Opa! Novamente estou por aqui para demonstrar como realizei a configuração de meu computador para acesso à uma rede sem fio utilizando esquema de segurança WPA2-PSK com criptografia AES e WEP estático de 128 bits. A configuração será demonstrada desde o ponto de acesso até a estação.

Configuração do Ponto de Acesso

Primeiramente foi realizada a configuração do Ponto de Acesso, no meu caso um TP-Link TL-WR541G, para modificação do esquema de segurança. Caso seu equipamento esteja novinho em folha, para iniciar a configuração, siga os seguintes procedimentos abaixo.

Através do navegador web, acesse o endereço http://192.168.1.1. Para o acesso, será necessário a autenticação. Utilize o usuário admin e senha admin para acesso ao equipamento

Ao lado esquerdo, vá até a opção Wireless. Será apresentada uma tela como abaixo.

Aqui existem algumas recomendações nesta configuração. Por exemplo, o campo SSID deve ser modificado do padrão (TP-LINK). Na verdade, o ideal é modificar toda a configuração padrão que é muito vulnerável.

Modifique a região para o país a qual vive. Será dado um aviso que esta alteração só será possível com a reinicialização do Ponto de Acesso. Pode confirmar.

A próxima configuração é o canal utilizado. Existem disponíveis para uso 14 canais dentro da freqüência de 2,4 GHz. O indicado é a utilização dos canais o mais distantes uns dos outros para minimizar a interferência de canal em outro. Sendo assim, se for utilizar um ponto de acesso com o canal 1, utilize outro no canal 6 e o último no canal 11.

O modo determina qual será o padrão 802.11 que será utilizado. O padrão é 802.11g, que é o recomendado devido sua compatibilidade com o padrão 802.11b e sua velocidade mais elevada.

A opção Enable Wireless Router Radio caso esteja aplicada irá implicar na possibilidade do usuário configurar o ponto de acesso utilizando a própria rede sem fio, o que constitui em um risco que poderá ser assumido ou não, de acordo com a necessidade de segurança.

Marcar a opção Enable SSID Broadcast irá habilitar a divulgação do ponto de acesso na rede sem fio, de maneira a possibilitar que qualquer pessoa possa descobrir sua rede e tentar se conectar. É uma boa política manter esta opção desmarcada, a não ser que você queira tornar pública a sua rede.

Enable Wireless Security irá possibilitar que possamos tornar nossa rede um pouco mais segura. Habilitando esta opção irão surgir as opções que iremos precisar.

Em Security Type, temos as seguintes opções:

• WEP – Wired Equivalent Privacy, ou, Privacidade Equivalente ao Cabeado foi um dos primeiros padrões de segurança propostos para redes sem fio. Como o nome diz, tinha a pretensão de se tornar um padrão definitivo para segurança em comunicações WLAN, porém, hoje em dia já é de conhecimento que este tipo de criptografia pode ser crackeado em poucos segundos por alguns softwares. Devido a alta compatibilidade deste protocolo com o mercado, irei demonstrar sua utilização.
• WPA/WPA2 – o Wi-Fi Protected Access em suas duas versões é um padrão de segurança para redes sem fio que surgiu com a necessidade de aumentar a segurança das redes WEP. Existem basicamente dois padrões WPA. O Enterprise e o Personal. Esta opção habilita a utilização do esquema Enterprise, em que o AP estará conectado à um servidor Radius que irá se encarregar de realizar a autenticação dos usuários e verificar um certificado digital, que poderá ser desde um arquivo no disco rígido à um token USB.
• WPA-PSK/WPA2-PSK – PSK de Pre-Shared Key, ou seja, com esta opção, o que irá diferir da opção Enterprise anterior é a necessidade de apenas uma frase secreta (pre-shared-key) para a utilização do WPA/WPA2. Irei demonstrar esta opção também.

Configuração do Ponto de Acesso com WEP Estático 128 bits

A imagem de configuração do TS-LINK apresentada já continha uma das configurações possíveis de se realizar utilizando o WEP. As duas formas de associação das estações ao AP são através do método de chave aberta ou compartilhada. A diferença difere como será o relacionamento entre os equipamentos para tratar da associação.

No método de chave aberta, ou chamado também de Open System, a estação envia a requisição de autenticação ao ponto de acesso que autentica a estação e o cliente está apto a utilizar o serviço.

No método de chave compartilhada, ou chamado também de Shared Key, a estação envia a requisição de autenticação ao ponto de acesso que irá responder ao cliente com um desafio. A estação, por sua vez, irá criptografar o desafio com o tamanho da chave criptográfica, que pode ser de 64 ou 128 bits, por exemplo, e enviar ao ponto de acesso. Logo em seguida, o AP irá receber o desafio criptografado e irá descriptografa-lo utilizando uma chave padrão do protocolo WEP. Depois de descriptografado, o AP irá comparar o desafio original com o conteúdo descriptografado, e caso sejam iguais, significam que tanto o AP quanto a estação estão utilizando o mesmo tamanho de chave. Sendo assim, a estação será autenticada e poderá utilizar o serviço.

Outro campo a ser preenchido WEP Key Format informa em que formato será fornecida a chave, ou seja, em valores hexadecimais ou em texto ASCII.

A próxima etapa é a configuração das chaves e o tamanho de cada uma delas, respectivamente. É possível configurar uma à quatro chaves de tamanhos diferentes para conexão no AP.

Por último, para finalizar, clicar no botão Save.

Configuração do Ponto de Acesso com WPA-PSK/WPA2-PSK

Para a realização da configuração do ponto de acesso para utilizar WPA-PSK ou WPA2-PSK, algumas opções diferentes irão surgir. Em Security Option, haverão três opções:

• Automatic – neste modo, o AP irá detectar automaticamente se o cliente é WPA-PSK ou WPA2-PSK.
• WPA-PSK – neste modo, o AP irá autenticar estações que utilizem apenas o WPA-PSK.
• WPA2-PSK – neste modoo, o AP irá autenticar estações que utilizem apenas o WPA2-PSK.

Outra opção nova, Encryption, que irá abrir uma lista de opções para a criptografia do tráfego de rede. Existem novamente três opções:

• Automatic
• TKIP – o Temporal Key Integrity Protocol é utilizado pelo WPA. Foi desenvolvido para substituir o WEP sem a necessidade de se modificar o hardware. O TKIP, assim como o WEP, se utilizada do esquema de chaves RC4, porém, o TKIP provê um novo chaveamento para cada pacote.
• AES

O próximo campo para preencher é PSK Passphrase, que irá determinar qual a chave utilizada para autenticação do usuário. Afinal, estamos trabalhando agora com WPA-PSK! Escolha aqui uma frase de 8 à 63 dígitos. Por último, o campo Group Key Update Period identifica o tempo em que as chaves serão trocadas. Caso o valor seja zero, a chave será estática. Para finalizar, clique em Save.

A imagem abaixo demonstra um exemplo de configuração utilizada por mim.

Configuração da Estação com WPA-PSK/WPA2-PSK

Para variar, precisava configurar meu computador com Ubuntu 7.04 Feisty Fawn. Considerando que o wpa_supplicant, que é o módulo cliente, esteja instalado, basta realizar o seguinte procedimento:

• Criar o arquivo /etc/wpa_supplicant/wpa.conf .
• Editar ele com os seguintes valores:

ctrl_interface=/var/run/wpa_supplicant

ctrl_interface_group=wheel

ap_scan=2

network={

ssid=”ssid da rede”

scan_ssid=0

key_mgmt=WPA-PSK

psk=”frase com no minimo 8 caracteres”

priority=1

}

Segue uma breve explicação sobre cada uma das opções:

• ctrl_interface – diretório em que são criados os sockets
• ctrl_interface_group – grupo do sistema que será encarregado da execução das tarefas. Importante notar que o grupo deve ter permissões de escrita na pasta especificada peloa opção ctrl_interface.
• ap_scan – por padrão, o driver tem que realizar uma procura na rede e com o resultado proceder com a associação. É possível modificar isto com esta opção, fazendo com que seja tentado a associação com o Access Point mesmo que não haja uma rede aparente.
• diretiva network – especificação de configuração sobre uma rede específica. Podem haver várias diretivas network, desde que haja uma ordem de prioridade para conexão.
• ssid – Service Set Identifier é um nome para designar uma rede sem fio.
• scan_ssid – procura ou não pelo SSID na rede.
• key_mgmt – possui quatro valores possíveis: WPA-PSK (WPA Pre-Shared Key), WPA-EAP (WPA Enterprise), IEEE801X (802.1x com EAP) e NONE (sem WPA ou WEP estático).
• psk – frase utilizada para conexão, tanto WEP como WPA/WPA2.
• priority – prioridade para a realização da conexão. Primeiro será realizada tentativas de conexões nas prioridades mais altas.

Configuração da Estação com WEP Estático de 128 bits

A configuração para conexão da estação utilizando WEP estático 128 bits difere pouco da demonstrada agora pouco para WPA-PSK/WPA2-PSK. A princípio, a maior parte das opções são as mesmas. Segue abaixo um exemplo do arquivo de configuração wpa.conf.

ctrl_interface=/var/run/wpa_supplicant

ctrl_interface_group=wheel

ap_scan=2

network={

ssid=”ssid da rede”

scan_ssid=0

key_mgmt=NONE

wep_key0=”1234567890abc”

wep_tx_keyidx=0

priority=1

}

Explicando apenas as novas opções que surgiram neste novo exemplo:

• wep_key0 – uma das chaves definidas no ponto de acesso, ou seja, poderia haver um wep_key1, wep_key2, e assim por diante.
• wep_tx_keyidx – indica a qual chave utilizar, ou seja, se possuir valor 0, deverá ser configurada a chave na opção wep_key0.

Conectando a Estação na Rede Wireless

Para a conexão em qualquer uma das duas situações, o comando abaixo poderá ser utilizado com pequenas variações de acordo com o chipset da placa wireless e o nome do alias da interface de rede wireless.

# wpa_supplicant -i eth0 -c /etc/wpa_supplicant/wpa.conf -Dwext

Explicando cada uma das opções:

• wpa_supplicant – comando utilizado para conexão. Disponível no pacote “wpasupplicant”.
• -i eth0 – informa o alias da interface de rede wireless. Normalmente quando se utiliza o driver pelo ndiswrapper o nome da interface é wlan0.
• -c /etc/wpa_supplicant/wpa.conf – informa o caminho absoluto do arquivo de configuração utilizado.
• -Dwext – driver para interface com hardware do chipset da placa wireless. O driver “wext” tem uma compatibilidade genérica com a maioria dos chipsets. Para a lista de opções disponíveis, consulte a manpage do comando wpa_supplicant.

Caso o comando acima tenha sido bem sucedido, o outro comando abaixo irá indicar como está o status da conexão.

# wpa_cli status

Selected interface ‘eth0’
bssid=aa:bb:cc:dd:ee:54
ssid=o ssid da rede
id=0
pairwise_cipher=CCMP
group_cipher=CCMP
key_mgmt=WPA2-PSK
wpa_state=COMPLETED
ip_address=192.168.1.180

Repare na linha “wpa_state”, pois será ela que irá indicar como realmente se encontra a conexão. Nesta caso, “COMPLETED” indica que a conexão foi estabelecida entre a estação e o ponto de acesso.

Finalizando

Assim que puder irei escrever outro post em que mostro como quebrar o esquema de segurança de algumas das regras que acabamos de configurar utilizando algumas ferramentas específicas para isto. Até a próxima então! 🙂