Autenticação

Antes que lhes seja concedido o acesso aos recursos de rede, os utilizadores devem ser, primeiramente, autenticados. Em um mundo ideal, cada utilizador de uma rede sem fio deveria ter uma identificação única, pessoal e intransferível, de forma que um utilizador jamais pudesse passar-se por outro. Isto constitui um problema que é muito difícil de solucionar no mundo real. O que você tem mais perto deste identificador único é o endereço MAC. Ele é o número de 48 bits atribuído pelo fabricante para cada dispositivo Ethernet e wireless. Através do emprego de filtragem MAC nos nossos APs, podemos autenticar utilizador com base em seus endereços MAC. Através desta funcionalidade, o access point mantém uma tabela interna dos endereços MAC aprovados. Quando um utilizador wireless tenta ligar-se ao access point o seu endereço MAC deve estar registado na tabela, ou sua ligação será negada. Alternativamente, o AP pode manter uma lista de endereços MAC já identificados como "maus", permitindo o acesso de todos os outros que não estão nesta lista.

Infelizmente, este não é um mecanismo ideal de segurança. A manutenção de tabelas MAC em cada dispositivo pode ser trabalhosa, requerendo que todos os dispositivos clientes tenham seu endereço MAC registado e carregado para o AP. Pior ainda, endereços MAC podem ser modificados por software. Observando os endereços MAC em uso em uma rede sem fios, um atacante insistente pode passar-se por um endereço MAC aprovado, ligando-se com sucesso ao AP (esta técnica é chamada de spoofing). A filtragem MAC irá prevenir o acesso à rede de utilizador não intencionais e curiosos, mas usada individualmente, ela não irá prevenir atacantes especializados. Filtros MAC são úteis para limitar temporariamente o acesso de clientes "mal-comportados". Por exemplo, um laptop infectado por vírus que envie uma grande quantidade de emails indesejados, ou outro tipo qualquer de tráfego, pode ter seu endereço MAC adicionado à tabela de filtragem, impedindo imediatamente todo o tráfego gerado pelo mesmo. Isto pode nos dar tempo para identificar o utilizador e solucionar o problema. Outra funcionalidade popular de autenticação em redes wireless é a chamada rede fechada (closed network). Numa rede típica, os APs irão publicar seu ESSID muitas vezes por segundo, permitindo a clientes wireless (e a ferramentas como o NetStumbler) encontrar a rede e mostrar sua presença ao utilizador. Numa rede fechada, o AP não publica seu ESSID, fazendo com que os utilizadores sejam obrigados a conhecer o nome completo da rede antes que o AP permita a ligação. Isto previne que utilizador casuais descubram o nome da rede e a seleccionem para o uso em seu cliente wireless.

Há uma série de contrapontos para esta funcionalidade. Forçar os utilizadores a digitar o ESSID completo antes da ligação pode induzir a erros e frequentemente gera chamadas e reclamações para a equipe de suporte. Como a rede não está obviamente presente em ferramentas de pesquisas de localidades de acesso wireless, como o NetStumbler, isto pode evitar que sua rede apareça em mapas de war driving. Mas isto também significa que outros construtores de rede não terão como conhecer a sua rede e, especialmente, não saberão qual o canal que você pode estar ocupando. Um projectista consciente de uma rede vizinha irá fazer uma pesquisa da localidade, verificar quais as redes próximas e, ao desconhecer a sua, irá instalar uma nova rede no mesmo canal que você está utilizando. Isto causará problemas de interferência tanto para a sua rede como à nova que está sendo instalada. Finalmente, o uso de redes fechadas adiciona muito pouco, de forma geral, para a segurança de sua rede. Com o uso de ferramentas passivas de monitorização (como o Kismet), um utilizador hábil pode detectar informações enviadas de seus clientes legítimos para o AP. Estas informações contêm, necessariamente, o nome da rede. Um utilizador malicioso poderá, então, usar este nome para ligar-se ao access point, como qualquer utilizador normal faria. A criptografia é provavelmente a melhor ferramenta que temos para a autenticação de utilizadores wireless.

