Você está na página 1de 301

Redes Sem Fio

Instalao, Configurao e Segurana


Fundamentos

Conceitos e Padres Personal Area Networks


Wireless Criptografia * Protocolos Seguros

812.1 In. WPA2-AES e exemplos prticos de confiurao

Alexandre Fernandes de Moraes

Redes Sem Fio


Instalao, Configurao e
Segurana - Fundamentos

Redes sem Fio

Instalao, Configurao e Segurana


Fundamentos

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Alexandre Fernandes de Moraes

Redes sem Fio

Instalao, Configurao e Segurana


Fundamentos

1 Edio

Dados Internacionais de Catalogao na Publicao (CIP)


(Cmara Brasileira do Livro, SP, Brasil)
Moraes, Alexandre Fernandes de
Redes sem o: instalao, congurao e segurana: fundamentos / Alexandre Fernandes Moraes. -So Paulo: rica, 2010.
Bibliogra a.
ISBN 978-85-365-0971-6
1. Redes de computadores - Medidas de segurana 2. Redes locais sem o - Medidas segurana
3. Segurana de computadores I. Ttulo.
10-11296

CDD-005.8

ndice para catlogo sistemtico:


1. Redes sem o: Segurana: Computadores

005.8

Copyright 2010 da Editora rica Ltda.


Todos os direitos reservados. Nenhuma parte desta publicao poder ser reproduzida por qualquer meio ou forma sem
prvia autorizao da Editora rica. A violao dos direitos autorais crime estabelecido na Lei no 9.610/98 e punido
pelo Artigo 184 do Cdigo Penal.
Coordenao Editorial:
Capa:
Editorao e Finalizao:

Rosana Arruda da Silva


Maurcio S. de Frana
Rosana Ap. A. Santos
Marlene Teresa S. Alves
Carla de Oliveira Morais

O Autor e a Editora acreditam que todas as informaes aqui apresentadas esto corretas e podem ser utilizadas para qualquer m legal.
Entretanto, no existe qualquer garantia, explcita ou implcita, de que o uso de tais informaes conduzir sempre ao resultado desejado.
Os nomes de sites e empresas, porventura mencionados, foram utilizados apenas para ilustrar os exemplos, no tendo vnculo nenhum
com o livro, no garantindo a sua existncia nem divulgao. Eventuais erratas estaro disponveis para download no site da Editora rica.
Contedo adaptado ao Novo Acordo Ortogrco da Lngua Portuguesa, em execuo desde 1o de janeiro de 2009.
A Ilustrao de capa e algumas imagens de miolo foram retiradas de <www.shutterstock.com>, empresa com a qual se mantm contrato ativo
na data de publicao do livro. Outras foram obtidas da Coleo MasterClips/MasterPhotos da IMSI, 100 Rowland Way, 3rd oor Novato,
CA 94945, USA, e do CorelDRAW X5 e X6, Corel Gallery e Corel Corporation Samples. Copyright 2013 Editora rica, Corel Corporation e
seus licenciadores. Todos os direitos reservados.
Todos os esforos foram feitos para creditar devidamente os detentores dos direitos das imagens utilizadas neste livro. Eventuais omisses
de crdito e copyright no so intencionais e sero devidamente solucionadas nas prximas edies, bastando que seus proprietrios
contatem os editores.

Seu cadastro muito importante para ns


Ao preencher e remeter a cha de cadastro constante no site da Editora rica, voc passar a receber informaes sobre nossos
lanamentos em sua rea de preferncia.
Conhecendo melhor os leitores e suas preferncias, vamos produzir ttulos que atendam suas necessidades.

Contato com o editorial: editorial@editoraerica.com.br


Editora rica Ltda. | Uma Empresa do Grupo Saraiva
Rua So Gil, 159 - Tatuap
CEP: 03401-030 - So Paulo - SP
Fone: (11) 2295-3066 - Fax: (11) 2097-4060
www.editoraerica.com.br

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Dedicatria
s duas pessoas que mais trazem alegrias minha vida, que no seria to feliz
sem elas: minha esposa Mrcia e meu filho Augusto.

O conhecimento dos mandamentos do Senhor


uma instruo de vida; os que fazem o que a
Ele agrada colhero da rvore da imortalidade.
Eclo 19, 19

Agradecimentos
Editora rica, na figura da Rosana Arruda, pela oportunidade de transformar em
realidade um projeto antigo de desenvolver um livro de redes sem fio.
A meu amigo e antigo gerente Ric Rojas pela oportunidade de fazer treinamentos
e de crescimento profissional que tanto auxiliaram na elaborao deste livro.
minha famlia pela compreenso em virtude dos finais de semana e feriados
dedicados elaborao deste livro.
A todos os meus alunos e ex-alunos do UNIFIEO pela oportunidade nica de compartilhar conhecimentos ao longo destes ltimos cinco anos.

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Sumrio
Captulo 1 - Introduo ............................................................................................ 15
Integridade ........................................................................................................ 16
Confidencialidade .............................................................................................. 16
Disponibilidade ................................................................................................. 17
Tecnologias Wireless ......................................................................................... 17
Benefcios .......................................................................................................... 18
Tipos de Redes sem Fio ..................................................................................... 19
Infravermelho .................................................................................................... 19
Radiofrequncia (Micro-Ondas) ......................................................................... 20
Sistemas Baseados em Laser ............................................................................ 23
Mtodos de Acesso ........................................................................................... 25
OFDM ................................................................................................................ 26
Alcance .............................................................................................................. 28
Performance ...................................................................................................... 30
CSMA/CA............................................................................................................ 31
Roaming............................................................................................................. 34
Dispositivos da Rede sem Fio ............................................................................ 35
Exerccios........................................................................................................... 38
Captulo 2 - Padronizao de Redes Sem Fio - Padro 802.11 ................................ 41
Padro IEEE 802.11 ........................................................................................... 41
Topologias da Rede sem Fio .............................................................................. 45
802.11b ............................................................................................................. 46
IEEE 802.11a ...................................................................................................... 48
IEEE 802.11g ..................................................................................................... 50
IEEE 802.11e...................................................................................................... 51
IEEE 802.11f (Inter-Access Point Protocol) ........................................................ 52

IEEE 802.11i - Security ...................................................................................... 53


IEEE 802.11n ..................................................................................................... 54
Exerccios........................................................................................................... 59
Captulo 3 - Personal Area Networks ....................................................................... 63
Bluetooth ........................................................................................................... 63
Bluetooth 2.0 ..................................................................................................... 75
ZigBee ............................................................................................................... 75
Exerccios........................................................................................................... 78
Captulo 4 - Projeto de Redes sem Fio..................................................................... 81
Avaliao............................................................................................................ 81
Planejamento e Desenho ................................................................................... 82
Implementao, Operao e Manuteno ......................................................... 93
Exerccios........................................................................................................... 94
Captulo 5 - Fundamentos de Segurana ................................................................. 97
Definies de Segurana ................................................................................... 97
Hackers e Crackers: O que So e quantos Existem? ........................................ 101
Modelo de Referncia de Segurana ............................................................... 102
Plano de Segurana ......................................................................................... 108
Anlise e Gerenciamento de Riscos ................................................................. 108
Poltica de Segurana ...................................................................................... 115
ISO 1.7799 ....................................................................................................... 116
Exerccios......................................................................................................... 121
Captulo 6 - Introduo Criptografia .................................................................. 123
Terminologia.................................................................................................... 123
Histria da Criptografia ................................................................................... 124
Usos da Criptografia ........................................................................................ 125
Chaves Criptogrficas ...................................................................................... 128

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Tipos de Criptografia....................................................................................... 131


Assinatura Digital ............................................................................................ 139
Certificados Digitais e PKI ............................................................................... 141
Criptoanlise - Quebra da Criptografia............................................................ 146
Exerccios......................................................................................................... 150
Captulo 7 - Introduo Criptografia .................................................................. 151
Service Set Identifier (SSID)............................................................................. 151
Filtragem do Endereo MAC das Estaes ...................................................... 152
Wired Equivalent Privacy (WEP) ...................................................................... 152
WPA ................................................................................................................. 155
WPA2 ............................................................................................................... 158
Exemplos de Configurao de Criptografia no Access Point ........................... 159
Exerccios......................................................................................................... 172
Captulo 8 - Principais Ameaas e Ataques Rede sem Fio .................................. 175
War Driving...................................................................................................... 176
Ferramentas Usadas para War Driving............................................................. 178
Quebra de Chaves WEP ................................................................................... 180
Negao de Servio ......................................................................................... 183
Man in the Middle Attack ................................................................................ 185
Evil Twins ......................................................................................................... 186
Exerccios......................................................................................................... 187
Captulo 9 - Implementao de VPN em Redes sem Fio - Firewalls, IDS e IPS ...... 189
IPSec ................................................................................................................ 190
Firewalls .......................................................................................................... 202
Exerccios......................................................................................................... 218
Captulo 10 - Implementao da Rede sem Fio ..................................................... 221
Site Survey....................................................................................................... 221

Configurao de Rede ..................................................................................... 222


Configurao da Rede sem Fio ........................................................................ 227
Configurao das Estaes de Rede sem Fio .................................................. 226
Configurao Segura do Roteador Linksys ...................................................... 231
Configurao Segura do Roteador Netgear ..................................................... 238
Configurao Segura do Roteador D-Link ....................................................... 242
Exerccios......................................................................................................... 246
Glossrio ................................................................................................................ 247
Bibliografia............................................................................................................. 277
ndice Remissivo .................................................................................................... 281

10

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Prefcio
Este livro fruto de um trabalho desenvolvido nos cursos de Redes de
Computadores e Segurana e Auditoria, cujo intuito preparar o profissional para a
teoria fundamental e a aplicao de segurana em redes sem fio.
indicado a estudantes de cursos tcnicos e tecnlogos (redes e telecomunicaes), engenharias, computao e profissionais de redes e telecomunicaes interessados em redes sem fio.
Inicialmente aborda conceitos de redes sem fio, os padres das famlias IEEE
802.11a, b, g, n, i, alm das Personal Area Networks, destacando as tecnologias
Bluetooth e ZigBee. O livro dedica um captulo especial as atividades de projeto de
Redes Sem Fio, destacando-se a atividade fundamental do Site Survey.
Traz os fundamentos de segurana da informao, integridade, disponibilidade
e confidencialidade. Aborda criptografia e princpios de gerenciamento de riscos, comentando a ISO 1.7799. O livro apresenta ainda dados reais do CERT.br sobre as
ameaas registradas no Brasil para traarmos o cenrio de segurana e das ameaas.
A segurana em redes sem fio introduzida com os algoritmos criptogrficos
utilizados, bem como os padres de criptografia e autenticao WEP, WPA e WPA2, os
quais trabalham com o AES para transformar a rede sem fio em um ambiente seguro.
As ameaas s redes sem fio so detalhadas, incluindo os principais ataques e
vulnerabilidades. Um captulo dedicado configurao da rede sem fio sempre
com base no resultado do Site Survey. Princpios de projeto, como performance e segurana, so utilizados nas configuraes apresentadas dos trs fabricantes de redes
sem fio: Cisco/Linksys, Netgear e D-Link.
Cada captulo possui uma lista de exerccios que contribuem para a fixao das
tecnologias e do contedo.
Boa leitura!
O autor

11

12

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Sobre o Autor
Alexandre Fernandes de Moraes engenheiro de computao, mestre em Segurana da Informao e ps-graduado pela FGV-SP em Administrao e em Redes
pelo LARC-USP.
Atua h 17 anos em grandes projetos de redes corporativas, wireless e segurana.
Desenvolveu sua experincia profissional em grandes empresas nacionais e multinacionais, como na HP TippingPoint, McAfee do Brasil, Lucent Technologies e Anixter
do Brasil. Atualmente Team Leader do grupo de Engenheiros de Sistemas da HP
TippingPoint para a Amrica Latina e docente dos cursos de graduao do UNIFIEO
(Fundao Instituto de Ensino para Osasco). Autor dos livros Redes de Computadores Fundamentos e Redes de Computadores - da Ethernet Internet publicados pela Editora
rica. Possui vrios cursos de especializao em redes e segurana nos Estados
Unidos, profissional certificado pelo ISC2 como CISSP e Giac pelo SANS Institute.
Atua em projetos no Brasil, Chile, Argentina, Equador, Colmbia e Venezuela e j
palestrou em eventos de segurana nos Estados Unidos, Mxico, Venezuela, Chile,
Colmbia e Brasil.

