{"id":2263,"date":"2014-12-17T09:10:10","date_gmt":"2014-12-17T11:10:10","guid":{"rendered":"http:\/\/www.viazap.com.br\/?p=2263"},"modified":"2014-12-16T09:13:37","modified_gmt":"2014-12-16T11:13:37","slug":"wpa_supplicant-conf-configuracao-para-wpa2-psk","status":"publish","type":"post","link":"https:\/\/blog.clusterweb.com.br\/?p=2263","title":{"rendered":"wpa_supplicant.conf – Configura\u00e7\u00e3o para WPA2-PSK"},"content":{"rendered":"

WPA2 com PSK e TKIP – Seguran\u00e7a em redes Wi-Fi dom\u00e9sticas<\/b><\/p>\n

\n

Esse artigo \u00e9 para quem precisa configurar o Wi-Fi como WPA2<\/em> com PSK<\/em>. Esse \u00e9 o m\u00e9todo mais f\u00e1cil de tornar sua conex\u00e3o segura com Wi-Fi dom\u00e9stico. Isso significa que haver\u00e1 uma “frase-senha” conhecida por todos que acessam a rede.<\/p>\n

Essa chave-frase \u00e9 armazenada no roteador Wi-Fi. Como WEP \u00e9 inseguro e WPA \u00e9 pass\u00edvel de invas\u00e3o (teoricamente), atualmente para uso dom\u00e9stico, o melhor \u00e9 manter seu roteador Wi-Fi em WPA2-PSK usando TKIP.<\/p>\n

O comprimento da frase secreta, o uso de mai\u00fasculas, caracteres de pontua\u00e7\u00e3o e n\u00fameros (somente caracteres da tabela ASCII s\u00e3o permitidos) aumenta a dificuldade da quebra de senha. Alguns roteadores Wireless permitem m\u00faltiplos protocolos simultaneamente (WEP, WPA, WPA2, WPS). Desative todos os demais (incluindo WPS que \u00e9 vulner\u00e1vel) e deixe apenas WPA2-PSK com TKIP.<\/p>\n

Isso garante um n\u00edvel de estabilidade e seguran\u00e7a para o ponto de acesso. Se poss\u00edvel, atualize seu firmware. Essa opera\u00e7\u00e3o pode danificar seu aparelho, ent\u00e3o, saiba o que est\u00e1 fazendo antes de se aventurar.<\/p>\n

Esse artigo n\u00e3o cobre a configura\u00e7\u00e3o WEP, WPA, WPS ou o uso de EAP com qualquer protocolo, o uso de certificados ou o uso de servidores RADIUS de autentica\u00e7\u00e3o. Existem mil maneiras de “comer Neston com wpa_supplicant”. Esse artigo \u00e9 uma introdu\u00e7\u00e3o para esses protocolos, pois a estrutura de configura\u00e7\u00e3o \u00e9 a mesma.<\/p>\n

O arquivo wpa_supplicant.conf<\/span> armazena os par\u00e2metros necess\u00e1rios para configurar a negocia\u00e7\u00e3o entre o cliente WPA e o servidor. O arquivo consiste de um bloco de configura\u00e7\u00f5es globais, que afetam todas as redes, e um ou mais blocos de rede onde s\u00e3o inseridos os par\u00e2metros de cada conex\u00e3o.<\/p>\n

O sistema wpa_supplicant selecionar\u00e1 a rede prim\u00e1ria baseado na ordem de prioridade definida no par\u00e2metro prioridade. Havendo mais de uma rede com a mesma prioridade, s\u00e3o avaliados a for\u00e7a do sinal da rede e n\u00edvel de seguran\u00e7a, WPA\/WPA2 s\u00e3o preferenciais.<\/p>\n

No corpo do arquivo, um linha que se inicia com #<\/span>, \u00e9 considerada um coment\u00e1rio. Ap\u00f3s encontrar um sinal #<\/span>, todo o restante da linha \u00e9 considerado coment\u00e1rio. Por exemplo:<\/p>\n

ssid=”Rede-01″\u00a0\u00a0# Aqui \u00e9 um coment\u00e1rio ap\u00f3s uma defini\u00e7\u00e3o.<\/span>
\n# Esse \u00e9 um coment\u00e1rio em toda a linha.<\/span><\/div>\n

Par\u00e2metros globais<\/h1>\n

Os par\u00e2metros globais s\u00e3o definidos como um bin\u00f4mio par\u00e2metro=valor.<\/p>\n

Observe que n\u00e3o s\u00e3o permitidos espa\u00e7os em branco no campo do valor. Valores que exigem espa\u00e7o devem ser declarados entre aspas duplas. Alguns par\u00e2metros aceitam valores livres, enquanto outros possuem valores pr\u00e9-definidos de tipo.<\/p>\n

ctrl_interface<\/span> – \u00e9 o par\u00e2metro que armazena a rota (pathname) onde o sistema wpa_supplicant deve criar um arquivo de soquete do tipo Unix.<\/p>\n

