As redes de computadores baseadas em tecnologias sem fio se tornaram uma realidade tanto para empresas como para residências. Entretanto, este tipo de rede apresenta uma série de vulnerabilidades que tem sua origem na configuração inadequada dos equipamentos.
Ao contrário das redes cabeadas, as redes sem fio são de transmissão não guiada num meio comum e acessível a todos, dentro do raio de ação das antenas. Neste cenário, caso a rede não tenha configurados mecanismos mínimos de segurança, o acesso a essa rede fica imediatamente disponível a quem esteja dentro do raio de ação dos pontos de acesso (AP).
Se não forem implementadas as medidas de segurança necessárias, estará dando de presente ao nosso vizinho ou qualquer intruso no mínimo um acesso gratuito à Internet. Caso as vulnerabilidades sejam ainda mais menosprezadas, toda a informação empresarial ou pessoal que circule pela rede pode ser desviada. De documentos de trabalho até senhas de banco eletrônico.
O principal equipamento no qual deve-se ter bastante cuidado em sua configuração é o ponto de acesso (AP). Trata-se do dispositivo em uma rede sem fio que realiza a interconexão entre todos os computadores etc. Na maioria dos casos é o próprio roteador para acesso à Internet, pois os equipamentos mais comuns no mercado são estes com tudo em um, com as funções de roteamento, firewall e interconexão.
Tentei, com as medidas de segurança apresentadas a seguir, colocá-las em uma ordem de importância, da mais para a menos, seguindo critérios de risco de invasão. Claro que um intruso insistente e com excelentes conhecimentos pode talvez conseguir burlar todas elas, mas fica bem mais difícil com todos os cuidados tomados. Vamos as medidas:
1º) Alterar o nome de usuário e senha do administrador do roteador: Para acessar a página de configurações do roteador é necessário entrar com um usuário e senha. Nunca deixar o padrão, geralmente admin/admin. Em alguns modelos é possível alterar inclusive o nome do administrador, além da senha.
2º) Adoção de um protocolo de segurança com encriptação de dados: É possível encriptar toda a comunicação pela rede sem fio. Os protocolos WEP, WPA e WPA2 dão mais segurança durante o processo de autenticação, proteção e confiabilidade na comunicação entre os dispositivos. O WEP é o mais simples e frágil, WPA2 é a melhor opção.
3º) Uso de senha (passphrase) longa: Na configuração do mecanismo de encriptação define-se uma frase para ser a senha, quanto mais longa mais tempo será necessário para descobri-la por força bruta (tentativa e erro).
4º) Não permitir o acesso sem fio para o administrador: Não deixe habilitado o acesso para a página de configurações do roteador através da conexão sem fio, deixe apenas através da conexão cabeada.
5º) Ativar o firewall do roteador: Geralmente o equipamento possui embutido um sistema de firewall, deixá-lo ativo evita-se o tráfego de dados não autorizados entre a rede local e a Internet.
6º) Adoção de uma chave de criptografia de tamanho grande: Dependendo do mecanismo de criptografia escolhido é possível escolher o tamanho da chave em bits, quanto maior mais difícil é a quebra.
7º) Atualizar o firmware: O firmware é o conjunto de instruções operacionais programadas diretamente no hardware do equipamento. As atualizações costumam corrigir as falhas descobertas ou implementar uma nova funcionalidade.
8º) Filtragem pelos endereços MAC: Todo dispositivo de rede possui um endereço físico único. É uma boa medida catalogar os endereços MAC das placas de rede, de todos os computadores que utilizam a rede sem fio, para controlar o acesso no AP.
9º) Estabelecer uma faixa de IP reduzida: Se possui no máximo, por exemplo, 5 computadores que utilizam a sua rede então não há a necessidade de deixar uma faixa de IPs tão extensa. Se não houverem IPs disponíveis, ninguém mais conseguirá um acesso.
10º) Não fazer broadcast do SSID: Toda rede sem fio possui uma identificação particular, como um nome. Geralmente o ponto de acesso espalha esta informação dentro do seu alcance, assim de uma forma automática um cliente pode identificar a rede para conectar-se. Desativar esta transmissão para esconder a identificação pode aparentemente deixar sua rede invisível.
11º) Alterar o SSID: Se foi adotada a medida de esconder a identificação da rede, é necessário também mudar a identificação padrão fornecida pelo equipamento. Isto impossibilita as tentativas de adivinhação.
12º) Modifique periodicamente todas as senhas: Isso ajuda a impedir que um usuário antigo, não mais autorizado, volte a utilizar a rede. Ou também, quem por ventura tenha conseguido descobrir a senha, perca o acesso à rede.
13º) Desligar o AP quando não estiver em uso: Esta medida reduz o tempo de exposição da rede, consequentemente as chances de alguém passar por perto e descobrir que há uma rede sem fio.
14º) Ativar log do AP: Alguns equipamentos possuem o recurso de registrar os eventos relevantes. Um arquivo de log pode ser utilizado para auditoria e diagnóstico de problemas.
Se você mesmo vai configurar o seu roteador, ou ponto de acesso, procure atentar-se à estas medidas. Da 1º até a 5º é imprescindível que sejam implementadas, as demais podem ser escolhidas à gosto particular. Caso contrate alguém para realizar o serviço, informe o interesse na implementação destas medidas.
Como visto, não existe um único método ou mecanismo de segurança para aplicar em uma rede sem fio. Se você seguir as medidas acima, então, tornará as coisas realmente mais difíceis para os possíveis invasores. O conselho é simples, não deixe nada com os ajustes predefinidos de fábrica e utilize um protocolo de encriptação do tipo WPA ou WPA2. Existem outras soluções de segurança mais avançadas e eficazes, como o uso de servidores RADIUS ou soluções baseadas em IPSec. Mas requerem hardware e software específicos e um orçamento maior. Para uma rede doméstica é exagero.