13

Sobre o Material Disponvel na Internet


O material disponvel na Internet contm as respostas dos exerccios do livro.
Para utiliz-lo necessrio instalar em sua mquina Acrobat Reader 9.
Respostas_exerccios.exe - 574 KB

Procedimento para Download


Acesse o site da Editora rica Ltda.: www.editoraerica.com.br. A transferncia do
arquivo disponvel pode ser feita de duas formas:
Por meio do mdulo pesquisa. Localize o livro desejado, digitando palavras-chave (nome do livro ou do autor). Aparecem os dados do livro e o arquivo
para download. Com um clique o arquivo executvel transferido.
Por meio do boto Download. Na pgina principal do site, clique no item
Download. exibido um campo no qual devem ser digitadas palavras-chave
(nome do livro ou do autor). Aparecem o nome do livro e o arquivo para
download. Com um clique o arquivo executvel transferido.

Procedimento para Descompactao


Primeiro passo: aps ter transferido o arquivo, verifique o diretrio em que
se encontra e d um duplo clique nele. Aparece uma tela do programa WINZIP
SELF-EXTRACTOR que conduz ao processo de descompactao. Abaixo do Unzip To
Folder h um campo que indica o destino do arquivo que ser copiado para o disco
rgido do seu computador.
C:\Redes sem Fio
Segundo passo: prossiga a instalao, clicando no boto Unzip, o qual se encarrega de descompactar o arquivo. Logo abaixo dessa tela, aparece a barra de status
que monitora o processo para que voc acompanhe. Aps o trmino, outra tela de
informao surge, indicando que o arquivo foi descompactado com sucesso e est no
diretrio criado. Para sair dessa tela, clique no boto OK. Para finalizar o programa
WINZIP SELF-EXTRACTOR, clique no boto Close.

14

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Captulo 1

Introduo

os ltimos 15
anos temos observado um crescimento
exponencial da utilizao de
tecnologias baseadas em redes
sem fio, computadores mveis, telefones celulares, acesso Internet por redes
3G e smarphones.
No Brasil j possumos mais de 180 milhes de celulares e com a popularizao dos sistemas de acesso banda larga
a utilizao de roteadores de redes sem fio domsticos explodiu.
J possvel a compra de um roteador de rede sem fio por menos de
R$ 120,00, permitindo assim maior universalizao dessas tecnologias.
O avano da mobilidade permitiu a criao de trabalhadores remotos, alm de
ser um meio de disponibilizar rede e acesso Internet rapidamente a ambientes de
difcil instalao de cabeamento, como ambientes industriais.
Se de um lado essas tecnologias trazem todo o benefcio e a facilidade da mobilidade, de outro lado as vulnerabilidades de um sistema mal configurado podem
representar riscos.
Este livro descreve as principais tecnologias de rede sem fio e como evitar que cometamos erros que tornem as redes inseguras. O avano do submundo dos hackers,
tambm conhecido como lado negro da fora, torna a infraestrutura de rede domstica ou empresarial alvo de uma invaso, ou mesmo pode utiliz-la para desfechar
um ataque na Internet que pode alcanar grandes propores.

Para comear, necessrio compreender como funcionam as tecnologias de rede


sem e fio e como as caractersticas podem ser exploradas de forma errada, possibilitando ataques.
Qualquer administrador de rede de segurana que queira se proteger das ameaas
precisa inicialmente compreender os riscos envolvidos, e principalmente como funcionam os ataques infraestrutura de redes sem fio.
Para entender esse processo, so apresentados detalhadamente os principais
ataques, as ferramentas utilizadas e as tcnicas que devemos utilizar para proteo.
Aps compreender os ataques e as ameaas, criam-se as bases necessrias para
o projeto de segurana de redes sem fio. Essa parte do livro apresenta cenrios e
tcnicas de projeto seguras para minimizar ao mximo o risco de tornar-se alvo de
um ataque, garantindo os princpios bsicos da segurana, como integridade, confidencialidade e disponibilidade.

Integridade
A integridade consiste na garantia de que a informao permaneceu ntegra, o
que significa dizermos que ela no sofreu nenhuma espcie de modificao durante a
sua transmisso ou armazenamento, sem a autorizao do autor da mensagem.
Por exemplo, quando realizamos uma transao bancria pela Internet, devemos
garantir que os dados cheguem ntegros at o destino (o banco). Se fizermos, por
exemplo, uma transferncia de R$ 100,00 e por algum motivo ilcito a mensagem
perder a integridade, o responsvel pela ao pode alterar tanto a conta de crdito
como colocar um zero a mais, e uma transao de R$ 100,00 poderia se transformar
em R$ 1.000,00. Portanto, em aplicaes bancrias a integridade das informaes
essencial.

Confidencialidade
A confidencialidade o processo no qual a mensagem permanece protegida de
forma que usurios no autorizados no possam ter acesso a ela, permitindo que
apenas o originador e os destinatrios autorizados possam conhecer o contedo da
mensagem.
Este um dos servios de segurana mais importantes e que implementado na
maioria das vezes por sistemas e tcnicas de criptografia.

16

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Disponibilidade
A disponibilidade de um sistema est relacionada implementao de mecanismos de segurana que permitam impedir que o sistema saia fora do ar. Em geral
para aumentar a disponibilidade de um sistema utilizamos equipamentos, aplicativos
e servidores redundantes, que no caso de falha do principal existe um sistema backup
que pode atuar.

Tecnologias Wireless
Definio
As redes wireless ou redes sem fio so um sistema de comunicao de dados
extremamente flexvel, que pode ser usado como uma extenso ou uma alternativa a
redes locais (LANs cabeadas). uma tecnologia que combina conectividade de dados
com mobilidade atravs de tecnologia de radiofrequncia (RF). As redes sem fio so
hoje largamente utilizadas devido principalmente facilidade de uso e de instalao.
A tecnologia wireless vai ao encontro das necessidades que os usurios possuem
de mobilidade. Apenas no Estados Unidos por volta de um tero da fora de trabalho
fica 20% do tempo longe do escritrio. Alm disso, crescente a utilizao de equipamentos de computao mveis como notebooks, smartphones e PDAs.
As redes locais sem fio (wireless lan) so uma alternativa altamente flexvel s
redes cabeadas. A rede sem fio utiliza-se de ondas eletromagnticas para transmitir
e receber dados de seus dispositivos ou estaes. A facilidade da independncia dos
sistemas cabeados simplifica a instalao e permite a mobilidade.

Por que Wireless?


A resposta a esta pergunta est baseada nos seguintes fundamentos:
Quando existe a necessidade de mobilidade.
Quando no possvel instalar os cabos tradicionais.
Quando no existe viabilidade na instalao dos cabos.

Introduo

17

Benefcios
As redes wireless apresentam uma srie de benefcios se comparadas s redes tradicionais, entre eles mobilidade, rpida e simples instalao, escalabilidade, reduo de
custo na instalao, uma soluo completa para grandes, mdias e pequenas empresas.
Essa tecnologia possui um leque grande de aplicaes em quase todos os
mercados:
Hospitais, consultrios mdicos;
Universidades;
Fbricas, armazns, centros de distribuio;
Lojas, seguradoras;
Bancos e instituies financeiras;
Ambiente de escritrio, indstrias;
Advogados, consultores;
Conferncias, reunies de negcio;
Emergncias/desastres;
Instalao em ambientes em que o cabeamento difcil ou mesmo impossvel,
como ambientes industriais ou edifcios tombados.
Alguns fatores crticos que devemos analisar quando da escolha de uma rede
wireless so apresentados em seguida:
Imunidade a interferncias: o ambiente possui fontes de interferncia na
faixa de operao do wireless?
Segurana dos dados: estamos implementando os mecanismos de segurana
necessrios?
Conectividade com redes locais existentes: existe uma rede cabeada para fazermos a integrao?
Mobilidade/portabilidade/compatibilidade: a nova rede compatvel com as
aplicaes existentes?
Performance: a performance adequada s aplicaes?
Gerenciamento de redes: possvel gerenciar a rede wireless com a plataforma de gerncia?
Sistemas para desktops e laptops: existem placas para desktops e notebooks?
Facilidade de instalao: fcil instalar a rede?

18

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Custo acessvel: qual o custo?


Qual quantidade de estaes de redes sem fio pretendemos instalar?
Qual quantidade de clulas (pontos de acesso) suficientes?
Existe gerenciamento na rede sem fio?

Tipos de Redes sem Fio


Existem basicamente trs tipos de redes sem fio:
Baseadas em infravermelho;
Baseadas em radiofrequncia: WiFi e Bluetooth;
Baseadas em laser.

Infravermelho
As redes wireless em infravermelho possuem como caracterstica a no necessidade de licena para operao. Os produtos possuem cobertura mundial,
portanto sem requerimentos especficos de cada pas. Em geral so equipamentos de baixo custo e usam a mesma tecnologia que os sistemas de controle
remoto que temos em casa, com baixa taxa de erros.
O infravermelho pode ser em visada, emitindo o sinal do infravermelho em uma
faixa relativamente estreita, ou difuso quando o sinal transmitido em uma faixa
maior, no necessitando de visada entre os equipamentos. A Figura 1.1 apresenta as
formas de transmisso do infravermelho.

Figura 1.1 - Formas de transmisso do infravermelho.


Introduo

19

uma soluo tipicamente indoor, ou seja, para uso interno. Devido faixa de
frequncia em que opera no ultrapassa paredes, entretanto ele pode ser usado como
soluo outdoor, ou seja, uso externo, desde que para isso exista visada entre os elementos.
O alcance do infravermelho em visada vai de cinco a 30 metros. Em uma rede
interna a capacidade pequena, de cinco a 15 participantes.
O infravermelho trabalha em uma frequncia acima das micro-ondas e abaixo da
luz visvel. As transmisses com infravermelho so padronizadas pelo IrDA (Infrared
Data Association) e a comunicao muito semelhante serial.
O infravermelho consiste em uma onda eletromagntica de frequncia acima da
faixa das micro-ondas e abaixo da luz visvel. Na Figura 1.2 podemos observar a faixa
de frequncia do infravermelho. A transmisso de sinais usando infravermelho padronizada pelo IrDA (Infrared Data Association).
O IrDA padroniza a comunicao entre PDAs, notebooks, impressoras e dispositivos e est presente no padro 802.11 que ser apresentado em detalhes no captulo 2.

Figura 1.2 - Espectro de onda do infravermelho.

Radiofrequncia (Micro-Ondas)
Os sistemas baseados em radiofrequncia utilizam micro-ondas para transmitir
o sinal atravs do ar. Geralmente eles utilizam faixas de frequncias conhecidas como
ISM (Industrial Scientific Medical), que so abertas porque no existe a necessidade
de autorizao para transmitir sinais nessas frequncias.
O ISM foi padronizado na maioria dos pases em trs faixas de frequncia, sendo
900 MHz, 2.4 GHz e 5 GHz. A Figura 1.3 exibe o ISM dentro do espectro de frequncias.
As faixas de 900 MHz (902 MHz) so bastante utilizadas por todo mundo justamente por ser uma faixa completamente livre, o que acaba gerando normalmente
um grande nvel de interferncia.
As primeiras redes Wireless criadas nos anos de 1990, antes mesmo da padronizao, faziam uso dessa faixa de frequncia.
20

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Atualmente as tecnologias de redes sem utilizam a frequncia de 2.4 GHz, principalmente devido restrio que existe em muitos pases da faixa de 5 GHz.

Figura 1.3 - Espectro de frequncia ISM.

Na Figura 1.4 observam-se a alocao de banda permitida em diversos pases e as


respectivas faixas de frequncias.

Figura 1.4 - Faixas de frequncia de uso do ISM nos pases.

Introduo

21

No caso de wireless Lan na frequncia de 2.4 GHz foram especificados 13 canais.


Em alguns pases, no entanto, alguns desses canais no so liberados. No Brasil, como
exemplo, est permitido o uso de 11 canais. A Figura 1.5 apresenta os canais da faixa
de 2.4 GHz.

