Configuração da criptografia de dados e autenticação
Visão geral da criptografia
Como habilitar a criptografia WEP
Tarefas do administrador do sistema
Configuração do cliente para a autenticação WEP e MD5
Configuração do cliente para WPA-PSK usando a autenticação WEP ou TKIP
Configuração do cliente para WPA usando a criptografia TKIP e a autenticação TLS
Configuração do cliente para WPA usando a criptografia TKIP e a autenticação TTLS ou PEAP
Configuração do cliente para CCX usando a criptografia CKIP e autenticação LEAP
A criptografia e autenticação compartilhada WEP (Wired Equivalent Privacy) ajudam a proteger os dados da rede. A WEP usa uma chave de criptografia para codificar os dados antes de transmiti-los. Apenas os computadores que usarem a mesma chave de criptografia podem acessar a rede ou decodificar os dados transmitidos. A autenticação é um processo adicional de validação do adaptador no ponto de acesso. O algoritmo de criptografia WEP é vulnerável a ataques passivos e ativos à rede. Os algoritmos TKIP e CKIP contêm avanços em relação ao protocolo WEP para suprimir os ataques existentes à rede e para resolver os problemas causados por esses ataques.
O 802.11 suporta dois tipos de autenticação à rede: Sistema aberto e Chave compartilhada, que usam a criptografia WEP de 64 e 128 bits. O modo aberto não usa um método de autenticação criptografado para associar-se a um ponto de acesso específico. Os esquemas de autenticação suportados são os de chave aberta e de chave compartilhada:
Quando a criptografia de dados (WEP, CKIP ou TKIP) está ativada, uma chave de rede é usada para criptografia. A chave de rede pode ser fornecida automaticamente (por exemplo, ela pode ser fornecida no adaptador de rede sem fio ou você pode digitá-la e especificar seu comprimento (64 ou 128 bits), seu formato (caracteres ASCII ou algarismos hexadecimais) e seu índice (o local específico onde a chave é armazenada)). Quanto maior o comprimento da chave, maior a sua segurança. Sempre que o comprimento da chave é aumentado em um bit, o número de chaves possíveis dobra.
No 802.11, pode ser configurada uma estação sem fio com até quatro chaves (os valores de índice de chave são 1, 2, 3 e 4). Quando um ponto de acesso ou uma estação sem fio transmite uma mensagem criptografada usando uma chave que está armazenada em um índice específico, o índice que está sendo usado para criptografar o corpo da mensagem é indicado. O ponto de acesso ou estação sem fio receptora pode recuperar a chave armazenada nesse índice de chave e usá-la para decodificar o corpo da mensagem criptografada.
O padrão 802.1x usa dois tipos de chaves de criptografia: estática e dinâmica. As chaves de criptografia estáticas são alteradas manualmente e são mais vulneráveis. A autenticação MD5 usa somente chaves de criptografia estáticas. As chaves de criptografia dinâmicas são renovadas automaticamente a intervalos de tempo. Este recurso torna as chaves mais seguras. Para ativar as chaves de criptografia dinâmicas, você precisa usar os métodos de autenticação 802.1x, como TLS, TTLS, PEAP ou LEAP.
A segurança da WLAN pode ser melhorada por meio da criptografia de dados WEP (Wireless Encryption Protocol). É possível escolher uma criptografia de 64 bits ou de 128 bits. Além disso, os dados podem ser criptografados com uma chave. Um outro parâmetro chamado índice de chave permite a opção de criar chaves múltiplas para aquele perfil. Contudo, apenas uma chave pode ser usada de cada vez. Você também pode proteger o perfil com uma senha para assegurar privacidade
A senha é usada para gerar uma chave WEP automaticamente. Você pode usar uma senha ou inserir uma chave WEP manualmente. Ao usar criptografia de 64 bits, a senha tem 5 caracteres e você poderá escolher entre digitar uma frase qualquer e fácil de lembrar, como Acme1, ou digitar dez números em hexadecimal para a chave WEP correspondentes à rede à qual o usuário deseja se conectar. Para a criptografia de 128 bits, a senha tem 13 caracteres e você pode digitar 26 caracteres hexadecimais para a chave WEP, para se conectar à rede adequada.
