B.1 Configura¸c˜oes do AP
2.3 Vis˜ao Geral da Seguran¸ca do IEEE 802.11
2.3.6 A Seguran¸ca IEEE 802.11i
O padr˜ao IEEE 802.11i ´e a sexta corre¸c˜ao aos padr˜oes da base IEEE 802.11. Ele inclui v´arias melhorias de seguran¸ca, que usam tecnologias de seguran¸ca ma- duras e comprovadas. Por exemplo, o IEEE 802.11i faz referˆencia ao padr˜ao EAP (Extensible Authentication Protocol ), que ´e uma maneira de prover auten- tica¸c˜ao m´utua entre STAs e a infra-estrutura da WLAN, bem como realizar dis- tribui¸c˜ao autom´atica de chaves criptogr´aficas. O EAP ´e um padr˜ao desenvolvido pelo IETF (Internet Engineering Task Force) (IETF, 2007 ). O IEEE 802.11i emprega pr´aticas criptogr´aficas amplamente aceitas, tais como a gera¸c˜ao de to- tais de verifica¸c˜ao criptogr´aficos atrav´es de HMAC (Hash Message Authentication Codes).
A especifica¸c˜ao IEEE 802.11i introduz o conceito de RSN (Robust Security Network ), que ´e definida como uma rede de seguran¸ca que permite somente a cria¸c˜ao de RSNAs (Robust Security Network Associations). RSNA ´e uma co- nex˜ao l´ogica entre entidades IEEE 802.11 comunicantes, estabelecida atrav´es do esquema de gerenciamento de chaves do IEEE 802.11i, chamado de handshake de 4 vias. O handshake de 4 vias ´e um protocolo que valida ambas as entidades que compartilharm uma PMK (Pairwise Master Key), sincroniza a instala¸c˜ao de chaves tempor´arias e confirma a sele¸c˜ao e configura¸c˜ao de protocolos de confiden- cialidade de dados e integridade. As entidades obtˆem o PMK em uma de duas formas - ou o PMK j´a est´a configurado em cada dispositivo, sendo nesse caso cha- mado de PSK (Pr´e-shared Key), ou ´e distribu´ıdo como resultado de uma instˆancia de autentica¸c˜ao EAP com sucesso, que ´e um componente do controle de acesso ba- seado em portas do IEEE 802.1X. O PMK serve como base para os protocolos de confidencialidade e integridade de dados que provˆeem seguran¸ca melhorada sobre o falho WEP. Na maioria dos casos de emprego da tecnologia RSN em grandes empresas ´e utilizado o 802.1X e o EAP ao inv´es de PSKs devido `a dificuldade de gerenciar PSKs em um grande n´umero de dispositivos. Conex˜oes WLAN em- pregando o modo ad-hoc, que tipicamente envolvem apenas poucas esta¸c˜oes, s˜ao mais apropriadas para usar o PSK.
RSNs: servidores de autentica¸c˜ao e o controle de acesso do IEEE 802.1X baseado em portas. O padr˜ao IEEE 802.1X provˆe um framework para o controle de acesso que emprega o EAP para prover uma autentica¸c˜ao m´utua centralizada. O IEEE 802.1X foi originalmente desenvolvido para redes locais cabeadas para prevenir o uso n˜ao autorizado em ambientes abertos, tais como campus universit´arios, mas tem sido usado pelo IEEE 802.11i para WLANs tamb´em. O framework do IEEE 802.1X provˆe a maneira de bloquear o acesso do usu´ario at´e que a autentica¸c˜ao tenha sucesso, desse modo controlando o acesso aos recursos da WLAN.
O padr˜ao IEEE 802.1X define v´arios termos relacionados `a autentica¸c˜ao. O autenticador ´e uma entidade na ponta de um segmento de rede local que facilita a autentica¸c˜ao da entidade que est´a na outra ponta do enlace. Por exemplo, o AP na Figura 2.6 serve como um autenticador. O suplicante ´e a entidade sendo autenticada. A STA pode ser vista como um suplicante. O AS (Authentication Server ) ´e uma entidade que provˆe um servi¸co de autentica¸c˜ao para o autenticador. Este servi¸co determina atrav´es das credenciais providas pelo suplicante se o mesmo ´e autorizado a acessar os servi¸cos disponibilizados pelo autenticador. O AS provˆe esses servi¸cos de autentica¸c˜ao e entrega chaves de sess˜ao para cada AP na rede wireless. Cada STA ou recebe as chaves de sess˜ao do AS ou deriva as chaves de sess˜ao por sua pr´opria conta. O AS autentica a STA e o AP, ou provˆe informa¸c˜oes para que os mesmos possam se autenticar mutuamente.
O AS tipicamente fica no sistema de distribui¸c˜ao, como est´a representado na Figura 2.6. Quando empregando uma solu¸c˜ao baseada no padr˜ao IEEE 802.11i, o AS mais frequentemente usado para autentica¸c˜ao ´e um servidor AAA (Authentica- tion, Authorization e Accounting) que usa RADIUS (Remote Authentication Dial In User Service) ou protocolo Diameter para transportar o tr´afego relacionado `a autentica¸c˜ao. O modelo suplicante/autenticador ´e intrinsecamente um modelo unilateral, ao inv´es de um modelo de autentica¸c˜ao m´utua: o suplicante se auten- tica para acessar a rede. O IEEE 802.11i combate esta propens˜ao requerendo que o m´etodo EAP usado providencie a autentica¸c˜ao m´utua.
A Figura 2.7 provˆe uma vis˜ao conceitual simples do IEEE 802.1X, que repre- senta todos os componentes fundamentais do IEEE 802.11i: STAs, um AP e um AS. No exemplo da figura considerada, as STAs s˜ao os suplicantes e o AP ´e o autenticador. At´e que a autentica¸c˜ao ocorra com sucesso entre a STA e o AS,
Figura 2.6: Vis˜ao Conceitual do Servidor de Autentica¸c˜ao na Rede.
as comunica¸c˜oes da STA s˜ao bloqueadas pelo AP. Uma vez que o AP se situa na fronteira entre a rede wireless e a rede cabeada, isto evita que uma STA n˜ao au- tenticada alcance a rede cabeada. A t´ecnica usada para bloquear a comunica¸c˜ao ´e conhecida como controle de acesso baseado em porta. O IEEE 802.1X pode controlar fluxos de dados atrav´es da distin¸c˜ao entre quadros EAP e n˜ao-EAP, passando quadros EAP atrav´es de uma porta n˜ao controlada e quadros n˜ao-EAP atrav´es de uma porta controlada, que pode bloquear o acesso. O IEEE 802.11i estende isto para bloquear a comunica¸c˜ao do AP at´e que as chaves estejam no lugar tamb´em.