Um soquete \u00e9 um arquivo especial do tipo socket (s), respons\u00e1vel pela comunica\u00e7\u00e3o entre wpa_supplicant e programas front-end como wpa_cli(8). Observe que ctrl_interface<\/span> armazena a rota e n\u00e3o o nome do arquivo, que normalmente \u00e9 o nome da interface (wlan0).<\/p>\n

Exemplo:<\/p>\n

ctrl_interface=\/var\/run\/wpa_supplicant<\/div>\n

Criar\u00e1 o diret\u00f3rio em \/var\/run\/wpa_supplicant<\/span> e o arquivo de soquete wlan0.<\/p>\n

ctrl_interface_group<\/span> – define o nome do grupo (ou GID) com o qual o arquivo de soquete ser\u00e1 criado. Isso pode ser ajustado para que usu\u00e1rios que n\u00e3o s\u00e3o root possam controlar essa interface de rede.<\/p>\n

Se esse valor n\u00e3o for declarado, assume o valor da propriedade do diret\u00f3rio onde foi criado (normalmente pertence a root). Em v\u00e1rias distribui\u00e7\u00f5es esse arquivo \u00e9 criado em \/var\/run (pertence ao root) sendo uma \u00e1rea cr\u00edtica para seguran\u00e7a do sistema.<\/p>\n

Exemplo:<\/p>\n

ctrl_interface_group=root<\/div>\n

eapol_version<\/span> – o protocolo IEEE 802.1x\/EAPOL possui a vers\u00e3o 1 e 2. O sistema wpa_supplicant \u00e9 implementado de acordo com a revis\u00e3o IEEE 802-1X-Ver-d8. Isso significa que, por padr\u00e3o EAPOL, \u00e9 sempre 2. Entretanto, pontos de acesso antigos n\u00e3o trabalham com essa vers\u00e3o.<\/p>\n

Por padr\u00e3o, wpa_supplicant ir\u00e1 anunciar SEMPRE que deseja a vers\u00e3o 1. Assim, \u00e9 preciso dizer explicitamente para wpa_supplicant para usar a vers\u00e3o 2 que \u00e9 melhorada e oferece mais benef\u00edcios. Se seu roteador antigo parece dropar todos seus quadros, ent\u00e3o, o problema est\u00e1 nesse par\u00e2metro.<\/p>\n

Exemplo:<\/p>\n

eapol_version=2<\/div>\n

ap_scan<\/span> – esse par\u00e2metro controla a sele\u00e7\u00e3o e o escaneamento do ponto de acesso. S\u00e3o tr\u00eas op\u00e7\u00f5es poss\u00edveis (0,1 e 2). O padr\u00e3o para redes sem fio \u00e9 1 e somente esse valor pode ser utilizado no m\u00f3dulo WLAN. Os demais valores s\u00e3o utilizados por outros sistemas operacionais.<\/p>\n

O modo 0 \u00e9 usado quando drivers que n\u00e3o s\u00e3o nativos para WPA (como uma placa de rede com fio) v\u00e3o se associar ao roteador usando um cabo de rede. O modo 2 \u00e9 similar ao modo 0, adicionando o uso de uma pol\u00edtica de seguran\u00e7a e SSID (nunca BSSID) e drivers ndiswrapper e NDIS com pontos de acesso que ocultem seu SSID.<\/p>\n

Neste modo, somente um bloco de defini\u00e7\u00e3o de rede \u00e9 aceito. Os valores de key_mgmt, pairwise, group, proto devem ser \u00fanicos e previamente definidos.<\/p>\n

ap_scan=1<\/div>\n

fast_reauth<\/span> – \u00e9 um par\u00e2metro que controla a velocidade da reautentica\u00e7\u00e3o. O valor 1 \u00e9 ativo e o valor 0 e desativado. Esse valor depende de suporte por EAP. Caso gere instabilidade, mantenha desativado.<\/p>\n

O bloco de rede<\/h1>\n

Cada rede, ou ponto de acesso em potencial, deve possuir um bloco que descreva como identificar e configurar a seguran\u00e7a dessa rede. Quando m\u00faltiplas redes s\u00e3o listadas nesse arquivo de configura\u00e7\u00e3o, a que tiver o maior valor no campo prioridade \u00e9 selecionada para uso.<\/p>\n

