Configuração da criptografia de dados e autenticação
Visão geral da criptografia
Como habilitar a criptografia WEP
Tarefas do administrador do sistema
Configuração do cliente para a autenticação WEP e MD5
Configuração do cliente para WPA-PSK usando a autenticação WEP ou TKIP
Configuração do cliente para WPA usando a criptografia TKIP e a autenticação TLS
Configuração do cliente para WPA usando a criptografia TKIP e a autenticação TTLS ou PEAP
Configuração do cliente para CCX usando a criptografia CKIP e autenticação LEAP
A criptografia e autenticação compartilhada WEP (Wired Equivalent Privacy) ajudam a proteger os dados da rede. A WEP usa uma chave de criptografia para codificar os dados antes de transmiti-los. Apenas os computadores que usarem a mesma chave de criptografia podem acessar a rede ou decodificar os dados transmitidos. A autenticação é um processo adicional de validação do adaptador no ponto de acesso. O algoritmo de criptografia WEP é vulnerável a ataques passivos e ativos à rede. Os algoritmos TKIP e CKIP contêm avanços em relação ao protocolo WEP para suprimir os ataques existentes à rede e para resolver os problemas causados por esses ataques.
O 802.11 suporta dois tipos de autenticação à rede: Sistema aberto e Chave compartilhada, que usam a criptografia WEP de 64 e 128 bits. O modo aberto não usa um método de autenticação criptografado para associar-se a um ponto de acesso específico. Os esquemas de autenticação suportados são os de chave aberta e de chave compartilhada:
Quando a criptografia de dados (WEP, WEP, CKIP ou TKIP) está ativada, uma chave de rede é usada para criptografia. A chave de rede pode ser fornecida automaticamente (por exemplo, ela pode ser fornecida no adaptador de rede sem fio ou você pode digitá-la e especificar seu comprimento (64 ou 128 bits), seu formato (caracteres ASCII ou algarismos hexadecimais) e seu índice (o local específico onde a chave é armazenada)). Quanto maior o comprimento da chave, maior a sua segurança. Sempre que o comprimento da chave é aumentado em um bit, o número de chaves possíveis dobra.
No 802.11, pode ser configurada uma estação sem fio com até quatro chaves (os valores de índice de chave são 1, 2, 3 e 4). Quando um ponto de acesso ou uma estação sem fio transmite uma mensagem criptografada usando uma chave que está armazenada em um índice específico, o índice que está sendo usado para criptografar o corpo da mensagem é indicado. O ponto de acesso ou estação sem fio receptora pode recuperar a chave armazenada nesse índice de chave e usá-la para decodificar o corpo da mensagem criptografada.
O padrão 802.1x usa dois tipos de chaves de criptografia: estática e dinâmica. As chaves de criptografia estáticas são alteradas manualmente e são mais vulneráveis. A autenticação MD5 usa somente chaves de criptografia estáticas. As chaves de criptografia dinâmicas são renovadas automaticamente a intervalos de tempo. Este recurso torna as chaves mais seguras. Para ativar as chaves de criptografia dinâmicas, você precisa usar os métodos de autenticação 802.1x, como TLS, TTLS, PEAP ou LEAP.
Principais aspectos da autenticação do 802.1x
Os métodos de autenticação do 802.1x abrangem senhas, certificados e smart cards (cartões de plástico
que armazenam dados). Recurso de capacidade de sincronização de senha do 802.1x: A opção "Usar o login do Windows" no diálogo Credenciais de MD5, TLS, TTLS e LEAP permite corresponder as credenciais do 802.1x a seu nome de usuário e senha do Windows. A opção de autenticação 802.1x só pode ser usada com o modo de operação de infra-estrutura.
