INTRODUÇÃO

Hoje abordaremos o quinto tópico do exame CCNA, vamos falar sobre Security Fundamentals. Chega-
mos em um assunto totalmente dedicado aos fundamentos de segurança, logo, a teoria aqui é mais
importante do que a prática, sendo um bloco mais teórico.

5.0 Security Fundamentals

Define key security concepts (threats, vulnerabilities, exploits, and mitigation tech-
niques)

Uma vulnerabilidade de segurança pode ser vista como qualquer fator que possa contri-
buir para gerar invasões, roubos de dados ou acessos não autorizados a recursos. Elas
incluem — mas não se limitam — a itens como softwares mal configurados, aparelhos com
sistemas desatualizados e arquivos internos expostos publicamente. Em outras palavras,
brechas de segurança são pontos da infraestrutura de TI que tornam mais fácil o acesso
não autorizado aos recursos do negócio.

Pág. 02
As vulnerabilidades de segurança podem surgir tanto por falta de treinamento dos profissionais quanto
por uso de soluções de um modo não adequado. Deixar arquivos expostos publicamente é um sinal de
que as rotinas internas não seguem boas práticas e contribuem para tornar o ambiente menos confiável.
Já a manutenção de sistemas sem atualizações, por exemplo, pode ocorrer pelo fim do suporte ao
software ou por processos de teste e validação de updates pouco eficazes.

O investimento em técnicas e recursos de segurança é uma preocupação frequente na rotina das

empresas. Cada vez mais gestores buscam novas soluções inovadoras no mercado para proteger dados
e reduzir ataques às redes corporativas.

Nesse contexto, um assunto que vem ganhando destaque no mundo moderno é a gestão de
vulnerabilidades. De forma resumida, trata-se de uma forma de trabalho que visa identificar pontos
críticos de segurança para tornar a empresa menos exposta a riscos.

Afinal, sabemos que ataques de hackers podem gerar prejuízos financeiros incalculáveis e ferir a
credibilidade das organizações. Com o aumento do trabalho remoto nas empresas, é essencial manter
toda a equipe bem treinada sobre esse assunto, especialmente no que diz respeito a vulnerabilidades
como:

• Sequestro de informações;
• Acesso de contas;
• Controle de sistemas;
• Ataque à dispositivos;
• Uso dos recursos da empresa sem autorização;
• E outros perigos.

Existem algumas ameaças à segurança de uma rede, como:

Malwares
Malwares são softwares utilizados para provocar danos aos usuários de computador ou dispositivos
mobile. Eles podem, por exemplo, ganhar acesso a sistemas privados (como logins, senhas, informações
bancárias, webcams e microfones), e até danificar os próprios dispositivos.

A diferença entre um malware e um ransomware está em relação aos seus efeitos. Enquanto o primeiro
tenta desativar ou danificar sistemas e computadores, o segundo sequestra dados criptografados e
chaves de decodificação até que um resgate seja pago aos criminosos.

DDoS
Um dos ataques mais comuns e capazes de gerar altos prejuízos para os gestores de TI desavisados é o
DDoS — um crime bastante antigo. Os ataques DDoS (Distributed Denial of Service) se caracterizam, de
maneira geral, como uma tentativa de negação de serviços de um site ou plataforma virtual. Isso
acontece por meio de uma sobrecarga artificial criada por cibercriminosos. Assim, os recursos do sistema
ficam inutilizados pelos responsáveis.

Man-in-the-Middle
O conceito por trás do ataque MITM é bastante simples e não se restringe apenas online. O invasor se
posiciona entre duas partes que tentam comunicar-se, intercepta mensagens enviadas e depois se passa
por uma das partes envolvidas. O envio de contas e faturas falsas poderia ser um exemplo desta prática
no mundo offline, o criminoso as envia ao e-mail das vítimas e rouba os cheques enviados como forma
de pagamento. Na internet, os ataques são mais complexos. Apesar de basear-se na mesma ideia, o
invasor deve permanecer inadvertido entre a vítima e uma instituição para que o golpe tenha sucesso.

Pág. 03
Phishing
Ele consiste em tentativas de fraude para obter ilegalmente informações como número da identidade,
senhas bancárias, número de cartão de crédito, entre outras, por meio de e-mail com conteúdo
duvidoso.

Os cibercriminosos se passam por autoridades ou empresas confiáveis (bancos, corporações

renomadas, Correios e Governo). Para ter sucesso, eles convencem o destinatário de que a mensagem é
real, abordando assuntos de interesse das vítimas, como novas modalidades de financiamento bancário
e anúncios governamentais de interesse público.

