CCNA

200-301
Part VIII Wireless LANs

Anatomy of a Secure Connection

Wirelless Client Authentication Methods

Chapter 28 Securing Wireless Networks
Wireless Privacy and Integrityn Methods

WPA, WPA2, and WPA3

Wireless Client Authentication Methods - Open Authentication

O padrão original 802.11 oferecia apenas duas formas de autenticação do cliente: open authentication e WEP

Como o próprio nome já diz, o Open Authentication não solicita nenhum

tipo de credencial, o único objetivo do open authentication é validar se o
hardware e os protocolos utilizados respeitam o padrão 802.11

Wireless

Access Point (AP)

É muito comum o Open Authentication ser utilizado em Wi-Fi público como aeroportos ou shoppings, depois
de conectar no Wi-Fi nesses casos você normalmente é redirecionado para uma página de autenticação
WEB (conhecida também como captive portal) onde você poderá fazer algum tipo de cadastro ou
simplesmente concordar com as condições impostas pela organização responsável pela rede
Wireless Client Authentication Methods - WEP
WEP significa Wired Equivalent Protocol e é um método para deixar
a rede sem fio um pouco mais parecida com a rede cabeada.

O algoritmo utiliza uma string de bits como chave, conhecida

WEP utiliza um algoritmo de criptografia chamado
como WEP Key para “trancar e destrancar” os frames (na
RC4, que deixa cada frame wireless privado e
verdade criptografar), quem envia e quem recebe esses
escondido de bisbilhoteiros (eavesdropper em inglês)
frames deve ter a mesma chave, nesse caso o AP e o Cliente.

Wireless

Access Point (AP)

Esse método que utiliza a mesma chave tanto

para criptografar quanto para descriptografar os
dados é conhecido como pre-shared-key
Kalau123 Kalau123

A chave WEP pode ser tanto utilizada como um

Deve ter entre 40 e 104 bits, o que corresponde a método de autenticação quanto como a chave
uma string entre 10 e 26 dígitos hexadecimais. utilizada na criptografia.
(Quanto maior a chave melhor)

Devido a vários problemas e fraquezas, o WEP se tornou obsoleto em 2004 (802.11i amendment). Ambos, WEP
shared-key authentication e WEP encryption são considerados extremamente fracos e devem ser evitados.
Wireless Client Authentication Methods - 802.1x/EAP e LEAP
EAP significa Extensible Authentication Protocol, e como próprio nome diz ele é extensível, isso significa que ele
não define apenas um protocolo e sim um framework, vários protocolos fazem parte desse framework e por isso
iremos encontrar o nome EAP relacionado aos mesmos, cada protocolo tem sua característica e particularidade.

Uma qualidade do EAP é que ele pode trabalhar em conjunto com o padrão IEEE 802.1x port based access control,
dando assim uma camada extra de segurança, o cliente consegue autenticar no AP mas só conseguirá trafegar
dados se autenticar de forma positiva em um servidor centrar por exemplo.

Supplicant Authenticator

WLC
Wireless

Access Point (AP)

802.11
Authentication Server (AS)
Open Authentication

EAP-Based Authentication

LEAP: Na tentativa de deixar o WEP mais seguro a Cisco criou um protocolo proprietário chamado LEAP
(Lightweight EAP), utilizando chaves WEP dinâmicas que são alteradas frequentemente, mas esse
protocolo assim como WEP se tornou obsoleto e não deve ser utilizado.
 Wireless Client Authentication Methods - EAP-FAST
A Cisco desenvolveu um método mais seguro chamado EAP Flexible Authentication by Secure Tunneling (EAP-FAST)

As credencias utilizadas na autenticação são protegidas através do chamado PAC (Protected Access Credential) entre o
autentication server (AS) e o supplicant. O PAC é uma forma de shared secret que é gerado pelo Authentication Server e
utilizada para autenticação mutua. São 3 fases nesse processo.

Fase 0: Protected Access Credencial (PAC) é Fase 1: Depois do supplicant e o AS autenticarem um ao

gerada ou provisionada e instalada no cliente. outro, eles negociam um túnel TLS (Transport Layer Security).
Supplicant Authenticator

O servidor deve ter suporte ao EAP-

FAST (exemplo servidor RADIUS
WLC com suporte a EAP-FAST)
Wireless

Access Point (AP)

802.11
Authentication Server (AS)
Open Authentication

Túnel TLS (Transport Layer Security)

Fase 2: A autenticação passa então por dentro do túnel TLS que serve como uma camada extra de proteção.
Wireless Client Authentication Methods - PEAP
O Protected EAP tem um funcionamento parecido com o EAP-FAST, a diferença é o que o Authentication Server (AS)
utiliza um certificado digital para provar sua autenticidade, caso tudo ocorra bem um túnel TLS é formado e a
autenticação ocorre;

O suplicante não necessita de um certificado digital mas precisa confiar no certificado digital do AS, ou seja, o certificado
deve ser válido e reconhecido pelo cliente através da autoridade certificadora envolvida;

Após ser formado o túnel TLS o cliente autenticará utilizando o MSCHAPv2 (Microsoft Challenge Authentication Protocol
version 2) ou GTC (Generic Token Card, um hardware que gera one-time passwords).

Supplicant Authenticator

WLC
Wireless

Access Point (AP)

802.11
Authentication Server (AS)
Open Authentication

Túnel TLS (Transport Layer Security)

Certificado Certificado

Autenticação MSCHAPv2 ou GTC

Wireless Client Authentication Methods - EAP-TLS
O EAP-TLS vai um passo a mais do que o PEAP, agora os clientes também devem utilizar
certificados digitais para garantir a sua identidade e não apenas o Authentication Server.

É considerado o método mais seguro de autenticação disponível para Wi-Fi. Para que
não seja preciso instalar o certificado de forma manual em cada dispositivo, uma PKI
(infraestrutura de chave pública) que seria capaz de entregar, manter e revogar os
certificados de forma segura poderia ser implantada.

Importante salientar qua alguns dispositivos Wi-Fi como leitores de RFID não possuem a
capacidade de instalar certificados digitais, nesse cenário a solução com EAP-TLS não
é viável devido a limitação no cliente.
Obrigado!