Se mais de uma rede tem o mesmo n\u00edvel de prioridade, ent\u00e3o, os crit\u00e9rios de for\u00e7a do sinal e seguran\u00e7a s\u00e3o avaliados para definir uma rede para conex\u00e3o. Um bloco se parece com isso:<\/p>\n

network={
\npar\u00e2metro=valor
\n….
\n}<\/div>\n

* Aten\u00e7\u00e3o: entre “network={“, n\u00e3o pode haver espa\u00e7o em branco. Um bloco pode conter uma ou mais declara\u00e7\u00e3o de acordo com os par\u00e2metros. Quando um par\u00e2metro n\u00e3o declarado explicitamente \u00e9 certo que existe um valor padr\u00e3o para ele. Preferencialmente deixe seus valores expl\u00edcitos:<\/p>\n

ssid (requerido)<\/span> – \u00e9 o SSID divulgado pelo ponto de acesso e representa o nome do ponto de acesso. Esse campo deve conter somente caracteres da tabela ASCII ou uma cadeia de caracteres no formato hexadecimal fechada entre aspas duplas. Evite caracteres acentuados aqui e apesar de aceito evite usar espa\u00e7os em branco para o nome de um ponto de acesso.<\/p>\n

Exemplo:<\/p>\n

ssid=”VOL-WIFI”<\/div>\n

scan_ssid<\/span> – define a t\u00e9cnica utilizada para escanear em busca do SSID. O valor padr\u00e3o \u00e9 0, que realiza uma sondagem por broadcast. O escaneamento do tipo 1 utiliza uma sondagem direta por quadro (frame). Pontos de acesso que ocultam seu SSID requerem o escaneamento do tipo 1.<\/p>\n

Isso provoca uma na negocia\u00e7\u00e3o da conex\u00e3o bem mais demorada e deve ser ativada somente se necess\u00e1ria.<\/p>\n

scan_ssid=0<\/div>\n

bssid<\/span> – armazena o endere\u00e7o MAC do ponto de acesso, garantindo que o ponto de acesso \u00e9 realmente aquele ao qual pretende conectar. Isso evita conflito de nomes entre pontos de acessos. Para obter o MAC do ponto de acesso, utilize o comando iwlist scanning<\/span>.<\/p>\n

Exemplo:<\/p>\n

bssid=28:32:c5:f8:c8:00<\/div>\n

priority<\/span> – define a prioridade da rede. Se omitido assume o valor 0. Quanto maior o valor maior a prioridade. Se duas redes possuem a mesma prioridade, ent\u00e3o, s\u00e3o avaliadas e a que tiver melhor pol\u00edtica de seguran\u00e7a (WPA\/WPA2) e a melhor for\u00e7a do sinal ser\u00e1 escolhida.<\/p>\n

priority=10<\/div>\n

mode<\/span> – o modo de opera\u00e7\u00e3o IEEE 802.11; o valor 0 indica infraestrutura (\u00e9 o valor padr\u00e3o) ou o valor 1 que indica IBSS que \u00e9 o mesmo que rede ad hoc. Uma rede IBSS somente pode ter o gerenciamento da chave (key_mgmt) como NONE (nenhum) o que significa texto puro ou WEP est\u00e1tica. Se IBSS for definido como WPA-NONE (TKIP\/CCMP), neste caso, o valor de ap_scan deve ser 2.<\/p>\n

WPA-NONE requer o valor de proto como WPA, key_mgmt como WPA-NONE, pairwise como NONE, group como CCMP ou TKIP, (nunca ambos) e PSK presente. Uma rede ad hoc \u00e9 estabelecida entre dois dispositivos, sem um ponto de acesso, portanto, fora do escopo desse artigo.<\/p>\n

Exemplo:<\/p>\n

mode=0<\/div>\n

proto<\/span> – lista os protocolos aceit\u00e1veis. WPA para IEEE 802.11i\/D3.0 e RSN para IEEE 802.11i. O WPA2 \u00e9 um alias para RSN. Se omitido o padr\u00e3o desse par\u00e2metro \u00e9 uma lista composta por “WPA RSN”.<\/p>\n

Exemplo:<\/p>\n

proto=RSN\u00a0\u00a0\u00a0# alias para WPA2<\/span><\/div>\n

key_mgmt<\/span> – lista os protocolos aceit\u00e1veis pelo cliente. Pode ser declarado um ou mais protocolos, que ser\u00e3o testados na sequ\u00eancia. WPA-PSK – WPA com chave compartilhada, WPA-EAP, WPA com autentica\u00e7\u00e3o externa, IEEE802.1x, usando autentica\u00e7\u00e3o EAP e opcionalmente chaves din\u00e2micas WEP. NONE, usando texto puro ou chaves est\u00e1ticas WEP. Se omitido os valores padr\u00e3o, s\u00e3o “WPA-PSK WPA-EAP”.<\/p>\n

