Comit Gestor da Internet no Brasil

Cartilha de Segurana para Internet

Parte V: Redes de Banda Larga e Redes Sem Fio (Wireless)

Verso 3.1 2006

CERT.br Centro de Estudos, Resposta e Tratamento de Incidentes de Seguranc a no Brasil

Cartilha de Seguranc a para Internet Parte V: Redes de Banda Larga e Redes Sem Fio (Wireless)

es de seguranc Esta parte da Cartilha discute implicac o a peculiares aos servic os de banda larga e de redes sem o (wireless). es para que usu Tamb em apresenta algumas recomendac o arios destes servic os possam utiliz a-los de forma mais segura.

3.1 Outubro de 2006 Versao

http://cartilha.cert.br/

Parte V: Redes de Banda Larga e Redes Sem Fio (Wireless)

Sum ario
1 Servic os de Banda Larga 1.1 Por que um atacante teria maior interesse por um computador com banda larga e quais s ao os riscos associados? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2 O que fazer para proteger um computador conectado por banda larga? . . . . . . . . 1.3 O que fazer para proteger uma rede conectada por banda larga? . . . . . . . . . . . . Redes Sem Fio (Wireless) 2.1 Quais s ao os riscos do uso de redes sem o? . . . . . . . . . . . . . . . . . . . . . . 2.2 Que cuidados devo ter com um cliente de uma rede sem o? . . . . . . . . . . . . . 2.3 Que cuidados devo ter ao montar uma rede sem o dom estica? . . . . . . . . . . . . 3 3 3 4 5 5 5 6 8 8 8

Como Obter este Documento Licenc a de Uso da Cartilha Agradecimentos

Cartilha de Seguranc a para Internet c 2006 CERT.br

2/8

Parte V: Redes de Banda Larga e Redes Sem Fio (Wireless)

Servic os de Banda Larga

` InterServic os de banda larga s ao aqueles que permitem ao usu ario conectar seus computadores a net com velocidades maiores do que as normalmente usadas em linhas discadas. Exemplos desse tipo de servic o s ao ADSL, cable modem e acesso via sat elite. a possibilidade do usu Al em da maior velocidade, outra caracter stica desse tipo de servic o e ario ` Internet por longos per deixar seu computador conectado a odos de tempo, normalmente sem limite de uso ou custos adicionais.

1.1

Por que um atacante teria maior interesse por um computador com banda larga e quais s ao os riscos associados?

Geralmente um computador conectado atrav es de banda larga possui boa velocidade de conex ao, 1 ncia e ca por longos per ` Internet, mas n muda o enderec o IP com pouca freq ue odos ligado a ao possui os mesmos mecanismos de seguranc a que servidores. Isto os torna alvos mais f aceis para os atacantes. Por estas caracter sticas, estes computadores podem ser usados pelos atacantes para diversos prop ositos, como por exemplo: o de servic realizar ataques de negac a o, aproveitando-se da maior velocidade dispon vel. Diversas m aquinas comprometidas podem tamb em ser combinadas de modo a criar um ataque o de servic es sobre ataque de negac o de servic de negac a o distribu do. Maiores informac o a o a; podem ser encontradas na Parte I: Conceitos de Seguranc usar a m aquina comprometida como ponto de partida para atacar outras redes, dicultando o rastreio da real origem do ataque; es, tais como n furtar informac o umeros de cart oes de cr edito, senhas, etc; usar recursos do computador. Por exemplo, o invasor pode usar o espac o dispon vel em seu disco r gido para armazenar programas copiados ilegalmente, m usica, imagens, etc. O invasor tamb em pode usar a CPU dispon vel para, por exemplo, quebrar senhas de sistemas comprometidos; enviar spam ou navegar na Internet de maneira an onima, a partir de certos programas que podem estar instalados no seu computador, tais como AnalogX e WinGate, e que podem estar mal congurados. Vale ressaltar que todas essas atividades podem ser realizadas de maneira automatizada, caso o computador seja infectado por um bot. Maiores detalhes sobre bots podem ser encontrados na Parte VIII: C odigos Maliciosos (Malware).

