Pular para o conteúdo
29/04/2007 / Thiago

Wireless com WPA2-PSK e WEP estático 128 bits

Opa! Novamente estou por aqui para demonstrar como realizei a configuração de meu computador para acesso à uma rede sem fio utilizando esquema de segurança WPA2-PSK com criptografia AES e WEP estático de 128 bits. A configuração será demonstrada desde o ponto de acesso até a estação.

Configuração do Ponto de Acesso

Primeiramente foi realizada a configuração do Ponto de Acesso, no meu caso um TP-Link TL-WR541G, para modificação do esquema de segurança. Caso seu equipamento esteja novinho em folha, para iniciar a configuração, siga os seguintes procedimentos abaixo.

Através do navegador web, acesse o endereço http://192.168.1.1. Para o acesso, será necessário a autenticação. Utilize o usuário admin e senha admin para acesso ao equipamento

Ao lado esquerdo, vá até a opção Wireless. Será apresentada uma tela como abaixo.

Configuração do AP TP-Link

Aqui existem algumas recomendações nesta configuração. Por exemplo, o campo SSID deve ser modificado do padrão (TP-LINK). Na verdade, o ideal é modificar toda a configuração padrão que é muito vulnerável.

Modifique a região para o país a qual vive. Será dado um aviso que esta alteração só será possível com a reinicialização do Ponto de Acesso. Pode confirmar.

A próxima configuração é o canal utilizado. Existem disponíveis para uso 14 canais dentro da freqüência de 2,4 GHz. O indicado é a utilização dos canais o mais distantes uns dos outros para minimizar a interferência de canal em outro. Sendo assim, se for utilizar um ponto de acesso com o canal 1, utilize outro no canal 6 e o último no canal 11.

O modo determina qual será o padrão 802.11 que será utilizado. O padrão é 802.11g, que é o recomendado devido sua compatibilidade com o padrão 802.11b e sua velocidade mais elevada.

A opção Enable Wireless Router Radio caso esteja aplicada irá implicar na possibilidade do usuário configurar o ponto de acesso utilizando a própria rede sem fio, o que constitui em um risco que poderá ser assumido ou não, de acordo com a necessidade de segurança.

Marcar a opção Enable SSID Broadcast irá habilitar a divulgação do ponto de acesso na rede sem fio, de maneira a possibilitar que qualquer pessoa possa descobrir sua rede e tentar se conectar. É uma boa política manter esta opção desmarcada, a não ser que você queira tornar pública a sua rede.

Enable Wireless Security irá possibilitar que possamos tornar nossa rede um pouco mais segura. Habilitando esta opção irão surgir as opções que iremos precisar.

Em Security Type, temos as seguintes opções:

  • WEP – Wired Equivalent Privacy, ou, Privacidade Equivalente ao Cabeado foi um dos primeiros padrões de segurança propostos para redes sem fio. Como o nome diz, tinha a pretensão de se tornar um padrão definitivo para segurança em comunicações WLAN, porém, hoje em dia já é de conhecimento que este tipo de criptografia pode ser crackeado em poucos segundos por alguns softwares. Devido a alta compatibilidade deste protocolo com o mercado, irei demonstrar sua utilização.
  • WPA/WPA2 – o Wi-Fi Protected Access em suas duas versões é um padrão de segurança para redes sem fio que surgiu com a necessidade de aumentar a segurança das redes WEP. Existem basicamente dois padrões WPA. O Enterprise e o Personal. Esta opção habilita a utilização do esquema Enterprise, em que o AP estará conectado à um servidor Radius que irá se encarregar de realizar a autenticação dos usuários e verificar um certificado digital, que poderá ser desde um arquivo no disco rígido à um token USB.
  • WPA-PSK/WPA2-PSK – PSK de Pre-Shared Key, ou seja, com esta opção, o que irá diferir da opção Enterprise anterior é a necessidade de apenas uma frase secreta (pre-shared-key) para a utilização do WPA/WPA2. Irei demonstrar esta opção também.

Configuração do Ponto de Acesso com WEP Estático 128 bits

A imagem de configuração do TS-LINK apresentada já continha uma das configurações possíveis de se realizar utilizando o WEP. As duas formas de associação das estações ao AP são através do método de chave aberta ou compartilhada. A diferença difere como será o relacionamento entre os equipamentos para tratar da associação.