Observação: Você precisa usar o mesmo tipo de criptografia, o mesmo número de índice da chave e a mesma chave WEP que os outros dispositivos da rede sem fio.
O exemplo a seguir mostra como editar um perfil existente e aplicar a criptografia WEP.
Observação: Antes de iniciar, entre em contato com o administrador do sistema para obter a senha WEP ou chave hexa da rede.
Para ativar a criptografia WEP:
- Usar senha: Clique em Usar senha para ativar. Digite a senha, com até cinco (para 64 bits) ou até 13 (para 128 bits) caracteres alfanuméricos (0-9, a-z ou A-Z) no campo de senha.
- Usar chave hexa: Clique em Usar chaves hexa para ativar a opção. Digite até dez (para 64 bits) caracteres alfanuméricos, 0-9, A-F ou vinte e seis (para 128 bits) caracteres alfanuméricos, 0-9, A-F no campo de chave hexa.
![]() |
NOTA: As informações a seguir se destinam aos administradores de sistema. |
Se não tiver nenhum certificado para EAP-TLS ou EAP-TTLS, você precisará obter um certificado de cliente para que a autenticação possa ser feita. Geralmente, você precisará consultar o administrador do sistema para obter instruções sobre como obter um certificado na sua rede. Os certificados podem ser gerenciados das "Configurações de Internet" que são acessadas no Internet Explorer ou no Painel de controle do Windows. Use a página "Conteúdo" das "Configurações de Internet".
Windows XP e 2000: Para obter um certificado de cliente, não ative a proteção forte de chave privada. Se ativar a proteção forte de chave privada para o certificado, você precisará digitar uma senha de acesso para esse certificado toda a vez em que ele for usado. Você precisará desativar a proteção forte de chave privada para o certificado se estiver configurando o serviço para autenticação TLS/TTLS. Caso contrário, o serviço do 802.1x falhará na autenticação porque não existe um usuário logado para quem a caixa de diálogo de prompt possa ser exibida.
Notas sobre as Placas inteligentes
Quando a placa inteligente é instalada, o certificado é instalado automaticamente no computador e pode ser selecionado na pasta de certificados da pessoa e na pasta de certificados da raiz.
Etapa 1: Obter um certificado
Para permitir a autenticação TLS, você precisa de um certificado válido de cliente (usuário) no repositório local para a conta do usuário logado. Você precisa também de um certificado reconhecido pela CA na pasta da raiz.
Há dois métodos de obtenção de um certificado:
Observação: Se este for o primeiro certificado que você obtém, a autoridade de certificação perguntará se você quer instalar um certificado reconhecido pela CA na raiz. A caixa de diálogo não dirá que este é um certificado reconhecido pela autoridade de certificação, mas o nome do certificado mostrado será o mesmo do host da CA. Clique emSime você precisará deste certificado para o TLS e para o TTLS.
O exemplo a seguir descreve como usar o WPA com a criptografia TKIP usando a autenticação TTLS ou PEAP.
Etapa 2: Especificação do certificado usado pelo Intel(R) PROSet para conexões sem fio
Marque a caixa “permitir certificados intermediários” para permitir que alguns certificados não especificados estejam na cadeia de certificados do servidor, entre o certificado do servidor e a autoridade de certificação especificada. Se esta caixa estiver desmarcada, a autoridade de certificação especificada precisa ter emitido diretamente o certificado do servidor.
Se você souber o nome do servidor, digite-o.
Selecione a opção adequada de um nome exatamente igual ao do servidor ou especifique o nome do domínio.
Nota sobre Certificados: A identidade especificada precisa ser igual ao conteúdo do campo "Emitido para" no certificado e deve estar registrada no servidor de autenticação (servidor RADIUS) usado pelo autenticador. Seu certificado precisa ser "válido" em relação ao servidor de autenticação. Este requisito depende do servidor de autenticação e geralmente significa que este servidor de autenticação precisa conhecer o emissor do certificado como a Autoridade de certificação. Você deve estar logado com o nome de usuário usado quando o certificado foi instalado.
Para adicionar a autenticação WEP e MD5 a um novo perfil:
Nota: Antes de iniciar, entre em contato com o administrador do sistema para obter o nome do usuário e a senha no servidor RADIUS.