Brute force attack

Imagine que você está tentando invadir uma casa e está diante da porta trancada, com um imenso molho
de chaves nas mãos. Via tentativa e erro, você testa as milhares de chaves na fechadura, insistindo na
tarefa até conseguir o acesso.

Pois bem: essa é uma boa metáfora para explicar o popular ataque de força bruta, que consiste em testar
diversas combinações e possibilidades de senhas/nomes de usuário para invadir a conta ou sistema da
vítima.

Vale notar que, apesar de antiga, essa é uma técnica eficiente e ainda muito popular entre os hackers. A
depender do sistema que é alvo do ataque, os criminosos podem levar desde poucos segundos até
vários anos para identificar os dados de acesso.

Atualmente, como é de se imaginar, os ataques de força bruta podem contar com ferramentas e
mecanismos sofisticados para facilitar o processo de “testagem” das credenciais.

Describe security program elements (user awareness, training, and physical access control)

User awareness
Antes mesmo de colocar os dados à disposição, é preciso adotar medidas restritivas de proteção para
reduzir a chance de vazamento de informações. O monitoramento é importante, vide que ele garante a
integridade da rede e o funcionamento dos processos mesmo sob ataques.

Mas, nenhuma ferramenta é capaz de conscientizar os colaboradores sozinha. A conscientização do

usuário se faz necessária para auxiliar na melhoria da segurança da empresa, com orientações que façam
a sua equipe inteira, não só a de TI, lidar com os possíveis incidentes.

Como realizar essa conscientização do usuário? Com um plano de treinamento, por exemplo. Essa
estratégia deve considerar quais os pontos principais a serem passados para os colaboradores, e,
também possuir workshops, vídeos, informativos e testes de phishing.

Training
Não basta apenas cuidar do hardware e do software, é preciso ter treinamentos voltados ao usuário para
se ter acesso às melhores práticas de segurança da informação. O treinamento do usuário pode ser feito
por gamificação, mas precisa ser feito o quanto antes. Proteger o patrimônio físico é relevante, mas se
não houver uma atenção especial ao usuário, não há política de segurança que traga resultados.

Frequentemente as empresas culpam erros de usuários por incidentes e brechas de segurança, mas as
pesquisas demonstram que com treinamento e conscientização de usuários, uma organização pode virar
o jogo e fazer com que os usuários sejam um importante aliado da segurança da informação.

Pág. 04
Inicialmente, os problemas de Segurança da Informação se baseavam em vírus. Atualmente, entretanto, a
introdução de tecnologias como IoT, por exemplo, apesar de terem trazido mais velocidade e eficiência
para os negócios, também ampliaram a superfície de ataque, aumentando, consequentemente, o êxito
dos ataques cibernéticos.

Isso porque os cibercriminosos estão cada vez mais sofisticados. Ao invés de se exporem atacando
diretamente as redes das organizações, em que sabem que existem muitos mecanismos de proteção e
detecção implementados, atacam o elo mais fraco da cadeia, o usuário. O usuário desatento e sem
treinamento adequado acaba sendo um ponto fraco para a política de segurança de qualquer empresa.

O investimento em conscientização e treinamento para todos os níveis da organização, é, ainda hoje,

uma das melhores e mais efetivas práticas de gestão de Segurança da Informação.

Todos os guias de boas práticas de gestão apontam para a necessidade de envolver os usuários no
processo de segurança. E, por isso, assim como Firewall, Antispam e Antivírus, a conscientização em
Segurança é parte essencial em qualquer processo de Segurança da Informação.

Contudo, somente a criação de uma Política de Segurança da Informação não garante a segurança da
empresa. Os colaboradores devem cumprir com a política estabelecida e é aqui que as campanhas de
conscientização entram como recurso, garantindo que toda a empresa seja treinada, educada e
conscientizada de acordo com as políticas e procedimentos da organização.

E para isso, é imprescindível que os usuários aprendam algumas boas práticas de comportamento e uso
da Internet, evitando que as ameaças afetem os negócios da empresa.

Describe security password policies elements, such as management, complexity, and password
alternatives (multifactor authentication, certificates, and biometrics)

Sem uma política de segurança adequada, a disponibilidade da rede pode ser comprometida. A política
começa com avaliação de risco e a formação de uma equipe para responder a qualquer eventualidade.
Uma implementação bem-sucedida exige maior segurança ao acesso à rede, essa maior segurança pode
ser implementada com o uso de vários mecanismos de autenticação que veremos a seguir.