A segurança da WLAN pode ser melhorada por meio da criptografia de dados WEP (Wireless Encryption Protocol). É possível escolher uma criptografia de 64 bits ou de 128 bits. Além disso, os dados podem ser criptografados com uma chave. Um outro parâmetro chamado índice de chave permite a opção de criar chaves múltiplas para aquele perfil. Contudo, apenas uma chave pode ser usada de cada vez. Você também pode proteger o perfil com uma senha para assegurar privacidade
A senha é usada para gerar automaticamente uma chave WEP. Você tem a opção de usar uma senha ou inserir manualmente uma chave WEP. Ao usar criptografia de 64 bits, a senha tem 5 caracteres e você poderá escolher entre digitar uma frase qualquer e fácil de lembrar, como Acme1, ou digitar dez números em hexadecimal para a chave WEP correspondentes à rede à qual o usuário deseja se conectar. Para a criptografia de 128 bits, a senha tem 13 caracteres e você pode digitar 26 caracteres hexadecimais para a chave WEP, para se conectar à rede adequada.
Nota: Você precisa usar o mesmo tipo de criptografia, o mesmo número de índice da chave e a mesma chave WEP que os outros dispositivos da rede sem fio.
O exemplo a seguir mostra como editar um perfil existente e aplicar a criptografia WEP.
Nota: Antes de iniciar, entre em contato com o administrador do sistema para obter a senha WEP ou chave hexa da rede.
Para ativar a criptografia WEP:
- Usar senha: Clique nesta opção para ativá-la. Digite uma senha, com até cinco (para 64 bits) ou até 13 (para 128 bits) caracteres alfanuméricos (0-9, a-z ou A-Z) no campo Senha.
- Usar chave hexa: Clique nesta opção para ativá-la. Digite até dez (para 64 bits) caracteres alfanuméricos, 0-9, A-F ou vinte e seis (para 128 bits) caracteres alfanuméricos, 0-9, A-F no campo Chave hexa.
![]() |
Nota: As informações a seguir se destinam aos administradores de sistemas. Consulte Privilégios do administrador e Usuários restritos para obter mais informações |
Se não tiver nenhum certificado para EAP-TLS ou EAP-TTLS, você precisará obter um certificado de cliente para que a autenticação possa ser feita. Geralmente, você precisará consultar o administrador do sistema para obter instruções sobre como obter um certificado na sua rede. Os certificados podem ser gerenciados das "Configurações de Internet" que são acessadas no Internet Explorer ou no Painel de controle do Windows. Use a página "Conteúdo" das "Configurações de Internet".
Windows XP e 2000: Para obter um certificado de cliente, não ative a proteção forte de chave privada. Se ativar a proteção forte de chave privada para o certificado, você precisará digitar uma senha de acesso para esse certificado toda a vez em que ele for usado. Você precisará desativar a proteção forte de chave privada para o certificado se estiver configurando o serviço para autenticação TLS/TTLS. Caso contrário, o serviço do 802.1x falhará na autenticação porque não existe um usuário logado para quem a caixa de diálogo de prompt possa ser exibida.
Notas sobre as Placas inteligentes
Quando a placa inteligente é instalada, o certificado é instalado automaticamente no computador e pode ser selecionado na pasta de certificados da pessoa e na pasta de certificados da raiz.
Passo 1: Obter o certificado
Para permitir a autenticação TLS, você precisa de um certificado válido de cliente (usuário) no repositório local para a conta do usuário logado. Você precisa também de um certificado reconhecido pela CA na pasta raiz.
Há dois métodos de obtenção de um certificado:
Nota: Se este for o primeiro certificado que você obtém, a autoridade de certificação perguntará se você quer instalar um certificado reconhecido pela CA na raiz. A caixa de diálogo não dirá que este é um certificado reconhecido pela autoridade de certificação, mas o nome do certificado mostrado será o mesmo do host da CA. Clique em Sim, você precisará deste certificado para o TLS e para o TTLS.
Configurar um perfil usando autenticação WPA com criptografia WEP ou TKIP usando a autenticação TLS.
Passo 2: Especificação do certificado usado pelo Intel(R) PROSet
Nota: Obtenha e instale um certificado de cliente; consulte a Etapa 1 ou consulte o administrador do sistema.Marque a caixa de seleção "permitir certificados intermediários" para permitir que alguns certificados não especificados estejam na cadeia de certificados do servidor, entre o certificado do servidor e a autoridade de certificação especificada. Se esta caixa estiver desmarcada, então, a autoridade de certificação especificada deve ter emitido diretamente o certificado do servidor.