Ao contrário das redes cabeadas, as redes sem fio são de transmissão não guiada num meio comum e acessível a todos, dentro do raio de ação das antenas. Neste cenário, caso a rede não tenha configurados mecanismos mínimos de segurança, o acesso a essa rede fica imediatamente disponível a quem esteja dentro do raio de ação dos pontos de acesso (AP).
Se não forem implementadas as medidas de segurança necessárias, estará dando de presente ao nosso vizinho ou qualquer intruso no mínimo um acesso gratuito à Internet. Caso as vulnerabilidades sejam ainda mais menosprezadas, toda a informação empresarial ou pessoal que circule pela rede pode ser desviada. De documentos de trabalho até senhas de banco eletrônico.
O principal equipamento no qual deve-se ter bastante cuidado em sua configuração é o ponto de acesso (AP). Trata-se do dispositivo em uma rede sem fio que realiza a interconexão entre todos os computadores etc. Na maioria dos casos é o próprio roteador para acesso à Internet, pois os equipamentos mais comuns no mercado são estes com tudo em um, com as funções de roteamento, firewall e interconexão.
Tentei, com as medidas de segurança apresentadas a seguir, colocá-las em uma ordem de importância, da mais para a menos, seguindo critérios de risco de invasão. Claro que um intruso insistente e com excelentes conhecimentos pode talvez conseguir burlar todas elas, mas fica bem mais difícil com todos os cuidados tomados. Vamos as medidas:
1º) Alterar o nome de usuário e senha do administrador do roteador: Para acessar a página de configurações do roteador é necessário entrar com um usuário e senha. Nunca deixar o padrão, geralmente admin/admin. Em alguns modelos é possível alterar inclusive o nome do administrador, além da senha.
2º) Adoção de um protocolo de segurança com encriptação de dados: É possível encriptar toda a comunicação pela rede sem fio. Os protocolos WEP, WPA e WPA2 dão mais segurança durante o processo de autenticação, proteção e confiabilidade na comunicação entre os dispositivos. O WEP é o mais simples e frágil, WPA2 é a melhor opção.
3º) Uso de senha (passphrase) longa: Na configuração do mecanismo de encriptação define-se uma frase para ser a senha, quanto mais longa mais tempo será necessário para descobri-la por força bruta (tentativa e erro).
4º) Não permitir o acesso sem fio para o administrador: Não deixe habilitado o acesso para a página de configurações do roteador através da conexão sem fio, deixe apenas através da conexão cabeada.
5º) Ativar o firewall do roteador: Geralmente o equipamento possui embutido um sistema de firewall, deixá-lo ativo evita-se o tráfego de dados não autorizados entre a rede local e a Internet.
6º) Adoção de uma chave de criptografia de tamanho grande: Dependendo do mecanismo de criptografia escolhido é possível escolher o tamanho da chave em bits, quanto maior mais difícil é a quebra.
7º) Atualizar o firmware: O firmware é o conjunto de instruções operacionais programadas diretamente no hardware do equipamento. As atualizações costumam corrigir as falhas descobertas ou implementar uma nova funcionalidade.
8º) Filtragem pelos endereços MAC: Todo dispositivo de rede possui um endereço físico único. É uma boa medida catalogar os endereços MAC das placas de rede, de todos os computadores que utilizam a rede sem fio, para controlar o acesso no AP.
9º) Estabelecer uma faixa de IP reduzida: Se possui no máximo, por exemplo, 5 computadores que utilizam a sua rede então não há a necessidade de deixar uma faixa de IPs tão extensa. Se não houverem IPs disponíveis, ninguém mais conseguirá um acesso.
10º) Não fazer broadcast do SSID: Toda rede sem fio possui uma identificação particular, como um nome. Geralmente o ponto de acesso espalha esta informação dentro do seu alcance, assim de uma forma automática um cliente pode identificar a rede para conectar-se. Desativar esta transmissão para esconder a identificação pode aparentemente deixar sua rede invisível.
11º) Alterar o SSID: Se foi adotada a medida de esconder a identificação da rede, é necessário também mudar a identificação padrão fornecida pelo equipamento. Isto impossibilita as tentativas de adivinhação.
12º) Modifique periodicamente todas as senhas: Isso ajuda a impedir que um usuário antigo, não mais autorizado, volte a utilizar a rede. Ou também, quem por ventura tenha conseguido descobrir a senha, perca o acesso à rede.
13º) Desligar o AP quando não estiver em uso: Esta medida reduz o tempo de exposição da rede, consequentemente as chances de alguém passar por perto e descobrir que há uma rede sem fio.
14º) Ativar log do AP: Alguns equipamentos possuem o recurso de registrar os eventos relevantes. Um arquivo de log pode ser utilizado para auditoria e diagnóstico de problemas.
Se você mesmo vai configurar o seu roteador, ou ponto de acesso, procure atentar-se à estas medidas. Da 1º até a 5º é imprescindível que sejam implementadas, as demais podem ser escolhidas à gosto particular. Caso contrate alguém para realizar o serviço, informe o interesse na implementação destas medidas.
Como visto, não existe um único método ou mecanismo de segurança para aplicar em uma rede sem fio. Se você seguir as medidas acima, então, tornará as coisas realmente mais difíceis para os possíveis invasores. O conselho é simples, não deixe nada com os ajustes predefinidos de fábrica e utilize um protocolo de encriptação do tipo WPA ou WPA2. Existem outras soluções de segurança mais avançadas e eficazes, como o uso de servidores RADIUS ou soluções baseadas em IPSec. Mas requerem hardware e software específicos e um orçamento maior. Para uma rede doméstica é exagero.
Nenhum comentário:
Postar um comentário