O que é Wi-Fi Protected Access (WPA)?

Em um mundo onde a comunicação sem fio está se tornando a norma, a segurança assume uma dimensão totalmente diferente. Para fornecer proteção adequada, devemos mudar nosso foco das redes corporativas para os padrões de segurança em nuvem e sem fio. A conexão sem fio geralmente pode comprometer a segurança. O fatiamento da rede 5G, por exemplo, torna os administradores vulneráveis ​​a ataques.

O WPA é um dos métodos mais fundamentais e testados pelo tempo para proteger dispositivos sem fio contra ataques. A partir do início dos anos 2000, várias variantes do WPA foram integradas às redes para proteger os dados em trânsito. Vamos examinar a definição e o funcionamento do WPA.

Qual é o significado de WPA?

Wi-Fi Protected Access (WPA) é um padrão para proteger dispositivos conectados a redes Wi-Fi. Seu objetivo é remediar as principais deficiências no padrão WEP (Wired Equivalent Privacy) existente.

O Instituto de Engenheiros Elétricos e Eletrônicos (IEEE) criou a técnica de criptografia de privacidade equivalente com fio (WEP) para fornecer segurança sem fio para usuários de rede 802.11. Os dados sem fio, neste caso, foram transmitidos por meio de ondas de rádio. O WEP foi utilizado para evitar espionagem, impedir o acesso indesejado e proteger a integridade dos dados. Os dados foram criptografados com a cifra de fluxo RC4.

No entanto, descobriu-se que essa técnica de criptografia apresentava grandes falhas de segurança. Em quinze minutos, hackers experientes podiam extrair as chaves WEP de uma rede ativa. Em seu lugar, foi sugerido o Wi-Fi Protected Access (WPA).

No início do século XXI, os especialistas em segurança descobriram que podiam facilmente quebrar o WEP, e o FBI expôs como o WEP era vulnerável. Em 2004, a Wi-Fi Alliance rejeitou formalmente o WEP em favor do WPA e, no mesmo ano, o WPA2 foi introduzido como um substituto mais seguro. Em 2018, a Wi-Fi Alliance anunciou o lançamento da versão mais recente do WPA, WPA3.

Como funciona o Wi-Fi Protected Access (WPA)?

O WEP utiliza chaves de 64 bits e 128 bits, enquanto o WPA usa chaves de 256 bits. Torna-se mais difícil para um hacker quebrar uma chave mais longa. Independentemente de quão poderoso seja um computador, ele requer pelo menos algumas horas para decodificar uma chave WPA, então a maioria dos hackers não tentará, a menos que estejam desesperados para entrar em uma rede.

Apesar do aumento da segurança, descobriu-se que o WPA continha uma falha de segurança: ele utilizava o Temporal Key Integrity Protocol ou TKIP. Ainda havia um número significativo de dispositivos Wi-Fi utilizando WEP, então o TKIP foi criado para facilitar a atualização do firmware para WPA. O TKIP provou ser, infelizmente, tão simples de quebrar.

Por esse motivo, um novo protocolo de criptografia foi necessário e o WPA2 substituiu o WPA. A distinção mais notável é que ele emprega AES ou Advanced Encryption Standard. CCMP, ou o Protocolo de Código de Autenticação de Mensagem de Encadeamento de Bloco de Cifra de Modo de Contador, é usado para implementar o AES. A adição do AES torna a criptografia do WPA2 significativamente mais difícil de quebrar.

( Leia também: O que é segurança de rede?)

Quais são os principais recursos do WPA?

Até agora, você sabe tudo sobre as primeiras gerações de WPA, seus principais recursos (autenticação e criptografia) e como eles funcionam. No entanto, os cibercriminosos estão sempre ficando mais espertos – procurando novas maneiras de burlar os mecanismos de segurança. Da mesma forma, houve um aumento na incidência de uma nova ameaça chamada Key Reinstallation Attacks (KRACK). Ele compromete o protocolo WPA2 ao exigir a reutilização única em técnicas de criptografia Wi-Fi. É por isso que o padrão de segurança mais avançado – WPA3 – era necessário.

