Exemplo de Configuração de Wi-Fi Protected Access 2 (WPA 2) Índice Introdução Pré-requisitos Requisitos Componentes Usados Convenções Informações complementares Suporte a WPA 2 com Equipamentos Cisco Aironet Configuração em Modo Empresarial Instalação de Rede Configure o AP Configure o Adaptador Cliente Verificação Solução de problemas Configure em Modo Pessoal Instalação de Rede Configure o AP Configure o Adaptador Cliente Verificação Solução de Problemas Introdução Este documento explica as vantagens do uso de Wi-Fi Protected Access 2 (WPA 2) em uma LAN com Tecnologia Sem Fio (WLAN). O documento fornece dois exemplos de configuração para implementar WAP2 em uma WLAN. O primeiro exemplo mostra como configurar WPA 2 no modo empresarial, e o segundo exemplo configura WPA 2 no modo pessoal. Observação: WPA funciona com Extensible Authentication Protocol (EAP). Pré-requisitos Requisitos Certifique-se de ter conhecimento básico destes tópicos antes de tentar essa configuração: WPA Soluções de Segurança Para Rede Local WLAN Observação: Consulte Visão Geral da Segurança para Rede Local com Tecnologia Sem Fio Cisco Aironet para obter informações sobre soluções de segurança WLAN da Cisco.
Componentes Usados As informações neste documento são baseadas nestas versões de hardware e software: Ponto de Acesso (AP) Cisco Aironet 1310G /Ponte que executa o Cisco IOS Software Release 12.3(2)JA Adaptador Cliente Aironet 802.11a/b/g CB21AG que executa o firmware 2.5 Utilitário de Desktop de Aironet (ADU) que executa o firmware 2.5 Observação: Os softwares adaptadores de cliente Aironet CB21AG e PI21AG não são compatíveis com outros softwares adaptadores de cliente Aironet. Você deve usar o ADU com placas CB21AG e PI21AG, e usar o Utilitário de Cliente Aironet (ACU) com todos os outros adaptadores de cliente Aironet. Consulte Instalando o Adaptador de Cliente para obter mais informações sobre como instalar a placa e ADU CB21AG. Observação: Este documento usa um AP/ponte com uma antena integrada. Se você usa um AP/ponte que requer uma antena externa, verifique se as antenas estão conectadas ao AP/ponte. Se não estiverem, o AP/ponte não poderá se conectar à rede com tecnologia sem fio. Alguns modelos de AP/ponte vêm com antenas integradas, enquanto outros precisam de uma antena externa para operações em geral. Para obter informações sobre os modelos de AP/ponte que vêm com antenas internas ou externas, consulte o guia de pedidos ou o guia de produtos do dispositivo em questão. As informações apresentadas neste documento foram criadas a partir dos dispositivos em um ambiente de laboratório específico. Todos os dispositivos usados neste documento começaram com uma configuração vazia (padrão). Se a sua rede estiver ativa, certifique-se de entender o impacto em potencial de todos os comandos. Convenções Consulte Convenções de Dicas Técnicas da Cisco para obter mais informações sobre as convenções de documentos. Informações complementares WPA é uma solução de segurança com base em padrões da Wi-Fi Alliance que trata das vulnerabilidades em WLANs nativas. WPA oferece proteção de dados aprimorada e controle de acesso para sistemas WLAN. WPA trata de todas as vulnerabilidades conhecidas de Wired Equivalent Privacy (WEP) na implementação de segurança IEEE 802.11 original e traz uma solução de segurança imediata para WLANs em ambientes de grandes e pequenas empresas e escritórios residenciais (SOHO). WPA 2 é a próxima geração de segurança Wi-Fi. WPA 2 é a implementação Wi-Fi Alliance interoperável do padrão IEEE 802.11i ratificado. O WPA 2 implementa o algoritmo de criptografia Advanced Encryption Standard (AES), recomendado pelo National Institute of Standards and Technology (NIST), usando Counter Mode com Cipher Block Chaining Message Authentication Code Protocol (CCMP). O Counter Mode AES é uma cifra de bloco que criptografa blocos de dados de 128 bits por vez, com uma chave de criptografia de 128 bits. O algoritmo CCMP produz
um código de integridade de mensagem (MIC) que fornece autenticação da origem dos dados e integridade de dados para o quadro com tecnologia sem fio. Observação: O CCMP também é conhecido como CBC-MAC. O WPA 2 oferece um nível de segurança mais alto do que o WPA porque o AES oferece criptografia mais forte do que Temporal Key Integrity Protocol (TKIP). TKIP é o algoritmo de criptografia usado pelo WPA. O WPA 2 cria novas chaves de sessão a cada associação. As chaves de criptografia usadas para cada cliente da rede são exclusivas e específicas para esse cliente. Em última análise, cada pacote enviado sem fio é criptografado com uma chave exclusiva. A segurança é reforçada com o uso de uma chave nova e exclusiva de criptografia, porque não há reutilização da chave. O WPA ainda é considerado seguro e o TKIP não foi quebrado. Entretanto, a Cisco recomenda que os clientes migrem para o WPA 2 o mais rápido possível. Consulte Acesso Protegido Wi-Fi, WPA2 