O que fazer para dificultar um ataque à sua rede sem fio

27/10/2005 - 17h59 - Atualizada em 12/09/2008 - 00h29

Sempre que falamos de segurança, não se pode dar uma regra fixa e geral que sirva para todos os equipamentos, redes e empresas. Além disso, em muitas ocasiões, a segurança não é uma questão meramente tecnológica, mas também de procedimento. Quem deseja garantir a segurança utilizando exclusivamente meios técnicos, não conhece o problema nem a tecnologia. Por isso, é mais adequado falar de diversas medidas que dificultem ao máximo o trabalho do invasor e o convençam de que atacar a sua rede Wi-Fi  vai ser muito complicado. Vejamos algumas destas medidas:

1. Troque as senhas predeterminadas dos pontos de acesso à rede sem fio
Muitos equipamentos vêm pré-configurados de fábrica com uma conta de administrador e uma determinada chave de acesso ou senha. Obviamente, se não modificamos estes parâmetros, estaremos facilitando muito o trabalho do nosso possível invasor. Especifique esta senha utilizando as normas gerais de definição de senhas (a maior extensão possível, misture caracteres numéricos, alfabéticos e de controle, não utilize palavras que venham em dicionário ou que tenham relação com você, etc.). Em geral, este trabalho será simples e evitará que qualquer atacante alcance o controle do ponto de acesso e o configure ao seu gosto. Evidentemente, como medida adicional, se não vamos utilizar a rede sem fio por um período de tempo determinado, o melhor que podemos fazer será desconectar o ponto de acesso.

2. Empregar um mecanismo de segurança WEP/WPA/WPA2
É essencial utilizar algum sistema de criptografia para proteger o conteúdo de suas comunicações. Embora o esquema de criptografia WEP tenha sido rompido, é melhor utilizá-lo que transmitir às claras, sem criptografia alguma. No caso de optar mesmo pelo WEP, use sempre uma chave da maior extensão possível (256 bits). Em geral, você deverá configurar a criptografia selecionada tanto nos pontos de acesso como nos dispositivos que queiram acessar a rede Wi-Fi, utilizando em todos os elementos a mesma chave escolhida.

Neste processo, é preciso ter cuidado com as incompatibilidades. Isto é, se configuramos um ponto de acesso com o sistema WPA2, todos os demais elementos que queiram acessar tal ponto devem ser compatíveis com tal sistema e pode ser que você utilize dispositivos (por exemplo, equipamentos Palm) que não o sejam. É claro que é possível melhorar a segurança das redes sem fio protegidas pelos mecanismos WEP/WPA/WPA2 se, de tempos em tempos, trocarmos as senhas de acesso (quinzenal ou mensalmente) tanto no ponto de acesso como nos equipamentos conectados.

3. Ativar a filtragem de endereços MAC
O endereço de Controle de Acesso ao Meio ou Media Access Control (MAC) identifica cada um dos pontos ou equipamentos conectados a uma rede. Este endereço MAC é, a princípio, único para cada cartão de comunicações e está gravado no firmware do dispositivo, o que faz com que seja impossível  mudá-lo. No entanto – e para nossa desgraça – é possível falsificá-lo temporariamente utilizando diferentes programas. Se no ponto de acesso ativamos a filtragem de endereço MAC e introduzimos uma lista com os endereços MAC autorizados a se conectar em nossa rede, só aqueles equipamentos cujo endereço MAC estiver incluído em tal lista poderão se conectar. Porém, este mecanismo é altamente vulnerável porque os endereços MAC dos equipamentos conectados via WEP são transmitidos em aberto (sem criptografar) e qualquer invasor que disponha dos métodos adequados poderá descobrir este endereço e simulá-lo posteriormente no seu PC.