No método de chave aberta, ou chamado também de Open System, a estação envia a requisição de autenticação ao ponto de acesso que autentica a estação e o cliente está apto a utilizar o serviço.

No método de chave compartilhada, ou chamado também de Shared Key, a estação envia a requisição de autenticação ao ponto de acesso que irá responder ao cliente com um desafio. A estação, por sua vez, irá criptografar o desafio com o tamanho da chave criptográfica, que pode ser de 64 ou 128 bits, por exemplo, e enviar ao ponto de acesso. Logo em seguida, o AP irá receber o desafio criptografado e irá descriptografa-lo utilizando uma chave padrão do protocolo WEP. Depois de descriptografado, o AP irá comparar o desafio original com o conteúdo descriptografado, e caso sejam iguais, significam que tanto o AP quanto a estação estão utilizando o mesmo tamanho de chave. Sendo assim, a estação será autenticada e poderá utilizar o serviço.

Outro campo a ser preenchido WEP Key Format informa em que formato será fornecida a chave, ou seja, em valores hexadecimais ou em texto ASCII.

A próxima etapa é a configuração das chaves e o tamanho de cada uma delas, respectivamente. É possível configurar uma à quatro chaves de tamanhos diferentes para conexão no AP.

Por último, para finalizar, clicar no botão Save.

Configuração do Ponto de Acesso com WPA-PSK/WPA2-PSK

Para a realização da configuração do ponto de acesso para utilizar WPA-PSK ou WPA2-PSK, algumas opções diferentes irão surgir. Em Security Option, haverão três opções:

  • Automatic – neste modo, o AP irá detectar automaticamente se o cliente é WPA-PSK ou WPA2-PSK.
  • WPA-PSK – neste modo, o AP irá autenticar estações que utilizem apenas o WPA-PSK.
  • WPA2-PSK – neste modoo, o AP irá autenticar estações que utilizem apenas o WPA2-PSK.

Outra opção nova, Encryption, que irá abrir uma lista de opções para a criptografia do tráfego de rede. Existem novamente três opções:

  • Automatic
  • TKIP – o Temporal Key Integrity Protocol é utilizado pelo WPA. Foi desenvolvido para substituir o WEP sem a necessidade de se modificar o hardware. O TKIP, assim como o WEP, se utilizada do esquema de chaves RC4, porém, o TKIP provê um novo chaveamento para cada pacote.
  • AES

O próximo campo para preencher é PSK Passphrase, que irá determinar qual a chave utilizada para autenticação do usuário. Afinal, estamos trabalhando agora com WPA-PSK! Escolha aqui uma frase de 8 à 63 dígitos. Por último, o campo Group Key Update Period identifica o tempo em que as chaves serão trocadas. Caso o valor seja zero, a chave será estática. Para finalizar, clique em Save.

A imagem abaixo demonstra um exemplo de configuração utilizada por mim.

Configuração do AP TP-Link para WPA2-PSK

Configuração da Estação com WPA-PSK/WPA2-PSK

Para variar, precisava configurar meu computador com Ubuntu 7.04 Feisty Fawn. Considerando que o wpa_supplicant, que é o módulo cliente, esteja instalado, basta realizar o seguinte procedimento:

  • Criar o arquivo /etc/wpa_supplicant/wpa.conf .
  • Editar ele com os seguintes valores:

ctrl_interface=/var/run/wpa_supplicant

ctrl_interface_group=wheel

ap_scan=2

network={

ssid=”ssid da rede”

scan_ssid=0

key_mgmt=WPA-PSK

psk=”frase com no minimo 8 caracteres”

priority=1

}

Segue uma breve explicação sobre cada uma das opções:

  • ctrl_interface – diretório em que são criados os sockets
  • ctrl_interface_group – grupo do sistema que será encarregado da execução das tarefas. Importante notar que o grupo deve ter permissões de escrita na pasta especificada peloa opção ctrl_interface.
  • ap_scan – por padrão, o driver tem que realizar uma procura na rede e com o resultado proceder com a associação. É possível modificar isto com esta opção, fazendo com que seja tentado a associação com o Access Point mesmo que não haja uma rede aparente.
  • diretiva network – especificação de configuração sobre uma rede específica. Podem haver várias diretivas network, desde que haja uma ordem de prioridade para conexão.
  • ssid – Service Set Identifier é um nome para designar uma rede sem fio.
  • scan_ssid – procura ou não pelo SSID na rede.
  • key_mgmt – possui quatro valores possíveis: WPA-PSK (WPA Pre-Shared Key), WPA-EAP (WPA Enterprise), IEEE801X (802.1x com EAP) e NONE (sem WPA ou WEP estático).
  • psk – frase utilizada para conexão, tanto WEP como WPA/WPA2.
  • priority – prioridade para a realização da conexão. Primeiro será realizada tentativas de conexões nas prioridades mais altas.

Configuração da Estação com WEP Estático de 128 bits

A configuração para conexão da estação utilizando WEP estático 128 bits difere pouco da demonstrada agora pouco para WPA-PSK/WPA2-PSK. A princípio, a maior parte das opções são as mesmas. Segue abaixo um exemplo do arquivo de configuração wpa.conf.

ctrl_interface=/var/run/wpa_supplicant

ctrl_interface_group=wheel

ap_scan=2

network={

ssid=”ssid da rede”

scan_ssid=0

key_mgmt=NONE

wep_key0=”1234567890abc”

wep_tx_keyidx=0

priority=1

}

Explicando apenas as novas opções que surgiram neste novo exemplo:

  • wep_key0 – uma das chaves definidas no ponto de acesso, ou seja, poderia haver um wep_key1, wep_key2, e assim por diante.
  • wep_tx_keyidx – indica a qual chave utilizar, ou seja, se possuir valor 0, deverá ser configurada a chave na opção wep_key0.

Conectando a Estação na Rede Wireless

Para a conexão em qualquer uma das duas situações, o comando abaixo poderá ser utilizado com pequenas variações de acordo com o chipset da placa wireless e o nome do alias da interface de rede wireless.

# wpa_supplicant -i eth0 -c /etc/wpa_supplicant/wpa.conf -Dwext

Explicando cada uma das opções:

  • wpa_supplicant – comando utilizado para conexão. Disponível no pacote “wpasupplicant”.
  • -i eth0 – informa o alias da interface de rede wireless. Normalmente quando se utiliza o driver pelo ndiswrapper o nome da interface é wlan0.
  • -c /etc/wpa_supplicant/wpa.conf – informa o caminho absoluto do arquivo de configuração utilizado.
  • -Dwext – driver para interface com hardware do chipset da placa wireless. O driver “wext” tem uma compatibilidade genérica com a maioria dos chipsets. Para a lista de opções disponíveis, consulte a manpage do comando wpa_supplicant.

Caso o comando acima tenha sido bem sucedido, o outro comando abaixo irá indicar como está o status da conexão.

# wpa_cli status

Selected interface ‘eth0′
bssid=aa:bb:cc:dd:ee:54
ssid=o ssid da rede
id=0
pairwise_cipher=CCMP
group_cipher=CCMP
key_mgmt=WPA2-PSK
wpa_state=COMPLETED
ip_address=192.168.1.180

Repare na linha “wpa_state”, pois será ela que irá indicar como realmente se encontra a conexão. Nesta caso, “COMPLETED” indica que a conexão foi estabelecida entre a estação e o ponto de acesso.

Finalizando

Assim que puder irei escrever outro post em que mostro como quebrar o esquema de segurança de algumas das regras que acabamos de configurar utilizando algumas ferramentas específicas para isto. Até a próxima então! :)

About these ads

11 Comentários

Deixe um comentário
  1. rafael / set 4 2007 20:26

    # Seguinte estou com um grande problema.

    Wireless Dl-624 (configuracoes)
    Wireless Radio: On
    SSID : dlink
    Channel : 1 Auto Select
    Super G Mode : Super G without Turbo
    Extended Range Mode : Disabled
    WMM Function(Wireless Qos): Disabled
    802.11g Only Mode : Disabled
    SSID Broadcast : Disabled
    Security : WPA2 (Disable /WEP /WPA / WPA2)
    PSK / EAP: (X) PSK ( ) EAP
    Passphrase : 123456789
    Confirmed Passphrase : 123456789

    # Comentario.: nao tem opcoes TKIP e AES oque eu faco?

    # Ja no vista
    Windows vista ultimate (final)
    Nome da rede: dlink
    Tipo de seguranca: WPA2-Personal
    Tipo de criptografia: AES TKIP # tenque coloca uma das 2 opc
    Chave: 123456789

    # Comentario: Em conectar-se a uma rede mostra …

    nome da rede: tipo de criptografia criptografia:
    dlink As configuracoes salvas no computador para a
    rede nao correnspodem aos requisitos da rede.

