Redes Wireless Parte XXI

7.2.4 Mtodos de autenticao

O padro IEEE 802.11 especifica dois mtodos de autenticao: Autenticao de sistema aberto e autenticao de chave
compartilhada. O mais simples e mais seguro dos dois a autenticao de sistema aberto. Para se tornar autenticado o cliente
deve caminhar por uma srie de passos durante esse processo, esses passos variam de um mtodo para o outro.

7.2.4.1 Autenticao de sistema aberto

o mtodo padro usado nos equipamentos wireless. Usando este mtodo uma estao pode se associar com qualquer AP que
tambm use o mtodo. Este mtodo de autenticao baseado no SSID, ou seja basta que a estao e o AP tenham o mesmo
SSID para que a autenticao ocorra. O processo de autenticao de sistema aberto usado de forma eficaz tanto em ambientes
seguros quanto no seguros.

Eis como o processo ocorre:

O cliente faz um pedido para se associar ao AP.

O AP toma conhecimento desse pedido, envia uma resposta positiva e autentica o cliente.

O processo portanto muito simples, conforme ilustrado na figura 98.

Figura 98 Processo de autenticao de sistema aberto

Existe ainda a opo de se usar WEP (no obrigatrio) para criptografar o processo. Porm a criptografia no feita durante o
processo de autenticao em si, ou seja, a chave WEP no verificada por ambos os lados durante a autenticao, mas para
criptografar os dados depois que o cliente j estiver autenticado e associado.

Este mtodo de autenticao usado em diversos cenrios, mas h duas razes principais para isso:

considerado o mais seguro dos dois mtodos disponveis.

J usado por padro nos dispositivos wireless, o que no requer configurao adicional.

7.2.4.2 Autenticao de chave compartilhada.

Neste mtodo o uso do WEP obrigatrio. A criptografia WEP usa chaves tanto no cliente quanto no AP, e elas devem ser as
mesmas para que o WEP possa operar. Essas chaves so configuradas manualmente.

Eis como o processo ocorre:

O cliente faz um pedido de associao ao AP (Esse passo o mesmo da autenticao de sistema aberto)

O AP envia uma pergunta ao cliente. Essa pergunta um texto gerado aleatoriamente e enviado ao cliente na forma de texto
puro.

O cliente responde a essa pergunta. A chave WEP do cliente usada para criptografar a pergunta e por fim a mesma enviada
j codificada de volta ao AP.

O AP responde a resposta do cliente. A resposta codificada enviada pelo cliente ento decodificada usando a chave WEP do
AP, verificando assim se o cliente tem a mesma chave. Se a chave do cliente a correta, o AP responder positivamente e
autenticar o cliente. Se a chave do cliente no for a correta, o AP responder negativamente e no autenticar o cliente.

A figura 99 ilustra o processo

Figura 99 Processo de autenticao de chave compartilhada.

Diferentemente do que possa parecer, o processo de autenticao de chave compartilhada no mais seguro que o processo de
autenticao de sistema aberto. O processo de chave compartilhada, abre uma porta para hackers.

Segurana da autenticao O processo de chave compartilhada no considerado seguro, porque o AP transmite a

pergunta em texto puro e recebe a mesma pergunta codificada com a chave WEP. Isso permite a um hacker usar um sniffer para
ver ambos a pergunta em texto puro e a pergunta codificada. De posse desses dois valores, um programa cracker poderia ser
usado para gerar a chave WEP. Uma vez obtida a chave WEP, o hacker em questo poderia descriptografar o trfego codificado.
Por essa razo a autenticao de sistema aberto mais seguro que a de chave compartilhada.

importante ressaltar que nenhum dos dois mtodos realmente seguro, e portanto uma soluo de segurana mais completa
seria importante e necessria.

7.2.4.3 Certificados e Shared Secrets

Shared Secrets so strings de nmeros ou texto que so normalmente referidos como chave WEP. Certificados so outro mtodo
de identificao do usurio, usados em redes wireless.

Da mesma forma que chaves WEP, certificados (que nada mais so do que documentos de autenticao), so colocados na
mquina cliente. Essa colocao feita de uma forma tal que quando o usurio deseja autenticar com a rede wireless, o
mecanismo de autenticao j se encontra na mquina cliente. Ambos os processos tem sido implementados ao longo dos anos,
mas nos dias de hoje existem aplicaes que permitem automatizar esse processo.

7.2.5 Protocolos de autenticao emergentes

Existem novas solues de segurana de autenticao e protocolos no mercado de hoje em dia, incluindo VPN, 802.1x usando
EAP (Protocolo de autenticao extensvel).