e IEEE 802.11i para obter mais informações sobre WPA e WPA 2. WPA e WPA 2 oferecem suporte para dois tipos de operação: Modo empresarial Modo pessoal Este documento aborda a implementação desses dois modos com WPA 2. Suporte a WPA 2 com Equipamentos Cisco Aironet WPA 2 é suportado nestes equipamentos: Aironet série 1130AG AP e série 1230AG AP Aironet série 1100 AP Aironet série 1200 AP Aironet série 1300 AP Observação: Equipe esses APs com rádios 802.11g e use a o Cisco IOS Software Release 12.3(2) JA ou posterior. WPA 2 e AES são suportados também em: Módulos de rádio Aironet série 1200 com os números de peças AIR-RM21A e AIR-RM22A Observação: O módulo de rádio Aironet série 1200 com número de peça AIR-RM20A não suporta WPA 2. Adaptadores de Cliente Aironet 802.11a/b/g com versão de firmware 2.5
Observação: Produtos Cisco Aironet 350 Series não suportam WPA 2 porque seus rádios não têm suporte para AES. Observação: WPA2 não tem suporte no Integrated Services Router (ISR) nem em High-Speed WAN Interface Cards (HWIC)-AP. Configuração em Modo Empresarial O termo modo empresarial se refere a produtos testados para serem interoperáveis nos modos de operação Chave Pré-Compartilhada (PSK) e IEEE 802.1x para autenticação. O 802.1x é considerado mais seguro do que qualquer um dos outros quadros legados de autenticação, por causa de sua flexibilidade no suporte a vários mecanismos de autenticação e algoritmos de criptografia mais fortes. O WPA 2 no modo empresarial executa a autenticação em duas fases. A configuração de autenticação aberta ocorre na primeira fase. A segunda fase é a autenticação 802.1x com um dos métodos EAP. O AES fornece o mecanismo de criptografia. No modo empresarial, os clientes e servidores de autenticação autenticam uns aos outros com o uso de um método de autenticação EAP, e o cliente e o servidor geram uma Pairwise Master Key (PMK). Com o WPA 2, o servidor gera a PMK dinamicamente e passa a PMK para o AP. Esta seção discute a configuração necessária para implementar WPA 2 no modo de operação empresarial. Instalação de Rede Nesta instalação, um Aironet 1310G AP/Ponte que executa o Cisco Lightweight Extensible Authentication Protocol (LEAP) autentica um usuário com um adaptador de cliente compatível com WPA-2. O gerenciamento de chaves ocorre com o uso de WPA 2, no qual é configurada a criptografia AES-CCMP. O AP é configurado como um servidor RADIUS local que executa autenticação LEAP. Para implementar essa instalação, você deve configurar o adaptador de cliente e o AP. As seções Configure o AP e Configure o Adaptador Cliente mostram as configurações no AP e no adaptador cliente. Configure o AP Conclua estas etapas: Configure o AP como um servidor RADIUS local que executa autenticação LEAP. Selecione Security > Server Manager (Segurança > Gerenciador do Servidor) no menu da esquerda e defina o endereço IP, portas e segredo compartilhado do servidor RADIUS. Como essa configuração configura o AP como um servidor RADIUS local, use o endereço IP do AP. Use as portas 1812 e 1813 para operação do servidor RADIUS local. Na área Default Server Priorities (Prioridades do Servidor Padrão), defina o a prioridade de autenticação EAP padrão como 10.0.0.1. Observação: 10.0.0.1 é o servidor RADIUS local.
Selecione Security > Encryption Manager (Segurança > Gerenciador de Criptografia) no menu da esquerda e execute as seguintes etapas: No menu Cipher (Cifragem), selecione AES CCMP. Esta opção ativa a criptografia AES usando o Counter Mode com CBC-MAC. Clique em Apply (Aplicar). Selecione Security > SSID Manager (Segurança > Gerenciador de SSID) e crie um novo Service Set Identifier (SSID) para ser usado com WPA 2. Marque a caixa de seleção Network EAP (EAP da Rede) na área Authentication Methods Accepted (Métodos de Autenticação Aceitos). Observação: Use estas diretrizes ao configurar o tipo de autenticação na interface de rádio: Clientes Cisco Utilizar EAP de Rede. Clientes terceirizados (incluindo os produtos em conformidade com Cisco Compatible Extensions [CCX]) Utilizar Autenticação Aberta com EAP. Uma combinação de clientes Cisco e terceiros escolher Network-EAP e Autenticação Aberta com EAP. Role para baixo na janela Security SSID Manager (Gerenciador de SSID de Segurança) até a área Authenticated Key Management (Gerenciamento de Chave Autenticada) e execute estas etapas: No menu Key Management (Gerenciamento de Chaves), selecione Mandatory (Obrigatório). Marque a caixa de seleção WPA, à direita. Clique em Apply (Aplicar). Observação: A definição de VLANs é opcional. Se você definir VLANs, dispositivos clientes associados ao uso desse SSID serão agrupados na VLAN. Consulte Configurando VLANs para obter mais informações sobre como implementar VLANs. Selecione Security > Local Radius Server (Segurança > Servidor RADIUS Local) e execute estas etapas: Clique na guia General Set-Up (Configuração Geral) localizada no alto da janela.
