Os pontos Fracos de uma rede sem fio.
Os pontos fracos de uma rede sem fioAs redes Wi-Fi estão, em princípio, expostas a dois perigos principais. O primeiro é um intruso conseguir se conectar ao nosso ponto de acesso. Isto lhe permitiria utilizar alguns dos recursos da rede, por exemplo, a conexões à internet e até mesmo impressoras compartilhadas. O segundo é que o invasor consiga de fato acessar a rede interna, seja ela doméstica ou corporativa, o que lhe permitiria roubar dados, senhas, nomes de conta e arquivos de trabalho.
Frente à primeira ameaça, a proteção mais utilizada é algum sistema de autenticação que obrigue todo usuário a demonstrar sua identidade no momento da conexão. Isto pode ser feito por meio de uma senha de acesso ou pela validação de um dispositivo específico, como o computador. A identificação do PC é um dos mecanismos de controle de acesso mais simples disponíveis. Para isso, se realiza uma análise do cartão de conexão sem fio instalado no PC que deseja se conectar. Esta análise consiste na identificação do endereço MAC do cartão. No entanto, este mecanismo de filtragem pode ser burlado sem grande dificuldade por um hacker.
Frente à segunda ameaça, a proteção mais indicada é a codificação da informação que circula pela rede Wi-Fi. O primeiro mecanismo de segurança utilizado foi o denominado WEP – Wired Equivalent Privacy – que se baseia no algoritmo de criptografia RC4 e pode empregar empregar chaves de criptografia de 64 a 256 bits. No entanto, já faz tempo que a criptografia WEP foi rompida, portanto qualquer hacker que tenha acesso à rede sem fio e que capture alguns megas de informação criptografada poderá romper a chave em poucos minutos.
Há alguns anos está disponível outro padrão, o WPA – Wi-Fi Protected Access – , que melhorou a proteção proporcionada pelo WEP e, no ano passado, foi criado o padrão 802.11i , também conhecido como WPA2, com mecanismos ainda mais fortes de autenticação e criptografia do tráfego.
Os principais padrões de segurança do Wi-Fi
WEP (Wired Equivalent Privacy)
É um padrão desenvolvido pelo IEEE, cujo objetivo é proporcionar um esquema de proteção para redes sem fio que cumpram o padrão 802.11. O padrão WEP não suporta uma autenticação e uma criptografia seguras, seu único objetivo é proteger os dados de escutas passivas. O algoritmo WEP se baseia em uma chave secreta compartilhada entre o ponto de acesso e os clientes. O WEP utiliza esta chave para codificar toda a informação que circula pela rede.O WEP utiliza como algoritmo de criptografia o RC4, que foi desenvolvido pela RSA. A chave secreta compartilhada pode ser de 64, 128 ou 256 bits.
WPA-Personal (Acesso Protegido Wi-Fi–Pessoal)
Trata-se de um método de segurança sem fio que fornece proteção forte dos dados e evita o acesso não autorizado às redes de tamanho pequeno. Utiliza criptografia TKIP e impede os acessos não autorizados à rede mediante o uso de uma chave pré-compartilhada (PSK).
WPA-Enterprise (Acesso Protegido Wi-Fi–Empresarial)
Trata-se de um método de segurança sem fio que oferece forte proteção dos dados para vários usuários e para redes administradas de grande tamanho. Utiliza o sistema de autenticação 802.1X com criptografia TKIP e impede os acessos não autorizados à rede verificando os usuários mediante um servidor de autenticação.
WPA2-Pessoal e WPA2-Enterprise
Melhorando esta série de padrões de segurança apareceram recentemente os padrões WPA2-Pessoal e WPA2-Enterprise, que aperfeiçoam as medidas de segurança correspondentes à proteção dos dados e aos acessos e autenticação dos usuários dos dois padrões anteriores. Utiliza o algoritmo de criptografia denominado AES (Advanced Encription Standard, ou Padrão Avançado de Criptografia).
O Que fazer para dificultar um ataque.
Sempre que falamos de segurança, não se pode dar uma regra fixa e geral que sirva para todos os equipamentos, redes e empresas. Além disso, em muitas ocasiões, a segurança não é uma questão meramente tecnológica, mas também de procedimento. Quem deseja garantir a segurança utilizando exclusivamente meios técnicos, não conhece o problema nem a tecnologia. Por isso, é mais adequado falar de diversas medidas que dificultem ao máximo o trabalho do invasor e o convençam de que atacar a sua rede Wi-Fi vai ser muito complicado. Vejamos algumas destas medidas:
1. Troque as senhas predeterminadas dos pontos de acesso à rede sem fio
Muitos equipamentos vêm pré-configurados de fábrica com uma conta de administrador e uma determinada chave de acesso ou senha. Obviamente, se não modificamos estes parâmetros, estaremos facilitando muito o trabalho do nosso possível invasor. Especifique esta senha utilizando as normas gerais de definição de senhas (a maior extensão possível, misture caracteres numéricos, alfabéticos e de controle, não utilize palavras que venham em dicionário ou que tenham relação com você, etc.). Em geral, este trabalho será simples e evitará que qualquer atacante alcance o controle do ponto de acesso e o configure ao seu gosto. Evidentemente, como medida adicional, se não vamos utilizar a rede sem fio por um período de tempo determinado, o melhor que podemos fazer será desconectar o ponto de acesso.