Digite o nome do servidor/certificado. Se você souber o nome do servidor/certificado, digite-o. Selecione a opção adequada, correspondente exatamente ao nome do servidor, ou especifique um nome de domínio.
Certificado do cliente:Esta opção seleciona um certificado de cliente no armazenamento de certificados pessoais do usuário logado do Windows. O certificado será usado para autenticação do cliente. Clique no botão Selecionar para abrir uma lista de certificados instalados.
Nota sobre Certificados: A identidade especificada precisa ser igual ao conteúdo do campo "Emitido para" no certificado e deve estar registrada no servidor de autenticação (por exemplo, servidor RADIUS) usado pelo autenticador. Seu certificado precisa ser "válido" em relação ao servidor de autenticação. Este requisito depende do servidor de autenticação e geralmente significa que este servidor de autenticação precisa conhecer o emissor do certificado como a Autoridade de certificação. Você deve estar logado com o nome de usuário usado quando o certificado foi instalado.
Para adicionar a autenticação WEP e MD5 a um novo perfil:
Nota: Antes de iniciar, entre em contato com o administrador do sistema para obter o nome do usuário e a senha no servidor RADIUS.
- Solicitar credenciais ao conectar: Solicita seu nome de usuário e senha sempre que você fizer login na rede.
- Usar o login do Windows: Esta opção permite corresponder as credenciais do 802.1x às de seu nome de usuário e senha do Windows. Para conectar-se, o diálogo Credenciais solicita suas credenciais de login do Windows.
- Salvar credenciais do usuário: Faça login na rede, usando as credenciais gravadas. Clique em Configurar para abrir o diálogo de credenciais. Digite o nome de usuário, domínio e senha da conta do usuário criada no servidor de autenticação. Estas credenciais são gravadas para uso posterior com este perfil do 802.1x. O nome do usuário e a senha não precisam ser iguais ao seu nome e senha de login no Windows. Clique em OK para salvar as credenciais.
Nota: Se o recurso 'Usar o login do Windows' estiver esmaecido (inacessível), o recurso Sign-on único não foi instalado. Para instalar o recurso 'Usar o login do Windows' consulte Instalação e desinstalação do recurso Sign-on único para obter as instruções de instalação.
- Se você não marcou a opção Usar o login do Windows (etapa 13) no diálogo Configurações de segurança e também não configurou as credenciais do usuário, um diálogo Entrar credenciais será exibido quando você tentar se conectar com este perfil. Digite seu nome de usuário e senha do Windows. Marque a caixa de seleção Salvar as credenciais do usuário para salvar as credenciais para uso futuro com este perfil do 802.1x.
Use o modo WPA-PSK (Wi-Fi Protected Access - Pre Shared Key) se não houver um servidor de autenticação sendo usado. Este modo não usa qualquer protocolo de autenticação 802.1x. Pode ser usado com a criptografia de dados WEP ou TKIP: O WPA-PSK precisa da configuração de uma chave pré-compartilhada (PSK). Digite uma senha ou 64 caracteres hexadecimais para uma chave pré-compartilhada de 256 bits. A chave de criptografia de dados é derivada do PSK.
Para configurar um novo perfil usando a criptografia WEP ou TKIP com a autenticação de rede WPA-PSK:
O modo WPA (Wi-Fi Protected Access) pode ser usado com TLS, TTLS ou PEAP. Este protocolo de autenticação 802.1x usa as opções de criptografia de dados WEP ou TKIP. O modo WPA (Wi-Fi Protected Access) está vinculado com a autenticação 802.1x. A chave de criptografia de dados é recebida da troca de chaves 802.1x. Para melhorar a criptografia de dados, o acesso Wi-Fi protegido usa seu TKIP (Temporal Key Integrity Protocol). O TKIP oferece otimizações importantes de criptografia de dados, incluindo o método de rechaveamento.
