Tabla de Contenido
Vídeo – WLANs seguras
O tópico anterior explicou as ameaças de WLAN. O que você pode fazer para proteger a WLAN?
Clique em Reproduzir para ver um vídeo sobre técnicas de proteção de WLANs.
Cloaking de SSID e filtragem de endereço MAC
Os sinais sem fio podem viajar através de matéria sólida, como tetos, pisos, paredes, fora de casa ou espaço de escritório. Sem medidas de segurança rigorosas, instalar uma WLAN pode ser o equivalente a colocar portas Ethernet em todos os lugares, até mesmo fora.
Para lidar com as ameaças de manter invasores sem fio afastados e proteger os dados, dois recursos de segurança iniciais foram usados e ainda estão disponíveis na maioria dos roteadores e APs: camuflagem de SSID e filtragem de endereço MAC.
Cloaking SSID
APs e alguns roteadores sem fio permitem que o quadro de beacon SSID seja desabilitado, conforme mostrado na figura. Os clientes sem fio devem configurar manualmente o SSID para se conectar à rede.
Filtragem de endereços MAC
Um administrador pode permitir ou negar manualmente o acesso sem fio aos clientes com base em seus endereços físicos de hardware MAC. Na figura, o roteador está configurado para permitir dois endereços MAC. Dispositivos com endereços MAC diferentes não poderão se conectar à WLAN de 2,4 GHz.
Métodos de autenticação original 802.11
Embora esses dois recursos desencorajem a maioria dos usuários, a realidade é que nem a ocultação de SSID nem a filtragem de endereço MAC impediriam um invasor astuto. Os SSIDs são descobertos facilmente, mesmo se os APs não os transmitirem, e os endereços MAC podem ser falsificados. A melhor maneira de proteger uma rede sem fio é usar sistemas de autenticação e criptografia.
Dois tipos de autenticação foram introduzidos com o padrão 802.11 original:
- Autenticação de sistema aberto – Qualquer cliente sem fio deve ser facilmente capaz de se conectar e deve ser usado apenas em situações em que a segurança não é uma preocupação, como aqueles que fornecem acesso gratuito à Internet como cafés, hotéis e em áreas remotas. O cliente sem fio é responsável por fornecer segurança, como usar uma rede privada virtual (VPN) para se conectar com segurança. VPNs fornecem serviços de autenticação e criptografia. VPNs estão além do escopo deste tópico.
- Autenticação de chave compartilhada – Fornece mecanismos, como WEP, WPA, WPA2 e WPA3 para autenticar e criptografar dados entre um cliente sem fio e o AP. No entanto, a senha deve ser pré-compartilhada entre ambas as partes para se conectar.
O gráfico a seguir resume esses métodos de autenticação.
Métodos de autenticação de chave compartilhada
Existem quatro técnicas de autenticação de chave compartilhada disponíveis, conforme descrito na tabela. Até que a disponibilidade de dispositivos WPA3 se torne onipresente, as redes sem fio devem usar o padrão WPA2.
Método de autenticação | Descrição |
---|---|
Wired Equivalent Privacy (WEP) | A especificação 802.11 original projetada para proteger os dados usando o método de criptografia Rivest Cipher 4 (RC4) com uma chave estática. No entanto, a chave nunca muda durante a troca de pacotes. Isso facilita o hack. WEP não é mais recomendado e nunca deve ser usado. |
Wi-Fi Protected Access (WPA) | Um padrão da Wi-Fi Alliance que usa WEP, mas protege os dados com o algoritmo de criptografia TKIP (Temporal Key Integrity Protocol) muito mais forte. O TKIP altera a chave de cada pacote, tornando-o muito mais difícil de hackear. |
WPA2 | WPA2 é o padrão atual da indústria para proteger redes sem fio. Ele usa o Advanced Encryption Standard (AES) para criptografia. O AES é atualmente considerado o protocolo de criptografia mais forte. |
WPA3 | A próxima geração de segurança Wi-Fi. Todos os dispositivos habilitados para WPA3 usam os métodos de segurança mais recentes, não permitem protocolos legados desatualizados e exigem o uso de estruturas de gerenciamento protegidas (PMF). No entanto, os dispositivos com WPA3 ainda não estão prontamente disponíveis. |
Autenticação de um usuário doméstico
Os roteadores domésticos geralmente têm duas opções de autenticação: WPA e WPA2. WPA2 é o mais forte dos dois. A figura mostra a opção de selecionar um dos dois métodos de autenticação WPA2:
- Pessoal – Destinado a redes domésticas ou de pequenos escritórios, os usuários autenticam usando uma chave pré-compartilhada (PSK). Os clientes sem fio são autenticados com o roteador sem fio usando uma senha pré-compartilhada. Nenhum servidor de autenticação especial é necessário.
- Enterprise – Destinado a redes empresariais, mas requer um servidor de autenticação RADIUS (Remote Authentication Dial-In User Service). Embora seja mais complicado de configurar, ele fornece segurança adicional. O dispositivo deve ser autenticado pelo servidor RADIUS e, em seguida, os usuários devem se autenticar usando o padrão 802.1X, que usa o protocolo de autenticação extensível (EAP) para autenticação.
Na figura, o administrador está configurando o roteador sem fio com autenticação WPA2 Pessoal na banda de 2,4 GHz.
