Visão geral sobre a criptografia
Criptografia e autenticação WEP
Autenticação 802.1x
O que é RADIUS
WPA (Wi-Fi Protected Access)
PEAP
LEAP da Cisco
A segurança da WLAN pode ser melhorada por meio da criptografia de dados WEP (Wireless Encryption Protocol). É possível escolher uma criptografia de 64 bits ou de 128 bits. Além disso, os dados podem ser criptografados com uma chave. Outro parâmetro chamado índice de chave permite criar várias chaves para esse perfil. Contudo, apenas uma chave pode ser usada de cada vez. Você também pode proteger com uma senha um perfil do Intel(R) PROSet para conexões sem fio, para garantir a privacidade A senha é usada para gerar uma chave WEP automaticamente. Você pode usar uma senha ou inserir uma chave WEP manualmente. Ao usar criptografia de 64 bits, a senha terá o tamanho de 5 caracteres e você poderá escolher entre digitar uma frase qualquer e fácil de lembrar, como Acme1, ou digitar dez números em hexadecimal para a chave WEP correspondentes à rede que o usuário deseja se conectar. Para a criptografia de 128 bits, a senha tem 13 caracteres e você pode digitar 26 números em hexadecimal para a chave WEP para se conectar à rede adequada.
A criptografia e autenticação compartilhada WEP (Wired Equivalent Privacy) se destinam a proteger os dados da rede. A WEP usa uma chave de criptografia para codificar os dados antes de transmiti-los. Apenas os computadores que usarem a mesma chave de criptografia podem acessar a rede ou decodificar os dados transmitidos. A autenticação é um processo adicional de validação entre o adaptador e o ponto de acesso.
Os esquemas de autenticação suportados são os de chave aberta e de chave compartilhada:
Quando a criptografia de dados (WEP, CKIP ou TKIP) está ativada, uma chave de rede é usada para criptografia. A chave de rede pode ser fornecida automaticamente (por exemplo, no adaptador de rede sem fio ou você mesmo pode digitá-la e especificar seu comprimento (64 ou 128 bits), seu formato (caracteres ASCII ou algarismos hexadecimais) e seu índice (o local onde uma chave específica é armazenada)). Quanto maior o comprimento da chave, maior a sua segurança. Sempre que o comprimento da chave é aumentado em um bit, o número de chaves possíveis dobra. No 802.11, pode ser configurada uma estação sem fio com até quatro chaves (os valores de índice de chave são 1, 2, 3 e 4). Quando um ponto de acesso ou uma estação sem fio transmite uma mensagem criptografada usando uma chave que está armazenada em um índice específico, o índice que está sendo usado para criptografar o corpo da mensagem é indicado. O ponto de acesso ou estação sem fio receptora pode recuperar a chave armazenada nesse índice de chave e usá-la para decodificar o corpo da mensagem criptografada.
O padrão 802.1x usa dois tipos de chaves de criptografia: estática e dinâmica. As chaves de criptografia estáticas são alteradas manualmente e são mais vulneráveis. A autenticação MD5 usa somente chaves de criptografia estáticas. As chaves de criptografia dinâmicas são renovadas automaticamente a intervalos de tempo. Este recurso torna as chaves mais seguras. Para ativar as chaves de criptografia dinâmica, use os métodos de autenticação baseados no certificado 802.1x, como TLS, TTLS ou PEAP.
Recursos do 802.1x
Suporte para o protocolo de requerente do 802.1x
Suporte para EAP (Extensible Authentication Protocol) - RFC 2284
Métodos de autenticação suportados:
MD5 - RFC 2284
Protocolo de autenticação TLS EAP - RFC 2716 e RFC 2246
EAP Tunneled TLS (TTLS)
Cisco LEAP
PEAP
Suporta o Windows XP e 2000
Notas de autenticação 802.1x
Métodos de autenticação 802.1x, inclusive senhas, certificados e placas inteligentes (placas plásticas que armazenam dados)
A opção de autenticação 802.1x só pode ser usada com o modo de operação de infraestrutura.
Os modos de autenticação de rede são: EAP-TLS, EAP-TTLS, MD5 Challenge, LEAP (para o modo Cisco-Client eXtentions apenas) e PEAP (para os modos WPA somente).
Visão geral
A autenticação 802.1x é independente do processo de autenticação 802.11. O padrão 802.1x oferece uma gama de vários protocolos de autenticação e de gerenciamento de chaves. Existem diferentes tipos de autenticação 802.1x, cada uma com abordagem diferente da autenticação mas todos eles usam o mesmo protocolo e framework 802.1x para a comunicação entre o cliente e o ponto de acesso. Na maioria dos protocolos, quando o processo de autenticação 802.1x termina, o requerente recebe uma chave que será usada para a criptografia de dados.
