares para validar um usuário específico junto à rede.
O PAP (Password Authentication Protocol - Protocolo de Autenticação por Senha) é um protocolo de handshake bidirecional, elaborado para uso com o PPP. O PAP (Password Authentication Protocol) é uma senha de texto simples usada nos sistemas SLIP mais antigos. Não é um método seguro. Disponível apenas para o tipo de autenticação TTLS.
O CHAP (Challenge Handshake Authentication Protocol) é um protocolo de handshake tridirecional, considerado mais seguro do que o Protocolo de Autenticação PAP. Disponível apenas para o tipo de autenticação TTLS.
Usa uma versão Microsoft do protocolo de desafio-e-resposta do RSA Message Digest 4. Isso só funciona nos sistemas Microsoft e permite a criptografia de dados. Ao selecionar esse método de autenticação, todos os dados serão codificados. Disponível apenas para o tipo de autenticação TTLS.
Introduz um recurso adicional não disponível na autenticação MS-CHAP-V1 ou CHAP padrão, o recurso de alteração de senha. Este recurso permite que o cliente altere a senha da conta se o servidor RADIUS informar que a senha expirou. Disponível para os tipos de autenticação TTLS e PEAP.
Contém token cards específicos do usuário para fins de autenticação. O principal recurso no GTC é a autenticação baseada em Certificado Digital/Token Card. Além disso, o GTC pode ocultar identidades de nome de usuário até que o tunel criptografado TLS seja estabelecido, o que fornece uma confidencialidade adicional no sentido de que os nomes dos usuários não são divulgados na fase de autenticação. Disponível apenas para o tipo de autenticação PEAP.
O protocolo TLS foi elaborado para proteger e autenticar as comunicações através de uma rede pública, por meio da criptografia de dados. O Protocolo de Handshake do TLS permite que o servidor e o cliente forneçam autenticação mútua e negociem um algoritmo de criptografia e chaves criptográficas antes da transmissão dos dados. Disponível apenas para o tipo de autenticação PEAP.
Cisco LEAP (Cisco Light EAP) é uma autenticação 802.1X de cliente e servidor através de uma senha de login fornecida pelo usuário. Quando um ponto de acesso sem fio se comunica com um RADIUS habilitado para Cisco LEAP (servidor ACS [Cisco Secure Access Control Server]), o Cisco LEAP fornece o controle de acesso através de autenticação mútua entre os adaptadores WiFi do cliente e as redes sem fio, e disponibiliza chaves dinâmicas de criptografia de usuário individual para ajudar a proteger a privacidade dos dados transmitidos.
O recurso Cisco Rogue AP fornece proteção de segurança a partir da introdução de um ponto de acesso não autorizado, que pode simular um ponto access legítimo de uma rede para extrair informações sobre credenciais de usuários e protocolos de autenticação que possam comprometer a segurança. Este recurso só funciona com a autenticação LEAP da Cisco. A tecnologia do padrão 802.11 não protege uma rede contra a introdução de um ponto de acesso não autorizado. Consulte Autenticação LEAP para obter mais informações.
Alguns pontos de acesso, como o Cisco 350 ou Cisco 1200, aceitam ambientes em que nem todas as estações cliente têm suporte para a criptografia WEP; este é chamado modo de Célula mista. Quando essas redes sem fio operam no modo “criptografia opcional”, as estações cliente que entram no modo WEP enviam todas as mensagens codificadas, e as estações que usam o modo padrão enviam todas as mensagens decodificadas. Esses pontos de acesso difundem que a rede não está usando criptografia, mas permitem a entrada de clientes usando o modo WEP. Quando a opção de “Célula mista” é ativada em um perfil, você pode se conectar com os pontos de acesso configurados para “criptografia opcional”.
O CKIP (Cisco Key Integrity Protocol) é um protocolo de segurança de propriedade da Cisco para criptografia em mídia 802.11. O CKIP usa os recursos abaixo para melhorar a segurança do 802.11 no modo de infra-estrutura:
NOTA: O CKIP não é usado com a autenticação de rede WPA/WPA2-Pessoal/Empresa.
NOTA: O CKIP só é aceito através do uso do Utilitário de Conexão WiFi no Windows* XP.
Quando uma LAN sem fio é configurada para reconexão rápida, um dispositivo cliente ativado por LEAP pode fazer roaming de um ponto de acesso para outro, sem a interferência do servidor principal. Com o CCKM (Cisco Centralized Key Management), um ponto de acesso configurado para fornecer WDS (Wireless Domain Services — Serviços de Domínio Sem Fio) substitui o servidor RADIUS e autentica o cliente sem um retardo perceptível de voz ou de outras aplicações sensíveis ao tempo.
Quando esse recurso for ativado, o adaptador WiFi fornece gerenciamento de rádio para a infra-estrutura Cisco. Se usado na infra-estrutura, o utilitário de Gerenciamento de rádio Cisco configurará os parâmetros do rádio, detectará interferência e pontos de acesso não autorizados.
O EAP-FAST, como o EAP-TTLS e o PEAP, usa o tunelamento para proteger o tráfego. A principal diferença é que o EAP-FAST não usa certificados para autenticar. O fornecimento do EAP-FAST é negociado unicamente pelo cliente na primeira troca de comunicações, quando o EAP-FAST é solicitado no servidor. Se o cliente não tiver uma PAC (Protected Access Credential) secreta pré-compartilhada, poderá iniciar um intercâmbio de fornecimento EAP-FAST para obter uma PAC dinamicamente do servidor.
O EAP-FAST documenta dois métodos de liberação da PAC: entrega manual através de um mecanismo seguro fora da faixa, e o fornecimento automático.
O método EAP-FAST é dividido em duas partes: fornecimento e autenticação. A fase do fornecimento abrange a liberação inicial da PAC para o cliente. Só é necessário realizar essa fase uma única vez por cliente e usuário.