Gerenciamento de senhas
As senhas são um conjunto de “strings” fornecidas pelos usuários nos prompts de autenticação. Embora
as senhas ainda sejam consideradas um dos métodos mais seguros de autenticação, elas estão expostas
a uma série de ameaças à segurança quando utilizadas de forma incorreta. O papel do gerenciamento de
senhas surge nesse cenário.

O gerenciamento de senhas é um conjunto de princípios e boas práticas a serem seguidos pelos usuários
durante o armazenamento e utilização, visando protegê-las e impedir o acesso de pessoas não
autorizadas.

Complexidade de senha
Uma política de senha é um conjunto de regras escritas como parte da política de segurança
organizacional que dita os requisitos mínimos de senhas dos usuários e dos dispositivos, bem como uma
ferramenta técnica de aplicação, que impõe as regras de senha a serem adotadas.

A política de senha geralmente inclui os requisitos de comprimento mínimo, duração máxima em meses,
histórico de senhas e alguns requisitos de complexidade, que podem ser, por exemplo, um mínimo detrês
tipos de caracteres diferentes, ou que a senha não possa ter o nome do usuário, nome real e endereço
de e-mail. As senhas com mais de 12 caracteres são consideradas seguras e aquelas com mais de 15
caracteres são consideradas muito seguras.

Pág. 05
Certificados
Um certificado é uma forma de credencial digital que valida usuários, computadores ou dispositivos na
rede. É uma declaração assinada digitalmente que relaciona as credenciais de uma chave pública à
identidade da pessoa, dispositivo ou serviço que contém a chave privada correspondente.

Biometria
O acesso biométrico é a melhor maneira de construir segurança física, pois usa uma característica física
única de cada pessoa para permitir o acesso a um ambiente controlado. Essas características físicas
incluem impressões digitais, impressões de mãos, reconhecimento de voz, varreduras de retina, e assim
por diante.

Describe IPsec remote access and site-to-site VPNs

VPN é sigla para Virtual Private Network. O que é isso? É um serviço que cria uma rede privada virtual,
conectando dois pontos quaisquer da internet. Ou seja, você pode usar para navegar de forma anônima
na web, evitando assim rastreamentos e espionagens. Além disso, a VPN também é útil para acessar
conteúdos bloqueados em seu país ou simplesmente melhorar a sua segurança online.

Existem diversos tipos de VPN, cada qual com suas vantagens e desvantagens. Uma VPN cria um túnel
criptografado entre seu computador e um servidor. Isso significa que todos os seus dados são enviados
de forma criptografada para esse servidor, o que torna praticamente impossível para terceiros
interceptar suas informações. Além disso, ao navegar na web através da VPN, seu IP é substituído pelo
endereço IP do servidor, o que impede qualquer pessoa de rastrear sua atividade online.

Tipos de VPN

SSL VPN
O SSL VPN (Virtual Private Network) é um tipo de rede privada virtual que usa a criptografía SSL para
proteger seus dados. Essa é a mesma tecnologia que é usada para proteger as conexões bancárias
online e outras transações sensíveis. Como o SSL VPN cria um túnel criptografado entre seu
computador e o servidor, ele é considerado muito seguro. Além disso, esse tipo de VPN é compatível
com a maioria dos dispositivos, inclusive com smartphones e tablets.

IPsec VPN
O IPsec VPN (Virtual Private Network) é um tipo de rede privada virtual que usa a criptografia IPsec para
proteger seus dados. Essa é a mesma tecnologia que é usada para proteger as conexões bancárias
online e outras transações sensíveis. Como o IPsec VPN cria um túnel criptografado entre seu
computador e o servidor, ele é considerado muito seguro. Além disso, esse tipo de rede privada virtual é
compatível com a maioria dos dispositivos, inclusive com smartphones e tablets.

Pág. 06
VPN site a site
A VPN site a site é um tipo de rede privada virtual que liga dois ou mais computadores em uma rede
privada virtual. Essa é uma ótima opção para quem precisa se conectar a servidores remotos, como por
exemplo, empresas que precisam se conectar a servidores em outros países. Além disso, a VPN site a
site também é útil para quem precisa compartilhar arquivos grandes, como vídeos e imagens.