4. Modificar o SSID definido de forma predeterminada e ocultá-lo
O SSID é o Identificador do Conjunto de Serviços ou Service Set Identifier. O SSID é utilizado como identificador para distinguir os distintos pontos de acesso entre si. Se transferirmos este termo para as redes de conexão física poderia ser equivalente ao nome de domínio. Em geral, os pontos de acesso Wi-Fi têm associado um SSID predeterminado, como default, SSID ou wireless. Se mudarmos este SSID, dificultaremos o trabalho do atacante. Só não utilize como SSID o nome da sua empresa. Não é conveniente dar pistas.

Uma vez modificado o SSID, será melhor ocultá-lo. Para isso, você deverá desativar o modo de difusão do SSID (SSID broadcasting). Este sistema permite que os novos equipamentos que queiram se conectar ao ponto de acesso recebam seu SSID e identifiquem automaticamente os dados da rede sem fio. Se você desativar a difusão do SSID, deverá configurar manualmente cada equipamento que queira usar a rede. Sem dúvida, perderá em comodidade, mas ganhará em segurança. Com estes dois mecanismos (modificação do SSID e interrupção da sua difusão), estaremos dificultando o descobrimento da nossa rede Wi-Fi  por um usuário não desejado.

5. Limitar o número de equipamentos que possam acessar simultaneamente a rede
Se o ponto de acesso permite, é uma boa idéia limitar o número de equipamentos que possam se conectar com ele simultaneamente. Assim, se o número de conexões permitidas está no máximo, dificilmente um atacante poderá se conectar a esse ponto.

6. Desativar o servidor DHCP
O Protocolo de Configuração Dinâmica do Host, ou Dynamic Host Configuration Protocol (DHCP), permite designar automaticamente endereços IP a um equipamento que queira se conectar a nossa rede, ou proporcionar-lhe outros parâmetros de configuração (máscara de sub-rede, router predeterminado, etc.). Desta forma, todo equipamento que quiser se conectar à nossa rede Wi-Fi deverá ser configurado manualmente, especificando os seguintes dados: endereço IP, porta, máscara de sub-rede e os DNS primário e secundário. Poderemos pensar em utilizar valores de endereços IP que pertençam a categorias não padrões, para dificultar o trabalho do atacante (se este conhecer a categoria de IP utilizada, nosso trabalho terá sido em vão). Por exemplo, a categoria típica de endereços IP é o 192.168.X.X, e o endereço IP predeterminado do ponto de acesso costuma ser 192.168.1.1. Se o ponto de acesso permitir, seria interessante mudar estes valores.

Como você pode verificar, não existe um único método ou mecanismo que garanta a segurança da uma rede sem fio. Se você seguir as sugestões acima, porém, tornará as coisas realmente mais difíceis para os possíveis invasores. As normas são simples: não deixe nada com os ajustes predefinidos, configure sempre os acessos manualmente e utilize um mecanismo de segurança do tipo WPA ou WPA2. Existem outras soluções de segurança mais avançadas, complexas e, em geral, mais eficazes, como o uso de servidores RADIUS ou soluções baseadas em IPSec. Mas, em geral, todas elas requerem  hardware e software específicos e um orçamento maior.

> Entenda os principais padrões de segurança do Wi-Fi
> Conheça os pontos fracos de uma rede sem fio

Assine a Newsletter. É rápido. É grátis.

White Papers

Maximize seu Investimento em O365 com Forcepoint

A Transformação Digital no Trabalho

Alcance a inovação que sua empresa precisa com a computação em nuvem

Empreendimentos realmente transformadores demandam softwares eficientes e modernos. Por isso a computação em nuvem já vem sendo adotada por inúmeras empresas de diversos segmentos e diferentes portes. Novas abordagens para o desenvolvimento de softwares são necessárias para superar desafios. Para encarar esta jornada com sucesso, acesse este guia.

Reviews

Mais reviews

Belo design, capas coloridas permitem personalizar o aparelho
Tela grande e de ótima qualidade
Bom desempenho e autonomia de bateria
Tem slot para cartões microSD

Câmera traseira tem foco fixo
Não tem flash
Não tem câmera frontal
Só 4 GB de memória interna

Desempenho excepcional
Excelente autonomia de bateria

Tela tem péssima qualidade de imagem
Grande e desengonçado