Demorou 14 anos após a introdução do WPA2 para que sua substituição fosse introduzida. Em 2018, no entanto, o WPA3 foi lançado. Em geral, a criptografia e implementação WPA3 são muito mais robustas. Suas principais características são as seguintes:

1. Não há mais senhas compartilhadas

O WPA3 registra um novo dispositivo em uma rede pública usando um procedimento diferente de uma senha comum. Isso permite a criptografia de dados personalizada. O WPA3 emprega um protocolo Wi-Fi Device Provisioning Protocol (DPP) que permite aos usuários adicionar dispositivos à rede por meio de tags Near Field Communication (NFC) e códigos QR. Além disso, a segurança WPA3 emprega criptografia GCMP-256 em oposição à criptografia de 128 bits.

2. O uso do protocolo Simultaneous Authentication of Equals (SAE)

Isso é utilizado para criar um handshake seguro no qual um dispositivo de rede se conecta a um ponto de acesso sem fio e ambos os dispositivos verificam a autenticação e a conectividade. Usando o Wi-Fi DPP, o WPA3 oferece um aperto de mão muito mais seguro, mesmo que a senha do usuário seja insegura e vulnerável.

4. Proteção contra ataques de força bruta

Um ataque de força bruta é um tipo de hacking que usa tentativa e erro automatizados para quebrar senhas, informações de login e chaves de criptografia. O WPA3 defende os sistemas contra adivinhação de senha offline, restringindo o número de tentativas a uma, exigindo que o usuário se envolva diretamente com o equipamento Wi-Fi. Isso exigiria sua presença pessoal cada vez que tentassem descobrir a senha.

O WPA2 carece de criptografia e privacidade em conexões públicas abertas, tornando os ataques de força bruta um sério risco.

Como proceder para implementar o WPA?

O WPA pode ser implementado em um de dois modos — modo de chave pré-compartilhada (PSK) para redes Wi-Fi domésticas e modo empresarial. Para o último, você desejará usar Wi-Fi Protected Access 2 Enterprise (WPA2-Enterprise). Isso ocorre porque, apesar de existir há vários anos, o WPA3 não está disponível em todas as regiões ou variantes de dispositivos, principalmente para casos de uso corporativo.

A implementação do WPA2 Enterprise inclui:

• Instalando um servidor RADIUS : O servidor de autenticação é o gateway RADIUS (serviço de discagem de autenticação remota do usuário) que executa a autenticação. O autenticador é o instrumento na camada do ponto de acesso, como um laptop ou smartphone. Existem várias opções de servidores RADIUS comerciais e de código aberto disponíveis, como Windows Server e FreeRadius.

• Configurando pontos de acesso com criptografia e informações do servidor RADIUS : Ao se conectar a uma rede, os usuários devem inserir suas credenciais de login. As chaves de criptografia reais não são acessíveis a eles, nem são retidas no dispositivo. Isso protege a rede sem fio de sair da equipe e dispositivos extraviados.

• Configurando seu sistema operacional com criptografia e configurações IEEE 802.1x : As etapas necessárias para configurar seu sistema operacional com IEEE 802.1x dependem das especificações do servidor e do cliente. Consulte os fabricantes de seu equipamento e software para orientação.

• Em seguida, conecte-se à sua empresa sem fio segura : a rede agora está preparada para uso da equipe. Você também pode proteger dispositivos em massa na rede sem fio da empresa.

O WPA3 é à prova de erros? Considerações para tomadores de decisões de TI

Embora o WPA3 seja um grande avanço, ele apresentou falhas durante seus primeiros anos de existência. Por exemplo, o procedimento de handshake do WPA3 é suscetível a ataques de particionamento de senha, que podem permitir que invasores de rede obtenham senhas e frases usando ataques de canal lateral em determinados cenários.

Algumas tecnologias não podem implementar os padrões WPA3 mesmo com correções, a menos que suas comunicações associadas e infraestrutura de rede também suportem esse protocolo aprimorado. Essa falta de interconectividade e compatibilidade atuais pode causar vulnerabilidades de segurança e minimizar a adoção corporativa generalizada da tecnologia compatível com WPA3.

Os gerentes devem manter todos os componentes de rede atualizados com os patches de segurança mais recentes e sofisticados para garantir que quaisquer pontos fracos possam ser encontrados e tratados. Em última análise, você deve ficar a par dos novos desenvolvimentos tecnológicos que continuarão impactando o panorama geral do Wi-Fi. E não se esqueça de explorar os benefícios de um sistema de segurança automatizado para sua organização.