Com a autenticação 802.1x, é usado um método de autenticação entre o cliente e o servidor RADIUS (Remote Authentication Dial-In User Service) conectado ao ponto de acesso. O processo de autenticação usa credenciais, como a senha de usuário, que não são transmitidas para a rede sem fio. A maioria dos tipos 802.1x suporta chaves por usuário e por sessão para aumentar a segurança de chave estática. O 802.1x usa um protocolo de autenticação já existente chamado EAP (Extensible Authentication Protocol). A autenticação 802.1x em LANs sem fio tem três componentes principais: o autenticador (ponto de acesso), o requerente (software cliente) e o servidor de autenticação (servidor RADIUS (Remote Authentication Dial-In User Service)). A segurança de autenticação 802.1x inicia uma solicitação de autorização do cliente WLAN para o ponto de acesso, que autentica o cliente em um servidor RADIUS compatível com o EAP (Extensible Authentication Protocol). O servidor RADIUS pode autenticar tanto o usuário (por senhas ou certificados) como o sistema (por endereço MAC). Teoricamente, o cliente sem fio não tem permissão para entrar na rede até que a transação se complete. Existem vários algoritmos de autenticação usados para o 802.1x: MD5-Challenge, EAP-TLS, EAP-TTLS, PEAP (Protected EAP) e EAP Cisco Wireless LEAP (Light Extensible Authentication Protocol). Todos esses são métodos que o cliente WLAN usa para se identificar para o servidor RADIUS. Com a autenticação Radius, as identidades dos usuários são comparadas com as existentes em bancos de dados. RADIUS é um conjunto de padrões que lida com AAA (Authentication, Authorization and Accounting). O sistema Radius usa um processo proxy para validar clientes em um ambiente de vários servidores. O padrão IEEE 802.1x se destina ao controle e autenticação em redes Ethernet 802.11, com e sem fio, baseadas em portas. O controle de acesso a redes baseadas em portas é similar à infra-estrutura de redes LAN chaveadas que autentica dispositivos conectados a portas da LAN e impedem o acesso a estas portas se o processo de autenticação falhar.
Como a autenticação 802.1x funciona
Uma descrição simplificada da autenticação 802.1x é:
Consulte Configuração do cliente para autenticação WEP e MD5 para obter detalhes sobre como configurar um perfil 802.1x usando o utilitário Intel(R) PROSet para conexões sem fio.
RADIUS (Remote Access Dial-In User Service - Serviço ao usuário para acesso remoto por discagem) é um protocolo AAA (Authorization, Authentication, and Accounting) de cliente-servidor para uso quando o cliente faz login ou logoff de um servidor de acesso de rede. Geralmente, o servidor RADIUS é usado por provedores de serviços de Internet (ISP — Internet Service Providers) para executar tarefas de AAA. As fases de AAA (Authorization, Authentication, and Accounting) são:
Fase de autenticação: Verifica o nome e senha de usuário em relação ao banco de dados local. Depois que as credenciais são confirmadas, o processo de autorização é iniciado.
Fase de autorização: Determina se a solicitação de acesso ao recurso será aceita ou não. Um endereço IP é atribuído ao cliente de discagem.
Fase de contabilidade: Coleta informações sobre o uso do recurso para análise de tendências, auditoria, cobrança por tempo da sessão ou alocação de custos.
O WPA (Wi-Fi Protected Access) é uma melhoria de segurança que aumenta significativamente o nível de proteção de dados e de controle de acesso à WLAN. O modo WPA usa a autenticação 802.1x e a troca de chaves e só funciona com chaves de criptografia dinâmicas. Para melhorar a criptografia de dados, o WPA utiliza seu TKIP (Temporal Key Integrity Protoco). O TKIP oferece melhorias importantes à criptografia de dados, o que inclui uma função de combinação de chaves por pacote, um recurso MIC (message integrity check — verificação de integridade de mensagens) denominado Michael, um recurso de vetor de inicialização estendida (IV — initialization vector) com regras de seqüenciamento e um mecanismo de rechaveamento. Com essas otimizações, o TKIP se protege contra os pontos fracos desconhecidos do WEP.
O PEAP é um novo tipo de autenticação IEEE 802.1x EAP (Extensible Authentication Protocol) criado para aproveitar as vantagens do EAP-TLS (EAP-Transport Layer Security) no lado do servidor e para suportar vários métodos de autenticação, inclusive as senhas de usuário, as senhas de uso único e o Generic Token Cards.
Cisco LEAP (EAP Cisco Wireless) é uma autenticação 802.1x de cliente e servidor, através de uma senha de login fornecida pelo usuário. Quando um ponto de acesso sem fio se comunica com um RADIUS habilitado para Cisco LEAP (servidor ACS (Cisco Secure Access Control Server)), o Cisco LEAP fornece o controle de acesso através de autenticação mútua entre os adaptadores cliente sem fio do cliente e a rede sem fio, e disponibiliza chaves dinâmicas de criptografia de usuário individual para ajudar a proteger a privacidade dos dados transmitidos.
Recurso de segurança Cisco Rogue AP
O recurso Cisco Rogue AP fornece proteção de segurança a partir da introdução de um ponto de acesso falso que pode imitar um ponto de acesso real da rede para extrair informações de credenciais de usuários e protocolos de autenticação que poderiam comprometer a segurança. Este recurso só funciona com a autenticação LEAP da Cisco. A tecnologia do padrão 802.11 não protege uma rede contra a introdução de um ponto de acesso falso.
CKIP
O CKIP (Cisco Key Integrity Protocol) é um protocolo de segurança de propriedade da Cisco
para criptografia em mídia 802.11. O CKIP usa os recursos abaixo para melhorar a segurança do 802.11 no modo de infraestrutura:
Alguns pontos de acesso, como o Cisco 350 ou Cisco 1200, aceitam ambientes em que nem todas as estações cliente têm suporte para a criptografia WEP; este é o modo de Célula mista. Quando essas redes sem fio operam no modo “criptografia opcional”, as redes cliente que entram no modo WEP enviam todas as mensagens codificadas, e as estações que entram usando o modo padrão enviam todas as mensagens descodificadas. Esses PAs difundem que a rede não está usando criptografia, mas permitem a entrada de clientes usando o modo WEP. Quando a opção de “Célula mista” é ativada em um perfil, permite a conexão com os pontos de acesso configurados para “criptografia opcional”.
![]() |
NOTA: Certifique-se de ativar a Célula mista (requer a opção Cisco CCX) nas Configurações avançadas, ao usar o recurso Ativar Cisco-Client eXtentions em um perfil. Um perfil habilitado por Cisco CCX usa a criptografia de dados CKIP e a autenticação LEAP do 802.1x. |
Leia todas as restrições e isenções de responsabilidade.