Segurança em Redes sem Fio - 4ª Edição

Page 1

Segurança em Redes sem Fio Aprenda a proteger suas informações em ambientes Wi-Fi e Bluetooth

Nelson Murilo de Oliveira Rufino

Novatec


Copyright © 2005, 2011, 2015 da Novatec Editora Ltda. Todos os direitos reservados e protegidos pela Lei 9.610 de 19/02/1998. É proibida a reprodução desta obra, mesmo parcial, por qualquer processo, sem prévia autorização, por escrito, do autor e da Editora. Editor: Rubens Prates Editoração eletrônica: Carolina Kuwabata Assistente editorial: Priscila A. Yoshimatsu Revisão gramatical: Marta Almeida de Sá Capa: Casa de Tipos Fotos: Estudio Alexandre Magno – amfoto@amfoto.com.br ISBN: 978-85-7522-413-7 Histórico de impressões: Janeiro/2015 Fevereiro/2013 Agosto/2011 Maio/2007 Dezembro/2005 Abril/2005

Quarta edição Primeira reimpressão Terceira edição (ISBN: 978-85-7522-243-0) Segunda edição (ISBN: 978-85-7522-132-7) Primeira reimpressão Primeira edição (ISBN: 978-85-7522-070-5)

Novatec Editora Ltda. Rua Luís Antônio dos Santos 110 02460-000 – São Paulo, SP – Brasil Tel.: +55 11 2959-6529 Email: novatec@novatec.com.br Site: www.novatec.com.br Twitter: twitter.com/novateceditora Facebook: facebook.com/novatec LinkedIn: linkedin.com/in/novatec


capítulo 1

Conceitos

“A cor do sol me compõe. O mar azul me dissolve. A equação me propõe. Computador me resolve.” – Mutantes, Dois mil e um

Inúmeras tecnologias estão incluídas na categoria de redes sem fio. Redes sem fio estão relacionados desde redes simples como infravermelho, em que normalmente podem fazer parte apenas dois dispositivos, e estes, em geral, devem estar um em frente ao outro, passando por tecnologias mais recentes, como Bluetooth, WiMax, 4G , RFID e ZigBee. Entretanto a ênfase do livro recairá sempre nas relacionadas com o padrão 802.11 (conhecido genericamente como Wi-Fi). Porém algumas outras serão tratadas ao longo do livro, para estabelecer semelhanças e diferenças entre elas.

1.1 Fundamentos de rede sem fio Fatores externos causam muito mais interferência nas redes sem fio do que nas redes convencionais. Isso acontece, obviamente, por não existir proteção em relação ao meio por onde as informações trafegam. Nas redes convencionais, os cabos podem se valer de diversos tipos de materiais para proteção física, isolando, tanto quanto for qualidade do material, o que ali trafega do resto do ambiente. Já com as redes sem fio, a informação não dispõe de nenhuma proteção física, mas, por outro lado, pode atingir, sem muito esforço, locais de difícil acesso para redes cabeadas. A seguir iremos conceituar os principais elementos que compõem os protocolos das redes sem fio.

21


22

Segurança em redes sem fio

1.1.1 Frequências Sinais de radiofrequência são utilizados pelos mais variados tipos de serviço, que vão desde as infraestruturas comerciais (estações de rádio e TVs, operadoras de telefonia móvel etc.) até as de uso militar, passando por serviços comunitários e de rádio amador. Porém a maioria das faixas destinadas a cada um desses serviços não é padronizada internacionalmente. Uma faixa livre em um determinado país pode ser usada, por exemplo, em uma aplicação militar em outro, o que torna a comercialização e o uso de algumas dessas soluções por vezes complicados. Quando falamos de frequências de rádio, temos em mente que um sinal será propagado no espaço por alguns centímetros ou por vários quilômetros. A distância percorrida está diretamente ligada às frequências do sinal. Em tese, quanto mais alta a frequência, menor será a distância alcançada. A fórmula geral que define essa proporção é: PS = 32.4 + (20 log D) + (20 log F) em que: PS = perda do sinal D = distância em quilômetros F = frequência em MHz

