b. WEP2 ou WPA(Wi-Fi
Protected Access)
O Wi-Fi Protected Acess, também conhecido como WPA, representa uma grande melhoria com relação a segurança de redes Wi-Fi em relação ao problemático WEP. Foi desenvolvido em conjunto entre a Wi-Fi Alliance e o IEEE, no sentido de trazer uma nova especificação de segurança para o mercado.
O WPA apresenta melhorias com relação a transmissão de dados através do ar e a segurança de acesso que antecipavam o ainda não lançado IEEE 802.11i adendo ao padrão IEEE 802.11, do qual o WPA representa um dos subconjuntos. Ele foi desenvolvido para aumentar a segurança de todas as versões do padrão 802.11, incluindo os mais populares 802.11g e 802.11b, e para ter compatibilidade tanto com versões já existentes quanto versões que ainda venham a ser lançadas(“backward” e “forward”).
Ele tem por objetivo corrigir todas as falhas apresentadas pelo WEP, com um mínimo de redução na performance da rede e compatibilidade com as centenas de produtos “Wi-Fi certified”. Inclusive foi lançado antes do IEEE 802.11i por medo da Wi-Fi Alliance de essas falhas de segurança prejudicarem a adesão dos usuários domésticos e empresariais ao padrão.
i.Funcionamento
A criptografia do WPA é feita através do Temporal Key Integrity Protocol, TKIP. Sua autenticação é realizada através de um framework IEEE 802.1X somado a um Extensible Acess Protocol. Vamos agora definir esses termos:
TKIP: método de criptogafia que se utiliza de hierarquia e gerenciamento de chaves para remover a previsibilidade das chaves do WEP. O TKIP implementa o aumento do tamanho da chave para 128 bits. Ele implementa 4 novos algoritmos com relação ao WEP: Message integrity Code(MIC), uma nova sequenciacao dos vetores de inicializacao(IV), função de key mixing por pacote e um mecanismo de mudanca de chaves dinamicamente.
O MIC serve pra prevenir a alteração de pacotes, se o o pacote não passar pelo teste, ele é descartado. O MIC utiliza como argumentos a mensagem a ser enviada e uma chave conhecida apenas pelo emissor e pelo receptor. Com isso, o MIC gera uma tag T que é enviada junto com a mensagem. O receptor realiza o mesmo processo com a mensagem e a chave, e testa para se certificar que a mensagem chegou intacta. Se dois pacotes não passarem pelo teste no mesmo segundo, a sessão é terminada, a chave da sessão é jogada fora e uma nova chave é gerada. O MIC corresponde a área em verde na figura Ilustração 1:
Ilustração 2: Figura correspondente a organizacao do pacote TKIP
A sequenciação dos vetores de inicialização faz com que cada pacote tenha um código seqüencial de 48 bits. Se o vetor de um pacote que vem na seqüência de outro precisa ser incrementado, se não for, o pacote é descartado. Isso impede a repetição de pacotes que ocorria no WEP.
Ilustração 3: Semelhante a figura anterior, so que desta vez o setor de destaque é o vetor de inicializacao.
A chamada função de key mixing tem como objetivo de acabar com os ataques a chaves “fracas”. Ele pega a chave temporal, que é mudada a cada período de tempo, e o endereco MAC da interface sem fio local, e atraves de um XOR bit-a-bit produz uma chave intermediaria(Ilustração 3). Depois essa chave intermediaria é codificada com o numero seqüencial de pacotes, e assim é criada uma chave por pacote de 128 bits, dos quais os 3 primeiros bytes correspondem ao vetor de inicializacao por pacote e os 13 ultimos correspondem a chave por pacote. Essa chave de 128 bits é então utilizada para codificar os dados pelo algoritmo RC4.
IEEE 802.1X(EAP):
Autenticação:
O IEEE 802.1X
é um padrão do IEEE para Controle de acesso a redes baseadas
Ele funciona da seguinte maneira: o cliente pede autorização para se conectar a um ponto de acesso; o ponto de acesso após receber e requisição, abre uma porta para que o cliente envie pacotes apenas do protocolo EAP over Lan (EAPOL), bloqueando qualquer outro protocolo ate que a autenticação seja realizada por um servidor de autenticação ligado por fio ao ponto de acesso.O ponto de acesso então se comunica com o servidor de autenticação através de EAP. Esse servidor de acesso, de posse das credenciais do usuário, se certifica que o usuário esta conectado ao ponto de acesso correto e que este usuário tem direito a se conectar a esse ponto de acesso. Essa autenticação é mutua, ou seja. O servidor de autenticação se certifica que ambos ponto de acesso e cliente tem de estar conectados, fornecendo a chave TKIP aos dois após a certificação e trocando periodicamente a chave em ambos, impedindo a reutilização de chaves. A figura abaixo mostra o funcionamento do processo de autenticação:
Ilustração 4: Figura da autenticacao IEEE 802.11i
Um dos servidores de autenticação mais usados é o RADIUS.
Este método é utilizado em ambientes corporativos por ser muito seguro e confiável. Para usuários domésticos e pequenas empresas, o tipo de autenticação utilizada é diferente, a chamada Pre-shared Key, PSK.
O PSK consiste em uma senha pré-compartilhada pelos usuários da rede. Essa senha é utilizada pelo ponto de acesso para obter as chaves de criptografia. Essa senha deve ser digitada manualmente nos clientes para que obtenham acesso. Esse método não é tão eficiente quanto o EAP, mas é perfeito para clientes domésticos.
ii.Vantagens sobre o WEP:
O WPA foi criado com objetivo de suplantar todos os problemas do WEP antecipando as melhorias que seriam implementadas pelo ainda não lançado IEEE 802.11i. O WPA se propõe a resolver as seguintes falhas criticas do WEP:
· Codificação do vetor de inicializacao seqüencial, impedindo que um usuário não autorizado consiga mandar pacotes para a rede por “forca-bruta”.
· Um novo tipo de método para gerar chaves, criando uma chave diferente por pacote, dificultando o trabalho de alguém mal intencionado que tente descobrir a chave da rede através de uma observação por um longo período de tempo.
· Troca da chave periodicamente de maneira automática, impedindo que uma chave seja reutilizada.