Figura 1.5 - Banda ISM.

O ar apresenta algumas vantagens se comparado a outros meios de transmisso.


A principal e que no pode ser facilmente interrompida, no obstante as ondas por
ele transmitidas, est sujeita absoro, reflexo e atenuao, alm de interferncia
e rudo.
Outro ponto importante est relacionado com a segurana, uma vez que o sinal
da rede wireless facilmente sintonizado.
Os principais fatores que afetam a propagao dos sinais so:
Frequncia: as caractersticas de propagao podem variar muito com a
frequncia, entretanto algumas frequncias so melhores do que outras. A
frequncia de 2.4 GHz apresenta um bom nvel de propagao. Geralmente
quanto maior a frequncia maior o consumo de energia e menor o alcance.
Potncia de transmisso: o alcance de um sinal pode ser estendido se for
transmitido com uma potncia maior, claro que limitada regulamentao do
Pas; caso contrrio, estaramos poluindo o espectro. Um ponto que devemos
lembrar que quanto maior a potncia maior o consumo da bateria.

22

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Antenas: o tipo e a orientao das antenas so crticos. comum a existncia


de problemas em uma rede wireless pelo mau posicionamento da antena ou
mesmo pelo uso de uma antena errada.
Tipo de construo: dependendo do tipo da construo, ele pode afetar diretamente a propagao do sinal. Por exemplo, o excesso de ferro e de outros
metais afeta diretamente a propagao do sinal, em muitos casos obrigando a
colocao de mais rdios.
Sinais refletidos: um sinal de rdio pode tomar vrios caminhos do transmissor ao receptor, o que conhecemos como multipath. Sinais refletidos
podem tornar o sinal fraco e com interferncia dele mesmo. Na Figura 1.6
podemos observar o problema dos sinais refletidos.
Fontes de interferncia: vrios dispositivos trabalham na mesma faixa de frequncia da rede sem fio, por exemplo telefones sem fio ou mesmo aparelho
de micro-ondas, que interferem diretamente na transmisso de sinais da rede
sem fio.

Figura 1.6 - Sinais refletidos.

Sistemas Baseados em Laser


Os sistemas baseados em laser utilizam a luz para a transmisso do sinal digital e
no precisam de nenhum tipo de outorga ou autorizao para o uso. Esses sistemas
trabalham com alta largura de banda, chegando em alguns casos a at 2.5 gigabits por
segundo e um alcance mdio de dez quilmetros.
Introduo

23

Essas tecnologias trabalham normalmente com dois feixes de lasers direcionais


de forma a possibilitar redundncia. Por utilizar a luz para propagao, o laser exige
que exista visada entre os dois pontos que esto interconectados. Outra caracterstica
importante que, quando se utiliza essa tecnologia, os enlaces so sempre ponto a
ponto, no existindo a topologia ponto multiponto.
A Figura 1.7 mostra um enlace ponto a ponto utilizando a tecnologia de laser.

Figura 1.7 - Enlace ponto a ponto utilizando tecnologia de laser.


Fonte: site www.silcomtech.com

Esse tipo de tecnologia afetado por condies atmosfricas como neblina,


chuvas torrenciais e neve e pode inclusive causar a interrupo do sinal. Nos sistemas
baseados em dois feixes, caso o feixe principal seja interrompido por um obstculo,
como um pssaro, o sinal transmitido pelo feixe secundrio.
Uma das maiores vantagens dessa tecnologia a segurana, uma vez que o sinal
de laser praticamente impossvel de ser interceptado. Recentemente quadrilhas de
hackers que realizavam fraudes bancrias foram presas no Brasil. Foi descoberto
que eles usavam equipamentos com essa tecnologia, o que dificultava inclusive localizar a posio exata desses criminosos.
Essa tecnologia ainda muito pouco utilizada, principalmente devido aos altos
custos dos dispositivos (lasers) e sua manuteno. No Brasil existem poucas operadoras e empresas que adotaram essa tecnologia.

24

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Mtodos de Acesso
As redes wireless LAN geralmente utilizam o spread spectrum como tecnologia
de acesso. O spread spectrum, ou tcnica de espalhamento espectral -SS, garante a
segurana na comunicao, trabalhando com baixa relao sinal/rudo e com a utilizao de uma banda maior que a necessria.
O spread spectrum possui trs modos de operao:
Frequence Hopping;
Direct Sequence;
OFDM.

Frequency Hopping
O Frequency Hopping Spread Spectrum (FHSS) usa mltiplas frequncias de
forma pseudoaleatria, dificultando a sintonizao do sinal. Ele usa uma portadora
de banda estreita que muda a frequncia, acompanhando uma sequncia conhecida
tanto pelo transmissor como pelo receptor. Sincronizado corretamente, o objetivo
manter um nico canal lgico. Para um receptor no conhecido, o FHSS aparece como
um rudo de pulso de curta durao. A norma IEEE 802.11 padroniza a velocidade de
2 Mbps para o Frequency Hopping. Na Figura 1.8 observa-se a alternncia dos canais
do Frequency Hopping.

Figura 1.8 - Alocao de frequncias pseudoaleatrias Frequence Hopping.

Introduo

25

Direct Sequence
O Direct Sequence Spread Spectrum (DSSS) gera um bit redundante para cada
um transmitido. Esse bit chamado de chip. Mesmo que um ou mais bits em um
chip sejam danificados durante a transmisso, as tcnicas estatsticas do rdio podem
recuperar os dados originais sem a necessidade de retransmisso. O dgito 1, ao
ser transformado em um chip, pode ser explodido por um fator de 16 (exemplo:
1100110010101010).
Para um receptor no intencional, o sinal do DSSS aparece como uma fonte de
rudo de baixa potncia e descartado pela maioria dos receptores de banda curta.
Essa tecnologia muito eficiente. Apresenta pouco overhead e, alm disso,
garante maior velocidade quando comparada ao Frequency Hopping a uma mesma
distncia. O sistema permite a utilizao de uma quantidade grande de canais.
O IEEE 802.11 DSSS padronizado para 2 Mbps, j o 802.11b trabalha com velocidade de 11 Mbps. A Figura 1.9 mostra a alocao de banda no Direct Sequence.

Figura 1.9 - Alocao de banda no Direct Sequence.

OFDM
O OFDM (Orthogonal Frequency Division Multiplexing) uma tcnica de modulao de sinais baseada em multiplexao por diviso de frequncia, que permite o
envio de mltiplas portadoras (subportadoras) de sinal digital. Um nmero ortogonal
de subportadoras utilizado para o envio do sinal digital. Os dados so divididos em
mltiplos fluxos ou canais, cada um com uma subportadora.

26

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

O OFDM permite o envio de dados de forma paralela. Cada uma das subportadoras modula o sinal, fazendo uso de um esquema tradicional como modulao de
onda por fase ou amplitude, porm com a mesma banda.
A agregao das subportadoras permite um sinal transmitido com uma banda
superior aos mtodos de acesso anteriores.
Existe ainda uma srie de vantagens do OFDM sobre um esquema de nica portadora. A principal a capacidade de trabalhar com condies de problemas de propagao, por exemplo, ambiente de alta atenuao e alta interferncia. O ODFM tem
a capacidade de transmitir sinais a baixa velocidade em cada canal e mantendo um
distanciamento dos canais suficiente que minimiza o efeito de interferncia ISI (intersymbol interference).
Principais vantagens do OFDM:
Rapidamente se adapta s ms condies de transmisso, como interferncia
sem a necessidade de uma equalizao do sinal complexa.
Baixa sensibilidade a erros de sincronismo de sinal (clock).
No existe a necessidade de filtros dos subcanais como o OFDM.
Excelente robustez interferncia de sinal tanto em banda larga como entre
canais.
Alta eficincia de espectro se comparado a esquemas de modulao convencionais como o SpreadSpectrum.
O OFDM tem como principais desvantagens o alto consumo de energia, o que
afeta diretamente dispositivos mveis e problemas de sincronizao das frequncias
transmitidas. A Figura 1.10 exemplifica a transmisso, fazendo uso do OFDM e das
respectivas subportadoras.

Figura 1.10 - Transmisso com o uso de subportadoras do OFDM.


Foto extrada de http://infowimax.blogspot.com/2008/05/un-panorama-de-ofdm.html
Introduo

27

Alcance
A distncia com que as ondas RF podem se comunicar est relacionada basicamente com a potncia de transmisso, a sensibilidade do receptor e o caminho
por onde a onda se propaga, especialmente em ambientes indoor. O tipo do material
de construo, as paredes, o metal e principalmente as pessoas podem afetar diretamente a propagao do sinal e, consequentemente, o alcance.
A vantagem do uso da radiofrequncia que pode penetrar em paredes e obstculos. O alcance, ou seja, o raio de cobertura de um sistema wireless LAN em ambiente indoor vai de 35 a 100 metros, e pode ser estendido via roaming.
Interferncias e antenas inadequadas so outros fatores que afetam a transmisso. Os sistemas wireless LAN trabalham com o conceito de fall back, da mesma
maneira que ocorre nos modems. Quando o sinal fica fraco em determinado local, a
placa wireless baixa o sinal para uma velocidade menor. O inverso tambm ocorre.
Caso o sinal se restabelea, a placa pode ento trabalhar com uma velocidade maior.
Na Figura 1.11 podemos observar esse efeito. Quanto mais longe do access point,
ou ponto de acesso, menor a velocidade de transmisso.

Figura 1.11 - Alcance do sinal wireless.

Propagao
A propagao dos sinais em ambientes fechados est sujeita s barreiras dos
materiais utilizados. A presena de metais, como muito ferro utilizado em colunas de
concreto, acaba impedindo a propagao dos sinais da rede sem fio pelas paredes.
Outro exemplo seria uma porta de metal que tambm impediria a propagao do
sinal.

28

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Alm disso, a propagao est relacionada com a frequncia do sinal utilizada, a


potncia da transmisso, o tipo e orientao das antenas, os sinais refletivos, alm do
tipo de construo.
Paredes de madeira ou gesso geralmente no apresentam um obstculo que
atenua muito o sinal, entretanto a presena de mltiplas barreiras desses materiais
acaba afetando e impedindo a propagao. As reas em que o sinal de rede sem fio
no tem cobertura so chamadas de reas de sombra. Na Figura 1.12 observam-se as
reas de sombra criadas por mltiplas barreiras, como paredes de concreto ou pedra,
mltiplas paredes de gesso ou madeira e portas de metal.

Figura 1.12 - reas de sombra do sinal de redes sem fio.

As reas de sombra so identificadas em uma atividade conhecida como Site


Survey, na qual se identificam os pontos em que no haja cobertura e se definem os
melhores locais para instalar os equipamentos de acesso rede sem fio (Acess Point).
Na Figura 1.13 observamos como ficaria a mesma rea de cobertura com a adio
de mais um dispositivo de acesso de redes sem fio, eliminando assim as reas de
sombra.

Introduo

29

Figura 1.13 - Eliminao das reas de sombra aps adicionar ponto de acesso.

Performance
Os sistemas wireless LAN trabalham baseados no conceito de rede Ethernet. Na
verdade, o ar acaba sendo o hub em que as estaes encontram-se conectadas. Vrios
fatores afetam a performance desse sistema, entre os quais podemos citar:
Nmero de usurios na mesma clula;
Volume de dados trafegado;
Taxa de erro do rdio (por isso a diferena entre fabricantes de rdio).
Algumas medies empricas de uma rede wireless a 54 Mbps, com 14 estaes
(nmero mximo recomendado) usando as aplicaes comuns de e-mail, Internet
etc., apresentaram uma banda nominal entre 10 e 20 Mbps. Isso ocorre devido aos
overheads dos protocolos e das colises existentes no protocolo de acesso CSMA/CA.
Existem alguns fatores que preciso analisar quando se projeta uma rede
wireless. So eles:

30

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Distncia x banda: quanto maior a distncia, maior a atenuao e menor a


banda passante.
Distncia x custo: o custo da soluo no aumenta necessariamente com a
distncia que desejamos cobrir.
Potncia de transmisso: quanto maior a distncia que desejamos cobrir,
maior a potncia necessria e, consequentemente, o tempo de bateria.