Métodos de criptografia
A criptografia é usada para proteger os dados. Se um invasor tiver capturado dados criptografados, eles não serão capazes de decifrá-los em um período de tempo razoável.
Os padrões WPA e WPA2 usam os seguintes protocolos de criptografia:
- TKIP (Temporal Key Integrity Protocol) – TKIP é o método de criptografia usado pelo WPA. Ele fornece suporte para equipamento WLAN legado, abordando as falhas originais associadas ao método de criptografia WEP 802.11. Ele faz uso de WEP, mas criptografa a carga útil da camada 2 usando TKIP e realiza uma verificação de integridade da mensagem (MIC) no pacote criptografado para garantir que a mensagem não tenha sido alterada.
- Padrão de criptografia avançado (AES) – AES é o método de criptografia usado pelo WPA2. É o método preferido porque é um método de criptografia muito mais forte. Ele usa o modo Counter Cipher com Block Chaining Message Authentication Code Protocol (CCMP) que permite que os hosts de destino reconheçam se os bits criptografados e não criptografados foram alterados.
Na figura, o administrador está configurando o roteador sem fio para usar WPA2 com criptografia AES na banda de 2,4 GHz.
Autenticação na empresa
Em redes que têm requisitos de segurança mais rígidos, uma autenticação adicional ou login é necessário para conceder tal acesso aos clientes sem fio. A escolha do modo de segurança Enterprise requer um servidor RADIUS de autenticação, autorização e contabilidade (AAA).
- Endereço IP do servidor RADIUS – Este é o endereço acessível do servidor RADIUS.
- Números de porta UDP – Portas UDP oficialmente atribuídas 1812 para autenticação RADIUS e 1813 para contabilidade RADIUS, mas também podem operar usando as portas UDP 1645 e 1646, conforme mostrado na figura.
- Chave compartilhada – Usada para autenticar o AP com o servidor RADIUS.
Na figura, o administrador está configurando o roteador sem fio com autenticação WPA2 Enterprise usando criptografia AES. O endereço IPv4 do servidor RADIUS também é configurado com uma senha forte a ser usada entre o roteador sem fio e o servidor RADIUS.
A chave compartilhada não é um parâmetro que deve ser configurado em um cliente sem fio. Só é necessário no AP para autenticar com o servidor RADIUS. A autenticação e autorização do usuário são controladas pelo padrão 802.1X, que fornece uma autenticação centralizada e baseada no servidor dos usuários finais.
O processo de login 802.1X usa EAP para se comunicar com o servidor AP e RADIUS. EAP é uma estrutura para autenticação de acesso à rede. Ele pode fornecer um mecanismo de autenticação seguro e negociar uma chave privada segura que pode então ser usada para uma sessão de criptografia sem fio usando criptografia TKIP ou AES.
WPA3
No momento em que este artigo foi escrito, os dispositivos que oferecem suporte à autenticação WPA3 não estavam prontamente disponíveis. No entanto, o WPA2 não é mais considerado seguro. WPA3, se disponível, é o método de autenticação 802.11 recomendado. O WPA3 inclui quatro recursos:
- WPA3-Pessoal
- WPA3-Enterprise
- Redes abertas
- Integração da Internet das coisas (IoT)
WPA3-Pessoal
No WPA2-Personal, os agentes de ameaças podem ouvir o “aperto de mão” entre um cliente sem fio e o AP e usar um ataque de força bruta para tentar adivinhar o PSK. O WPA3-Personal impede esse ataque usando a autenticação simultânea de iguais (SAE), um recurso especificado no IEEE 802.11-2016. O PSK nunca é exposto, tornando impossível para o ator da ameaça adivinhar.
WPA3-Enterprise
O WPA3-Enterprise ainda usa autenticação 802.1X / EAP. No entanto, ele requer o uso de um conjunto criptográfico de 192 bits e elimina a mistura de protocolos de segurança para os padrões 802.11 anteriores. O WPA3-Enterprise adere ao Conjunto de Algoritmo de Segurança Nacional Comercial (CNSA) que é comumente usado em redes Wi-Fi de alta segurança.
Redes abertas
As redes abertas em WPA2 enviam o tráfego do usuário em texto não autenticado e não criptografado. No WPA3, as redes Wi-Fi abertas ou públicas ainda não usam nenhuma autenticação. No entanto, eles usam o Opportunistic Wireless Encryption (OWE) para criptografar todo o tráfego sem fio.
IoT Onboarding
Embora o WPA2 inclua Wi-Fi Protected Setup (WPS) para integrar rapidamente os dispositivos sem configurá-los primeiro, o WPS é vulnerável a uma variedade de ataques e não é recomendado. Além disso, os dispositivos IoT são normalmente sem cabeça, o que significa que eles não têm GUI embutida para configuração e precisam de qualquer maneira fácil de se conectar à rede sem fio. O Device Provisioning Protocol (DPP) foi projetado para atender a essa necessidade. Cada dispositivo sem cabeça possui uma chave pública codificada. A chave normalmente é carimbada na parte externa do dispositivo ou em sua embalagem como um código de resposta rápida (QR). O administrador da rede pode escanear o código QR e rapidamente integrar o dispositivo. Embora não seja estritamente parte do padrão WPA3, o DPP substituirá o WPS com o tempo.
Pronto para ir! Continue visitando nosso blog do curso de networking, confira todo o conteúdo do CCNA 3 aqui; e você encontrará mais ferramentas e conceitos que o tornarão um profissional de rede.