2. Empregar um mecanismo de segurança WEP/WPA/WPA2
É essencial utilizar algum sistema de criptografia para proteger o conteúdo de suas comunicações. Embora o esquema de criptografia WEP tenha sido rompido, é melhor utilizá-lo que transmitir às claras, sem criptografia alguma. No caso de optar mesmo pelo WEP, use sempre uma chave da maior extensão possível (256 bits). Em geral, você deverá configurar a criptografia selecionada tanto nos pontos de acesso como nos dispositivos que queiram acessar a rede Wi-Fi, utilizando em todos os elementos a mesma chave escolhida.
Neste processo, é preciso ter cuidado com as incompatibilidades. Isto é, se configuramos um ponto de acesso com o sistema WPA2, todos os demais elementos que queiram acessar tal ponto devem ser compatíveis com tal sistema e pode ser que você utilize dispositivos (por exemplo, equipamentos Palm) que não o sejam. É claro que é possível melhorar a segurança das redes sem fio protegidas pelos mecanismos WEP/WPA/WPA2 se, de tempos em tempos, trocarmos as senhas de acesso (quinzenal ou mensalmente) tanto no ponto de acesso como nos equipamentos conectados.
3. Ativar a filtragem de endereços MAC
O endereço de Controle de Acesso ao Meio ou Media Access Control (MAC) identifica cada um dos pontos ou equipamentos conectados a uma rede. Este endereço MAC é, a princípio, único para cada cartão de comunicações e está gravado no firmware do dispositivo, o que faz com que seja impossível mudá-lo. No entanto – e para nossa desgraça – é possível falsificá-lo temporariamente utilizando diferentes programas. Se no ponto de acesso ativamos a filtragem de endereço MAC e introduzimos uma lista com os endereços MAC autorizados a se conectar em nossa rede, só aqueles equipamentos cujo endereço MAC estiver incluído em tal lista poderão se conectar. Porém, este mecanismo é altamente vulnerável porque os endereços MAC dos equipamentos conectados via WEP são transmitidos em aberto (sem criptografar) e qualquer invasor que disponha dos métodos adequados poderá descobrir este endereço e simulá-lo posteriormente no seu PC.
4. Modificar o SSID definido de forma predeterminada e ocultá-lo
O SSID é o Identificador do Conjunto de Serviços ou Service Set Identifier. O SSID é utilizado como identificador para distinguir os distintos pontos de acesso entre si. Se transferirmos este termo para as redes de conexão física poderia ser equivalente ao nome de domínio. Em geral, os pontos de acesso Wi-Fi têm associado um SSID predeterminado, como default, SSID ou wireless. Se mudarmos este SSID, dificultaremos o trabalho do atacante. Só não utilize como SSID o nome da sua empresa. Não é conveniente dar pistas.
Uma vez modificado o SSID, será melhor ocultá-lo. Para isso, você deverá desativar o modo de difusão do SSID (SSID broadcasting). Este sistema permite que os novos equipamentos que queiram se conectar ao ponto de acesso recebam seu SSID e identifiquem automaticamente os dados da rede sem fio. Se você desativar a difusão do SSID, deverá configurar manualmente cada equipamento que queira usar a rede. Sem dúvida, perderá em comodidade, mas ganhará em segurança. Com estes dois mecanismos (modificação do SSID e interrupção da sua difusão), estaremos dificultando o descobrimento da nossa rede Wi-Fi por um usuário não desejado.
5. Limitar o número de equipamentos que possam acessar simultaneamente a rede
Se o ponto de acesso permite, é uma boa idéia limitar o número de equipamentos que possam se conectar com ele simultaneamente. Assim, se o número de conexões permitidas está no máximo, dificilmente um atacante poderá se conectar a esse ponto.
6. Desativar o servidor DHCP
O Protocolo de Configuração Dinâmica do Host, ou Dynamic Host Configuration Protocol (DHCP), permite designar automaticamente endereços IP a um equipamento que queira se conectar a nossa rede, ou proporcionar-lhe outros parâmetros de configuração (máscara de sub-rede, router predeterminado, etc.). Desta forma, todo equipamento que quiser se conectar à nossa rede Wi-Fi deverá ser configurado manualmente, especificando os seguintes dados: endereço IP, porta, máscara de sub-rede e os DNS primário e secundário. Poderemos pensar em utilizar valores de endereços IP que pertençam a categorias não padrões, para dificultar o trabalho do atacante (se este conhecer a categoria de IP utilizada, nosso trabalho terá sido em vão). Por exemplo, a categoria típica de endereços IP é o 192.168.X.X, e o endereço IP predeterminado do ponto de acesso costuma ser 192.168.1.1. Se o ponto de acesso permitir, seria interessante mudar estes valores.
Como você pode verificar, não existe um único método ou mecanismo que garanta a segurança da uma rede sem fio. Se você seguir as sugestões acima, porém, tornará as coisas realmente mais difíceis para os possíveis invasores. As normas são simples: não deixe nada com os ajustes predefinidos, configure sempre os acessos manualmente e utilize um mecanismo de segurança do tipo WPA ou WPA2. Existem outras soluções de segurança mais avançadas, complexas e, em geral, mais eficazes, como o uso de servidores RADIUS ou soluções baseadas em IPSec. Mas, em geral, todas elas requerem hardware e software específicos e um orçamento maior.
Ok, sei que ficou longo, mas tenho certeza de que sanamos todas as dúvidas a respeito, inclusive por não falarmos de redes em nosso curso.
Abraço.
Este comentário foi removido pelo autor.
ResponderExcluirSensacional artigo sobre segurança de redes sem fio! Impresso e tem que ser livro de cabeceira. showwww!!!!
ResponderExcluirValeu, espero que possa continuar atendendo às expectativas.
ResponderExcluir