À medida que cada vez mais dispositivos se ligam a redes WiFi públicas, as preocupações em torno da segurança e da autenticação de utilizadores continuam a dominar a conversa. Isto é especialmente verdade quando se debatem os protocolos de segurança adequados para redes WiFi de convidados de grande escala, que recebem centenas, milhares ou mesmo milhões de utilizadores por dia. Sem as medidas de segurança necessárias implementadas, os utilizadores em toda a rede partilhada ficam vulneráveis. Aqueles que operam a rede também podem descobrir que a rede é difícil de gerir.
Como padrão básico de segurança, o WiFi público de alto tráfego deve ser configurado com protocolos WPA-enterprise que utilizam um mecanismo de autenticação 802.1X. O 802.1X opera em conjunto com dois protocolos de rede seguros: Extensible Authentication Protocol Over Lans (EAPoL) e o servidor Remote Authentication Dial-In User Service (RADIUS). Estes tornam o 802.1x inerentemente mais seguro do que o WPA-PSK ou WPA2-PSK padrão, que exigem uma palavra-passe partilhada para que todos os utilizadores acedam à rede.
Quando Considerar a Autenticação 802.1x
Quando um utilizador de internet inicia sessão numa rede WPA-PSK ou WPA2-PSK (PSK significa 'chave pré-selecionada'), a autenticação ocorre quando o utilizador introduz a palavra-passe / chave de segurança correta da rede. Isto permite que a máquina ou dispositivo do utilizador se ligue, opere e potencialmente controle a rede sem quaisquer credenciais de identificação. Isto torna-se especialmente problemático quando as empresas (com computadores ligados, caixas registadoras e dispositivos IoT) partilham a sua rede principal com os clientes. À medida que cada vez mais utilizadores iniciam sessão no seu WiFi de convidados, saber exatamente quem utiliza a sua rede (ou quem sabe a palavra-passe) torna-se virtualmente impossível. Alterar frequentemente a palavra-passe para remover utilizadores indesejados da rede é também trabalhoso e ineficiente, e não é o ideal para grandes redes com um elevado volume de utilizadores.
Se é uma empresa ou estabelecimento que oferece segurança de porta (determina quais as máquinas que se podem ligar a uma rede com base no endereço MAC do dispositivo), as preocupações de segurança continuam a surgir. Embora os utilizadores não solicitados não se consigam ligar à rede nos seus próprios dispositivos, segundo Keith Bogart, nada os impede de se fazerem passar por um indivíduo nesse dispositivo se tiverem oportunidade (ex.: se um dispositivo autorizado for roubado, não é possível determinar se o utilizador correto está a operar a máquina).
A autenticação 802.1x resolve os problemas em torno dos protocolos de rede de segurança de porta ou palavra-passe, exigindo que o utilizador seja autenticado, independentemente do dispositivo. Por esse motivo, recomendamos que os ambientes comerciais e profissionais utilizem estas estruturas AAA (Autenticação, autorização e contabilização) como medida padrão.
O Processo de Autenticação 802.1x Explicado
Existem três partes na autenticação 802.1x que trabalham em conjunto para permitir que um utilizador inicie sessão numa determinada rede: o suplicante, o autenticador e o servidor de autenticação.
O suplicante (ou utilizador final) que tenta ligar-se a uma rede SSID vê primeiro o seu acesso impedido por um Autenticador. A comunicação que ocorre entre o suplicante e o autenticador faz parte do protocolo EAPoL e contém tramas ethernet que transportam as credenciais de início de sessão exclusivas do suplicante para uma rede específica. Dependendo do nível de segurança necessário, os autenticadores podem solicitar mais detalhes ou interações ao suplicante (ex.: exigir um PIN ou o preenchimento de um código captcha).
Após os dados EAPoL serem identificados pelo autenticador como uma tentativa de início de sessão, o autenticador prepara os dados para o servidor de autenticação, que acabará por permitir ou negar o acesso à rede ao utilizador final. Isto envolve a conversão de dados EAPoL em pacotes RADIUS que permitem ao servidor interpretar as credenciais de início de sessão como um pedido de acesso.
Os servidores que operam no protocolo de segurança RADIUS utilizam um sistema de Autenticação, Autorização e Contabilização (AAA ou Triplo A), que é um método muito mais inteligente e seguro de controlar o acesso a redes / servidores / computadores e assim por diante. Servidores como estes exigem que os dados fornecidos pelo autenticador sejam cruzados (ou autenticados) com infraestruturas de back-end, como diretórios ou bases de dados que contêm detalhes do utilizador e as credenciais correspondentes necessárias para a autenticação. Assim que a informação dentro do pacote RADIUS for aprovada pelo servidor, um pedido de aprovação é enviado de volta ao autenticador, concedendo ao suplicante os direitos e permissões de acesso adequados.
Facilitar a Vida
Como a autenticação 802.1x opera em servidores com protocolo RADIUS ativado, as dificuldades em torno da gestão de utilizadores e escalabilidade para redes protegidas por WPA são inexistentes. Os utilizadores que se ligam a redes com autenticação 802.1x passam por dois níveis de encriptação de dados e as suas sessões seguras em redes específicas são monitorizadas pelo servidor RADIUS. Ao contrário das redes protegidas por palavra-passe (WPA), os utilizadores autenticados podem ser rastreados individualmente e removidos de uma rede caso representem qualquer tipo de ameaça. Escalar a quantidade de utilizadores também é muito mais fácil na ausência de uma palavra-passe, uma vez que os utilizadores podem ser autenticados automaticamente em segundo plano. Em termos de empresas que partilham a ligação com terceiros, o acesso também pode ser restrito a determinadas áreas de uma rede num servidor RADIUS, o que é consideravelmente mais seguro do que ter uma rede de acesso aberto que pode ser facilmente infiltrada.
Em última análise, as operações WiFi de grande escala têm muito a ganhar com a implementação de uma rede autenticada. Também têm muito a perder caso ignorem os riscos de segurança envolvidos na operação de redes WPA-PSK ou WPA2-PSK com acesso público.