1.2

O que fazer para proteger um computador conectado por banda larga?

Os usu arios de servic os de banda larga devem tomar os seguintes cuidados com o seu computador:
1O

conceito de enderec o IP pode ser encontrado no Gloss ario.

Cartilha de Seguranc a para Internet c 2006 CERT.br

3/8

Parte V: Redes de Banda Larga e Redes Sem Fio (Wireless)

instalar um rewall pessoal e car atento aos registros de eventos (logs) gerados por este programa. Maiores detalhes sobre registros de eventos podem ser encontrados na Parte VII: Incidentes de Seguranc a e Uso Abusivo da Rede; instalar e manter atualizado um bom programa antiv rus; atualizar as assinaturas do antiv rus diariamente; manter os seus softwares (sistema operacional, programas que utiliza, etc) sempre atualizados ltimas correc es de seguranc e com as u o a aplicadas (patches); desligar o compartilhamento de disco, impressora, etc; mudar a senha padr ao do seu equipamento de banda larga2 (modem ADSL, por exemplo) pois as senhas destes equipamentos podem ser facilmente encontradas na Internet com uma simples de conhecimento dos atacantes e bastante abusado. A escolha de uma boa busca. Esse fato e discutida na Parte I: Conceitos de Seguranc senha e a. o mostra maiores detalhes etodos de Prevenc a A Parte II: Riscos Envolvidos no Uso da Internet e M sobre os cuidados citados acima.

1.3

O que fazer para proteger uma rede conectada por banda larga?

Muitos usu arios de banda larga optam por montar uma pequena rede (dom estica ou mesmo em pequenas empresas), com v arios computadores usando o mesmo acesso a Internet. Nesses casos, alguns cuidados importantes, al em dos citados anteriormente, s ao: instalar um rewall separando a rede interna da Internet; caso seja instalado algum tipo de proxy (como AnalogX, WinGate, WinProxy, etc), congur a-lo es partindo da rede interna; para que apenas aceite requisic o caso seja necess ario compartilhar recursos como disco ou impressora entre m aquinas da rede interna, devem-se tomar os devidos cuidados para que o rewall n ao permita que este compartilhamento seja vis vel pela Internet. muito importante notar que apenas instalar um rewall n suciente todos os computadores E ao e da rede devem estar congurados de acordo com as medidas preventivas mencionadas na Parte II: o. Riscos Envolvidos no Uso da Internet e M etodos de Prevenc a Muitos equipamentos de banda larga, como roteadores ADSL, est ao incluindo outras funcionalidades, como por exemplo concentradores de acesso (Access Points) para redes wireless. Nesse caso, o tamb o 2.3. al em de seguir as dicas dessa sec a em pode ser interessante observar as dicas da sec a
permitida a alterac o da congurac o do equipamento. Caso seja permitida, guarde a senha no contrato se e a a o do equipamento. original e lembre de restaur a-la sempre que for necess ario, como por exemplo em caso de manutenc a
2 Verique

Cartilha de Seguranc a para Internet c 2006 CERT.br

4/8

Parte V: Redes de Banda Larga e Redes Sem Fio (Wireless)

Redes Sem Fio (Wireless)

As redes sem o (wireless), tamb em conhecidas como IEEE 802.11, Wi-Fi ou WLANs, s ao redes o. que utilizam sinais de r adio para a sua comunicac a o: Este tipo de rede dene duas formas de comunicac a modo infraestrutura: normalmente o mais encontrado, utiliza um concentrador de acesso (Access Point ou AP); modo ponto a ponto (ad-hoc): permite que um pequeno grupo de m aquinas se comunique diretamente, sem a necessidade de um AP. Estas redes ganharam grande popularidade pela mobilidade que prov eem aos seus usu arios e pela o e uso em ambientes dom facilidade de instalac a esticos e empresariais, hot eis, confer encias, aeroportos, etc.

2.1

Quais s ao os riscos do uso de redes sem o?

