CCNA

200-301
Part VIII Wireless LANs

Anatomy of a Secure Connection

Wirelless Client Authentication Methods

Chapter 28 Securing Wireless Networks
Wireless Privacy and Integrityn Methods

WPA, WPA2, and WPA3

Wireless Privacy and Integrity Methods - TKIP
O padrão original 802.11 suportava apenas um método de criptografia, o WEP. Como informado nas aulas
anteriores o WEP tinha muitos problemas e foi descontinuado, o Temporal Key Integrity Protocol (TKIP) foi então
desenvolvido. TKIP adiciona as seguintes funcionalidades mesmo utilizando o hardware legado dos APs.

Adiciona um valor de hash em cada frame para checagem de

MIC
integridade posterior.

Adiciona um carimbo de tempo (time stamp) como prevenção contra

Time Stamp
reuso de frames (replay attacks).

O MIC adiciona também o endereço MAC do dispositivo que originou

Sender’s MAC address
aquele frame como forma de ampliar a segurança.

Maias uma proteção contra replay, registra os frames enviados por um

TKIP sequence counter
único MAC.

Key mixing algorithm Calcula uma chave de WEP de 128 bits para cada frame.

Dobra o valor de IV garantindo assim que seja impossível (virtualmente

Longer initialization vector (IV)
falando) que a chave WEB seja encontrada via ataques de força bruta.

TKIP foi descontinuado em 2012

Wireless Privacy and Integrity Methods - CCMP
O Counter /CBC-MAC Protocol (CCMP) é considerado mais seguro que o TKIP e consiste em dois algoritmos.

AES counter mode encryption

Cipher Block Chaining Message Authentication Code (CBC-MAC)

utilizado como message integrity check (MIC)

O AES é o algoritmo de criptografia adotado pelo National Institute of Standards and Technology (NIST
US) e pelo governo Americano, também é utilizado amplamente ao redor do mundo. É um protocolo
aberto, público, acessível e representa o mais seguro método de criptografia existente atualmente.

O CCMP só funciona em APs onde o hardware tem suporte a AES e CBC-MAC.

Como saber se o dispositivo suporta CCMP?

Procure no dispositivo por WPA2 (veremos a seguir)
Wireless Privacy and Integrity Methods - GCMP
Galois/Counter Mode Protocol (GCMP) é uma suite robusta para autenticação e criptografia que é mais segura
e mais eficiente do que o CCMP. Ele consiste em dois algoritmos:

AES counter mode encryption

Galois Message Authentication Code (GMAC) utilizado como message

integrity check (MIC)

GCMP é utilizado no WPA3

 WPA, WPA2 e WPA3
Quais dos métodos anteriores você deve escolher, qual combinação de método de autenticação e criptografia utilizar?

A Wi-Fi Alliance (wi-fi.org) trabalhou para simplificar esse processo e criou as certificações W-Fi Protected Access
(WPA), atualmente existem a WPA, WPA2 e WPA3. Os dispositivos são testados e sua compatibilidade com esses
certificados são garantidos.

Authentication and Encryption Feature Support WPA WPA2 WPA3

Conhecido como personal mode,
utilizado em ambientes menores. Authentication with Pre-Shared Keys? Sim Sim Sim

Conhecido como enterprise Authentication with 802.1x? Sim Sim Sim

mode, utilizado em ambientes
maiores.
Encryption and MIC with TKIP? Sim Não Não

Encryption and MIC with AES and CCMP? Sim Sim Não

Encryption and MIC with AES and GCMP? Não Não Sim

WPA3 inclui outras funcionalidades que não existem no WPA e WPA2 como SAE (Simultaneous
Authentication of Equals), Forward secrecy e Protected management frames (PMF).
Obrigado!