Com criptografia forte, podemos identificar individualmente um utilizador de uma maneira que será muito difícil de ser descoberta, usando esta identificação para determinar o tipo de acesso à rede que será permitido. A criptografia também tem o benefício da adição de uma camada de privacidade, impedindo que espiões observem facilmente o tráfego de rede. O método mais usado de criptografia em redes sem fio é o wep. wep significa wired equivalent privacy (privacidade equivalente a redes cabeadas), e é suportado por por praticamente todos os equipamentos 802.11a/b/g. wep usa uma chave partilhada de 40 bits para criptografar os dados entre o access point e o cliente. A chave deve ser configurada tanto no AP como em cada um dos clientes. Com wep activo, os clientes não podem aceder o AP até que usem a chave correta. Um espião observando uma rede utilizando wep ainda poderá ver o tráfego e os endereços MAC, mas os dados em cada pacote estarão criptografados. Isto fornece um mecanismo de autenticação razoavelmente bom, além de adicionar um pouco de privacidade à rede. wep não é, definitivamente, a melhor solução de criptografia disponível. Uma boa razão para isto é que a chave wep é partilhada entre todos os utilizadores. Caso a chave seja comprometida (digamos que um utilizador a entregue a um amigo, ou um funcionário é demitido) sua troca poderá ser quase impraticável, uma vez que todos os APs e dispositivos clientes necessitam de reconfiguração. Cada utilizador da rede ainda poderá espiar o tráfego de outros, uma vez que todos partilham a mesma chave.

A chave é, com rádio frequência, escolhida de maneira pobre, fazendo com que tentativas de quebra da mesma possam ser feitas. Pior do que tudo isso, a implementação do próprio wep tem problemas em muitos pontos de acesso, tornando ainda mais fácil a invasão de algumas redes. Mesmo que os fabricantes tenham implementado uma série de extensões para o wep (como chaves maiores e esquemas rápidos de rotação de chaves), estas extensões não são parte do padrão e geralmente não irão funcionar com equipamentos de outros fabricantes. A actualização para o firmware mais recente em todos os seus equipamentos wireless pode prevenir contra alguns dos ataques mais antigos e conhecidos para o wep. O wep ainda pode ser uma ferramenta útil de autenticação. Assumindo que todos os seus utilizadores são de confiança e não passarão adiante a chave de acesso, você pode estar razoavelmente certo de que seus clientes wireless são legítimos. Mesmo que a quebra do wep seja possível, ela está além das capacidades técnicas da maioria dos utilizadores. O wep é bastante útil na segurança de links ponto-a-ponto de longa distância, mesmo em redes geralmente abertas. Com o uso do wep num link deste tipo, você desencoraja que outros se liguem a ele, fazendo com que procurem outros APs disponíveis. Pense no wep como uma placa de "Mantenha Distância" para a sua rede. Qualquer um que detecte sua rede, verá que uma chave de acesso é necessária, ficando claro que nem todos são bem-vindos à entrar nela. A maior força do wep é sua funcionalidade. A fim de seguir os padrões 802.11, todos os dispositivos wireless fornecem suporte wep básico. Mesmo não sendo o mais robusto disponível, ele é certamente o método de criptografia mais largamente utilizado. Veremos outras técnicas de criptografia avançada mais adiante neste artigo. Para mais detalhes sobre o estado actual da criptografia wep, veja estes artigos:

Outro protocolo de autenticação na camada de link de dados é o WiFi Protected Access (Acesso Protegido WiFi), ou wpa. O wpa foi criado para lidar especificamente com os problemas do wep descritos anteriormente. Ele provê um esquema de criptografia significativamente mais forte e pode usar uma chave privada partilhada, chaves únicas designadas para cada utilizador ou mesmo certificados SSL para autenticar tanto o cliente como o access point. As credenciais de autenticação são verificadas com o uso do protocolo 802.1X, que consulta uma terceira base de dados, como o RADIUS. Através do uso de um protocolo de integridade temporal de chave (Temporal Key Integrity Protocol - TKIP), as mesmas podem ser roteadas rapidamente com o passar do tempo, reduzindo a possibilidade de uma sessão ser quebrada. De forma geral, o wpa fornece uma autenticação e privacidade bem melhores que o padrão wep. O wpa requer access points com hardware relativamente recente e o firmware actualizado em todos os clientes wireless, assim como uma boa dose de configuração. Se você está instalando a rede em um ambiente onde tem o total controle da plataforma de hardware, o wpa pode ser o ideal. Com a autenticação de todos os clientes e APs, o problema dos APs desonestos está resolvido, além de outras vantagens sobre o wep. Mas em ambientes de rede onde ainda existem equipamentos antigos e o conhecimento dos equipamentos utilizados pelos utilizadores é limitado, a instalação do wpa pode ser um pesadelo. É por esta razão que a maioria dos ambientes continua utilizando wep, quando alguma forma de criptografia é utilizada.

