Autenticação 802.1X para segurança em redes WiFi


Usar o 802.1X para controlar quem acessa uma rede é uma solução cada vez mais aplicada e eficiente. O 802.1X é um método de controle de acesso baseado em portas, definido Institute of Electrical and Electronic Engineers (IEEE), que pode ser configurado para exigir autenticação mútua entre o cliente e a rede. Se não houver autenticação, as comunicações não são permitidas. O 802.1X trabalha com o Extensible Authentication Protocol (EAP) para autenticar o cliente para a rede e a rede para o cliente, garantindo que ambos os lados se comuniquem com entidades reconhecidas.

Entenda mais sobre esta autenticação. As informações são do Kioskea, Microsoft e CIO:

1 – O que é a autenticação 802.1X e por que usar?

IEEE 802.1X é um padrão IEEE para controle de acesso à rede com base em portas. O modo EAP do WPA e do WPA2 utiliza autenticação 802.1X em vez de chaves PSK, oferecendo a possibilidade de dar a cada usuário ou cliente as suas próprias credenciais de login: nome de usuário e senha e/ou um certificado digital.

As atuais chaves criptográficas são alteradas, apresentadas e verificadas discretamente em segundo plano. Assim, para alterar ou revogar o acesso do usuário, tudo o que é preciso fazer é modificar as credenciais de autenticação em um servidor central – em vez de mudar a PSK em cada dispositivo cliente.

As chaves únicas de pré-sessão também impedem os usuários de espiarem o tráfego uns dos outros – operação fácil com ferramentas como a extensão Firesheep, do Firefox ou a aplicação DroidSheep, para Android.

2 – O que é WPA e WPA2? É segura a sua utilização?

WPA2 ou WPA (Wi-Fi Protected Access) foi lançado em 2003, tendo como objetivo combater quase todas as vulnerabilidades do WEP, com tecnologia aprimorada de autenticação de usuário e de criptografia dinâmica. A WPA2 foi ratificada em meados de 2004 e corresponde a versão final do WPA. As duas dizem respeito ao algoritmo de encriptação usado (RC4 ou AES).

O WPA utiliza o algoritmo RC4, o mesmo sistema de encriptação utilizado no WEB: o TKIP (Temporal Key Integrity Protocol). O WPA2 se baseia na criptografia AES (Advanced Encryption Standard), que é mais segura que a TKIP, mas exige mais processamento e algumas placas mais antigas não suportam o WPA2 nem mesmo atualizado a firmware.

WPA-PSK é uma criptografia forte em que as chaves de criptografia (TKIP) são frequentemente mudadas o que garante mais segurança protegendo de ataque hack, muito utilizado por usuários domésticos. WPA2-PSK e ainda mais seguro que o WPA-PSK onde sua criptografia (AES) é extremamente forte e resistente a ataques, adotado como padrão de criptografia do governo americano.

Contudo, o modo de chave pré-partilhada (PSK ou Pre-Shared Key) do WPA ou do WPA2 não é seguro para ambientes empresariais. Quando se usa este modo, a mesma chave tem de ser inserida em cada dispositivo cliente. Assim, este modelo obriga à mudança de chave de cada vez que um funcionário sai ou quando um dispositivo é roubado ou perdido – situação impraticável na maioria dos ambientes.

3 – Por que não utilizar Protocolo WEP?

O protocolo WEP (Wired Equivalent Privacy) está “morto” há muito tempo. Ele foi aprovado em 1999 como o primeiro protocolo de segurança para as redes sem fio. Com o passar do tempo, o protocolo ficou desatualizado e foram descobertas várias vulnerabilidades e hoje a sua técnica de cifragem pode ser quebrada facilmente, mesmo pelos mais inexperientes hackers. Portanto, ele não deve ser usado.

Se a organização já o estiver usando, a recomendação é para trocar para o protocolo WPA2 com autenticação 802.1X – 802.11i (também conhecido como WPA2). Se houver dispositivos clientes ou pontos de acesso incapazes de suportar o WPA2, procure fazer atualizações de firmware ou substitua esses equipamentos.

4 – Proteger as configurações dos clientes 802.1x

Ainda assim, o modo EAP do protocolo WPA/WPA2 é vulnerável a intrusões nas sessões de comunicação. No entanto, há uma forma de evitar esses ataques, colocando em segurança as configurações EAP do dispositivo cliente. Por exemplo, nas definições de EAP do Windows é possível ativar a validação do certificado do servidor: basta selecionar o certificado de uma autoridade de certificação, especificando o endereço do servidor, desativando-o de modo a evitar que os usuários sejam levados a confiar em novos servidores ou certificados de autoridades.

Também é possível enviar essas configurações 802.1x para clientes reunidos no mesmo domínio através da implantação de políticas de grupo.

Comentários

comentário(s)

Categories

+ There are no comments

Add yours