1.1.2 Canais O espectro de radiofrequência é dividido em faixas, que são intervalos reservados, normalmente, para um determinado tipo de serviço, definido por convenções internacionais e/ou por agências reguladoras. Uma faixa é, em geral, subdividida em frequências menores, para permitir a transmissão em paralelo de sinais diferentes em cada uma delas. Essas frequências menores (ou subfrequências) são chamadas de canais que já fazem parte do nosso dia a dia há bastante tempo, como os canais de rádio (AM/FM) e televisão. Ao navegar pelo dial do rádio é fácil perceber que não existem emissoras muito próximas umas das outras, da mesma forma que os canais de TV aberta, até bem pouco tempo atrás, não usavam canais adjacentes (se


Capítulo 1  Conceitos

23

havia um canal 4, um canal novo não alocava o 3 ou o 5); em geral, se mantinham dois ou três canais de distância. Isso ocorria porque um canal muito próximo de outro causava interferência neste. Em aparelhos de TV mais antigos era possível, por meio do seletor de sintonia fina, sintonizar um determinado canal em outro anterior ou posterior a este. Algo semelhante ocorre com os canais de rede sem fio: canais de transmissão em frequências muito próximas podem causar interferência mútua.

1.1.3 Spread Spectrum Esta tecnologia, originalmente desenvolvida para uso militar, distribui o sinal por toda a faixa de frequência de maneira uniforme. Consome mais banda, porém garante mais integridade ao tráfego das informações e está muito menos sujeita a ruídos e interferências que outras tecnologias que utilizam frequência fixa predeterminada, já que um ruído em uma determinada frequência afetará apenas a transmissão nessa frequência, e não a faixa inteira. Dessa maneira, o sinal necessitaria ser retransmitido somente quando – e se – fizesse uso daquela frequência. Pelo fato de preencher toda a faixa, pode ser mais facilmente detectada, mas se o receptor não conhecer o padrão de alteração da frequência, tudo que receber será entendido como ruído. O padrão de comunicação para todos os tipos de redes sem fio atuais usa essa tecnologia.

1.1.4 Frequency-Hopping Spread-Spectrum (FHSS) Neste modelo, a banda 2,4 GHz é dividida em 75 canais, e a informação é enviada por meio de todos esses canais numa sequência pseudoaleatória, em que a frequência de transmissão dentro da faixa vai sendo alterada em saltos. Essa sequência segue um padrão conhecido pelo transmissor e pelo receptor, que, uma vez sincronizados, estabelecem um canal lógico. O sinal é recebido por quem conhece a sequência de saltos e aparece como ruído para outros possíveis receptores. Com essa técnica, limita-se a velocidade de transmissão a 2 Mbps, já que todo o espectro é utilizado e as mudanças de canais constantes causam grande retardo na transmissão do sinal.


24

Segurança em redes sem fio

1.1.5 Direct Sequence Spread Spectrum (DSSS) Usado no padrão 802.11b, o DSSS utiliza uma técnica denominada code chips, que consiste em separar cada bit de dados em 11 sub-bits, que são enviados de forma redundante por um mesmo canal em diferentes frequências, e a banda 2,4 GHz é dividida em três canais. Essa característica torna o DSSS mais suscetível a ataques diretos em uma frequência fixa e a ruídos que ocupem parte da banda utilizada.

1.1.6 Orthogonal Frequency Division Multiplexing/Modulation (OFDM) Este é outro tipo de modo de transmissão (mais eficiente) utilizado não somente por equipamentos sem fio, mas também por redes cabeadas, como ADSL, cujas características de modulação do sinal e isolamento de interferências podem também ser bem aproveitadas. A maioria dos padrões atuais de redes sem fio adota esse modo de transmissão, principalmente por sua capacidade de identificar interferências e ruídos, permitindo troca ou isolamento de uma faixa de frequência, ou mudar a velocidade de transmissão.