Embora esse tipo de rede seja muito conveniente, existem alguns problemas de seguranc a que o pelos seus usu devem ser levados em considerac a arios: o e qualquer pessoa com um m estas redes utilizam sinais de r adio para a comunicac a nimo de 3 a interceptar os dados transmitidos por um cliente da rede sem o (como equipamento poder es de trabalho, etc); notebooks, PDAs, estac o por serem bastante simples de instalar, muitas pessoas est ao utilizando redes desse tipo em casa, sem nenhum cuidado adicional, e at e mesmo em empresas, sem o conhecimento dos administradores de rede.

2.2

Que cuidados devo ter com um cliente de uma rede sem o?

` uma rede sem o como V arios cuidados devem ser observados quando se pretende conectar a es de trabalho, etc. Dentre eles, podem-se citar: cliente, seja com notebooks, PDAs, estac o considerar que, ao conectar a uma WLAN, voc e estar a conectando-se a uma rede p ublica e, portanto, seu computador estar a exposto a ameac as. E muito importante que voc e tome os seguintes cuidados com o seu computador: instalar um rewall pessoal; instalar e manter atualizado um bom programa antiv rus; atualizar as assinaturas do antiv rus diariamente;
3 Um

PDA ou notebook com uma placa de rede sem o.

Cartilha de Seguranc a para Internet c 2006 CERT.br

5/8

Parte V: Redes de Banda Larga e Redes Sem Fio (Wireless)

ltimas correc es em seus softwares (sistema operacional, programas que uti aplicar as u o liza, etc); desligar compartilhamento de disco, impressora, etc. desabilitar o modo ad-hoc. Utilize esse modo apenas se for absolutamente necess ario e desligue-o assim que n ao precisar mais; sempre que poss vel usar WEP (Wired Equivalent Privacy), que permite criptografar o tr afego entre o cliente e o AP. Fale com o seu administrador de rede para vericar se o WEP est a habili diferente daquelas que acompanham a congurac o padr tado e se a chave e a ao do equipamento. O protocolo WEP possui diversas fragilidades e deve ser encarado como uma camada adicional para evitar a escuta n ao autorizada; vericar com seu provedor de rede sem o sobre a possibilidade de usar WPA (Wi-Fi Protected o ao WEP, uma vez que este padr Access) em substituic a ao pode aumentar signicativamente o ao protocolo WEP que a seguranc a da rede. Esta tecnologia inclui duas melhorias em relac a o de usu envolvem melhor criptograa para transmiss ao de dados e autenticac a ario. Mesmo que poss o para permitir o uso de seu equipamento seja mais antigo, e vel que exista uma atualizac a WPA; es, como por exemplo, o uso de PGP para o envio considerar o uso de criptograa nas aplicac o de e-mails, SSH para conex oes remotas ou ainda o uso de VPNs; evitar o acesso a servic os que n ao utilizem conex ao segura, ao usar uma rede sem o em local p ublico. Por exemplo, se for necess ario ler e-mails ou acessar a Intranet da sua empresa, d e prefer encia a servic os que usem criptograa; es habilitar a rede sem o somente quando for us a-la e desabilit a-la ap os o uso. Algumas estac o de trabalho e notebooks permitem habilitar e desabilitar o uso de redes sem o atrav es de comandos ou bot oes espec cos. No caso de notebooks com cart oes PCMCIA, insira o cart ao apenas quando for usar a rede e retire-o ao terminar de usar.

2.3

Que cuidados devo ter ao montar uma rede sem o dom estica?

o das redes sem o, muitas pessoas t Pela conveni encia e facilidade de congurac a em instalado es com os clientes da rede, tamb estas redes em suas casas. Nestes casos, al em das preocupac o em s ao o do AP. Algumas recomendac es s necess arios alguns cuidados na congurac a o ao: ter em mente que, dependendo da pot encia da antena de seu AP, sua rede dom estica pode rea muito maior que apenas a da sua casa. Com isto sua rede pode ser utilizada abranger uma a sem o seu conhecimento ou ter seu tr afego capturado por vizinhos ou pessoas que estejam nas proximidades da sua casa; es padr mudar congurac o ao que acompanham o seu AP. Alguns exemplos s ao: alterar as senhas. Dicas para a escolha de uma boa senha podem ser obtidas na Parte I: Conceitos de Seguranc a; alterar o SSID (Server Set ID);
Cartilha de Seguranc a para Internet c 2006 CERT.br 6/8

