Escolar Documentos
Profissional Documentos
Cultura Documentos
CCNA - M9 - CAP 28 - Parte 2 - Securing Wireless Networks
CCNA - M9 - CAP 28 - Parte 2 - Securing Wireless Networks
200-301
Part VIII Wireless LANs
O padrão original 802.11 oferecia apenas duas formas de autenticação do cliente: open authentication e WEP
Wireless
É muito comum o Open Authentication ser utilizado em Wi-Fi público como aeroportos ou shoppings, depois
de conectar no Wi-Fi nesses casos você normalmente é redirecionado para uma página de autenticação
WEB (conhecida também como captive portal) onde você poderá fazer algum tipo de cadastro ou
simplesmente concordar com as condições impostas pela organização responsável pela rede
Wireless Client Authentication Methods - WEP
WEP significa Wired Equivalent Protocol e é um método para deixar
a rede sem fio um pouco mais parecida com a rede cabeada.
Wireless
Devido a vários problemas e fraquezas, o WEP se tornou obsoleto em 2004 (802.11i amendment). Ambos, WEP
shared-key authentication e WEP encryption são considerados extremamente fracos e devem ser evitados.
Wireless Client Authentication Methods - 802.1x/EAP e LEAP
EAP significa Extensible Authentication Protocol, e como próprio nome diz ele é extensível, isso significa que ele
não define apenas um protocolo e sim um framework, vários protocolos fazem parte desse framework e por isso
iremos encontrar o nome EAP relacionado aos mesmos, cada protocolo tem sua característica e particularidade.
Uma qualidade do EAP é que ele pode trabalhar em conjunto com o padrão IEEE 802.1x port based access control,
dando assim uma camada extra de segurança, o cliente consegue autenticar no AP mas só conseguirá trafegar
dados se autenticar de forma positiva em um servidor centrar por exemplo.
Supplicant Authenticator
WLC
Wireless
EAP-Based Authentication
LEAP: Na tentativa de deixar o WEP mais seguro a Cisco criou um protocolo proprietário chamado LEAP
(Lightweight EAP), utilizando chaves WEP dinâmicas que são alteradas frequentemente, mas esse
protocolo assim como WEP se tornou obsoleto e não deve ser utilizado.
Wireless Client Authentication Methods - EAP-FAST
A Cisco desenvolveu um método mais seguro chamado EAP Flexible Authentication by Secure Tunneling (EAP-FAST)
As credencias utilizadas na autenticação são protegidas através do chamado PAC (Protected Access Credential) entre o
autentication server (AS) e o supplicant. O PAC é uma forma de shared secret que é gerado pelo Authentication Server e
utilizada para autenticação mutua. São 3 fases nesse processo.
Fase 2: A autenticação passa então por dentro do túnel TLS que serve como uma camada extra de proteção.
Wireless Client Authentication Methods - PEAP
O Protected EAP tem um funcionamento parecido com o EAP-FAST, a diferença é o que o Authentication Server (AS)
utiliza um certificado digital para provar sua autenticidade, caso tudo ocorra bem um túnel TLS é formado e a
autenticação ocorre;
O suplicante não necessita de um certificado digital mas precisa confiar no certificado digital do AS, ou seja, o certificado
deve ser válido e reconhecido pelo cliente através da autoridade certificadora envolvida;
Após ser formado o túnel TLS o cliente autenticará utilizando o MSCHAPv2 (Microsoft Challenge Authentication Protocol
version 2) ou GTC (Generic Token Card, um hardware que gera one-time passwords).
Supplicant Authenticator
WLC
Wireless
É considerado o método mais seguro de autenticação disponível para Wi-Fi. Para que
não seja preciso instalar o certificado de forma manual em cada dispositivo, uma PKI
(infraestrutura de chave pública) que seria capaz de entregar, manter e revogar os
certificados de forma segura poderia ser implantada.
Importante salientar qua alguns dispositivos Wi-Fi como leitores de RFID não possuem a
capacidade de instalar certificados digitais, nesse cenário a solução com EAP-TLS não
é viável devido a limitação no cliente.
Obrigado!