Configure and verify access control lists

Uma ACL ou Lista de Controle de Acesso é utilizada para filtrar pacotes conforme características do
tráfego utilizando campos do pacote IP ou do segmento TCP ou datagrama UDP.

Lembre-se que a maioria das aplicações no TCP/IP são do tipo “cliente/servidor”, ou seja, um cliente
requisita um serviço e tem uma resposta do servidor.

Que serviços são esses? São os protocolos da camada de aplicação tais como DNS, HTTP, HTTPS, FTP,
TFTP, SMTP, IMAP, Telnet, SSH, SNMP e muitos outros.

As listas de controle de acesso ou ACL podem ser de dois tipos: ACL IP Padrão e ACL IP Estendida.

Padrão
Permitir ou negar tráfego de endereços IP de origem. O destino do pacote e as portas envolvidas não
importam. O exemplo permite todo o tráfego da rede 192.168.30.0/24. Por conta do” deny all ” implícito
ao final, todos os demais tráfegos são bloqueados com essa ACL. As ACLs padrão são criadas no modo
de configuração global.

access-list 10 permit 192.168.30.0 0.0.0.255

A ACL IP padrão é a mais simples das duas, sendo que ela só filtra pelo endereço IP de origem do
pacote, mais nada.

Então uma aplicação para esse tipo de lista de controle de acesso seria negar ou permitir acesso a
sub-redes específicas a uma região da rede.

Estendida
Filtram pacotes IP com base em vários atributos, por exemplo, tipo de protocolo, endereço IP de origem,
endereço IP de destino, portas TCP e UDP de origem, portas TCP e UDP de destino e informações do
tipo de protocolo opcionais para maior granularidade de controle. No exemplo a ACL 103 permite
tráfego com origem em qualquer endereço na rede 192.168.30.0/24 para qualquer host de destino na
porta 80 (HTTP). As ACLs estendidas são criadas no modo de configuração global.

access-list 103 permit tcp 102.168.30.0 0.0.0.255 any eq 80

Já com uma ACL estendida você pode criar regras mais complexas, podendo fazer sua filtragem
utilizando vários parâmetros, sendo que os mais importantes são:

• Endereços, redes ou sub-redes IP de origem

• Endereços, redes ou sub-redes IP de destino
• Portas TCP de origem
• Portas TCP de destino
• Estado da conexão TCP (verificar flag ACK)
• Portas UDP de origem
• Portas UDP de destino

Pág. 07
Toda ACL deve ser colocada onde tenha o maior impacto em termos de eficiência, ou seja, as regras
básicas que devemos assumir é:

• Coloque as ACLs estendidas mais próximas da origem do tráfego negado. Dessa forma, o
tráfego indesejável é filtrado sem atravessar a infraestrutura de rede.
• Como as ACLs padrão não especificam endereços de destino, coloque-as o mais próximo
possível do destino.

Configure Layer 2 security features (DHCP snooping, dynamic ARP inspection, and port security)

Todos sabemos dos riscos de ataques na camada 3 e principalmente na camada 7. Mas nem sempre a
devida atenção é dada à camada 2.

Atualmente é muito difícil, para não dizer impossível, encontrar um ambiente sem firewall, mas é comum
vermos switches com a configuração básica, sem suporte a segurança camada 2 e até hubs sendo
utilizados. E esses equipamentos podem comprometer a segurança da rede facilmente.

ARP Spoofing
O ARP – Address Resolution Protocol, é um protocolo utilizado para encontrar um endereço ethernet
(MAC) a partir do endereço IP. O host que está procurando um MAC envia através de broadcast um
pacote ARP contendo o endereço IP do host desejado e espera uma resposta com seu endereço MAC,
que será mapeado para o respectivo endereço IP.

O ataque ocorre quando o “elemento mal-intencionado” recebe esta solicitação (broadcast) e responde
como seu MAC address. Desta forma passamos a ter o “homem do meio”, que pode copiar todo o
tráfego para sua máquina ou até parar a rede.

Normalmente nestes casos, o host 1.1.1.3 captura o tráfego que está passando por ele com um sniffer, e
encaminha o tráfego para o destino certo, de maneira que os usuários não percebam o que está
ocorrendo.

Pág. 08
No caso de switches Cisco, este tipo de ataque pode ser evitado desativando a comuni-
cação direta entre os hosts (private-vlan), utilizando o port-security, access-list e o dyna-
mic arp inspection.