1.1.7 Bandas de radiofrequência públicas Seguindo-se convenções internacionais (a padronização completa será vista no tópico 1.4), há pelo menos três diferentes segmentos de radiofrequência que podem ser usados sem a necessidade de obter licença da agência reguladora governamental (no caso do Brasil, esse órgão é a Anatel). Esses segmentos foram reservados a uso industrial, científico e médico (Industrial, Scientific e Medical – ISM), portanto podem ser utilizados de maneira irrestrita por qualquer aplicação que se adapte a uma dessas categorias. As frequências disponíveis em cada uma das três faixas são: • 902 – 928 MHz; • 2,4 – 2,485 GHz (2,4 a 2,5 GHz no Brasil); • 5,150 – 5,825 GHz.


Capítulo 1  Conceitos

25

1.1.8 Frequência 2,4 GHz Faixa de frequência utilizada por uma vasta quantidade de equipamentos e serviços, por isso se diz que é poluída ou suja, por ser usada também por aparelhos de telefone sem fio, Bluetooth, forno de micro-ondas, babás eletrônicas e pelos padrões 802.11b e 802.11g.

1.1.9 Frequência 5 GHz No Brasil, existem ainda outras faixas reservadas para ISM (tais como 24 – 24,25 GHz e 61 – 61,5 GHz, por exemplo). Uma das principais diferenças dessa faixa diz respeito ao alcance do sinal, comparativamente menor em relação ao das outras frequências, o que tanto pode ser um problema em ambientes amplos como uma vantagem adicional quando não se deseja que o sinal atinja áreas muito maiores que as necessárias para o funcionamento dos equipamentos da rede.

1.1.10 Frequências licenciadas Algumas soluções de redes sem fio optam por utilizar faixas de radiofrequências menos sujeitas à interferência e, principalmente, que tenham maior alcance. Para utilizar essas aplicações, o fornecedor da solução deve requerer da agência reguladora autorização e, normalmente, pagar uma taxa de atualização. O padrão 802.16a (WiMax), por exemplo, utiliza a faixa de 2 a 11 GHz e pode atingir 50 km a uma velocidade de 10 a 70 Mb. Os fornecedores de serviço de telefonia móvel (celulares) no padrão GSM utilizam, no Brasil, a faixa de 1,8 GHz. Já em países como Canadá, México e Estados Unidos, a faixa utilizada é de 1,9 GHz.

Referências na internet • http://www.anatel.gov.br/Radiofrequencia/qaff.pdf


26

Segurança em redes sem fio

1.2 Características Alguns conceitos são restritos às redes sem fio, alguns são adaptados das redes convencionais cabeadas, até porque foram esses padrões que nortearam o modelo Wi-Fi. Porém a maioria deles é própria para redes sem fio, em virtude de suas características peculiares, e relaciona-se às camadas mais próximas do hardware, ou seja, 2 e 3 no modelo de referência OSI.

1.2.1 Carrier Sense Multiple Access with Collision Avoidance (CSMA/CA) Em redes Ethernet, um meio de prevenir colisões é fazer com que todos os participantes consigam ouvir o segmento de rede, para saber se podem ou não iniciar um diálogo. Esta técnica é conhecida como Carrier Sense Multiple Access with Collision Detection (CSMA/CD). Para estabelecer uma equivalência em relação às redes cabeadas, pensou-se no mesmo procedimento para redes sem fio. Entretanto essa equivalência não pode ser completa, tendo em vista a dificuldade de reprodução desse mecanismo em redes sem fio. Para isso seria necessário ter dois canais, um para recepção e outro para transmissão. E ainda assim haveria outros problemas, por exemplo, se duas estações em lados opostos do concentrador quisessem estabelecer comunicação. A forma encontrada para resolver essa questão foi adotar uma solução que garantisse que no momento da liberação do meio, para que uma estação trafegasse informações, não houvesse nenhuma outra transmissão. O CSMA/CA é semelhante ao CSMA/CD no que tange à liberação imediata do meio, caso não exista tráfego, e à geração de retardo para consulta, caso esteja havendo transmissão no momento do pedido. Essas características geram acessos rápidos em redes com tráfego pequeno, os quais passam a ter resposta mais lenta quanto maior for o volume de tráfego da rede em questão. Só que, diferentemente do CSMA/CD, quando uma estação não consegue acesso ao meio após o período aleatório de espera, não recebe um novo prazo, mas, sim, entra em uma fila de prioridade. À medida que o meio for liberado, a fila vai sendo processada, o que permite que estações que estão esperando há mais tempo tenham vantagem de uso do meio, para transmissão, em relação aos pedidos mais recentes.