Muitas dessas solues de segurana envolve a passagem da autenticao por servidores de autenticao que por sua vez
repassam a autorizao ao AP, enquanto o cliente fica aguardando por essa autorizao durante a fase de autenticao. Windows
XP tem suporte nativo a 802.11 ,802.1x e EAP, o mesmo acontecendo com Cisco e outros fabricantes WLAN. Por essas razes
no difcil entender porque essas solues so to comuns no mercado hoje em dia.

7.2.5.1 - 802.1x e EAP

O padro 802.1x relativamente novo, e os dispositivos que o suportam tem a habilidade de permitir a conexo para a rede na
camada 2, somente se a autenticao do usurio for bem sucedida. EAP um protocolo de camada 2 que uma substituio
bem flexvel ao PAP e ao CHAP rodando sobre PPP que trabalham nas LANs. No passado PAP e /ou CHAP foram usados para
autenticao do usurio e ambos usavam senhas. Uma alternativa de uma soluo mais robusta e flexvel em redes wireless fica
cada vez mais evidente devido ao fato de que h muitas implementaes variadas.

Tipicamente a autenticao do usurio realizada usando um servidor RADIUS e algum tipo de base de dados de usurios
(RADIUS, NDS, Active Directory, LDAP) para validao dos mesmos. O novo padro 802.1i, tambm conhecido como WPA, inclue
suporte a 802.1x, EAP, AAA, autenticao mtua e gerao de chave, e nenhum desses foi includo no padro original 802.11.

No modelo 802.1x padro a autenticao da rede consiste de trs partes: o requerente (cliente), o autenticador (ponto de
acesso) e o servidor de autenticao (RADIUS).

Figura 100 Processo de autenticao usando EAP

Como a segurana de uma WLAN essencial, e a autenticao EAP fornece meios para assegurar uma conexo WLAN,
fabricantes esto desenvolvendo e adicionando tipos de autenticao EAP aos seus pontos de acesso. Conhecer o tipo de
autenticao EAP importante no entendimento das caractersticas do mtodo de autenticao que est sendo utilizado, tais
como: senhas, gerao de chave, autenticao mutua e protocolos. Porm importante estar ciente de que somente o uso do
EAP no suficiente para estar bem protegido, j que necessrio escolher o tipo de EAP(protegem a camada de transporte)
que ser usado. Alguns dos tipos de autenticao EAP mais comuns so:

EAP-MD-5 Challenge O mais antigo dos tipos de autenticao. Basicamente duplica a proteo de senha CHAP em uma
WLAN.

EAP-Cisco Wireless Tambm chamado de LEAP, este tipo de autenticao EAP usado somente em APs Cisco. LEAP fornece
segurana durante a troca de credenciais, criptografa os dados transmitidos usando chaves WEP dinmicas e suporta
autenticao mutua.

EAP-TLS (segurana na camada de transporte) - baseada no uso de certificados, proporciona autenticao mutua do
cliente e da rede. EAP-TLS confia nos certificados do lado cliente e do servidor para realizar a autenticao usando chaves WEP
geradas dinamicamente baseadas na sesso e no usurio para proteger a conexo. Tanto o Windows XP quanto o Windows 2000
suportam o EAP-TLS.

EAP-TTLS (segurana na camada de transporte encapsulada ) uma extenso do EAP-TLS. Diferentemente do EAP-TLS,
necessita somente de certificados no lado servidor, eliminando a necessidade de configurar os certificados em cada cliente.
Suporta vrios tipos protocolos de senhas de modo que pode ser usado com sistemas de autenticao existentes tais como:
Active Directory e NDS. Encapsula dentro de tneis a autenticao do cliente dentro do EAP-TLS garantindo que o usurio
permanea annimo no link wireless. Chaves WEP so distribudas e geradas dinamicamente para proteger a conexo.

EAP-SRP (senha remota segura) - um protocolo baseado em senha e troca de chaves seguro. Ele soluciona o problema de
autenticar o cliente ao servidor de uma forma segura em casos em que o usurio do software cliente deve memorizar um
pequeno segredo (como uma senha) e no carregar mais nenhum tipo de informao secreta. O servidor carrega um verificador
para cada usurio o que permite a ele autenticar o cliente. Se o verificador for comprometido, no permitido a um hacker por
exemplo, se fazer passar pelo cliente. SRP usa um segredo baseado em criptografia forte o que permite as duas partes se
comunicar de forma segura.