NOTA: Para instalar o recurso Capacidade de sincronização de senhas do 802.1x (Usar o login do Windows), consulte Instalar ou desinstalar o recurso Capacidade de sincronização de senhas do 802.1x para obter instruções de instalação.
Use o modo WPA-PSK (Wi-Fi Protected Access - Pre Shared Key) se não houver um servidor de autenticação sendo usado. Este modo não usa nenhum protocolo de autenticação 802.1x. Ele pode ser usado com os seguintes tipos de criptografia: WEPouTKIP. O WPA-PSK precisa da configuração de uma chave pré-compartilhada (PSK). Você precisa digitar a senha ou 64 caracteres hexadecimais para uma chave pré-compartilhada de 256 bits. A chave de criptografia de dados é derivada do PSK.
Para configurar um perfil usando o WPA-TKIP:
O modo WPA (Wi-Fi Protected Access) pode ser usado com TLS, TTLS ou PEAP. Este protocolo de autenticação 802.1x usando as opções de criptografia WEP ou TKIP. O modo WPA (Wi-Fi Protected Access) está vinculado com a autenticação 802.1x. A chave de criptografia de dados é recebida da troca de chaves 802.1x. Para melhorar a criptografia de dados, o acesso Wi-Fi protegido usa seu TKIP (Temporal Key Integrity Protocol). O TKIP oferece otimizações importantes de criptografia de dados, incluindo o método de rechaveamento.
Marque a caixa “permitir certificados intermediários” para permitir que alguns certificados não especificados estejam na cadeia de certificados do servidor, entre o certificado do servidor e a autoridade de certificação especificada. Se esta caixa estiver desmarcada, a autoridade de certificação especificada precisa ter emitido diretamente o certificado do servidor.
Se você souber o nome do servidor, digite-o.
Selecione a opção adequada de um nome exatamente igual ao do servidor ou especifique o nome do domínio.
Nota sobre Certificados: A identidade especificada precisa ser igual ao conteúdo do campo "Emitido para" no certificado e deve estar registrada no servidor de autenticação (servidor RADIUS) usado pelo autenticador. Seu certificado precisa ser "válido" em relação ao servidor de autenticação. Este requisito depende do servidor de autenticação e geralmente significa que este servidor de autenticação precisa conhecer o emissor do certificado como a Autoridade de certificação. Você deve estar logado com o nome de usuário usado quando o certificado foi instalado.
Usando a autenticação TTLS: Estas configurações definem o protocolo e as credenciais a serem usados para autenticar um usuário. No TTLS, o cliente usa EAP-TLS para validar o servidor e criar um canal criptografado por TLS entre o cliente e o servidor. O cliente pode usar outro protocolo de autenticação, tipicamente controles baseados em senha, como o desafio MD5 neste canal criptografado para ativar a validação de servidor. Os pacotes de desafio e resposta são enviados por um canal TLS não exposto e criptografado.
Usando a autenticação PEAP: As configurações do PEAP são necessárias para a autenticação do cliente para o servidor de autenticação. No PEAP, o cliente usa EAP-TLS para validar o servidor e criar um canal criptografado por TLS com o servidor. O cliente pode usar outro mecanismo EAP, como o MSCHAP (Protocolo de autenticação de desafios da Microsoft) Versão 2, neste canal criptografado para ativar a validação de servidor. Os pacotes de desafio e resposta são enviados por um canal TLS não exposto e criptografado.
O exemplo a seguir descreve como usar o WPA com a criptografia TKIP usando a autenticação TTLS ou PEAP.
NOTA: Para instalar o recurso Capacidade de sincronização de senhas do 802.1x (Usar o login do Windows), consulte Instalar ou desinstalar o recurso Capacidade de sincronização de senhas do 802.1x para obter instruções de instalação.
Marque a caixa “permitir certificados intermediários” para permitir que alguns certificados não especificados estejam na cadeia de certificados do servidor, entre o certificado do servidor e a autoridade de certificação especificada. Se esta caixa estiver desmarcada, a autoridade de certificação especificada precisa ter emitido diretamente o certificado do servidor.
Se você souber o nome do servidor, digite-o.
Selecione a opção adequada de um nome exatamente igual ao do servidor ou especifique o nome do domínio.