Exemplo:<\/p>\n

key_mgmt=WPA-PSK<\/div>\n

auth_alg<\/span> – lista os algoritmos de autentica\u00e7\u00e3o permitidos. Um ou mais valores podem ser declarados. OPEN (Open System authentication) requerido para WPA\/WPA2. O valor SHARED (Shared Key Authentication), LEAP (LEAP\/Network EAP).<\/p>\n

Exemplo:<\/p>\n

auth_alg=OPEN<\/div>\n

pairwise<\/span> – lista o valor do “par s\u00e1bio”. Se omitido assume “CCMP TKIP”. O tipo unicast de cifra para WPA, CCMP (AES, em modo contador com CBC-MAC, como na RFC 3610, ou IEEE 802.11i\/D7.0) para TKIP. O valor NONE est\u00e1 depreciado.<\/p>\n

Exemplo:<\/p>\n

pairwise=TKIP<\/div>\n

group<\/span> – lista o grupo multicast aceit\u00e1vel de cifras para WPA. Um ou mais valores s\u00e3o aceitos. CCMP (AES), TKIP, WEP104 ou WEP40. Por omiss\u00e3o essa \u00e9 a pr\u00f3pria ordem consultada.<\/p>\n

group=TKIP<\/div>\n

psk<\/span> – esse campo armazena um hash da chave compartilhada, quando estiver usando o modo WPA-PSK. Essa chave \u00e9 especificada como 64 d\u00edgitos em hexadecimal ou como uma frase senha de 8-63 caracteres em ASCII. As frases chaves s\u00e3o dinamicamente convertidas para uma chave de 256 bits em tempo de execu\u00e7\u00e3o usando o SSID ou previamente pelo utilit\u00e1rio wpa_passphrase(8), isso \u00e9 o melhor a fazer.<\/p>\n

Esse utilit\u00e1rio tamb\u00e9m envia sua frase senha em texto puro para o arquivo de configura\u00e7\u00e3o. Isso \u00e9 um ponto de fraqueza na seguran\u00e7a, apague essa linha de acordo com o grau de paranoia de seguran\u00e7a.<\/p>\n

#psk=”Chave Secreta em texto puro”<\/span>
\npsk=06b4be19da289f475aa46a33cb793029d4ab3db7a23ee92382eb0106c72ac7bb<\/div>\n

mixed_cell<\/span> – configura se o ponto de acesso permite o uso de texto puro e criptografado quando selecionando um BSS dos resultados do escaneamento. Por padr\u00e3o, isso \u00e9 configurado como desativado (0). O valor 1 ativa.<\/p>\n

Exemplo:<\/p>\n

mixed_cell=0<\/div>\n

A seguir, um modelo de wpa_supplicant.conf<\/span> para WPA2-PSK com TKIP:<\/p>\n

# Parametros Globais<\/span>
\n#<\/span>
\nctrl_interface=\/var\/run\/wpa_supplicant
\nctrl_interface_group=root
\neapol_version=2
\nap_scan=1
\nfast_reauth=1
\n#<\/span>
\n# Fim dos Par\u00e2metros Globais<\/span>
\n#<\/span>
\n# Inicio das redes<\/span>
\nnetwork={
\nssid=”VOL”
\nscan_ssid=0
\nbssid=00.11.22:aa:bb:cc
\npriority=10
\nmode=0
\nproto=RSN
\nkey_mgmt=WPA-PSK
\nauth_alg=OPEN
\npairwise=TKIP
\ngroup=TKIP
\n# psk=”Frase Chave em texto puro”<\/span>
\npsk=44cb7cbece91a5abaeaf4694eb188f868c0716b945f73341ea91d6de77a8d670
\nmixed_cell=0
\n}<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

WPA2 com PSK e TKIP – Seguran\u00e7a em redes Wi-Fi dom\u00e9sticas Esse artigo \u00e9 para quem precisa configurar o Wi-Fi como WPA2 com PSK. Esse \u00e9 o m\u00e9todo mais f\u00e1cil de tornar sua conex\u00e3o segura com Wi-Fi dom\u00e9stico. Isso significa que haver\u00e1 uma “frase-senha” conhecida por todos que acessam a rede. Essa chave-frase \u00e9 armazenada […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[1,42,51,495,68,271,35],"tags":[40,355,800,801],"class_list":["post-2263","post","type-post","status-publish","format-standard","hentry","category-viazap","category-leitura-recomendada","category-linux-linuxrs","category-profissional-de-ti","category-redes-2","category-seguranca-2","category-wireless","tag-configuracao","tag-para","tag-wpa_supplicant-conf","tag-wpa2-psk"],"_links":{"self":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts\/2263","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2263"}],"version-history":[{"count":1,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts\/2263\/revisions"}],"predecessor-version":[{"id":2264,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts\/2263\/revisions\/2264"}],"wp:attachment":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2263"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2263"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2263"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}