Marque a caixa de seleção LEAP, e clique em Apply (Aplicar). Na área Network Access Servers (Servidores de Acesso de Rede), defina o endereço IP e o segredo compartilhado do servidor RADIUS. Para o servidor RADIUS local, use o endereço IP do AP. Clique em Apply (Aplicar). Role para baixo na janela General Set-Up (Configuração Geral) até a área Individual Users (Usuários Individuais) e defina os usuários individuais. A definição dos grupos de usuários é opcional. Esta configuração define um usuário de nome "user1" e uma senha. Além disso, essa configuração seleciona NT hash como senha. Depois de concluir o procedimento desta seção, o AP está pronto para aceitar solicitações de autenticação de clientes. A próxima etapa é configurar o adaptador cliente. Configure o Adaptador Cliente Conclua estas etapas: Observação: Este documento usa um Adaptador Cliente Aironet 802.11a/b/g que executa o firmware 2.5 e explica a configuração do adaptador cliente com ADU versão 2.5. Na janela Profile Management (Gerenciamento de Perfil) do ADU, clique em New (Novo) para criar um novo perfil. Uma nova janela mostra onde você pode definir a configuração para operação WPA 2 em modo empresarial. Na guia General (Geral), digite o Profile Name (Nome do Perfil) e o SSID que o adaptador cliente deverá usar. Neste exemplo, o nome de perfil e o SSID são WPA2: Observação: O SSID deve corresponder ao SSID configurado no AP para WPA 2. Clique na guia Security (Segurança), clique em WPA/WPA2/CCKM e selecione LEAP no menu WPA/WPA2/CCKM EAP Type. Esta ação ativa WPA ou WPA 2, dependendo do que você tiver configurado no AP. Clique em Configure (Configurar) para definir configurações de LEAP. Selecione as Username and Password Settings (Configurações de Nome de Usuário e Senha) adequadas, com base nos requisitos, e clique em OK. Esta configuração escolhe a opção Automatically Prompt for User Name and Password (Solicitar Nome de Usuário e Senha Automaticamente). Esta opção permite que você insira
manualmente o nome de usuário e senha quando ocorrer autenticação LEAP. Clique em OK para sair da janela Profile Management (Gerenciamento de Perfil). Clique em Activate (Ativar) para ativar este perfil no adaptador cliente. Observação: Se você usar Microsoft Wireless Zero Configuration (WZC) para configurar o adaptador cliente, por padrão, o WPA 2 não estará disponível com WZC. Assim, para permitir que clientes habilitados para WZC executem WPA 2, você deve instalar um hot fix para o Microsoft Windows XP. Consulte Microsoft Download Center - Update for Windows XP (KB893357) para a instalação. Após instalar o hot fix, você pode configurar WPA 2 com WZC. Verificação Utilize esta seção para confirmar se a sua configuração está funcionando corretamente. Quando a janela Enter Wireless Network Password (Inserir Senha da Rede com Tecnologia Sem Fio) for exibida, digite o nome de usuário e a senha. A próxima janela será LEAP Authentication Status (Status da Autenticação LEAP). Esta fase verifica as credenciais do usuário em relação ao servidor RADIUS local. Verifique a área Status para ver o resultado da autenticação. Quando a autenticação obtiver sucesso, o cliente se conectará à LAN com Tecnologia Sem Fio Verifique ADU Current Status (Status Atual do ADU) para saber se o cliente usa criptografia AES e autenticação LEAP. Isso mostra que você implementou WPA 2 com autenticação LEAP e criptografia AES na WLAN. Consulte AP/bridge Event Log (Log de Eventos do AP/Ponte) para verificar se o cliente foi autenticado com sucesso com WPA 2. Solução de problemas No momento, não há informações específicas de solução de problemas para esta configuração. Configure em Modo Pessoal O termo modo pessoal se refere a produtos testados para serem interoperáveis no modo de operação apenas PSK para autenticação. Esse modo requer configuração manual de um PSK no AP e nos clientes. PSK autentica usuários com uma senha, ou código de identificação, na