Nota sobre Certificados: A identidade especificada precisa ser igual ao conteúdo do campo "Emitido para" no certificado e deve estar registrada no servidor de autenticação (servidor RADIUS) usado pelo autenticador. Seu certificado precisa ser "válido" em relação ao servidor de autenticação. Este requisito depende do servidor de autenticação e geralmente significa que este servidor de autenticação precisa conhecer o emissor do certificado como a Autoridade de certificação. Você deve estar logado com o nome de usuário usado quando o certificado foi instalado.
![]() |
NOTA: Um perfil LEAP só pode ser configurado usando o Intel(R) PROSet para conexões sem fio. |
Um perfil CCX (v.01) do Intel(R) PROSet para conexões sem fio deve ser configurado para permitir a conexão com uma LAN sem fio ou rede ESS específica. As configurações de perfis abrangem LEAP, CKIP e Detecção de Rogue AP.
Para configurar um perfil para configurações de segurança CCX:
NOTA: Para instalar o recurso Capacidade de sincronização de senhas do 802.1x (Usar o login do Windows), consulte Instalar ou desinstalar o recurso Capacidade de sincronização de senhas do 802.1x para obter instruções de instalação.
O ponto de acesso dispõe de configurações para selecionar tipos diferentes de autenticação, dependendo do ambiente da WLAN. O cliente envia um campo Algoritmo de autenticação durante o entrosamento de sincronismo (handshake) de autenticação do 802.11 que ocorre entre o cliente e o PA, durante o estabelecimento da conexão. Os valores do Algoritmo de autenticação reconhecidos por um PA ativado por CCX são diferentes para os diversos tipos de autenticação. Por exemplo, o “EAP de Rede”, que destaca o LEAP, tem um valor de 0x80 enquanto o tipo “Aberto”, que é a autenticação aberta especificada pelo 802.11, e o “EAP Obrigatório”, que exige uma troca de entrosamento de sincronismo do EAP, têm valores de 0x0.
PA: Para as redes ativadas pelo CCX usando a autenticação LEAP somente o tipo de autenticação é definido com a marcação da caixa “EAP de rede” e com as caixas “Aberto” e “EAP obrigatório” desmarcadas. O PA é, então, configurado para permitir que SOMENTE os clientes LEAP se autentiquem e se conectem. Nesse caso, o PA pressupõe que o algoritmo de autenticação do 802.11 esteja definido como 0x80 (LEAP) e recusa os clientes que tentarem a autenticação com um valor 0x0 de algoritmo de autenticação.
Cliente: Nesse caso, o cliente deve emitir um valor 0x80 de algoritmo de autenticação, a despeito de que o entrosamento de sincronismo (handshake) da autenticação do 802.11 venha a falhar. No processo de inicialização, quando o driver da rede sem fio já estiver carregado mas não o requerente do Intel(R) PROSet para conexões sem fio, o cliente envia a autenticação do 802.11 com um valor de 0x0 de algoritmo de autenticação. Assim que o requerente do Intel(R) PROSet para conexões sem fio estiver carregado e incorporar o perfil LEAP, enviará a autenticação do 802.11 com um valor de 0x80 de algoritmo de autenticação. Entretanto, o requerente só enviará o valor 0x80 se a caixa Rogue AP estiver marcada.
EAP de rede, Aberto e EAP obrigatório
PA: Se as caixas EAP de rede, Aberto e EAP obrigatório estiverem marcadas, serão aceitos os dois tipos de valores (0x0 e 0x80) de algoritmo de autenticação do 802.11. Contudo, assim que o cliente estiver associado e autenticado, o PA espera a ocorrência de um entrosamento de sincronismo (handshake) de EAP. Se por algum motivo esse handshake de EAP não acontecer rapidamente, o PA não responderá ao cliente durante cerca de 60 segundos.
Cliente: Aqui, o cliente pode enviar um valor 0x80 ou 0x0 de algoritmo de autenticação. Ambos os valores são aceitáveis e o handshake da autenticação do 802.11 seria bem-sucedido. No processo de inicialização, quando o driver da rede sem fio já estiver carregado, o cliente enviará a autenticação do 802.11 com um valor de 0x0 de algoritmo de autenticação. Basta isso para se autenticar mas as respectivas credenciais do EAP e LEAP devem ser informadas ao PA para estabelecer a conexão.