Capítulo 1  Conceitos

27

1.2.2 Extended Service Set Identifier (ESSID) Também denominado o “nome da rede”, é a cadeia que deve ser conhecida tanto pelo concentrador, ou pelo grupo de concentradores, como pelos clientes que desejam conexão. Em geral, o concentrador envia sinais com ESSID, que é detectado pelos equipamentos na região de abrangência, fazendo com que estes enviem um pedido de conexão. Quando o ESSID não está presente, ou seja, quando os concentradores não enviam seu ESSID de forma gratuita, os clientes têm de conhecer de antemão os ESSIDs dos concentradores disponíveis no ambiente, para, então, requerer conexão.

1.2.3 Beacon Concentradores enviam sinais informando sobre sua existência, para que clientes que estejam procurando por uma rede percebam sua presença e estabeleçam corretamente conexão com um determinado concentrador. Essas informações são conhecidas como Beacon frames, sinais enviados gratuitamente pelos concentradores para orientar os clientes. Entretanto essas características podem não existir em alguns ambientes, já que a inibição do envio desses sinais é facilmente configurável nos concentradores atuais, a despeito de essa ação, em alguns casos, comprometer a facilidade de uso e retardar a obtenção da conexão em determinados ambientes.

1.2.4 Meio compartilhado Da mesma maneira que em redes Ethernet, também em redes Wi-Fi o meio é compartilhado entre todas as estações conectadas a um mesmo concentrador. Desta forma, quanto maior o número de usuários, menor será a banda disponível para cada um deles. Essa mesma característica faz com que o tráfego fique visível para todas as interfaces participantes. Portanto, de forma similar às redes cabeadas, uma estação pode capturar o tráfego não originado em si ou que lhe é destinado. Se o envio do sinal para todas as estações tem um grande risco associado em redes cabeadas, em redes sem fio ganha uma dimensão muito maior: para ter acesso ao meio, um atacante não precisa estar presente fisicamente ou ter acesso a


28

Segurança em redes sem fio

um equipamento da rede-alvo. Como o meio de transporte é o próprio ar, basta que um atacante esteja na área de abrangência do sinal. Porém, continuando a nossa analogia com as redes cabeadas, o uso de swiches permite isolar o tráfego para grupos de um ou mais elementos. Essa característica está presente em concentradores mais recentes, que permitem da mesma forma isolar o tráfego de cada cliente sem fio conectado. A tecnologia mais difundida para redes sem fio é o padrão Spread Spectrum, desenvolvido para uso militar, tendo como características de projeto a segurança e o uso em comunicações em situações adversas. Existem várias formas de comunicação que utilizam Spread Spectrum, como o Code Division Multiple Access (CDMA) para telefonia móvel. O uso de radiotransmissão faz com que o equipamento receptor tenha que conhecer a exata frequência da unidade transmissora para que a comunicação seja estabelecida corretamente. Em termos organizacionais, o padrão 802.11 define dois modos distintos de operação: ad hoc e infraestrutura.