Portais Cativos

Uma forma comum de autenticação em redes wireless é o uso de portais cativos. Um portal cativo usa um navegador web padrão para fornecer ao utilizador uma maneira de apresentar suas credenciais de login. Ele também pode ser usado para apresentar informações ao utilizador (como uma Política de Uso) antes de permitir a continuidade do acesso. O uso de um navegador web, ao invés de um programa específico para a autenticação, permite que o portal cativo funcione com praticamente todos os laptops e sistemas operativos. Portais cativos são tipicamente utilizados em redes abertas que não tenham outros métodos de autenticação (como wep ou filtros MAC). Para começar, um utilizador wireless selecciona a rede no seu laptop. O computador irá solicitar e receber um endereço dhcp. O utilizador, então, abre o seu navegador para aceder a um site na internet.

Ao invés de receber a página solicitada, o utilizador é apresentado a uma tela de login. Esta página solicita que o utilizador digite seu nome de acesso e senha, simplesmente clique em um botão de "login" após ler a política de uso, digite os números de um cartão pré-pago ou forneça qualquer outra credencial requerida pelo administrador de rede. Tais credenciais são verificadas pelo access point ou outro servidor da rede. Qualquer outro tipo de acesso à rede é bloqueado até que as credenciais sejam verificadas.

Uma vez autenticado, o utilizador tem acesso aos recursos da rede e é, normalmente, direccionado ao site originalmente solicitado.

Os portais cativos não fornecem criptografia ao utilizador wireless, apenas confiando no endereço MAC e IP do cliente como identificadores únicos. Uma vez que isto não é, necessariamente, muito seguro, muitas implementações irão requerer novas autenticações periódicas. Frequentemente, isto é feito, de forma automática, em uma pequena janela de popup que é minimizada assim que o utilizador é autenticado pela primeira vez. Já que não fornecem criptografia forte, os portais cativos não são uma boa escolha para redes que precisam ser travadas de forma a permitir acesso apenas a utilizador confiáveis. Eles prestam-se mais a cafés, hotéis e outros locais de acesso público, onde utilizadores casuais de rede são esperados. Na configuração de uma rede pública, ou semi-pública, técnicas de criptografia como wep e wpa são, efectivamente, inúteis. Simplesmente, não há uma maneira de distribuir chaves públicas ou partilhadas para um grande número de pessoas sem comprometer a segurança de tais chaves. Nestas configurações, uma simples aplicação, como um portal cativo, fornece um nível de serviço que fica entre algo completamente aberto ou completamente fechado.

Projectos populares de hotspots

Chillispot. O Chillispot é um portal cativo designado à autenticação de utilizadores a partir de uma base de dados de credenciais, como o RADIUS. Combinado a uma aplicação como a phpMyPrePaid, a autenticação baseada em cartões pré-pagos pode ser implementada facilmente.

WiFi Dog . O WiFi Dog fornece um pacote completo de portal cativo e autenticação que ocupa muito pouco espaço (tipicamente, abaixo de 30kb). Da perspectiva do utilizador, ele não requer nenhum popup ou suporte a javascript, o que permite que seja usado em uma grande variedade de dispositivos wireless.

mOnOwall. O mOnOwall é um sistema operativo completo, embarcado, baseado em FreeBSD. Inclui um portal cativo com suporte a RADIUS, assim como um servidor web PHP.

NoCatSplash O NoCatSplash fornece uma página de apresentação (splash page) personalizada para seus utilizadores, requerendo que eles cliquem em um botão de "login" antes de acederem à rede. Isto é útil para fornecer a identificação e os contactos das pessoas de suporte à rede e exibir regras para o seu acesso. Ele consiste em uma solução muito simples em situações onde você necessita fornecer informações e enfatizar a política de uso para utilizadores de uma rede aberta.

Links externos

Editor

--Cmsv 20h17min de 23 de janeiro de 2010 (GMT)