Parte V: Redes de Banda Larga e Redes Sem Fio (Wireless)

desabilitar o broadcast de SSID; es apenas atrav permitir que um computador se conecte ao AP para alterar as congurac o es o estiver dispon da rede cabeada, se esta opc a vel. Desta maneira um poss vel atacante externo (via rede sem o) n ao poder a acessar o AP diretamente para promover mudanc as o.Verique a documentac o do seu AP sobre como efetuar estas mudanc na congurac a a as, caso estejam dispon veis; vericar se seus equipamentos j a suportam WPA (Wi-Fi Protected Access) e utiliz a-lo sempre mais recente e inclui melhorias em relac o ao protocolo WEP que poss vel. Esta tecnologia e a para prover uma seguranc a adicional contra acesso e escuta de tr afego n ao autorizada. Lembre es para WPA est se que atualizac o ao dispon veis para a maior parte dos equipamentos mais antigos; caso o WPA n ao esteja dispon vel, usar sempre que poss vel WEP (Wired Equivalent Privacy), para criptografar o tr afego entre os clientes e o AP. Vale lembrar que o protocolo WEP possui diversas fragilidades e deve ser encarado como uma camada adicional para evitar a escuta n ao autorizada; o padr se for utilizar WEP, trocar as chaves que acompanham a congurac a ao do equipamento. Procure usar o maior tamanho de chave poss vel (128 bits); desligar seu AP quando n ao estiver usando sua rede. es de seguranc Existem congurac o a mais avanc adas para redes sem o, que requerem conheci o de redes. Estes conhecimentos n mentos de administrac a ao s ao abordados neste documento.

Cartilha de Seguranc a para Internet c 2006 CERT.br

7/8

Parte V: Redes de Banda Larga e Redes Sem Fio (Wireless)

Como Obter este Documento

periodicamente Este documento pode ser obtido em http://cartilha.cert.br/. Como ele e atualizado, certique-se de ter sempre a vers ao mais recente. Caso voc e tenha alguma sugest ao para este documento ou encontre algum erro, entre em contato atrav es do enderec o doc@cert.br.

Licenc a de Uso da Cartilha

Copyright c 20002006 CERT.br. Ele pode ser livremente distribu Este documento e do desde es: que sejam respeitadas as seguintes condic o permitido fazer e distribuir gratuitamente c opias impressas inalteradas deste documento, 1. E es de como obt acompanhado desta Licenc a de Uso e de instruc o e-lo atrav es da Internet. permitido fazer links para a p agina http://cartilha.cert.br/, ou para p 2. E aginas dentro deste site que contenham partes espec cas da Cartilha. o do documento, completo ou em partes, como parte de site ou de outro tipo de 3. Para reproduc a material, deve ser assinado um Termo de Licenc a de Uso, e a autoria deve ser citada da seguinte forma: Texto extra do da Cartilha de Seguranc a para Internet, desenvolvida pelo CERT.br, mantido pelo NIC.br, com inteiro teor em http://cartilha.cert.br/. vedada a exibic o ou a distribuic o total ou parcial de vers 4. E a a oes modicadas deste docu o de material derivado sem expressa autorizac o do CERT.br, bem como a mento, a produc a a o no todo ou em parte de c comercializac a opias do referido documento. es sobre o Termo de Licenc Informac o a de Uso podem ser solicitadas para doc@cert.br. Embora o deste documento, o CERT.br n todos os cuidados tenham sido tomados na preparac a ao garante a o absoluta das informac es nele contidas, nem se responsabiliza por eventuais conseq ncias correc a o ue que possam advir do seu uso.

Agradecimentos
o deste documento, enviando coO CERT.br agradece a todos que contribu ram para a elaborac a ment arios, cr ticas, sugest oes ou revis oes. Agradece, especialmente, ao Nelson Murilo pelas sugest oes e revis ao desta parte da Cartilha.

Cartilha de Seguranc a para Internet c 2006 CERT.br

8/8