À medida que conectamos cada vez mais dispositivos a redes WiFi públicas, as preocupações com a segurança e a autenticação de usuários continuam a dominar a conversa. Isso é especialmente verdadeiro ao debater os protocolos de segurança apropriados para redes WiFi para visitantes de grande escala que recebem centenas, milhares ou até milhões de usuários por dia. Sem as medidas de segurança necessárias, os usuários em toda a rede compartilhada ficam vulneráveis. Aqueles que operam a rede também podem descobrir que ela se torna incontrolável.
Como um padrão básico de segurança, o WiFi público de alto tráfego deve ser configurado com protocolos WPA-enterprise que usam um mecanismo de autenticação 802.1X. O 802.1X opera em conjunto com dois protocolos de rede seguros: Extensible Authentication Protocol Over Lans (EAPoL) e o servidor Remote Authentication Dial-In User Service (RADIUS). Eles tornam o 802.1x inerentemente mais seguro do que o WPA-PSK ou WPA2-PSK padrão, que exigem uma senha compartilhada para que todos os usuários acessem a rede.
Quando considerar a autenticação 802.1x
Quando um usuário da internet faz login em uma rede WPA-PSK ou WPA2-PSK (PSK significa 'chave pré-selecionada'), a autenticação ocorre quando o usuário insere a senha / chave de segurança correta da rede. Isso permite que a máquina ou dispositivo do usuário ingresse, opere e potencialmente controle a rede sem nenhuma credencial de identificação. Isso se torna especialmente problemático quando as empresas (com computadores conectados, caixas registradoras e dispositivos IoT) compartilham sua rede principal com os clientes. À medida que mais e mais usuários fazem login no seu WiFi para visitantes, saber exatamente quem usa sua rede (ou quem sabe a senha) torna-se virtualmente impossível. Alterar a senha com frequência para remover usuários indesejados da rede também é trabalhoso e ineficiente, e não é o ideal para grandes redes com alto volume de usuários.
Se você é uma empresa ou estabelecimento que oferece segurança de porta (determina quais máquinas podem ingressar em uma rede com base no endereço MAC do dispositivo), as preocupações com a segurança ainda surgem. Embora usuários não solicitados não consigam ingressar na rede em seus próprios dispositivos, Keith Bogart afirma que nada impede que eles se passem por um indivíduo naquele dispositivo se tiverem a oportunidade (ex.: se um dispositivo autorizado for roubado, não é possível determinar se o usuário correto está operando a máquina).
A autenticação 802.1x resolve os problemas em torno dos protocolos de rede de segurança de porta ou senha, exigindo que o usuário seja autenticado, independentemente do dispositivo. Por esse motivo, recomendamos que ambientes comerciais e profissionais usem essas estruturas AAA (Autenticação, autorização e contabilização) como uma medida padrão.
O processo de autenticação 802.1x explicado
Existem três partes na autenticação 802.1x que trabalham juntas para permitir que um usuário faça login em uma determinada rede: o suplicante, o autenticador e o servidor de autenticação.
O suplicante (ou usuário final) que está tentando ingressar em uma rede SSID tem primeiro seu acesso impedido por um Autenticador. A comunicação que ocorre entre o suplicante e o autenticador faz parte do protocolo EAPoL e contém quadros ethernet que carregam as credenciais de login exclusivas do suplicante para uma rede específica. Dependendo do nível de segurança necessário, os autenticadores podem solicitar mais detalhes ou interações do suplicante (ex.: exigir um PIN ou o preenchimento de um código captcha).
Depois que os dados EAPoL são identificados pelo autenticador como uma tentativa de login, o autenticador prepara os dados para o servidor de autenticação, que, em última análise, permitirá ou negará o acesso à rede para o usuário final. Isso envolve a conversão de dados EAPoL em pacotes RADIUS que permitem ao servidor interpretar as credenciais de login como uma solicitação de acesso.
Os servidores que operam no protocolo de segurança RADIUS usam um sistema de Autenticação, Autorização e Contabilização (AAA ou Triple A), que é um método muito mais inteligente e seguro de controlar o acesso a redes / servidores / computadores e assim por diante. Servidores como esses exigem que os dados fornecidos pelo autenticador sejam cruzados (ou autenticados) com infraestruturas de back-end, como diretórios ou bancos de dados contendo detalhes do usuário e as credenciais correspondentes necessárias para a autenticação. Uma vez que as informações dentro do pacote RADIUS são aprovadas pelo servidor, uma solicitação de aprovação é enviada de volta ao autenticador, concedendo ao suplicante os direitos e permissões de acesso apropriados.
Facilitando a vida
Como a autenticação 802.1x opera em servidores habilitados para o protocolo RADIUS, as dificuldades em torno do gerenciamento de usuários e da escalabilidade para redes protegidas por WPA são inexistentes. Os usuários que ingressam em redes com autenticação 802.1x passam por dois níveis de criptografia de dados e suas sessões seguras em redes específicas são monitoradas pelo servidor RADIUS. Ao contrário das redes protegidas por senha (WPA), os usuários autenticados podem ser rastreados individualmente e removidos de uma rede caso representem algum tipo de ameaça. Escalar a quantidade de usuários também é muito mais fácil na ausência de uma senha, pois os usuários podem ser autenticados automaticamente em segundo plano. Em termos de empresas que compartilham a conexão com outras pessoas, o acesso também pode ser restrito a certas áreas de uma rede em um servidor RADIUS, o que é consideravelmente mais seguro do que ter uma rede de acesso aberto que pode ser facilmente infiltrada.
Em última análise, as operações de WiFi em grande escala têm muito a ganhar com a implementação de uma rede autenticada. Elas também têm muito a perder caso ignorem os riscos de segurança envolvidos na operação de redes WPA-PSK ou WPA2-PSK com acesso público.