Digite seu nome de usuário no campo Nome do usuário.
Selecione o "Emissor do certificado" na lista. Selecione Qualquer AC acreditada como padrão.
Marque a caixa de seleção "permitir certificados intermediários" para permitir que alguns certificados não especificados estejam na cadeia de certificados do servidor, entre o certificado do servidor e a autoridade de certificação especificada. Se esta caixa estiver desmarcada, a autoridade de certificação especificada precisa ter emitido diretamente o certificado do servidor.
Digite o nome do servidor. Se você souber o nome do servidor, digite-o. Selecione a opção adequada, correspondente exatamente ao nome do servidor, ou especifique um nome de domínio.
Nota sobre Certificados: A identidade especificada precisa ser igual ao conteúdo do campo "Emitido para" no certificado e deve estar registrada no servidor de autenticação (por exemplo, servidor RADIUS) usado pelo autenticador. Seu certificado precisa ser "válido" em relação ao servidor de autenticação. Este requisito depende do servidor de autenticação e geralmente significa que este servidor de autenticação precisa conhecer o emissor do certificado como a Autoridade de certificação. Você deve estar logado com o nome de usuário usado quando o certificado foi instalado.
Autenticação TTLS: Estas configurações definem o protocolo e as credenciais a serem usados para autenticar um usuário. No TTLS, o cliente usa EAP-TLS para validar o servidor e criar um canal criptografado por TLS entre o cliente e o servidor. O cliente pode usar outro protocolo de autenticação, tipicamente controles baseados em senha, como o desafio MD5 neste canal criptografado para ativar a validação de servidor. Os pacotes de desafio e resposta são enviados por um canal TLS não exposto e criptografado.
Autenticação PEAP: As configurações do PEAP são necessárias para a autenticação do cliente para o servidor de autenticação. No PEAP, o cliente usa EAP-TLS para validar o servidor e criar um canal criptografado por TLS com o servidor. O cliente pode usar outro mecanismo EAP, como o MSCHAP (Protocolo de autenticação de desafios da Microsoft) Versão 2, neste canal criptografado para ativar a validação de servidor. Os pacotes de desafio e resposta são enviados por um canal TLS não exposto e criptografado.
O exemplo a seguir descreve como usar o WPA com a criptografia WEP ou TKIP usando a autenticação TTLS ou PEAP.
Digite o nome do servidor.
- Se você souber o nome do servidor, digite-o.
- Selecione a opção adequada, correspondente exatamente ao nome do servidor, ou especifique um nome de domínio.
- Solicitar credenciais ao conectar: Solicita seu nome de usuário e senha sempre que você fizer login na rede.
- Usar o login do Windows: Esta opção permite corresponder as credenciais do 802.1x às de seu nome de usuário e senha do Windows. Para conectar-se, o diálogo Credenciais solicita suas credenciais de login do Windows.
- Salvar credenciais do usuário: Marque esta caixa para salvar seu nome de usuário e senha para usar posteriormente com um perfil de autenticação do 802.1x. Clique em Configurar e digite seu nome de usuário, domínio e senha. Para salvar as configurações e fechar o diálogo, redigite a senha no campo Confirme a senha e clique em OK. Este nome de usuário e domínio devem ser iguais aos definidos no servidor de autenticação pelo administrador do sistema antes da autenticação do cliente. O recurso distingue maiúsculas de minúsculas no nome de usuário. Este nome especifica a identidade fornecida ao autenticador pelo protocolo de autenticação que está ativo no túnel TLS. A identidade deste usuário é transmitida com segurança para o servidor somente depois que um canal criptografado for verificado e estabelecido. Redigite a senha do usuário. Se confirmada, serão mostrados os mesmos caracteres da senha digitada no campo Senha.
Nota: Se o recurso 'Usar o login do Windows' estiver esmaecido (inacessível), o recurso Sign-on único não foi instalado. Para instalar o recurso 'Usar o login do Windows' consulte Instalação e desinstalação do recurso Sign-on único para obter as instruções de instalação.
Nota sobre Certificados: A identidade especificada precisa ser igual ao conteúdo do campo "Emitido para" no certificado e deve estar registrada no servidor de autenticação (servidor RADIUS) usado pelo autenticador. Seu certificado precisa ser "válido" em relação ao servidor de autenticação. Este requisito depende do servidor de autenticação e geralmente significa que este servidor de autenticação precisa conhecer o emissor do certificado como a Autoridade de certificação. Você deve estar logado com o nome de usuário usado quando o certificado foi instalado.
- Se você não marcou a opção Usar o login do Windows (etapa 15) no diálogo Configurações de segurança e também não configurou as credenciais do usuário, um diálogo Entrar credenciais será exibido quando você tentar se conectar com este perfil. Digite seu nome de usuário e senha do Windows. Marque a caixa de seleção 'Salvar as credenciais do usuário' para salvar as credenciais para uso futuro com este perfil do 802.1x.
![]() |
Nota: Um perfil LEAP só pode ser configurado usando o Intel(R) PROSet. |
Um perfil do Intel(R) PROSet CCX (v1.0) deve ser configurado para permitir a conexão com uma LAN sem ou rede ESS específica. As configurações de perfis são LEAP, CKIP e Detecção de Rogue AP.
Para configurar um perfil para configurações de segurança CCX:
- Solicitar credenciais ao conectar: Selecione esta caixa para digitar sempre seu nome de usuário e senha para conectar-se a uma rede sem fio. O nome e senha do usuário devem ser definidos primeiramente no servidor de autenticação pelo administrador do sistema. Vá para a etapa 13.
- Usar o login do Windows: Esta opção permite corresponder as credenciais do 802.1x às de seu nome de usuário e senha do Windows. O nome do usuário e a senha não são obrigatórios. Vá para a etapa 13.
- Salvar credenciais do usuário: Marque esta caixa para salvar seu nome de usuário e senha para usar posteriormente com um perfil de autenticação do 802.1x. Clique em Configurar e digite seu nome de usuário, domínio e senha. Para salvar as configurações e fechar o diálogo, redigite a senha no campo Confirme a senha e clique em OK. Este nome de usuário e domínio devem ser iguais aos definidos no servidor de autenticação pelo administrador do sistema antes da autenticação do cliente. O recurso distingue maiúsculas de minúsculas no nome de usuário. Este nome especifica a identidade fornecida ao autenticador pelo protocolo de autenticação que está ativo no túnel TLS. A identidade deste usuário é transmitida com segurança para o servidor somente depois que um canal criptografado for verificado e estabelecido. Redigite a senha do usuário. Se confirmada, serão mostrados os mesmos caracteres da senha digitada no campo Senha.
Nota: Se o recurso 'Usar o login do Windows' estiver esmaecido (inacessível), o recurso Sign-on único não foi instalado. Para instalar o recurso 'Usar o login do Windows' consulte Instalação e desinstalação do recurso Sign-on único para obter as instruções de instalação.
O ponto de acesso dispõe de configurações para selecionar tipos diferentes de autenticação, dependendo do ambiente da WLAN. O cliente envia um campo Algoritmo de autenticação durante o entrosamento de sincronismo (handshake) de autenticação do 802.11 que ocorre entre o cliente e o PA, durante o estabelecimento da conexão. Os valores do Algoritmo de autenticação reconhecidos por um PA ativado por CCX são diferentes para os diversos tipos de autenticação. Por exemplo, o “EAP de Rede”, que destaca o LEAP, tem um valor de 0x80 enquanto o tipo “Aberto”, que é a autenticação aberta especificada pelo 802.11, e o “EAP Obrigatório”, que exige uma troca de entrosamento de sincronismo do EAP, têm valores de 0x0.
PA: Para as redes ativadas pelo CCX usando a autenticação LEAP somente o tipo de autenticação é definido com a marcação da caixa de seleção “EAP de rede” e com as caixas “Aberto” e “EAP obrigatório” desmarcadas. O PA é, então, configurado para permitir que SOMENTE os clientes LEAP se autentiquem e se conectem. Nesse caso, o PA pressupõe que o algoritmo de autenticação do 802.11 esteja definido como 0x80 (LEAP) e recusa os clientes que tentarem a autenticação com um valor 0x0 de algoritmo de autenticação.
Cliente: Nesse caso, o cliente deve emitir um valor 0x80 de algoritmo de autenticação, a despeito de que o entrosamento de sincronismo (handshake) da autenticação do 802.11 venha a falhar. No processo de inicialização, quando o driver da rede sem fio já estiver carregado mas não o requerente do Intel(R) PROSet, o cliente envia a autenticação do 802.11 com um valor de 0x0 de algoritmo de autenticação. Assim que o requerente do Intel(R) PROSet estiver carregado e incorporar o perfil LEAP, enviará a autenticação do 802.11 com um valor de 0x80 de algoritmo de autenticação.
EAP de rede, Aberto e EAP obrigatório
PA: Se as caixas EAP de rede, Aberto e EAP obrigatório estiverem marcadas, serão aceitos os dois tipos de valores (0x0 e 0x80) de algoritmo de autenticação do 802.11. Contudo, assim que o cliente estiver associado e autenticado, o PA espera a ocorrência de um entrosamento de sincronismo (handshake) de EAP. Se por algum motivo esse handshake de EAP não acontecer rapidamente, o PA não responderá ao cliente durante cerca de 60 segundos.
Cliente: Aqui, o cliente pode enviar um valor 0x80 ou 0x0 de algoritmo de autenticação. Ambos os valores são aceitáveis e o handshake da autenticação do 802.11 seria bem-sucedido. No processo de inicialização, quando o driver da rede sem fio já estiver carregado, o cliente enviará a autenticação do 802.11 com um valor de 0x0 de algoritmo de autenticação. Basta isso para se autenticar mas as respectivas credenciais do EAP e LEAP devem ser informadas ao PA para estabelecer a conexão.
Aberto e EAP obrigatório somente
PA: Se o PA estiver configurado com a caixa EAP de rede desmarcada, mas com as caixas Aberto e EAP obrigatório marcadas, o PA recusará qualquer cliente que tentar a autenticação do 802.11 usando um valor 0x80 de algoritmo de autenticação. O PA aceitaria qualquer cliente usando o valor 0x0 de algoritmo de autenticação e pressupõe que o handshake do EAP iniciará logo depois. Nesse caso, o cliente usa o MD5, TLS, LEAP ou qualquer outro método do EAP adequado para a configuração da rede específica.
Cliente: Nesse caso, o cliente é obrigado a enviar um valor 0x0 de algoritmo de autenticação. Como mencionado anteriormente, a seqüência abrange uma repetição do handshake inicial da autenticação do 802.11. Primeiro, o driver da rede sem fio inicia a autenticação com um valor 0x0 e depois o requerente repete o processo. O cliente enviará uma autenticação do 802.11 com um valor 0x0 de algoritmo de autenticação mesmo depois de o requerente carregar e incorporar o perfil LEAP.
O perfil LEAP assegurará que o cliente implemente o recurso Rogue AP exigido pelo CCX. O cliente registra os PAs cujas autenticações falharam e envia essa informação para o PA, que permite a sua autenticação e conexão. Além disso, o requerente define o tipo de algoritmo de autenticação com 0x80. Podem existir algumas configurações de rede implementando as opções Aberto e EAP obrigatório somente, como descrito anteriormente. Para que essa configuração funcione, o cliente deve usar um valor 0x0 para o algoritmo de autenticação, em vez de usar 0x80 para EAP de rede somente descrito anteriormente. Um perfil LEAP permite que o cliente suporte o EAP de rede somente e o Aberto e EAP obrigatório somente.
Nota: Consulte a documentação do Cisco Client extensions versão 2,0, disponível em www.cisco.com para obter mais detalhes.