1.2.4.1 Ad hoc Funciona de forma a prescindir de um ponto central de conexão. Os equipamentos conectam-se diretamente uns aos outros, de maneira mais ou menos análoga às antigas redes feitas com cabo coaxial, onde um único cabo interligava vários equipamentos e permitia a comunicação de um ponto com qualquer outro da rede. A analogia não é perfeita, pois no caso do cabo, quando ocorria um rompimento ou mau contato, a comunicação da rede inteira (ligada pelo mesmo cabo) era prejudicada, diferentemente do modo ad hoc, onde apenas o equipamento com problemas deixa de se comunicar com o restante da rede. Este modo de operação pode ser mais apropriado em situações em que não haja um concentrador disponível ou mesmo em pequenas redes, porém deve-se enfatizar que a ausência do concentrador cria vários problemas de segurança, administração e gerência da rede. Contudo, por outro lado, pode resolver questões pontuais, como acesso momentâneo para troca de arquivos em um aeroporto ou permitir comunicação rápida em um campo de batalha etc. A figura 1.1 ilustra essa topologia:


Capítulo 1  Conceitos

29

Figura 1.1 – Topologia de rede no modelo ad hoc.

1.2.4.2 Infraestrutura O concentrador é o equipamento central de uma rede que se utiliza dessa topologia. Assim, um ponto único de comunicação é rodeado de vários clientes, fazendo com que todas as configurações de segurança fiquem concentradas em um só ponto. Tal fato permite controlar todos os itens (autorização, autenticação, controle de banda, filtros de pacote, criptografia etc.) em um único ponto. Outra vantagem deste modelo é facilitar a interligação com redes cabeadas e/ou com a internet, já que em geral o concentrador também desempenha o papel de gateway ou ponte. Em uma configuração onde exista um concentrador, as estações precisarão de menos esforço para cobrir uma mesma área, como se pode ver na figura 1.2:

Figura 1.2 – Topologia de rede no modelo infraestrutura.


30

Segurança em redes sem fio

1.3 Padrões atuais O Institute of Electrical and Electronics Engineers (IEEE) formou um grupo de trabalho com o objetivo de definir padrões de uso em redes sem fio. Um desses grupos de trabalho foi denominado 802.11, que reúne uma série de especificações que basicamente definem como deve ser a comunicação entre um dispositivo cliente e um concentrador ou a comunicação entre dois dispositivos clientes. Ao longo do tempo foram criadas várias extensões, nas quais foram incluídas novas características operacionais e técnicas. O padrão 802.11 original (também conhecido como Wi-Fi), em termos de velocidade de transmissão, provê, no máximo, 2 Mbps, trabalhando com a banda de 2,4 GHz. A família 802.11 conta com as principais extensões (ou com subpadrões) descritas na ordem que foram especificadas.

1.3.1 Padrão 802.11b O primeiro subpadrão a ser definido permite 11 Mbps de velocidade de transmissão máxima, porém pode comunicar-se a velocidades mais baixas, como 5,5, 2 ou mesmo 1 Mbps. Opera na frequência de 2,4 GHz e usa somente DSSS. Permite um número máximo de 32 clientes conectados. Foi ratificado em 1999 e definiu padrões de interoperabilidade bastante semelhantes aos das redes Ethernet. Há limitação em termos de utilização de canais, sendo ainda hoje o padrão mais popular e com a maior base instalada, com mais produtos e ferramentas de administração e segurança disponíveis. Porém está claro que esse padrão chegou ao limite e já está sendo preterido em novas instalações e em atualizações do parque instalado. Na tabela 1.1 consta a associação entre canal e respectiva frequência: Tabela 1.1 – Associação entre canal e respectiva frequência Canal

Frequência

1

2,412

2

2,417

3

2,422


31

Capítulo 1  Conceitos Canal

Frequência

4

2,427

5

2,432

6

2,437

7

2,442

8

2,447

9

2,452

10

2,457

11

2,462

12

2,467

13

2,472

14

2,484

O comando iwconfig, no Linux, mostra qual o canal conectado, como no exemplo a seguir: # iwconfig wlan0 wlan0 IEEE 802.11 ESSID:"Homenet54" Nickname:"Homenet54" Mode:Managed Frequency:2.462GHz Access Point: 00:07:40:4D:1A:5C Bit Rate:54Mb/s Tx-Power:2346 dBm Retry min limit:8 RTS thr:off Fragment thr:off Encryption key:off Link Quality:91/92 Signal level:-46 dBm Noise level:-100 dBm Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0 Tx excessive retries:0 Invalid misc:0 Missed beacon:0

No qual a frequência de 2,462 GHz equivale ao canal 11 (Tabela 1.1).