estação cliente e no AP. Não é necessário um servidor de autenticação. Um cliente só pode obter acesso à rede se a senha do cliente corresponder à senha do AP. A senha também fornece o material de chave que o TKIP ou o AES usam para gerar uma chave de criptografia para criptografar os pacotes de dados. O modo pessoal é direcionado para ambientes SOHO e não é considerado seguro para ambientes empresariais. Esta seção fornece a configuração necessária para implementar WPA 2 no modo de operação pessoal. Instalação de Rede Nesta instalação, um usuário com um adaptador cliente compatível com WPA 2 se autentica em um AP/Ponte Aironet 1310G. O gerenciamento de chaves ocorre com o uso de PSK WPA 2, no qual é configurada a criptografia AES-CCMP. As seções Configure o AP e Configure o Adaptador Cliente mostram a configuração no AP e no adaptador cliente. Configure o AP Conclua estas etapas: Selecione Security > Encryption Manager (Segurança > Gerenciador de Criptografia) no menu da esquerda e execute as seguintes etapas: No menu Cipher (Cifragem), selecione AES CCMP. Esta opção ativa a criptografia AES usando o Counter Mode com CCMP. Clique em Apply (Aplicar). Selecione Security > SSID Manager (Segurança > Gerenciador de SSID) e crie um novo SSID para ser usado com WPA 2. Marque a caixa de seleção Open Authentication (Autenticação Aberta). Role para baixo na janela Security: SSID Manager (Segurança: Gerenciador de SSID) até a área Authenticated Key Management (Gerenciamento de Chave Autenticada) e execute estas etapas: No menu Key Management (Gerenciamento de Chaves), selecione Mandatory (Obrigatório). Marque a caixa de seleção WPA, à direita. Digite a chave secreta compartilhada para WPA PSK ou a frase secreta WPA PSK. Essa chave deve corresponder à chave WPA PSK configurada no adaptador cliente. Clique em Apply (Aplicar).
O AP agora poderá receber solicitações de autenticação dos clientes com tecnologia sem fio. Configure o Adaptador Cliente Conclua estas etapas: Na janela Profile Management (Gerenciamento de Perfil) do ADU, clique em New (Novo), para criar um novo perfil. Uma nova janela mostra onde você pode definir a configuração para o modo de operação PSK WPA 2. Na guia General (Geral), digite o Profile Name (Nome do Perfil) e o SSID que o adaptador cliente deverá usar. Neste exemplo, o nome de perfil é WPA2-PSK e o SSID é WPA2PSK: Observação: O SSID deve corresponder ao SSID configurado no AP para PSK WPA 2. Clique na guia Security (Segurança) e clique em WPA/WPA2 Passphrase (Frase Secreta WPA/WPA2). Esta ação ativa PSK WPA ou PSK WPA 2, dependendo do que você tiver configurado no AP. Clique em Configure (Configurar). É exibida a janela Define WPA/WPA2 Pre-Shared Key (Definir Chave Pré-Compartilhada WPA/WPA2). Obtenha a frase secreta WPA/WPA2 com seu administrador do sistema e digite-a no campo frase secreta WPA/WPA2. Obtenha a frase secreta para o AP em uma rede da infra-estrutura ou a frase secreta de outros clientes em uma rede ad-hoc. Use essas diretrizes para inserir uma frase secreta: Frases secretas WPA/WPA2 devem conter de 8 a 63 caracteres de texto ASCII ou 64 caracteres hexadecimais. A frase secreta de seu adaptador cliente WPA/WPA2 deve corresponder à frase secreta do AP com o qual você pretende se comunicar. Clique em OK para salvar a frase secreta e voltar à janela Profile Management (Gerenciamento de Perfil). Verificação Utilize esta seção para confirmar se a sua configuração está funcionando corretamente.
Depois a ativação do perfil PSK WPA 2, o AP autentica o cliente com base na frase secreta WPA 2 (PSK) e fornece acesso à WLAN. Verifique ADU Current Status (Status Atual do ADU) para saber se a autenticação obteve êxito. Esta janela fornece um exemplo. Ela mostra que a criptografia usada é AES e que não é executada nenhuma autenticação com base no servidor: Consulte AP/bridge Event Log (Log de Eventos do AP/Ponte) para verificar se o cliente foi autenticado com sucesso com o modo de autenticação PSK WPA 2. Solução de Problemas No momento, não há informações específicas de solução de problemas para esta configuração. Informações Relacionadas Configurando o Cipher Suites e WEP Configurando os Tipos de Autenticação Visão Geral da Configuração do WPA WPA2 - Wi-Fi Protected Access 2 Wi-Fi Protected Access, WPA2 e IEEE 802.11i Página de Suporte para Conexões com tecnologia sem fio Suporte Técnico e Documentação - Cisco Systems