DHCP snooping
Os ataques ao serviço de DHCP, o primeiro deles consiste em esgotar todos os endere-
ços IP disponíveis no servidor DHCP (DHCP Starvation).

O atacante consegue fazer isso enviando diversas requisições DHCP com endereços
MACs falsos e usando TODOS os endereços que o administrador de rede reservou para
sua LAN.

O segundo tipo de ataque é quando servidores DHCP falsos são inseridos na rede e
como os clientes aceitam o primeiro DHCP OFFER que recebem, os clientes seriam con-
figurados com informações falsas visando captura de pacotes ou ataques de MITM.

É o que chamamos de Rogue DHCP Server ou inserir um DHCP “pirata” na rede forne-
cendo endereços IP e informações falsas para os clientes de rede. Os dois ataques ao
DHCP muitas vezes são utilizados de forma complementar.

O DHCP snooping previne que “rogue DHCP servers” (servidores DHCP piratas) injetem
informações falsas em clientes de rede.

Pág. 09
Task Lab
Como vimos na aula anterior, o Protocolo DHCP (Dynamic Host Configuration Protocol) utiliza pacotes
UDP (User DatagramProtocol) Broadcast para atribuir endereço IPs aos clientes, devido a equipamentos
da camada 3 Rede não encaminharem Broadcasts para outras redes será necessário ter um servidor
DHCP para cada rede, no entanto com a utilização da feature DHCP Relay elimina esta necessidade.

Funcionamento do DHCP

1. O cliente DHCP envia um pacote DHCP Discover (Broadcast).

2. O servidor DHCP responde com um pacote DHCP Offer (Unicast), esta mensagem inclui o IP
oferecido ao cliente, o endereço gateway default, o lease time para este endereço IP, entre outros
parâmetros.
3. O cliente responde com o pacote DHCP Request (Broadcast), esta mensagem é a solicitação por
parte do cliente ao endereço IP fornecido anteriormente pelo DHCP Offer.
4. O Servidor DHCP responde com ACK (Unicast) confirmando que o IP será cedido ao cliente.

O protocolo DHCP funciona utilizando um broadcast na rede para identificar quais dispositivos precisam
de IP, porém, caso o servidor DHCP esteja em uma rede diferente, não seria possível receber requisições
do processo DORA (Discover, Offer, Request e Acknowledge), pois os roteadores não permitem
encaminhar broadcast. Precisamos então ativar o recurso DHCP Relay em nossas vlans nos
equipamentos MTL-SW1 e MTL-SW2, de modo que seja possível encaminhar as requisições até nosso
servidor DHCP.

Pág. 10
!MTL-SW1 !MTL-SW2
enable enable
configure terminal configure terminal
interface vlan 100 interface vlan 100
ip helper-address 10.0.0.10 ip helper-address 10.0.0.10
exit exit
interface vlan 200 interface vlan 200
ip helper-address 10.0.0.10 ip helper-address 10.0.0.10
exit exit
interface vlan 300 interface vlan 300
ip helper-address 10.0.0.10 ip helper-address 10.0.0.10
exit exit

Port security
Switch é um dispositivo de rede configurado para conectar e manter o canal de comunicação entre
vários dispositivos. As portas Ethernet estão presentes em um switch, que são usadas para conectar
dispositivos, como roteador, sistema de computador e laptop na rede. Para conectar todas essas redes,
são usados cabos Ethernet. O endereço MAC desses dispositivos conectados é usado pelo switch para
identificá-los e fornecer-lhes o serviço solicitado.

É uma tarefa crucial proteger essas portas, de modo que apenas usuários autorizados possam conectar
seus sistemas à rede por meio de um switch. Antes da configuração de qualquer switch em uma rede
organizacional, a segurança da porta é considerada, pois garante que o usuário autêntico e autorizado
esteja conectado à rede. Este recurso de segurança dos Cisco IOS Switches só pode ser configurado nas
portas de acesso.

Existe um recurso de segurança conhecido como violação. Este recurso é usado para definir a ação, que
será executada pelo switch, sempre que a segurança da porta for violada. Podem ser usados três modos
predefinidos primários, que são Proteger, Restringir e Desligar.

Modo de proteção: neste modo, os pacotes de dados de endereços MAC definidos são transferidos
apenas dentro da rede.

Modo restrito: Quando este modo é habilitado e a segurança da porta é violada, toda a transferência de
dados é bloqueada e os pacotes são descartados. Além disso, os logs são gerados simultaneamente,
para verificar qual dispositivo foi conectado ao switch Cisco.