CSMA/CA
As redes sem fio no utilizam o mesmo CSMA/CD (Carrier Sense Multi Access/
Carrier Detection) devido incapacidade de deteces de colises no meio sem fio
por portadora.
O padro 802.11, que ser apresentado no captulo 2, utiliza uma variao do
CSMA/CD conhecida como CSMA/CA Carrier Sense Multiple Access and Colision
Avoidance. A Figura 1.14 apresenta o quadro Ethernet utilizado no CSMA/CA.
Nesse mecanismo a estao que deseja transmitir envia inicialmente um pacote
de RTS (Request to Send), que o receptor responder com um pacote de CTS (Clear
to Send). Aps o recebimento desse sinal a estao pode transmitir por um perodo
definido pelo envio do pacote VCS. Na Figura 1.14 observa-se o processo de transmisso normal do CSMA/CA. A mquina A envia um RTS para B, solicitando o envio.
A mquina B envia um CTS para todas as mquinas que conhece, dizendo que fiquem
quietas, pois ela vai receber os dados de A. Os dados so enviados de A para B.
Quando B recebe os dados com sucesso, envia um ACK, dizendo que a transmisso
foi bem-sucedida.

Figura 1.14 - Quadro Ethernet do CSMA/CA.

Introduo

31

Figura 1.15 - Transmisso no CSMA/CA.

Nesse protocolo ocorrem as colises, uma vez que o ar um ambiente compartilhado. Quando ocorrer um erro de transmisso, existe um protocolo de baixo nvel
de confirmao de mensagens baseado em reconhecimento ACK.
O reconhecimento via ACK funciona da seguinte maneira: cada mensagem recebida com sucesso o receptor envia o ACK; caso o ACK no seja recebido pelo
transmissor, a mensagem retransmitida.
No CSMA/CA colises podem ocorrer, uma vez que quem est enviando uma
mensagem desconhece todos os ns que esto conectados no meio. Na Figura 1.16
exemplifica-se esse estado. A mquina A envia para B, no entanto C que tambm
uma estao da rede sem fio no detecta a transmisso de A e tambm envia uma
mensagem para B no mesmo instante, gerando assim uma coliso.

Figura 1.16 - Colises no CSMA/CA.

32

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

A Figura 1.17 mostra os quadros de controle do CSMA/CA.

Figura 1.17 - Quadros de controle do CSMA/CA.

Fragmentao
O CSMA/CA permite que grandes quadros sejam quebrados em quadros menores.
A principal vantagem que no caso de ocorrncia de erros durante a transmisso,
quadros menores podem ser retransmitidos, levando menos tempo o processo de
retransmisso.
Esse recurso pode ser desabilitado em ambientes com baixas taxas de interferncia. A Figura 1.18 exibe os fragmentos criados pelo CSMA/CA.

Figura 1.18 - Fragmentao dos quadros CSMA/CA.

Introduo

33

Roaming
Os sistemas de redes sem fio suportam roaming multicanal, muito parecido com
o roaming do sistema de telefonia celular. Consiste na mudana automtica e transparente para o usurio quando este sai de sua clula e vai para outra clula adjacente.
Cada clula contm o seu ponto de acesso e por este motivo o roaming multicanal d
maior abrangncia e mobilidade ao sistema.
As estaes no necessitam estar configuradas numa faixa fixa de frequncia.
A mudana da frequncia ocorre quando as estaes so comutadas de uma
clula para outra. A regra do roaming relativamente simples. A estao (terminal
do usurio) sempre realiza o roaming quando verifica que existe um ponto de acesso
com melhor sinal, realizando o roaming para essa nova clula, alternando a frequncia
de operao.
Normalmente em um processo de roaming os access points adjacentes devem
ser programados para usar diferentes canais e estes podem ser reusados em outros
pontos da rede para disponibilizar uma cobertura no limitada. Na Figura 1.19
podemos observar este cenrio.

Figura 1.19 - Utilizao dos canais entre access points adjacentes.

34

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

A Figura 1.20 mostra o funcionamento do roaming com uma estao mvel


fazendo roaming entre clulas vizinhas.

Figura 1.20 - Funcionamento do roaming.

O roaming pode ocorrer quando:


Uma estao desconectada tenta se conectar ou reconectar ao access point
disponvel.
A largura de banda suportada se altera ou a estao de rede sem fio encontra
uma taxa de transmisso melhor em outro access point.
A qualidade do sinal de outro access point da rede excede a qualidade do sinal
do access point a qual esteja conectado.
A taxa de erro na conexo com um access point sobe acima do aceitvel.

Dispositivos da Rede sem Fio


Os elementos da soluo de wireless LAN incluem:
Placas de rede wireless: so os adaptadores usados nas estaes, os quais
possuem barramento PCI, PCMCIA e USB, podendo ser instalados tanto em
notebooks como em computadores desktops. A Figura 1.21 apresenta uma
placa wireless da 3Com.

Introduo

35

Figura 1.21 - Placa wireless. Fonte: Foto extrada do site www.3com.com

Access point: ou ponto de acesso uma estao na rede wireless responsvel


por gerenciar as conexes entre usurios e a rede, alm de ser o ponto de
conexo da rede wireless com a rede cabeada. Cada access point pode atender
a vrios usurios na mesma rede. A rea de cobertura de um access point fica
em torno de 100 metros de raio. Para atender principalmente aos usurios
que se deslocam mais que 100 metros, necessria a colocao de mais access
point no mesmo escritrio.

Figura 1.22 - Access point. Fonte: Foto extrada do site www.3com.com

Antenas: so um ponto primordial para o bom funcionamento do sistema


de redes sem fio. Elas irradiam os sinais da rede sem fio. Existem basicamente antenas internas e externas, dos tipos direcional e omnidirecional.
As antenas direcionais concentram e irradiam o sinal em uma nica posio.
So exemplos: Yagi, Grade e semiparablica. A Figura 1.23 exibe antenas direcionais. As antenas omnidirecionais propagam ao longo do eixo em um ngulo
de 360 graus. Na Figura 1.24 podemos observar uma antena omnidirecional.

36

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Figura 1.23 - Antenas direcionais. Fonte: Foto extrada do site www.orinoco.com

Figura 1.24 - Antenas omnidirecionais. Fonte: Foto extrada do site www.lucent.com

Resumo do Captulo 1
Este captulo abordou os princpios bsicos de redes sem fio, como definies; benefcios;
tecnologias de redes sem fio como wireless, laser e infravermelho; as faixas de operao;
os principais mtodos de acesso FH, DS e OFDM; o CSMA/CA, relao entre alcance e performance e os dispositivos de redes sem fio.
O prximo captulo apresenta os padres das tecnologias de redes sem fio.

Introduo

37

Qual dos itens seguintes no corresponde a aplicaes de redes sem fio:


a. Pequenos escritrios
b. Residncias
c. Supermercados
d. Hospitais
e. Backbones corporativos de empresas

2.

Qual a distncia mxima permitida de um usurio de rede sem fio a um


access point?
a. 10 m
b. 20 m
c. 50 m
d. 100 m

3.

Qual o nmero mximo de usurios recomendado em um acess point?


a. 5
b. 10
c. 14
d. 20

4.

Qual o protocolo da camada MAC para redes wireless?


a. CSMA/CD
b. CSMA/CA
c. HDLC
d. NDA

5.

O que roaming?
a. Processo de troca de mensagens.
b. Processo de migrao entre clulas do sistema.
c. Mecanismo usado para acessar o sistema.
d. NDA

38

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Exerccios

1.

Exerccios

6.

Qual o relacionamento entre o tamanho da clula e a banda?


a. Quanto maior a banda maior o alcance da clula.
b. Quanto menor a banda menor o alcance da clula.
c. Quanto maior a banda menor o alcance da clula.
d. NDA

7.

Quais seriam os melhores canais adjacentes no caso de roaming ?


a. 2 - 4 - 8
b. 1 - 6 - 11
c. 1 - 3 - 9
d. 1 - 2 - 3
e. NDA

8.

Qual o quadro usado no CSMA/CA para liberar o canal para transmisso?


a. RTS
b. CTS
c. ACK
d. VCS
e. NDA

9.

Qual o quadro usado no CSMA/CA para solicitar o canal para transmisso?


a. RTS
b. CTS
c. ACK
d. VCS
e. NDA

10. Quanto ao OFDM:


a. baseado na multiplexao por cdigo.
b. baseado na modulao por amplitude.
c. Estipula subportadoras usadas para transmitir o sinal e ampliar a
banda.
d. No adequado para o uso de redes sem fio.
e. NDA
Introduo

39

a. Maior o alcance.
b. Maior a banda e menor o alcance.
c. Maior a quantidade de estaes.
d. Menor a quantidade de estaes.
e. NDA

40

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Exerccios

11. Quanto maior a frequncia...

Captulo 2
Padronizao de
Redes Sem Fio Padro 802.11
Padro IEEE 802.11

ste padro baseado numa arquitetura do tipo clula, muito parecido com
o sistema de telefonia celular. O dimetro das clulas
definido como a distncia entre duas estaes.
Na verdade, o padro 802.11 um conjunto de normas e
padres de transmisso em redes sem fio, sendo os principais padres
utilizados 802.11a, 802.11b, 802.11g e 802.11n.

Ponto Bsico de Servio (Basic Service Set)


Cada clula chama-se Ponto Bsico de Servio ou Basic Service Set e controlada
por um equipamento denominado ponto de acesso (access point), como observamos
na Figura 2.1.
Um BSS (Basic Service Set) possui a funo de controlar quando cada uma das
estaes pode transmitir ou receber.
Em geral, um ponto bsico de servio pode acomodar de 10 a 20 clientes com
qualidade de acesso, dentro de um raio de 100 metros.

Figura 2.1 - Ponto bsico de servio.

Sistema de Distribuio (Distribution System)


Um Sistema de Distribuio ou Distribution System o local da topologia em que
os pontos de acesso (access points) se interconectam numa rede cabeada, podendo
ser numa rede local padro Ethernet ou num backbone. Observe a Figura 2.2.

Figura 2.2 - Sistema de distribuio.

42

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Ponto de Servio Estendido


Ponto de Servio Estendido (Extended Service Set) um ponto ou um grupo de
pontos bsicos de servio interconectados por um sistema de distribuio. Veja a
Figura 2.3.

Figura 2.3 - Ponto de servio estendido.

Ponto Bsico de Servio Independente


um ponto bsico de servio em que no existe acesso a um sistema de distribuio disponvel. Uma das estaes no IBSS (ponto bsico de servio independente)
pode ser configurada para iniciar a rede e coordenar as funes de rede, ou seja,
executar as funes de servidor.
Cada ponto bsico de servio independente (IBSS), pelo padro, pode suportar
at 127 dispositivos, Figura 2.4.
O primeiro padro de redes sem fio nasceu com o IEEE 802.11 e estabelece tanto
os protocolos de acesso ao meio (MAC) como os protocolos da camada fsica (PHY).
Esse padro definiu como tecnologia de transmisso o Spread Spectrum Frequency
Hopping, o Spread Spectrum Direct Sequence e o infravermelho.
Padronizao de Redes Sem Fio - Padro 802.11

43

Figura 2.4 - Ponto bsico de servio independente.

O IEEE 802.11 trabalha nas velocidades de 1 ou 2 Mbps, na frequncia ISM de


2.4 GHz. Os canais alocados so os apresentados na Figura 10.3. Esse padro especificou ainda o protocolo de acesso ao meio, o CSMA/CA, que muito parecido com
o CSMA/CD da Ethernet, sujeito inclusive coliso.
No caso da existncia de uma rede com vrios access points, devemos levar em
considerao que cada access point deve trabalhar em um canal distinto, o que evita
problemas como a sobrecarga dos canais. Para que isso ocorra, necessrio fazermos
um reaproveitamento dos canais, e para isso geralmente escolhem-se os canais 1, 6
e 11. As escolhas ocorrem porque esses canais no sofrem sobreposio (overlay). A
Figura 2.5 apresenta o reaproveitamento dos canais no Brasil e nos Estados Unidos.

Figura 2.5 - Reaproveitamento dos canais.

44

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Roaming
Processo pelo qual conseguimos aumentar a abrangncia da rede wireless LAN.
Permite que mltiplas redes coexistam na mesma rea fsica. Os canais de RF mudam
durante o processo, devido a mltiplos canais permitirem mais banda. Quando um
usurio mvel passa por um processo de roaming de uma AP para outra, a interface de
rede automaticamente reassocia o usurio AP com melhor performance. Na Figura
2.6 podemos observar o processo do roaming.

Figura 2.6 - Roaming.

Topologias da Rede sem Fio


As redes sem fio podem trabalhar nas seguintes topologias:
Topologia estruturada;
Topologia ad hoc.

Topologia Estruturada
Nessa topologia as estaes esto dispostas em uma clula, as quais so controladas por um access point. Os limites da clula so definidos pelo alcance do
access point. Nessa arquitetura a rede possui uma topologia fixa definida pelo posicionamento do access point, que neste caso responsvel por alocar os recursos,
alm de gerenciar o consumo de energia das estaes.

Padronizao de Redes Sem Fio - Padro 802.11

45

Topologia Ad Hoc
Nessa topologia vrios dispositivos mveis esto interconectados entre si,
formando uma rede. Nesse caso no existe uma topologia predefinida, uma vez que
os participantes podem se mover, alterando a topologia da rede. No existe um ponto
central de controle, portanto os servios so gerenciados e oferecidos pelos participantes. Na Figura 2.7 podemos observar as topologias.

Figura 2.7 - Topologias de redes sem fio.

802.11b
O padro IEEE 802.11b foi criado em julho de 1998 e aprovado em setembro de
1999. considerado um anexo da especificao do IEEE 802.11, estendendo a mesma
faixa de 2.4 GHz com o Direct Sequence Spread Spectrum para trabalhar com taxas de
at 11 Mbps. O padro especifica ainda taxas de fall back em 5.5, 2 e 1 Mbps.
Adicionalmente ao Direct Sequence Spread Spectrum, o 802.11b usa uma tcnica
de modulao baseada em cdigo conhecida como CCK (Complementary Code Keying)
que permite o aumento da performance para 11 Mbps.
O 802.11b usa o mesmo mtodo de acesso do CSMA/CA (captulo 1) definido
na norma original. Devido ao overhead de cabealho desse protocolo, na prtica o
CSMA/CA alcana velocidades de 5.9 Mbps usando TCP e 7.1 Mbps usando UDP.

46

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Este padro baseia-se na comunicao ponto multiponto, em que um access


point se comunica com uma antena omnidirecional com um ou mais clientes da rede
sem fio, que estejam localizados no alcance desse access point. O 802.11 estabelece
um alcance mdio de 30 metros a 11 Mbps e 90 metros a 1 Mbps. Fator que afeta diretamente a performance o nmero total de usurios que utilizam determinado canal.
Em ambientes externos de configurao ponto a ponto com antenas de alto
ganho e amplificadores, podem ser alcanadas distncias de at oito quilmetros.
A Tabela 2.1 apresenta os valores dos canais.
Canal

Frequncia mdia

Largura da frequncia

Sobreposio de canais

2.412 GHz

2.401-2.423 GHz

2-5

2.417 GHz

2.406-2.428 GHz

1,3-6

2.422 GHz

2.411-2.433 GHz

1-2,4-7

2.427 GHz

2.416-2.438 GHz

1-3,5-8

2.432 GHz

2.421-2.443 GHz

1-4,6-9

2.437 GHz

2.426-2.448 GHz

2-5,7-10

2.442 GHz

2.431-2.453 GHz

3-6,8-11

2.447 GHz

2.436-2.458 GHz

4-7,9-12

2.452 GHz

2.441-2.463 GHz

5-8,10-13

10

2.457 GHz

2.446-2.468 GHz

6-9,11-13

11

2.462 GHz

2.451-2.473 GHz

7-10,12-13

12

2.467 GHz

2.456-2.478 GHz

8-11,13-14

13

2.472 GHz

2.461-2.483 GHz

9-12,14

14

2.484 GHz

2.473-2.495 GHz

12-13

Tabela 2.1 - Canais do 802.11b.

WiFi - Wireless Fidelity


O consrcio criado por fabricantes, conhecido como WiFi, testa e realiza testes
de confiabilidade e interoperabilidade com dispositivos aderentes a esse padro.
O consrcio WiFi foi criado pelo Wireless Ethernet Compatibility Alliance (WECA).
O WECA certifica a interoperabilidade do 802.11b. Para receber essa certificao,
os produtos devem passar por severos testes de interoperabilidade e performance.
O WECA possui mais de 70 membros, incluindo 3Com, Symbol, Alcatel-Lucent,
Enterasys, Cisco/Aironet, Dell e Intersil.

Padronizao de Redes Sem Fio - Padro 802.11

47

So elegveis para o teste apenas produtos de rede sem fio wireless fabricados
segundo as especificaes do 802.11b e que contenham encriptao de 40 bits. Os
testes verificam a conectividade a 1 Mbps, 2 Mbps, 5,5 Mbps e 11 Mbps. A encriptao
testada e o roaming entre access points.
A certificao WiFi obtida a partir do momento em que o equipamento passa
nos testes e interopera com outros access points certificados. Alm disso, um access
point certificado deve interoperar com outras estaes WiFi certificadas. O produto
deve tambm suportar o roaming de estaes em uma rede formada por access points
WiFi compostos por mltiplos fabricantes.
A grande vantagem da certificao WiFi a garantia de que o usurio da tecnologia no ficar mais preso a uma soluo de um nico fabricante, aumentando
assim a concorrncia e baixando os preos.
A Figura 2.8 mostra o logotipo utilizado em redes WiFi Zone para identificar
locais onde est disponvel a rede WiFi.

Figura 2.8 - WiFi Zone.

IEEE 802.11a
O padro IEEE 802.11a foi aprovado em conjunto com o 802.11b, permitindo a
operao em faixas de at 54 Mbps. Ele no trabalha com o Spread Spectrum, mas
com o OFDM que outra tcnica de transporte. Como o OFDM mais eficiente que o
Spread Spectrum, as redes 802.11a trabalham com taxas de at 54 Mbps. Esses equipamentos fazem fall back nas taxas de 48, 36, 24, 18, 12, 9 e 6 Mbps.
O padro 802.11a usa o mesmo CSMA/CA, porm opera na faixa de 5 GHz e
utiliza 52 subportadoras baseadas no OFDM (captulo 1), permitindo assim uma velocidade mxima de 54 Mbps. Na verdade, devido a todo o overhead de pacotes, a
transmisso real fica em torno de 20 Mbps. Originalmente o 802.11a definiu 12 ou 13
canais sem sobreposio para uso exclusivo em ambiente in door e quatro ou cinco
canais para configuraes ponto a ponto.

48

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

No existe interoperabilidade entre o 802.11a e o 802.11b porque eles trabalham


em duas faixas de frequncia distintas, exceto se o equipamento possui a capacidade
de trabalhar no modo dual band, ou seja, duas bandas.

Faixa de Frequncia de 5 GHz


A frequncia de 5 GHz traz uma vantagem significativa, visto que a banda de
2.4 GHz extremamente utilizada e est muito sobrecarregada. comum verificar
degradao do sinal e interrupo das conexes de redes sem fio na faixa de 2.4 GHz
pela alta utilizao dessa faixa de frequncia.
A frequncia de 5 GHz, no entanto, traz algumas desvantagens tambm. Como
a frequncia mais alta, o alcance diminui, principalmente porque o sinal mais absorvido por paredes e outros objetos slidos. As vantagens esto na capacidade de
trabalharmos com um nmero de canais de quatro a oito vezes maiores, dependendo
do pas, e a inexistncia de interferncia dos principais dispositivos geradores de
interferncia, como micro-ondas, telefones sem fio, babs eletrnicas, o que acaba
tornando o 802.11a muito mais eficiente.
A faixa de frequncia ISM 5 GHz no tem o uso liberado sem licena em alguns
pases. Apenas recentemente a Anatel padronizou o uso da frequncia de 5 GHz no
Brasil, uma vez que ela j vinha sendo utilizada por alguns sistemas militares. Por
trabalhar nessa faixa de frequncia, est menos sujeita interferncia e coexiste com
sistemas 2.4 GHz.
Por trabalhar com a frequncia maior com o mesmo nvel de potncia de um
dispositivo 802.11 b, o alcance do 802.11a acaba sendo 50% menor. Alm disso, o
consumo de energia maior, o que para dispositivos mveis no muito adequado.
A Tabela 2.2 apresenta as diferenas entre 802.11a e 802.11b.
802.11a

802.11b

Banda

at 54 Mbps (54, 48,


36, 24, 18, 12 e 6 Mbps)

At 11 Mbps
(11, 5.5, 2 e 1 Mbps)

Alcance

50 metros

100 metros

Frequncia

UNII e ISM (5 GHz range)

ISM (2.4000 - 2.4835 GHz range)

Modulao

OFDM

DSSS

Tabela 2.2 - 802.11a x 802.11b.

Os dispositivos 802.11a so mais caros, difceis de produzir e no so compatveis


com o 802.11b. Com a chegada dos dispositivos 802.11g mais baratos e compatveis
houve uma reduo significativa de mercado para os sistemas baseados em 802.11a.

Padronizao de Redes Sem Fio - Padro 802.11

49

IEEE 802.11g
O padro IEEE 802.11g uma extenso do IEEE 802.11b. Na verdade existe uma
compatibilidade entre os padres porque os dois trabalham na mesma faixa de frequncia. Basicamente o que diferencia um do outro o fato de o 802.11g trabalhar
com OFDM e no com Spread Spectrum. Como o OFDM mais eficiente no que diz
respeito utilizao de banda passante, chegamos nas mesmas velocidades encontradas no 802.11a 54 Mbps ou uma banda efetiva de rede de 19 Mbps, s que agora
atingindo o mesmo alcance do IEEE 802.11b por trabalhar em idntica faixa de frequncia.
A compatibilidade com o IEEE 802.11b apresenta algumas desvantagens ao IEEE
802.11g. A existncia de estaes trabalhando com o IEEE 802.11b acaba por reduzir
sensivelmente a velocidade de comunicao dos usurios a 802.11g.
Como o 802.11g trabalha com o OFDM, ele permite as mesmas taxas de fall back
do IEEE 802.11a, ou seja, 6, 9, 12, 18, 24, 36, 48, e 54 Mbits/s, adicionando-as s velocidades do CCK do padro 802.11b, ou seja, 5.5 e 11 Mbits/s, e s velocidades do
802.11 de 1 e 2 Mbps. Com o barateamento dos dispositivos, hoje possvel comprar
um adaptador de rede wireless 802.11b/g por volta de trinta dlares.
O padro 802.11g foi rapidamente adotado por consumidores logo aps o seu
lanamento em 2003, principalmente pelo ganho da velocidade e reduo dos custos
de fabricao. No final de 2003 j estavam disponveis adaptadores dual band que
trabalham nos trs modos, sendo 802.11a, 802.11b e 802.11g, porm com um custo
mais elevado.
Embora a aceitao do padro 802.11g tenha sido muito grande, essa tecnologia
est sujeita s mesmas interferncias do 802.11b, relacionadas alta utilizao da
banda de 2.4 GHz. Os dispositivos que trabalham nessa faixa de frequncia esto
susceptveis a interferncias provenientes de dispositivos Bluetooth, telefones sem
fio, fornos de micro-ondas, entre outros. Adicionalmente j se observa no Brasil, principalmente nos grandes centros, uma alta densidade de dispositivos na frequncia
de 2.4 GHz, o que contribui para alta interferncia e problemas de interrupo de
conexo.
Existem apenas trs canais que no esto sujeitos sobreposio de frequncia,
sendo 1, 6 e 11, com um espaamento de 22 MHz entre eles. Na Europa, como mais
canais esto ainda liberados, possvel o uso de quatro canais, sendo 1, 5, 9 e 13,
com espaamento de 20 MHz. A Figura 2.9 apresenta o espaamento dos canais com
o uso da frequncia de 2.4 GHz.

50

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Figura 2.9 - Espaamento dos canais na frequncia de 2.4 GHz.

Ainda, se compararmos o consumo, uma rede com IEEE 802.11g gasta menos
energia que a IEEE 802.11a, o que representa uma economia de bateria para dispositivos mveis.
Existem ainda outras tecnologias que esto em fase de padronizao, como o
Super G, cuja ideia aperfeioar a transmisso de frames, permitindo alcanarmos
taxas de 108 Mbps. Espera-se a padronizao para essa tecnologia em breve. A Tabela
2.3 mostra uma comparao entre o IEEE 802.11a e o IEEE 802.11g.
IEEE 802.11a

IEEE 802.11g

5 GHz, 54 Mbps

2,4 GHz, 54 Mbps

No compatvel com 802.11b

Compatvel com 802.11b

Necessita de mais APs para cobrir a mesma


rea 25% a mais

Mesma cobertura do 802.11b

802.11b e 802.11a podem ser usados juntos

802.11g opera na mesma frequncia do 802.11b

Tabela 2.3 - Comparao entre o IEEE 802.11a e o IEEE 802.11g.

IEEE 802.11e
O IEEE 802.11e, tambm conhecido como P802.11 TGe, tem o objetivo de melhorar a camada MAC (Medium Access Control) do IEEE 802.11 de forma a incorporar
QoS (Qualidade de Servio). Esse anexo ao padro 802.11 foi incorporado e publicado
em 2007.
Esse padro de relevncia a aplicaes que so sensveis ao atraso como VoIP
(Voz Sobre IP) e streaming de vdeo.
Como as redes 802.11 utilizam-se do CSMA/CA, o nico controle para a transmisso das estaes o RTS/CTS tradicional, entretanto para a garantia de qualidade
de servio, essa tecnologia traz uma srie de limitaes. So elas:

Padronizao de Redes Sem Fio - Padro 802.11

51

O CSMA/CA no possui nenhum tipo de garantia de Qualidade de Servio, no


existe nenhum tipo de classificao entre trfegos de baixa e alta prioridade.
Quando uma estao consegue ter acesso ao meio de transmisso, ela se
mantm com acesso monopolizado ao meio o tempo necessrio para a transmisso do quadro. Se imaginarmos que a estao pode transmitir a 1 Mbps,
isso pode ser um tempo bem considervel.
Caso mltiplas estaes tentem comunicar ao mesmo tempo, muitas colises
vo ocorrer, o que reduz a banda efetiva e pode levar a um estado de coliso.
O 802.11e incrementa uma funcionalidade de coordenao de trfego, criada no
padro 802.11 e conhecida como PCF (Point Coordination Function). A PCF permite
que os access points, pontos de acesso da rede sem fio, implementem perodos de
conteno de trfego conhecidos como CP (Contention Period) e perodos de liberao de trfego chamados CFP (Contention Free Period).
Esse processo de permitir ao access point conter ou enviar trfego por um certo
perodo o primeiro passo para a implementao de um sistema de Qualidade de
Servio, embora no exista nenhum tipo de categorizao de classes de trfego ou
servio, como ocorre nos padres de QoS: 802.1p e DiffServ.
O 802.11 implementa um avano ao DCF e PCF incorporando uma nova funo
de coordenao de trfego conhecida como HCF (Hybrid Coordination Function). O
HCF permite criarmos categorias de trfego com classes de priorizao. O trfego
que chega ao access point pode estar categorizado, o qual prioriza o envio desses
quadros baseado nas filas e nos controles de conteno e liberao de trfego do PCF.
Por exemplo um trfego de voz pode ser categorizado com uma prioridade maior
que o trfego de dados, por isso ser liberado (CFP), enquanto um trfego de FTP de
baixa prioridade usa o mesmo access point (CP) por um determinado perodo at que
o trfego de maior prioridade seja entregue.
O IEEE 802.11e define sete classes de prioridade, sendo a classe 1 a de menor
prioridade e a classe 7 a de maior.

IEEE 802.11f (Inter-Access Point Protocol)


Esse padro tambm conhecido como P802.11 TGf e tem como objetivo desenvolver um conjunto de requisitos para Inter-Access Point Protocol (IAPP), incluindo
aspectos operacionais e de gerenciamento. Foi aprovado em fevereiro de 2006.
A ideia desse padro criar um subset mnimo que permita aos access points interoperarem entre si, e sendo capazes de ser gerenciados de uma forma centralizada.

52

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Algumas caractersticas que esto sendo avaliadas vo desde tcnicas de roaming


avanado a gerenciamento de energia entre APs.
O padro 802.11 no especifica a comunicao entre access point para roaming
ou mesmo balanceamento de carga. A ideia do 802.11f foi padronizar o processo de
troca de informao entre dois access points durante o perodo de transio de uma
estao de um access point para outro. Para isso utilizado um servidor radius que
distribui as chaves criptogrficas de sesso entre um access point e outro. Alm disso,
disponibiliza o mapeamento do endereo Mac e IP das estaes em roaming.

IEEE 802.11i - Security


O IEEE802.11i foi criado em 2004 para atender as demandas de segurana no
mais atendidas pelo 802.11. O 802.11 definiu o WEP (Wired Equivalent Privacy) como
algoritmo de criptografia com uma chave de 40 bits. Essa tecnologia foi facilmente
quebrada em poucos anos aps a publicao do padro.
Vale lembrar que o WEP foi criado com uma chave fraca justamente devido
pouca capacidade de processamento do hardware existente na poca (placas de rede
sem fio).
O padro foi publicado em 2007 e traz uma srie de inovaes que buscam solucionar problemas relacionados autenticao e privacidade dos dados transmitidos
via redes sem fio, utilizando criptografia de chave forte.
As redes wireless IEEE 802.11 baseiam sua segurana no uso de alguns mecanismos considerados fracos, alm disso boa parte das redes wireless no adota esses
mecanismos. Especificam-se os seguintes padres de segurana:
SSID, que o nome de uma rede sem fio, usado para identificar a rede,
necessrio para acessar o access point. Em redes sem o mnimo de segurana
comum observarmos produtos WLAN com o SSID default como 101 para
3COM e tsunami para Cisco. Quanto mais pessoas conhecerem o SSID maior a
chance de ser mal utilizado. A mudana do SSID requer a mudana em todos
os usurios da rede.
WEP (Wire Equivalent Privacy), usado para criptografia dos dados, o WEP
criptografa o trfego entre o cliente e o access point. A criptografia realizada na camada enlace, usando o algoritmo criptogrfico RC4 da RSA (40-bits
secret key + 24-bits Vetor Inicializao). A chave criptogrfica do WEP pode
ser quebrada em questo de minutos. Alm disso, todos os usurios de um
mesmo access point compartilham a mesma chave de criptografia.

Padronizao de Redes Sem Fio - Padro 802.11

53

Padro 802.1x, que pode ser usado tanto em redes cabeadas como em redes
sem fio, utiliza o protocolo EAP (Extensible Authentication Protocol), RFC
2284, que baseado na autenticao do usurio pelo endereo MAC do seu
adaptador wireless. Utiliza ainda RADIUS e autenticao forte. O EAP pode
ainda prover troca dinmica de chaves, eliminando alguns dos problemas do
WEP.
WPA, que elimina as vulnerabilidades do WEP e estende o algoritmo RC4 do
WEP em quatro novos algoritmos:
Aumento da quantidade de bits do vetor de inicializao IV para quarenta e
oito bits, o que equivale a mais de quinhentos trilhes de chaves.
Message Integrity Code (MIC) chamado Michael, empregado via hardware
troca de nmeros iniciais aleatrios para anular ataque man-in-the middle.
Derivao e distribuio de chaves.
TKIP (Temporal Key Integrity Protocol) que gera chaves por pacote.
O 802.11i representa um avano porque resolve as vulnerabilidades do WEP a
partir da implementao do WPA2, que melhora a autenticao, encriptao e integridade das mensagens. O WPA2 acrescenta ao WPA tradicional um algoritmo criptogrfico extremamente seguro conhecido como AES (Advanced Encryption Standard).
um algoritmo criptogrfico simtrico baseado em uma cifra de bloco com chaves
criptogrficas de 128, 192 e 256 bits.
O captulo 7 trata com mais detalhes dos mecanismos de segurana em redes
sem fio.

IEEE 802.11n
O IEEE 802.11n foi publicado em 2009 com o objetivo de aumentar a velocidade
obtida nos padres tradicionais 802.11g e 802.11a dos 54 Mbps para at 600 Mbps,
usando para isso quatro canais de dados com espaamento de 40 MHz entre eles.
A ideia utilizarmos uma tecnologia conhecida como MIMO (Multiple Input
Multiple Output), fazendo agregao dos quadros transmitidos em mltiplos canais
na camada MAC (camada de enlace do Ethernet).
necessrio o uso de mltiplas antenas, que podem agregar mais informaes
que uma nica antena. O 802.11n faz uso de uma tcnica de multiplexao conhecida
como SDM (Spatial Division Multiplex).

54

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

O SDM multiplexa mltiplos fluxos de dados, transmitidos simultaneamente em


um nico espectro de transmisso. Para cada fluxo de dados transmitido faz se necessrio incorporar uma antena tanto no transmissor como no receptor. Alm disso,
necessrio uma sequncia de frequncias e conversores analgicos digitais para
cada antena, o que aumenta consideravelmente o custo se comparado aos sistemas
tradicionais.
Diferentemente dos padres 802.11a e 802.11g que operam com canais de
20 MHz, os canais do 802.11n operam com uma faixa de frequncia de 40 MHz
por canal, o que praticamente dobra a taxa efetiva de transmisso. Normalmente
o 802.11n opera a 5 GHz, podendo tambm operar a 2.4 GHz, entretanto o usurio
necessita avaliar o impacto causado em outras redes 802.11b/g e mesmo em sistemas
Bluetooth, caso opte pelo uso da frequncia de 2.4 GHz.

Antenas
O nmero de antenas o mesmo da quantidade de fluxo de dados enviado pelo
access point 802.11n. O rdio do access point pode, por exemplo, transmitir com
duas antenas e receber com trs. Normalmente um access point 802.11n possui entre
quatro e seis antenas.
Na Figura 2.10 podemos observar um access point 802.11n.

Figura 2.10 - Access point 802.11n com seis antenas. Foto extrada do site www.proxim.com

Padronizao de Redes Sem Fio - Padro 802.11

55

Velocidade
O IEEE 802.11n pode trabalhar com velocidades de at 600 Mbit/s. Vrios esquemas e tcnicas de modulao so utilizados nessa tecnologia. A Tabela 2.4
apresenta os tipos de modulao definidos pelo padro e as taxas de transmisso
alcanadas tanto para canais de 20 MHz como para canais de 40 MHz.
MCS
ndice

Fluxo
de
Dados

Tipo de
modulao

Velocidade Mbps

Taxa de
codificao

Canal 20 MHz
800ns GI

Canal 40 MHz

400ns GI

800ns GI

400ns GI

BPSK

1/2

6.50

7.20

13.50

15.00

QPSK

1/2

13.00

14.40

27.00

30.00

QPSK

3/4

19.50

21.70

40.50

45.00

16-QAM

1/2

26.00

28.90

54.00

60.00

16-QAM

3/4

39.00

43.30

81.00

90.00

64-QAM

2/3

52.00

57.80

108.00

120.00

64-QAM

3/4

58.50

65.00

121.50

135.00

64-QAM

5/6

65.00

72.20

135.00

150.00

BPSK

1/2

13.00

14.40

27.00

30.00

QPSK

1/2

26.00

28.90

54.00

60.00

10

QPSK

3/4

39.00

43.30

81.00

90.00

11

16-QAM

1/2

52.00

57.80

108.00

120.00

12

16-QAM

3/4

78.00

86.70

162.00

180.00

13

64-QAM

2/3

104.00

115.60

216.00

240.00

14

64-QAM

3/4

117.00

130.00

243.00

270.00

15

64-QAM

5/6

130.00

144.40

270.00

300.00

...

...

...

...

...

...

...

23

64-QAM

5/6

195.00

216.60

405.00

450.00

...

...

...

...

...

...

...

31

64-QAM

5/6

260.00

288.90

540.00

600.00

Tabela 2.4 - Velocidades extradas do site www.wikipedia.org/.

56

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Agregao dos Quadros


Na camada fsica no ocorre efetivamente um aumento de velocidade, justamente
devido s caractersticas de espaamento de quadros, overheads e reconhecimento
de mensagens do IEEE 802.11n. O avano ocorre mesmo na camada MAC (enlace), em
que os quadros so agregados entre os diferentes fluxos de dados (antenas), reduzindo
os overheads, realizando mensagens de reconhecimento por blocos conhecido como
Block Ack, possibilitando o aumento da taxa mdia de transmisso.
No processo de agregao, mltiplas MSDUSs (MAC Service Data Units), as
chamadas mensagens de controle, e MPDUs (MAC Protocol Data Units), mensagens
com dados, so transmitidas simultaneamente, elevando assim a taxa efetiva do
usurio.

Compatibilidade
Quando foi criado o padro 802.11n, pensou-se em garantir a compatibilidade
com padres preexistentes de forma a preservar o investimento realizado com dispositivos 802.11g, 802.11b e 802.11a.
Assim a tecnologia possui mecanismos de proteo que permitem trabalharmos
com canais tradicionais de 20 MHz e os canais do 802.11n de 40 MHz. As protees
esto relacionadas aos sinais de RTS/CTS do CSMA/CA.
Mesmo com as protees, existe uma perda significativa de performance quando
trabalhamos em ambientes mix, em que coexistem redes 802.11g, 802.11b e 802.11a
com redes 802.11n.
A maior parte dos dispositivos que interoperam e trabalham com 802.11b/g/n
mantm a banda de 2.4 GHz para a comunicao 802.11 b/g, e o trfego 802.11n
enviado com a frequncia de 5 GHz, gerando o menor impacto possvel aos sistemas
j existentes.
Como a banda de 2.4 GHz j est muito congestionada em algumas regies, fica
impraticvel o uso do 802.11n nessa frequncia, uma vez que ele dobra a faixa de
frequncia do canal de 20 MHz para 40 MHz.

WiFi e EWC
Em 2007, o consrcio WiFi iniciou a certificao de produtos 802.11n Draft 2, a
qual estabelece um conjunto de caractersticas a serem testadas de forma a garantir a
interoperabilidade de vrios fabricantes.

Padronizao de Redes Sem Fio - Padro 802.11

57

A certificao para equipamentos 802.11n cobre a verificao da largura dos


canais em 20 e 40 MHz, com dois fluxos de dados a 144.4 Mbps a 20 MHz e 300 Mbps
a 40 MHz.
A nova certificao est sendo elaborada por um novo consrcio conhecido como
EWC (Enhanced Wireless Consortium), fazendo uso de um novo conjunto de testes
para testar os sistemas baseados em 802.11n.
O padro 802.11n possui uma patente de uma organizao australiana conhecida
como CSIRO (Commonwealth Scientific and Industrial Research Organisation). O IEEE
tem tentado obter autorizaes da CSIRO para que os fabricantes possam produzir
os equipamentos sem licena. Apenas em abril de 2009 a CSIRO liberou as seguintes
companhias para produzir os equipamentos com 802.11n: Hewlett-Packard, Asus,
Intel, Dell, Toshiba, Netgear, D-Link, Belkin, SMC, Accton, 3Com, Buffalo Technology,
Microsoft e Nintendo.

Resumo do Captulo 2
Este captulo apresentou o grande avano que a certificao IEEE 802.11 trouxe para a indstria de redes sem fio. O avano que se observou da primeira padronizao a 1 e 2 Mbps
(IEEE802.11), passando pelo IEEE802.11b a 11 Mbps, o IEEE802.11a e IEEE 802.11g a
54 Mbps e concluindo com o novo padro 802.11n certificado at 300 Mbps, mas pode
chegar a 600 Mbps.
Os novos padres acompanham o avano de tecnologias de modulao mais eficientes
como o OFDM e utilizao de mltiplos canais como a tecnologia MIMO.

58

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Exerccios

1.

Qual padro 802.11 apresenta segurana mxima adicional para aplicaes WLAN?
a. 802.11e com QoS
b. 802.11i com AES
c. 802.11b com WPA
d. 802.11h com UPC

2.

Quando falamos de Qualidade de Servio, estamos nos referenciando a:


a. Tipo de banda da conexo
b. Taxa mxima de transferncia de dados
c. Probabilidade de o pacote passar pela rede
d. Velocidade da conexo de rede

3.

Quando surgiram as primeiras redes locais sem fio (Wireless LAN)?


a. 1980
b. 1990
c. 1993
d. 1999

4.

Quem criou o padro 802.11?


a. WiFi Alliance em 1997
b. 3COM em 1997
c. IEEE em 1997
d. IEEE em 1994

5.

Qual a taxa de transferncia real do padro IEEE 802.11g com velocidade


de 54 Mbps?
a. 20-25 Mbps
b. 15-20 Mbps
c. 10-15 Mbps
d. 25-30 Mbps

Padronizao de Redes Sem Fio - Padro 802.11

59

Sobre o padro 802.11b:


a. Foi publicado em 2002.
b. No ganhou muito mercado devido ao alto custo dos dispositivos.
c. Usa OFDM como tcnica de multiplexao.
d. Foi introduzido antes do 802.11a.

7.

A rea coberta por uma rede sem fio conhecida por:


a. Enquadramento
b. Ponto de Servio Estendido
c. Ponto de Servio Bsico
d. Sistema de Distribuio

8.

Como conhecido o modo de conexo na rede sem fio no qual os computadores esto conectados a um access point?
a. Modo Hoop
b. Modo Infraestrutura
c. Modo Ad hoc
d. Modo Nativo

9.

Qual o significado do termo WiFi?


a. uma abreviao de wided widelity.
b. Foi criado por um consrcio de fabricantes e a abreviao de
wireless fidelity.
c. Termo criado pelo IEEE.
d. Foi criado pelo WiFi Alliance.

10. Qual a tecnologia usada pelo 802.11n que garante a mais alta velocidade?
a. AES
b. MIMO com canais de 20MHz
c. MIMO com canais de 40MHz
d. OFDM puro

60

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Exerccios

6.

Exerccios

11. Qual a tecnologia que tem maior cobertura (alcance)?


a. 802.11 a
b. 802.11 b
c. 802.11
d. 802.11g
12. Qual a tecnologia mais adequada para locais com alta interferncia de
micro-ondas, telefones sem fio e Bluetooth?
a. 802.11 a
b. 802.11 b
c. 802.11
d. 802.11g
13. Qual tecnologia o EWC certifica?
a. 802.11 a
b. 802.11 b
c. 802.11
d. 802.11g

Padronizao de Redes Sem Fio - Padro 802.11

61

Anotaes
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
62

Redes Sem Fio - Instalao, Congurao e Segurana - Fundamentos

Captulo 3

Personal Area
Networks

ste captulo apresenta


as redes PAN (Personal
Area Networks), que so as tecnologias de redes sem fio de curtssimo alcance.
Quando falamos de curtssimo alcance, significam
conexes de dispositivos em at dez metros. Trata das
tecnologias Bluetooth e Zigbee.

Bluetooth
Essa tecnologia substitui os cabos para interconexo de dispositivos,
usando uma conexo de rdio a curta distncia. O que antes foi criado apenas
para substituio de cabos, hoje se tornou uma alternativa inclusive para criar uma
pequena rede sem fio.
O Bluetooth praticamente substitui o infravermelho como tecnologia alternativa
de conexo de dispositivos, com a grande vantagem de no requerer visada e permitir
a conexo a at dez metros.
As principais vantagens dessa tecnologia esto relacionadas ao tamanho dos dispositivos, baixo custo, baixo consumo de energia e grande disponibilidade de interfaces para a mais ampla gama de dispositivos. Na Figura 3.1 observa-se a comparao do tamanho de uma interface Bluetooth com um palito de fsforo.

Figura 3.1 - Interface Bluetooth para dispositivos. Foto extrada do site www.bluetooth.com

A Tabela 3.1 apresenta um comparativo entre o uso da tecnologia Bluetooth e o


uso de cabos para interconectar dispositivos.
Caracterstica

Bluetooth

Conexo cabeada

Topologia

Suporte a at sete conexes simultneas

Cada conexo requer um novo cabo

Flexibilidade

Atravessa paredes

Sinal em linha

Velocidade

1 Mbps

Varia com a tecnologia usada

Potncia

0.1 watt de potncia ativa

0.05 watt de potncia ativa ou superior

Tamanho/peso

25 mm x 13 mm x 2 mm, alguns gramas

Peso varia com o tamanho do cabo

Custo

USD 5.00 por dispositivo

~ USD3-100/metro (depende do tipo de


cabo; alguns cabos HDMI podem custar mais
de USD 100.00)

Alcance
-------Universal

Dez metros ou mais at cem metros


--------Pode ser usado em qualquer parte do
mundo (ISM)

Tipicamente entre um e dois metros


--------Cabos precisam ser homologados por
regulaes locais dos pases

Segurana

Segurana na camada MAC

A segurana est no prprio cabo

Tabela 3.1 - Comparao entre o uso de Bluetooth e de cabos.

Criao
A tecnologia surge de um estudo da Ericsson Mobile Communications, em 1994,
para encontrar uma interface de baixo consumo e baixo custo para a comunicao
entre telefones e acessrios. O estudo chega concluso de que era factvel criar essas
interfaces para comunicao a curtas distncias. O prximo passo foi chamar outros
fabricantes de computadores pessoais, notebooks, cmeras, PDAs para participar do
projeto para que fosse possvel criar a conexo via rdio entre os dispositivos.

64

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Em 1998, a Ericsson cria um grupo especial chamado SIG (Special Interest Group),
do qual participavam importantes companhias como a Intel, IBM, Toshiba e Nokia
com o objetivo de testar e avanar no desenvolvimento dessa tecnologia. O objetivo
principal desse grupo era formar uma padronizao de fato entre os principais fabricantes de forma a criar uma interface de software aberta.
O nome Bluetooth nasceu de um rei viking dinamarqus conhecido como Harald
Blatand, ou em ingls Bluetooth. Esse rei, que viveu no sculo X, foi responsvel pela
unificao e controle da regio que hoje constitui a Dinamarca e a Noruega. Ele trouxe
o Cristianismo para a Escandinvia.
O SIG (Special Interest Group) possui mais de 1.400 companhias que desenvolvem
interfaces a seus dispositivos, segundo a especificao Bluetooth.
O Bluetooth comeou com o objetivo de substituir a conexo entre os celulares
e seus acessrios, porm ao longo do tempo a mesma tecnologia foi se adequando a
milhares de dispositivos que hoje utilizam essas tecnologias.
Apenas como exemplo, imagine que voc trabalha em um ambiente em que o
computador mvel, o telefone, as caixas de som, o teclado, o monitor estejam conectados via Bluetooth.
Esse ambiente oferece uma srie de vantagens. A CPU do desktop no precisa
mais estar prxima do teclado e do monitor. Ela pode utilizar o servio de dados do
celular via conexo Bluetooth para enviar correios eletrnicos, ou mesmo acessar a
Internet. Uma impressora Bluetooth pode tambm ser adicionada e utilizada para imprimir documentos. Tudo isso sem nenhuma conexo por cabo entre os dispositivos.

Frequncia de Operao
Por questes regulatrias, a Ericsson e o ISG optaram por usar uma faixa de frequncia baseada no ISM (Industrial Scientific and Medical), que so faixas liberadas
em todo o mundo. Desta maneira optou-se pelas faixas de frequncia entre 2.400 e
2.500 GHz, que oferecem a vantagem da no necessidade de regulamentao, entretanto esto sujeitas a fontes de interferncia de outros dispositivos que trabalham
nessa faixa, como telefones sem fio, micro-ondas, alm de sistemas de redes sem fio
(IEEE 802.11b/g/n).
Existem trs classes de dispositivos Bluetooth quanto potncia de transmisso:
1 mW: classe 3, com alcance de 10 metros.
2.5 mW: classe 2, com alcance de 20 metros.
0.1W: classe 1, com alcance at 100 metros.

Personal Area Networks

65

Os equipamentos componentes de uma rede Bluetooth criam entre si o que se


conhece como uma piconet. Em cada piconet podem coexistir at oito dispositivos.
A Figura 3.2 apresenta um comparativo entre alcance, potncia, velocidade do
Bluetooth em relao a outras tecnologias de redes sem fio 802.11.

