Segurança em Redes Sem Fio

Codificação e Encriptação de
redes Wireless
 Codificação e Encriptação
• Codificação significa a modificação de características de um sinal para
torná-lo mais apropriado para uma aplicação específica, como por
exemplo transmissão ou armazenamento de dados.

– Existem três tipos de codificação:

• Codificação de canal: Códigos detectores ou corretores de erros.
• Codificação de fonte: Criptografia e compressão de dados.
• Códigos de linha: Especificam a forma do sinal eléctrico que será usado para
representar os símbolos de informação.
– No caso binário, especifica o sinal eléctrico dos bits 1 e 0.

• Encriptação é o processo de transformar informação usando um algoritmo

(chamado cifra) de modo a impossibilitar a sua leitura a todos exceto
aqueles que possuam uma informação particular, geralmente referida
como chave.

2
 WEP
• Wired Equivalent Privacy (WEP) - Uma chave WEP (ou chave de rede) é uma senha
compartilhada utilizada para criptografar e descriptografar comunicações de dados
sem fios que só podem ser lidas por outros computadores que tenham a mesma
chave.

• A chave WEP é armazenada em cada computador da rede, de modo que os dados

possam ser criptografados e descriptografados à medida que são transmitidos por
ondas de rádio na rede sem fios.

• É um esquema de criptografia estática do padrão IEEE 802.11 que fornece controle

básico de acesso e privacidade de dados na rede sem fio. Os modos de criptografia
podem ser de 64 bits (5 caracteres alfabéticos ou 10 números hexadecimais) ou de
128 bits (13 caracteres alfabéticos ou 26 números hexadecimais).

• Criado em 1999.

3
 Formação do texto cifrado
utilizando WEP.

Fonte: 3Com

WEP usa um stream para criptografia RC4 simétrica, conforme ilustra

a figura , o que permite que a chave para a criptografia estática seja
relativamente fácil de ser quebrada

4
 WPA
• Wi-Fi protected access (WPA) - O método WPA oferece um maior
nível de proteção de dados e controle de acesso para uma rede
local sem fios. Para melhorar a criptografia de dados, o método
WPA utiliza uma chave mestra compartilhada.
• Dentro de uma rede corporativa, essa chave pode ser uma chave
dinâmica atribuída por um servidor de autenticação para
oferecer controle de acesso e gestão centralizados.
• Num ambiente doméstico ou de empresas pequenas, o WPA é
executado de um modo doméstico especial chamado Pre-Shared
Key (Chave pré-compartilhada) (PSK) que utiliza chaves ou senhas
inseridas manualmente pelo utilizador para fornecer a segurança.
• Surgiu em 2003.

5
 WPA
• O WPA - protocolo de proteção de redes sem fio - é um subset
(subconjunto) de segurança apresentada no padrão IEEE 802.11.
O padrão foi criado com todos os subconjuntos de segurança
descritos na recomendação 802.11i para equipamentos 802.11,
com objetivo de prover segurança para a redes sem fio.

• Tem suporte a WEP, TKIP (Temporal Key Integrity Protocol) e

802.1x, e possui vetor de inicialização da chave criptográfica de
48 bits. O WPA, conforme requerido na recomendação 802.1x,
contém os avanços e melhorias para segurança no que diz
respeito a Integridade, Autenticação e Privacidade.

6
 WEP x WPA
• Com a substituição do WEP pelo WPA, temos como
vantagem melhorar a criptografia dos dados ao utilizar um
protocolo de chave temporária (TKIP) que possibilita a
criação de chaves por pacotes, além de possuir função
detectora de erros chamada Michael, um vetor de
inicialização de 48 bits, ao invés de 24 como no WEP e um
mecanismo de distribuição de chaves. Além disso, uma
outra vantagem é a melhoria no processo de autenticação
de usuários. Essa autenticação se utiliza do 802.11x e do
EAP (Extensible Authentication Protocol), que através de
um servidor de autenticação central faz a autenticação de
cada usuário antes deste ter acesso a rede.

7
 WPA – Autenticação
• No 802.11 a autenticação 802.1x é opcional. Já quando se
utiliza o WPA, a autenticação 802.1x é exigida. A
autenticação WPA é uma combinação de sistemas abertos
e 802.1x e utiliza as seguintes fases:
– A primeira fase usa uma autenticação de sistema aberto para
indicar a um cliente sem fio que pode enviar quadro para o
ponto de acesso;
– A segunda fase usa o 802.1x para executar a autenticação em
nível de usuário.
• Para ambientes sem infra-estrutura RADIUS, o WPA
suporta o uso de chave pré-compartilhada.
• Já para ambientes com infra-estrutura de RADIUS o WPA
suporta EAP e RADIUS.
8
 WPA – Criptografia
• Com o 802.1x, a troca de chaves de criptografia unicast é opcional.
Adicionalmente, o 802.11 e o 802.1x não provêem o mecanismo para troca de
chave de criptografia que é usada para o tráfego multicast e broadcast.

• Com o WPA, a troca destas chaves de criptografia para ambos é necessária. O TKIP
altera a chave de criptografia única para todo o quadro, e é sincronizada a cada
alteração entre o cliente e o ponto de acesso.

• Para a chave de criptografia multicast/global, o WPA inclui uma facilidade para o

ponto de acesso, para avisar mudanças dos clientes sem fio conectados. Para o
802.11 a criptografia WEP é opcional. Para o WPA a criptografia usando o TKIP é
necessária.

• O TKIP substitui o WEP com um novo algoritmo de criptografia que é mais forte
que o algoritmo WEP e ainda pode ser executado usando as facilidades de cálculo
presente no hardware existente do equipamento wireless.
 

9
 WPA – Criptografia
• O TKIP provê também a verificação da configuração de segurança depois
de determinar a chave de criptografia e a alteração de sincronização da
chave de criptografia para cada quadro e determinação do start.

• O WPA define o uso do AES (Advanced Encription Standart), como uma

substituição opcional para criptografia WEP. Pelo fato de não ser possível
o suporte AES através de atualização de firmware em equipamentos sem
fio existentes, este suporte para adaptadores de redes sem fio e nos
pontos de acesso não é necessário.

• O WPA suporta chaves de 40 a 104 bits com vetor inicialização de 24 bits,

e a combinação de 104 bits da chave com os 24 bits do vetor de
inicialização gera uma chave de 128 bits.

10
 WPA - Integridade dos dados
• Com o 802.11 e o WEP, a integridade dos dados é fornecida pelo ICV 32-
bit que é incorporado ao payload (corpo) do quadro 802.11 e
criptografado com WEP. Embora o ICV seja criptografado, é possível
através de analisador de criptografia alterar bits no payload criptografado
e atualizar o ICV criptografado sem ser detectado pelo receptor.
 
• Com o WPA, um novo método conhecido como Michael especifica um
novo algoritmo que calcula um MIC (Message Integrity Code) de 8 bytes
com as facilidades de cálculos disponíveis no hardware sem fio existente.
O MIC é colocado entre a porção de dados do quadro 802.11 e o ICV de 4
bytes. O campo MIC é criptografado junto com os dados do quadro e o
ICV.

• O Michael também provê uma proteção de resposta através do uso de

um novo contador de campo no cabeçalho MAC do quadro 802.11.

11
 WPA - Integridade dos dados
• O WPA deveria substituir o WEP. Sua tecnologia de criptografia e de autenticação
de usuário é mais avançada, ou seja, cada usuário tem uma senha exclusiva, que
deve ser digitada no momento da ativação do WPA.
 
• A chave de criptografia será trocada periodicamente e de forma automática no
decorrer da sessão. Esse mecanismo possibilita que um usuário não autorizado
não se conecte facilmente a rede WLAN.
 
• A chave de criptografia dinâmica é uma das principais diferenças do WPA em
relação ao WEP, que utiliza a mesma chave repetidamente. Esta característica do
WPA também é conveniente porque não exige que se digitem manualmente as
chaves de criptografia - ao contrário do WEP. Utiliza um CRC (Cyclic Redundant
Check) linear, ou seja, uma chave RC4 criptografa a mensagem transmitida que
será decriptografada e conferida pelo destino. Se o CRC calculado pelo destino for
diferente do CRC original o pacote é descartado.

12
Componentes de autenticação e criptografia
do WPA

Fonte: Cisco Systems

13
 TKIP
• O TKIP (Temporal Key Integrity Protocol) é um
algoritmo de criptografia baseado em chaves
que se alteram a cada novo envio de pacote. A
sua principal característica é a freqüente
mudanças de chaves que garante mais
segurança.

14
 O que o TKIP acrescenta em relação às
chaves WEP?
• Vetor de iniciação de 48 bits em vez de 24 bits para o WEP. O crack da
chave WEP vem do fato que o hacker pode determinar a chave WEP a
partir do vetor de iniciação de 24 bits. Por conseguinte, é bem mais
difícil determinar a chave com um vetor de iniciação de 48 bits.

• Geração e distribuição das chaves: o WPA gera e distribui as chaves de

codificação, periodicamente, à cada cliente. Na realidade, cada trama
utiliza uma nova chave, evitando assim o uso da mesma chave WEP
durante semanas, ou até, meses.

• Código de integridade da mensagem: este código, chamado MIC

(Mensagem Integrity Code), verifica a integridade da trama. O WEP
utiliza um valor de verificação de integridade ICV (Integrity Check
Value) de 4 bytes, enquanto o WPA acrescenta um MIC de 8 bytes.
15
Remote Authentication Dial-In User Service
(RADIUS)
• Para o processo de autenticação requerido pelo WPA, utiliza-se o
protocolo 802.1x que poderá utilizar um servidor de autenticação
como o RADIUS. O RADIUS é um serviço para autenticação de
usuário remoto através de discagem e é um protocolo
largamente desenvolvido que permite autenticação, autorização
e uma auditoria de acessos a rede de forma centralizada.
 
• O RADIUS é descrito na RFC 2865 e RFC 2866 - RADIUS
Accounting. Originalmente desenvolvido para acesso remoto dial-
up, o RADIUS agora é suportado pelos Access Point, autenticando
os usuários que utilizam dispositivos sem fio e outros serviços de
acessos à rede, como o VPN. É necessário um cadastro com a
base de usuários autorizados, senhas, políticas de acesso, e etc.
16
 WPA2 ou 802.11i
• O WPA2 utiliza o AES (Advanced Encryptation Standart)
junto com o TKIP com chave de 256 bits, um método mais
poderoso que o WPA que utilizava o TKIP com o RC4.
• O AES permite ser utilizada chave de 128, 192 e 256 bits,
o padrão no WPA2 é 256 bits, sendo assim, uma
ferramenta muito poderosa de criptografia.
• Utilizando o AES surgiu a necessidade de novo hardware
para processamento criptográfico, devido a isso, os
dispositivos WPA2 tem um co-processamento para
realizar os cálculos criptográficos.
• Surgiu em 2004.
17
 WPA2-PSK
• WPA2-PSK e ainda mais seguro que o WPA-
PSK onde sua criptografia (AES) e
extremamente forte e resistência a ataques,
adoptado como padrão de criptografia do
governo americano.

18
 AES
• Usar o AES garante uma maior segurança, o problema
é que ele exige mais processamento. Isso pode ser
um problema no caso dos pontos de acesso mais
baratos, que utilizam controladores de baixo
desempenho. Muitos pontos de acesso e algumas
placas antigas simplesmente não suportam o WPA2
(nem mesmo com uma atualização de firmware) por
não terem recursos ou poder de processamento
suficiente e existem também casos onde o
desempenho da rede é mais baixo ao utilizar o WPA2.

19
O que o WPA-2 oferece em relação ao WPA?

• Segurança e mobilidade mais eficazes graças à

autenticação do cliente independentemente
do lugar onde ele se encontra.
• Maior integridade e maior confidencialidade
garantidas por um mecanismo de distribuição
dinâmico de chaves.
• Mais flexibilidade graças a uma re-atenticação
rápida e protegida

20
 Simuladores de AP´s
• http://simulador.wappro.com.br/wlbasic.html

• http://www.support.dlink.com/emulators/dap
2590/index.html

21