Aberto e EAP obrigatório somente
PA: Se o PA estiver configurado com a caixa EAP de rede desmarcada, mas com as caixas Aberto e EAP obrigatório marcadas, o PA recusará qualquer cliente que tentar a autenticação do 802.11 usando um valor 0x80 de algoritmo de autenticação. O PA aceitaria qualquer cliente usando o valor 0x0 de algoritmo de autenticação e pressupõe que o handshake do EAP iniciará logo depois. Nesse caso, o cliente usa o MD5, TLS, LEAP ou qualquer outro método do EAP adequado para a configuração da rede específica.
Cliente: Nesse caso, o cliente é obrigado a enviar um valor 0x0 de algoritmo de autenticação. Como mencionado anteriormente, a seqüência abrange uma repetição do handshake inicial da autenticação do 802.11. Primeiro, o driver da rede sem fio inicia a autenticação com um valor 0x0 e depois o requerente repete o processo. Contudo, o valor do algoritmo de autenticação usado pelo requerente depende do status da caixa de seleção Rogue AP. Quando a caixa de seleção Rogue AP estiver desmarcada, o cliente enviará uma autenticação do 802.11 com um valor 0x0 de algoritmo de autenticação mesmo depois de o requerente carregar e incorporar o perfil LEAP.
Alguns clientes não-Intel, por exemplo, quando definidos com LEAP, não podem se autenticar neste caso. Entretanto, o cliente LAN Intel Wireless pode se autenticar, se a caixa de seleção Rogue AP estiver desmarcada.
Quando a caixa de seleção for selecionada, ela assegurará que o cliente implemente o recurso Rogue AP requerido pelo CCX. O cliente registra os PAs cujas autenticações falharam e envia essa informação para o PA, que permite a sua autenticação e conexão. Além disso, o requerente define o tipo do algoritmo de autenticação com o valor 0x80 se a caixa Rogue AP estiver marcada. Podem existir algumas configurações de rede implementando as opções Aberto e EAP obrigatório somente, como descrito anteriormente. Para que essa configuração funcione, o cliente deve usar um valor 0x0 para o algoritmo de autenticação, em vez de usar 0x80 para EAP de rede somente descrito anteriormente. Portanto, a caixa de seleção Rogue AP também permite que o cliente suporte o EAP de rede somente e o Aberto e EAP obrigatório somente.
As Especificações Cisco obrigatórias para a compatibilidade com o cliente — Versão 1.0:
Compatibilidade com todos os itens obrigatórios do 802.11
Desfragmentação de MSDUs e MMPDUs
Gera CTS em resposta a um RTS
Suporte para autenticação aberta e de chave compartilhada
Suporte para a análise ativa
Compatibilidade com o Wi-Fi obrigatória
Nas plataformas Windows, compatibilidade com a NIC do 802.11 da Microsoft
Compatibilidade com o 802.1X-2001
Suporte para EAP-TLS (Transport Level Security, RFC 2716) no Windows XP
Suporte para EAP-MD4 (RFC 1320) no Windows XP
Envio de pacotes EAP sem criptografia
Suporte para rotação de chaves de difusão
Suporte para CKIP
Suporte para WEP/RC4
Suporte de 4 chaves para WEP
Suporte para as chaves WEP40 e WEP128
O suporte para LEAP é obrigatório
Suporte para relatório do Rogue AP
Extensão Cisco: Suporte para Aironet IE – campos CWmin e CWmax
Suporte para IE de Regra de Transformação de Encapsulação
Extensão Cisco: IE Endereço IP do ponto de acesso
Extensão Cisco: Symbol IE
Células mistas (WEP e não-WEP)
O PA pode responder a mais de um reconhecimento de SSID – VLAN
Suporte para modo falso - os clientes devem ignorar os SSIDs perdidos em beacons
Suporte para múltiplos SSID – o cliente pode fazer roaming para até 3 SSIDs
Cliente deve usar o SSID configurado em solicitação de teste
Nota: Consulte a documentação do Cisco Client extensions versão 1.0, disponível em www.cisco.com para obter mais detalhes.
Leia todas as restrições e isenções de responsabilidade.