    # bom simplesmente nao sei oque faze, me ajudaaa, Por favor ????

  2. rafael / set 4 2007 20:29

    SSID Broadcast : Disabled errei esta ativado
    SSID Broadcast : Enabled

  3. rafael / set 4 2007 21:40

    Consegui
    Wireless
    WPA2-PSK

    # Comentario: Em conectar-se a uma rede mostra …

    nome da rede: tipo de criptografia criptografia:
    dlink As configuracoes salvas no computador para a
    rede nao correnspodem aos requisitos da rede.

    chick contrario na aba se seguranca eu coloquei

    Tipo de seguranca: WPA2-Personal
    Tipo criptografia: AES

    esta ok, a ebom atualzar a wireless quaze todo ano lancao
    atualizacoes novos, flw…

  4. Jorge / nov 8 2007 6:39

    Configurei meu modem DI-524 Dlink

    Tipo de segurança: WPA2-Pessoal
    Tipo de criptografia: AES CCPM

    Você pode me explicar o que significa AES CCPM ?

  5. Lima / set 3 2008 13:52

    Tenho roteador DLink DI524 e tenho problemas de configurança que sempre alteram, tornando-se instável modificando o canal do Configuração do Ponto de Acesso impossibilitando o acesso do notebook.

    Como posso evitar que ele se altere?
    Agradeço imensamente alguem que possa me ajudar.

  6. Samuel / set 16 2008 0:55

    Tks Man!

  7. ThigU / nov 10 2008 14:38

    Olá Jorge!

    Dei uma olhada rapidinha em uma boa definição do AES CCPM e posso te dizer o seguinte (quase uma tradução livre daqui):

    Em poucas palavras é o algoritmo de encriptação utilizado na segurança de redes sem fio 802.11i (anexo com especificações de segurança em redes sem fio). O AES utiliza um bloco para criptografia de tamanho limitado, o que possibilita (mesmo que remotamente) ataques de eavesdropping. Com o CCMP é possível ter comunicação segura entre o cliente e o ponto de acesso, minimizando a possibilidade de ataque.

  8. ThigU / nov 10 2008 14:39

    Lima,

    Infelizmente não tenho mais o ponto de acesso para poder fazer o teste. Verifique se está salvando as configurações definidas, de modo que ele não as perca quando for reinicializado.

    Inté!

  9. Leandro / nov 30 2009 18:06

    Boa Tarde! Fiz a configuração do roteador 180M Wireless Router TL-WR642G, de acordo com as intruções. Ele acessa normalmente, a rede funciona. Porém, no notebook, tudo funciona perfeitamente, mas no meu PC não consigo acessar o messenger, e algumas páginas (Orkut, Gmail). Desconectando do roteador e ligando diretamente no PC, conecto normal todas as páginas. Alguma configuração no roteador está errada?

  10. marco / ago 3 2010 17:36

    comprei um tp-link
    modelo tl-wr340gd
    router
    e a informação que me deram era de que o mesmo poderia ser usado como bridge,
    no meu caso preciso usa-la do seguinte modo :
    minha internet recebo por via radio é uma antena externa ligada em um cabo coaxial preto,
    que vai ate o pc.
    gostaria de ligar este fio no aparelho acima mencionado
    eusa-lo para distribuir o sinal da net por cabos com conexão rj45 que usaria nas portas lan que são 4 ao todo
    como poço fazer esta ligação toda?
    peço uma ajuda por favor
    obrigado
    obs.: não quero usar modem
    só o aparelho tl-wr340gd

Trackbacks

  1. Primeiras Impressões do PSP « Where I can finally be calm…

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

Seguir

Obtenha todo post novo entregue na sua caixa de entrada.

%d blogueiros gostam disto: