Redes Wireless – Parte XXI

 

7.2.4 – Métodos de autenticação

 

O padrão IEEE 802.11 especifica dois métodos de autenticação: Autenticação de sistema aberto e autenticação de chave compartilhada. O mais simples e mais seguro dos dois é a autenticação de sistema aberto. Para se tornar autenticado o cliente deve caminhar por uma série de passos durante esse processo, esses passos variam de um método para o outro.

 

7.2.4.1 – Autenticação de sistema aberto

 

É o método padrão usado nos equipamentos wireless. Usando este método uma estação pode se associar com qualquer AP que também use o método. Este método de autenticação é baseado no SSID, ou seja basta que a estação e o AP tenham o mesmo SSID para que a autenticação ocorra. O processo de autenticação de sistema aberto é usado de forma eficaz tanto em ambientes seguros quanto não seguros.

 

Eis como o processo ocorre:

 

» O cliente faz um pedido para se associar ao AP.

 

» O AP toma conhecimento desse pedido, envia uma resposta positiva e autentica o cliente.

 

O processo é portanto muito simples, conforme ilustrado na figura 98.

 

Figura 98 – Processo de autenticação de sistema aberto

 

Existe ainda a opção de se usar WEP (não é obrigatório) para criptografar o processo. Porém a criptografia não é feita durante o processo de autenticação em si, ou seja, a chave WEP não é verificada por ambos os lados durante a autenticação, mas para criptografar os dados depois que o cliente já estiver autenticado e associado.

 

Este método de autenticação é usado em diversos cenários, mas há duas razões principais para isso:

 

» É considerado o mais seguro dos dois métodos disponíveis.

 

» Já é usado por padrão nos dispositivos wireless, o que não requer configuração adicional.

 

7.2.4.2 – Autenticação de chave compartilhada.

 

Neste método o uso do WEP é obrigatório. A criptografia WEP usa chaves tanto no cliente quanto no AP, e elas devem ser as mesmas para que o WEP possa operar. Essas chaves são configuradas manualmente.

 

Eis como o processo ocorre:

 

» O cliente faz um pedido de associação ao AP (Esse passo é o mesmo da autenticação de sistema aberto)

 

» O AP envia uma pergunta ao cliente. Essa pergunta é um texto gerado aleatoriamente e enviado ao cliente na forma de texto puro.

 

» O cliente responde a essa pergunta. A chave WEP do cliente é usada para criptografar a pergunta e por fim a mesma é enviada já codificada de volta ao AP.

 

» O AP responde a resposta do cliente. A resposta codificada enviada pelo cliente é então decodificada usando a chave WEP do AP, verificando assim se o cliente tem a mesma chave. Se a chave do cliente é a correta, o AP responderá positivamente e autenticará o cliente. Se a chave do cliente não for a correta, o AP responderá negativamente  e não autenticará o cliente.

 

A figura 99 ilustra o processo

 

Figura 99 – Processo de autenticação de chave compartilhada.

 

Diferentemente do que possa parecer, o processo de autenticação de chave compartilhada não é mais seguro que o processo de autenticação de sistema aberto. O processo de chave compartilhada, abre uma porta para hackers.

 

Segurança da autenticação – O processo de chave compartilhada não é considerado seguro, porque o AP transmite a pergunta em texto puro e recebe a mesma pergunta codificada com a chave WEP. Isso permite a um hacker usar um sniffer para ver ambos a pergunta em texto puro e a pergunta codificada. De posse desses dois valores, um programa cracker poderia ser usado para gerar a chave WEP. Uma vez obtida a chave WEP, o hacker em questão poderia descriptografar o tráfego codificado. Por essa razão a autenticação de sistema aberto é mais seguro que a de chave compartilhada.

 

É importante ressaltar que nenhum dos dois métodos é realmente seguro, e portanto uma solução de segurança mais completa seria importante e necessária.

 

7.2.4.3 – Certificados e Shared Secrets

 

Shared Secrets são strings de números ou texto que são normalmente referidos como chave WEP. Certificados são outro método de identificação do usuário, usados em redes wireless.

 

Da mesma forma que chaves WEP, certificados (que nada mais são do que documentos de autenticação), são colocados na máquina cliente. Essa colocação é feita de uma forma tal que quando o usuário deseja autenticar com a rede wireless, o mecanismo de autenticação já se encontra na máquina cliente. Ambos os processos tem sido implementados ao longo dos anos, mas nos dias de hoje existem aplicações que permitem automatizar esse processo.

 

7.2.5 – Protocolos de autenticação emergentes

 

Existem novas soluções de segurança de autenticação e protocolos no mercado de hoje em dia, incluindo VPN, 802.1x usando EAP (Protocolo de autenticação extensível).

 

Muitas dessas soluções de segurança envolve a passagem da autenticação por servidores de autenticação que por sua vez repassam a autorização ao AP, enquanto o cliente fica aguardando por essa autorização durante a fase de autenticação. Windows XP tem suporte nativo a 802.11 ,802.1x e EAP, o mesmo acontecendo com Cisco e outros fabricantes WLAN. Por essas razões não é difícil entender porque essas soluções são tão comuns no mercado hoje em dia.

 

7.2.5.1 - 802.1x e EAP

 

O padrão 802.1x é relativamente novo, e os dispositivos que o suportam tem a habilidade de permitir a conexão para a rede na camada 2, somente se a autenticação do usuário for bem sucedida. EAP é um protocolo de camada 2 que é uma substituição bem flexível ao PAP e ao CHAP rodando sobre PPP que trabalham nas LANs. No passado PAP e /ou CHAP foram usados para autenticação do usuário e ambos usavam senhas. Uma alternativa de uma solução mais robusta e flexível em redes wireless fica cada vez mais evidente devido ao fato de que há muitas implementações variadas.

 

Tipicamente a autenticação do usuário é realizada usando um servidor RADIUS e algum tipo de base de dados de usuários (RADIUS, NDS, Active Directory, LDAP) para validação dos mesmos. O novo padrão 802.1i, também conhecido como WPA, inclue suporte a 802.1x, EAP, AAA, autenticação mútua e geração de chave, e nenhum desses foi incluído no padrão original 802.11.

 

No modelo 802.1x padrão a autenticação da rede consiste de três partes: o requerente (cliente), o autenticador (ponto de acesso) e o servidor de autenticação (RADIUS).

 

Figura 100 – Processo de autenticação usando EAP

 

Como a segurança de uma WLAN é essencial, e a autenticação EAP fornece meios para assegurar uma conexão WLAN, fabricantes estão desenvolvendo e adicionando tipos de autenticação EAP aos seus pontos de acesso. Conhecer o tipo de autenticação EAP é importante no entendimento das características do método de autenticação que está sendo utilizado, tais como: senhas, geração de chave, autenticação mutua e protocolos. Porém é importante estar ciente de que somente o uso do EAP não é suficiente para estar bem protegido, já que é necessário escolher o tipo de EAP(protegem a camada de transporte) que será usado. Alguns dos tipos de autenticação EAP mais comuns são:

 

EAP-MD-5 Challenge – O mais antigo dos tipos de autenticação. Basicamente duplica a proteção de senha CHAP em uma WLAN.

 

EAP-Cisco Wireless – Também chamado de LEAP, este tipo de autenticação EAP é usado somente em APs Cisco. LEAP fornece segurança durante a troca de credenciais, criptografa os dados transmitidos usando chaves WEP dinâmicas e suporta autenticação mutua.

 

EAP-TLS (segurança na camada de transporte) - É baseada no uso de  certificados, proporciona autenticação mutua do cliente e da rede. EAP-TLS confia nos certificados do lado cliente e do servidor para realizar a autenticação usando chaves WEP geradas dinamicamente baseadas na sessão e no usuário para proteger a conexão. Tanto o Windows XP quanto o Windows 2000 suportam o EAP-TLS.

 

EAP-TTLS (segurança na camada de transporte encapsulada ) – É uma extensão do EAP-TLS. Diferentemente do EAP-TLS, necessita somente de certificados no lado servidor, eliminando a necessidade de configurar os certificados em cada cliente. Suporta vários tipos protocolos de senhas de modo que pode ser usado com sistemas de autenticação existentes tais como: Active Directory e NDS. Encapsula dentro de túneis a autenticação do cliente dentro do EAP-TLS garantindo que o usuário permaneça anônimo no link wireless. Chaves WEP são distribuídas e geradas dinamicamente para proteger a conexão.

 

EAP-SRP (senha remota segura) -  É um protocolo baseado em senha e troca de chaves seguro. Ele soluciona o problema de autenticar o cliente ao servidor de uma forma segura em casos em que o usuário do software cliente deve memorizar um pequeno segredo (como uma senha) e não carregar mais nenhum tipo de informação secreta.  O servidor carrega um verificador para cada usuário o que permite a ele autenticar o cliente. Se o verificador for comprometido, não é permitido a um hacker por exemplo, se fazer passar pelo cliente. SRP usa um segredo baseado em criptografia forte o que permite as duas partes se comunicar de forma segura.