Modo de desligamento: este modo é habilitado por padrão e o estado da porta é alterado para
desabilitado para erros, o que restringe o dispositivo conectado a executar qualquer função e também
desabilita essa porta específica.

Pág. 11
Differentiate authentication, authorization, and accounting concepts

O AAA (Authentication, Authorization, and Accounting) oferece uma forma para a autenticação de
usuários em servidores ou dispositivos de conectividade (router, switch, etc), além de controlar o nível de
acesso destes usuários para os recursos desejados e gravar os comandos realizados para futuras
auditorias.

Authentication: Com o AAA, é possível centralizar o gerenciamento de todas as contas de usuários e

respectivas senhas, facilitando bastante o trabalho do administrador da rede. O administrador da rede
poderá especificar diversos mecanismos para a autenticação de usuários, entre eles RADIUS, TACACS+
ou Kerberos e, para que isto ocorra, a ordem de execução destes componentes deverá ser informada e
devidamente associada para uma interface ou mais interfaces do equipamento de rede.

Authorization: Após a autenticação do usuário, o AAA precisa informar ao roteador sobre os comandos
que o referido usuário poderá executar no terminal. É possível limitar a quantidade de comandos
disponíveis para a execução das seguintes formas: por usuário, perfil ou grupo de usuários.

Accounting: O AAA enviará dados sobre cada comando executado pelo usuário durante uma sessão
com o roteador. Com este recurso, poderemos identificar e controlar todas as atividades de
configuração e monitoramento efetuadas no roteador.

Describe wireless security protocols (WPA, WPA2, and WPA3)

Wi-Fi Protected Access (WPA)

A segurança WPA (Wi-Fi Protected Access) foi projetada para resolver muitos dos problemas que
surgiram com o WEP. O WPA tornou-se o padrão em 2003 e criptografa a chave de acesso à rede
dinamicamente, alterando-a regularmente com TKIP (Temporal Key Integrity Protocol). Dessa forma, os
hackers não podem mais quebrar a chave coletando dados transmitidos por um longo intervalo de
tempo.

O TKIP criou um ambiente de segurança dinâmico, mas ainda não foi suficiente. Especialistas em
segurança descobriram rapidamente que o TKIP poderia ser quebrado mesmo com pequenas
quantidades de dados.

Como resultado, uma cifra de substituição (ou algoritmo de criptografia) para a cifra RC4 do WEP e do
WPA foi enviada para criptografadores de todo o mundo, sendo que a cifra AES fabricada na Bélgica se
provou ser a mais segura durante o processo de seleção competitivo. O AES foi amplamente adotado
com o sucessor do WPA.

Wi-Fi Protected Access II (WPA2)

O protocolo de segurança WPA2 aumentou a complexidade do predecessor (WPA) e tem sido o padrão
para segurança de rede há mais de uma década. Ele usa a cifra AES, um processo de criptografia que até
mesmo um computador avançado levaria bilhões de anos para quebrar.

Mas o WPA2 também tem suas falhas de segurança. Um ataque KRACK pode ocorrer durante o
“handshake” (o momento em que uma rede autêntica uma conexão de dispositivo) deixando as senhas
da vítima e outros dados vulneráveis à interceptação. Para realizar esse ataque, o hacker precisa estar
próximo à rede, o que não é ideal nem para os melhores hackers.

As diferenças significativas de segurança entre o WPA e o WPA2 fizeram com que o protocolo WPA2
durasse mais do que qualquer protocolo de segurança anterior.

Pág. 12
Wi-Fi Protected Access III (WPA3)
O WPA3 foi introduzido em 2018 e se tornou um protocolo de segurança padrão em 2020, mas pode
demorar um pouco até que seja adotado amplamente. A maioria das residências e empresas ainda usam
WPA2, e hardware compatível com WPA3 pode ser caro. Com o WPA3, a criptografia entre o dispositivo
de um usuário e a rede é específica e individualizada, e os usuários não precisam usar senhas.

No WPA2, um dispositivo e os dados nele podem ser comprometidos quando um hacker rompe a
criptografia da rede. Isso não será mais possível com o WPA3, devido à camada adicional de criptografia
individualizada.

O WPA3 também trata da falha de segurança no WPA2 que permite ataques KRACK. E o algoritmo de
criptografia é muito mais complexo, tão complexo que os computadores modernos precisariam de
bilhões de anos de cálculos para entrar em apenas uma rede protegida por WPA3.

Pág. 13