1.3.2 Padrão 802.11a Definido após os padrões 802.11 e 802.11.b e tentando resolver os problemas existentes nestes, o 802.11a tem como principal característica o significativo aumento da velocidade para um máximo de 54 Mbps (108 Mbps em modo turbo), mas podendo operar em velocidades mais


32

Segurança em redes sem fio

baixas. Outra diferença é a operação na faixa de 5 GHz, uma faixa com poucos concorrentes, porém com menor área de alcance. Oferece também aumento significativo na quantidade de clientes conectados (64) e ainda no tamanho da chave usada com WEP, chegando em alguns casos a 256 bits (mas tem compatibilidade com os tamanhos menores, como 64 e 128 bits). Finalmente, adota o tipo de modulação OFDM, diferentemente do DSSS usado no 802.11b. Outra vantagem deste padrão consiste na quantidade de canais não sobrepostos disponíveis, um total de 12, diferentemente dos três canais livres disponíveis nos padrões 802.11b e 802.11g, o que permite cobrir uma área maior e mais densamente povoada, em melhores condições que outros padrões. O principal problema relacionado à expansão deste padrão tem sido a inexistência de compatibilidade com a base instalada atual (802.11g), já que esta utiliza faixas de frequência diferentes. A despeito disso, vários fabricantes têm investido em equipamentos neste padrão, e procedimento similar começa a ser usado em redes novas, onde não é necessário fazer atualizações nem há redes sem fio preexistentes.

1.3.3 Padrão 802.11g Este padrão é mais recente que os comentados anteriormente e equaciona a principal desvantagem do 802.11a, que é utilizar a faixa de 5GHz e não permitir interoperação com 802.11b. O fato de o 802.11g operar na mesma faixa (2,4 GHz) permite que equipamentos de ambos os padrões (b e g) coexistam no mesmo ambiente, possibilitando assim evolução menos traumática do parque instalado. Além disso, o 802.11g incorpora várias das características positivas do 802.11a, como utilizar também modulação OFDM e velocidade, cerca de 54 Mb nominais.

1.3.4 Padrão 802.11i Homologado em junho de 2004, este padrão diz respeito a mecanismos de autenticação e privacidade e pode ser implementado em vários de seus aspectos aos protocolos existentes. O principal protocolo de rede definido neste padrão é o RSN (Robust Security Network), que permite


Capítulo 1  Conceitos

33

meios de comunicação mais seguros que os difundidos atualmente. Está inserido neste padrão também o protocolo WPA, que foi desenhado para prover soluções de segurança mais robustas, em relação ao padrão WEP, além do WPA2, que tem por principal característica o uso do algoritmo criptográfico AES (Advanced Encryption Standard). Várias características deste padrão, como os problemas já constatados e de vários de seus métodos de promover maior nível de segurança, estão detalhados nos capítulos subsequentes.

1.3.5 Padrão 802.11n Também conhecido como WWiSE (World Wide Spectrum Efficiency), este padrão tem como foco principal o aumento da velocidade (cerca de 100 a 500 Mbps). Paralelamente, deseja-se aumento da área de cobertura. Em relação aos padrões atuais, há poucas mudanças. A mais significativa delas diz respeito a uma modificação de OFDM, conhecida como MIMO-OFDM (Multiple Input, Multiple Out-OFDM). Outra característica deste padrão é a compatibilidade retroativa com os padrões vigentes atualmente. O 802.11n pode trabalhar com canais de 40 Mhz e, também, manter compatibilidade com os 20 MHz atuais, mas neste caso as velocidades máximas oscilam em torno de 135 Mbps. Este padrão foi homologado no último trimestre de 2009. E, apesar de vários fabricantes terem se antecipado, lançando equipamentos antes da homologação, a atualização para o padrão definitivo é bastante simples e se reduz (quando necessário) a uma atualização de firmware. Uma forma simples de identificar equipamentos (access points) que utilizam este padrão é, geralmente, a presença de três antenas.

1.3.6 Padrão 802.11ac As principais características das redes 802.11ac são a maior velocidade (1.3 Gb/s), utilizar somente a frequência de 5 GHz (alguns concentradores permitem compatibilidade com 802.11n na frequência de 2.4 GHz) e melhor qualidade do sinal, o que torna as conexões mais estáveis.


34

Segurança em redes sem fio

1.3.7 Padrão 802.1x Mesmo não sendo projetado para redes sem fio (até por ter sido definido antes destes padrões), o 802.1x tem características que são complementares a essas redes, pois permite autenticação baseada em métodos já consolidados, como o RADIUS (Remote Authentication Dial-in User Service), de forma escalável e expansível. Dessa maneira é possível promover um único padrão de autenticação, independentemente da tecnologia (vários padrões de redes sem fio, usuários de redes cabeadas e discadas etc.), e manter a base de usuários em um repositório único, quer seja em banco de dados convencional, LDAP ou qualquer outro reconhecido pelo servidor de autenticação. É importante notar que, para esta infraestrutura funcionar, basta que os componentes – concentrador, servidor RADIUS e outros opcionais, como LDAP, Active Directory, banco de dados convencionais etc. – estejam interligados por meio de uma rede. A localização física de cada elemento tem pouca importância. Este padrão pressupõe a presença de um elemento autenticador, geralmente um servidor RADIUS, e um requerente, ou seja, o elemento que requer autenticação, no caso, o equipamento cliente. Essa autenticação é feita antes de qualquer outro serviço de rede estar disponível ao usuário requerente. Este, primeiro, solicita autenticação ao autenticador, que verifica em sua base de dados as credenciais apresentadas pelo cliente, e, conforme a validade ou não dessas credencias (normalmente o binômio usuário/senha), permite ou não o acesso a estas. Uma autenticação bem-sucedida deflagrará todos os outros processos para permitir ao usuário acesso aos recursos da rede, o que pode incluir receber um endereço via DHCP ou outro protocolo de atribuição de endereços IP, com informações de roteamentos, servidores DNS, liberar roteamento na porta do switch etc. É fácil visualizar o uso deste padrão para coibir o uso não autorizado de pontos de rede, pois em geral pontos de rede desocupados estão ativos e operacionais. Para isso, basta conectar um equipamento de rede para ter acesso total ou parcial aos serviços da rede da organização ou mesmo acesso à internet.


Capítulo 1  Conceitos

35

Em se tratando de redes sem fio, a mecânica é semelhante: só estará apto a fazer uso dos serviços da rede o usuário (e/ou equipamento) que estiver devidamente autenticado no servidor RADIUS. O 802.1x pode utilizar vários métodos de autenticação no modelo EAP (Extensible Authentication Protocol), que define formas de autenticação baseadas em usuário e senha, senhas descartáveis (OneTime Password), algoritmos unidirecionais (hash) e outros que envolvam algoritmos criptográficos.

1.4 Conclusões Cabe notar que vários fornecedores estão optando por fabricar equipamentos que podem operar em ambos os padrões (802.11a e 802.11g), tornando a escolha por um desses padrões pouco traumática e menos definitiva, pois a opção por um padrão em um determinado momento pode ser trocada sem problemas futuramente. Ou também pode permitir ao administrador utilizar ambos os padrões (802.11a/g) simultaneamente, para atender a diferentes demandas. Por o 802.11g interoperar com o 802.11b, permite que clientes que só têm esse padrão disponível façam uso dos recursos de redes sem fio da instalação. Além da possibilidade de combinação dos vários padrões no mesmo equipamento, essas características podem ser integradas a uma autenticação robusta e flexível fornecida pelo padrão 802.1x, para, com métodos de criptografia forte quando adotado o 802.11i, complementar os dispositivos necessários para montar realmente um modelo de segurança para redes sem fio.


Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.