Figura 3.2 - Alcance, velocidade e potncia do Bluetooth e Wireless LAN.

Profiles
Os profiles definem como cada aplicao e cada dispositivo deve se adequar
infraestrutura Bluetooth. No profile so definidas as mensagens e especificaes do
uso do rdio e dos servios Bluetooth pelo dispositivo. O profile serve como uma
interface mandatria entre o dispositivo e a infraestrutura de rdio e a comunicao
Bluetooth. Desta maneira o profile reduz a complexidade, criando uma interface
transparente e que permite a interoperabilidade de diferentes fabricantes.
Os primeiros profiles criados e os mais utilizados so:
GAP (Generic Access Profile): define como dois dispositivos dentro da rede
Bluetooth descobrem a si mesmos. Esse profile usado para criar na rede
Bluetooth um par, ou seja, uma comunicao ponto a ponto entre dois dispositivos. O GAP garante que o pareamento seja criado independente do fabricante da tecnologia, ou seja, garante a interoperabilidade.
Emulao de Porta Serial (Serial Port Profile): permite criarmos uma porta
serial virtual entre os dispositivos. como se houvesse a conexo de um cabo
serial entre os dois dispositivos na velocidade de at 128 Kbps.

66

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

SDAP (Service Discovery Application Profile): serve para que um dispositivo


consiga verificar os servios disponveis no dispositivo com o qual ele esteja
pareado, ou seja, os servios disponveis do dispositivo ao qual est se conectando.
GOEP (Generic Object Exchange Profile): define um conjunto de protocolos
e procedimentos usados para a troca de objetos entre os dispositivos.
Normalmente esse profile utilizado para a sincronizao entre os dispositivos, ou mesmo troca de arquivos entre eles. O GOEP depende de que uma
conexo j esteja pareada pelo GAP. Alm disso, depende do tipo de comunicao que a emulao de porta serial (Serial Port Profile) j tenha estabelecido.
Existem ainda profiles para alguns servios como:
Emulao de fax/modem
Suporte a TCP/IP atravs do protocolo PPP
Emulao de interface serial infravermelha (IrDA)
Telefone sem fio
Fax
Conexo discada
Acesso rede local
Transferncia de arquivos
Impresso bsica
Hands Free
Processamento de imagens
Distribuio de udio
Controle remoto udio/vdeo
Hardcopy

Principais Usos do Bluetooth


Ponto de Acesso Internet
Um telefone mvel com acesso rede 3G pode servir de ponte para que outros
dispositivos Bluetooth tenham acesso Internet.

Personal Area Networks

67

Transferncia de Arquivos
Essa aplicao muito utilizada para troca de vCard (cartes virtuais) e transferncia
de fotos e vdeos, por exemplo de uma cmera digital para uma impressora ou mesmo
para um notebook. Na Figura 3.3 observamos esse cenrio.

Figura 3.3 - Aplicao multimdia. Foto extrada do site www.blueunplugged.com

Acesso Rede
O Bluetooth pode ser utilizado como uma rede sem fio, respeitando sempre o
limite de velocidade de 2 Mbps entre os dispositivos. Para uma pequena rede cujos
computadores esto perto (menos de dez metros entre eles), a tecnologia Bluetooth
uma substituta direta de redes sem fio 802.11.
A Figura 3.4 exemplifica a utilizao do Bluetooth como um ponto de acesso
rede sem fio.

Figura 3.4 - Acesso rede usando access point Bluetooth. Foto extrada do site www.blueunplugged.com

68

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Sincronizao entre Dispositivos


Este um dos maiores usos do Bluetooth. Agendas de celulares, aplicaes como
o Microsoft Outlook no computador, lista de contatos e compromissos precisam cada
vez mais serem sincronizados. O Bluetooth facilita muito essa tarefa, disponibilizando
uma interface para que esse sincronismo ocorra de uma forma simples e facilitada.

Conexo de Headsets
Com a utilizao do Bluetooth para a conexo de acessrios do celular nasceu
a tecnologia. Hoje, devido necessidade de utilizao de celulares no trnsito
nas grandes cidades e principalmente preocupao com o nvel de emisso de
micro-ondas dos celulares, muitos usurios preferem se conectar ao celular usando
um Headset Bluetooth, que emite a baixa potncia e permite a comunicao sem
necessidade de portar o celular nas mos. Ele pode estar a uma distncia de at dez
metros.
A Figura 3.5 exemplifica algumas comunicaes que podem ocorrer na rede
Bluetooth.

Figura 3.5 - Comunicaes entre dispositivos no Bluetooth.

Spread Spectrum Frequency Hopping


O Bluetooth utiliza a tecnologia Spread Spectrum Frequency Hopping que extremamente eficiente para dispositivos de baixa potncia, baixo custo, e foi a base
para os sistemas de redes sem fio 802.11.

Personal Area Networks

69

No Frequency Hopping a banda de frequncia dividida em um nmero de canais


para salto (hop channel). Em uma transmisso um canal de salto, em uma frequncia
especfica, utilizado por uma frao de tempo de 650 microssegundos, em seguida
ocorre um salto para uma outra faixa de frequncia pseudoaleatria que transmite
novamente por 650 microssegundos e salta para uma nova faixa de frequncia.
Esse processo contnuo de saltos de frequncia traz alguns benefcios, entre eles
o sistema consegue detectar canais que apresentam alta taxa de interferncia (erros)
e excluir essas faixas dos saltos. Com isto dizemos que o Frequency Hopping uma
das tecnologias mais imunes a interferncias.

Tcnica de Modulao e Transmisso


A modulao Gaussian Shaped Binary FSK utilizada para reduzir a complexidade
das unidades Bluetooth.

Rede Bluetooth
A rede Bluetooth na maior parte das vezes ad hoc e a comunicao na piconet
ocorre utilizando o conceito mestre/escravo.
O alcance entre os dispositivos limitado pela baixa potncia com que trabalha
a rede Bluetooth. Em geral ela trabalha entre 1 e 100 mW de potncia, o que d um
alcance de at dez metros. O Bluetooth trabalha a taxas de transmisso de 1 a 2 Mbps,
porm as taxas efetivas no passam de 721 Kbps a 1.4 Mbps justamente devido a
todo o overhead de controle e tratamento de erros das camadas dos protocolos de
comunicao.
O Bluetooth permite conexes entre os dispositivos assncronas, sem sinal de clock
de sincronismo, conhecidas como ACL (Assynchronous Connection Less) e conexes
sncronas, em que um dos pares da comunicao gera um sinal de sincronismo que
vai ser utilizado pela conexo SCO (Synchronous Connection Oriented). As conexes
sncronas so primeiramente usadas para trfego de voz e garantem a banda de um
canal TDM de 64 Kbps. Cada piconet permite trs canais simultneos full duplex de
voz (64 Kbps).
J as conexes assncronas ACL so usadas para trfego de dados que no
to determinstico, e alm de tudo pode possuir assimetria e conexes ponto a
multiponto. Em um Bluetooth a 1 Mbps uma conexo ACL pode alcanar 721 Kbps em
uma direo e 57.6 Kbps na outra direo.

70

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

As mensagens trocadas na rede Bluetooth esto protegidas por um esquema


de confirmao de mensagens conhecido como ARQ (Automatic Retransmission
Query). Ele permite que em cada pacote recebido se verifique a existncia de erros
de transmisso. Quando o erro detectado, o esquema prov um mecanismo para
a retransmisso automtica do pacote com erro. Esse esquema s vlido para
transmisses de dados. A transmisso da voz, como est susceptvel a caractersticas
nicas dos sistemas de voz, como jitter, atraso, entre outros, no trabalha com
retransmisso.

Piconet e Scatternet
A rede Bluetooth dividida em mestres e escravos. Os mestres so responsveis
por requisitar servios dos escravos, e organizar e comandar a transmisso e recepo
de dados, j os escravos devem prover os servios e se comunicar apenas com os
mestres.
Quaisquer dois dispositivos conectados em uma rede Bluetooth no alcance de
dez metros se comunicam em uma infraestrutura de ad hoc e quando a conexo
estabelecida, uma piconet surge. Em uma piconet sempre vai surgir a figura de um
mestre na comunicao (master) e dos escravos (slaves) que so os outros dispositivos
que fazem parte da piconet. Vale lembrar o limite mximo de oito dispositivos do
Bluetooth.
No existem diferenas significativas no hardware do mestre e o do escravo.
Qualquer dispositivo pode ser um mestre. O que realmente ocorre que o dispositivo
que possui maior capacidade de processamento dentro da piconet elegvel para ser
o mestre na comunicao.
O papel do mestre de controlar todo o trfego de mensagens e informaes
dentro da piconet. O mestre controla a comunicao e realiza um polling entre todos
os dispositivos, perguntando se eles tm algum pacote para transmitir. A comunicao
sempre ocorre em um slot de tempo entre o mestre e os escravos. Um escravo
nunca comea uma comunicao sem que ela tenha sido solicitada pelo mestre. Esse
processo, em que toda a comunicao controlada e administrada pelo mestre, evita
que ocorram colises, uma vez que nunca haver dois escravos falando no mesmo
slot de tempo com o mestre.
Existem dois tipos de piconets:
Piconet simples: toda a conexo ponto a ponto e apenas um mestre controla
a comunicao. Nesta piconet existe apenas dois dispositivos, o mestre que
controla a comunicao e o escravo que obedece sequncia de hopping de
frequncia do mestre, que gera a sincronizao para a comunicao.

Personal Area Networks

71

A Figura 3.6 apresenta uma piconet simples.

Figura 3.6 - Piconet simples.

Piconet multiescravo: nesse tipo de piconet as conexes ocorrem ponto a


ponto e ponto multiponto. Existe apenas um mestre que controla todas as
transmisses dentro da piconet. Normalmente em uma rede multiescravo
existem de um a sete escravos ativos, os quais obedecem sequncia de
hopping do mestre. As estaes normalmente ficam em sleep mode para economizar energia.
A Figura 3.7 apresenta uma rede piconet multiescravo.

Figura 3.7 - Piconet multiescravo.

Estabelecimento de Conexes de Rede


Antes de se juntar a uma piconet, o dispositivo fica em um modo conhecido como
standby. Nesse modo o dispositivo fica dormindo e desperta a cada 1,28 segundo para
verificar se existe algum pedido de conexo.

72

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Aps a conexo a uma piconet, o processo de wake up e standby segue para que
haja reduo do consumo da bateria do dispositivo. Nesse processo, quando no
ocorre troca de dados entre o dispositivo e a piconet, o dispositivo fica no modo
standby em hold aguardando a conexo e com baixo consumo de energia.

Scatternet
Para otimizar o uso do Spectrum, algumas piconets podem coexistir na mesma
rea fsica, criando assim uma scatternet. Cada scatternet usa a mesma faixa de frequncia, porm cada piconet faz uso dos saltos de frequncia em canais distintos das
outras piconets. Como cada piconet tem um limite de 721 Kbps, taxas maiores em
um dispositivo como um celular podem ser alcanadas, criando mltiplas piconets.
O limite que uma scatternet pode possuir no mximo oito piconets. Na Figura 3.8
podemos observar a alternncia de frequncias entre duas piconets.

Figura 3.8 - Alternncia de frequncias do Frequency Hopping entre duas piconets no Bluetooth.

Existem ainda dois cenrios adicionais de topologia piconet/scatternet:


Um mestre em uma piconet pode ser escravo em outra, como observamos na
Figura 3.9.

Figura 3.9 - Um mestre de uma piconet pode ser escravo de uma segunda piconet.
Personal Area Networks

73

Um escravo em uma piconet pode tambm ser escravo em uma segunda


piconet, conforme a Figura 3.10.

Figura 3.10 - Um escravo pode fazer parte de duas piconets.

Segurana no Bluetooth
Como o Bluetooth substitui o cabo por um sistema baseado em rdio, a segurana
sempre um ponto a ser analisado. Embora os dispositivos emitam a baixa potncia
e, consequentemente, baixo alcance, temos de imaginar que a rede Bluetooth pode
estar sujeita a sniffing dos pacotes, ou mesmo o envio de uma mensagem falsa ao
sistema.
Para evitar ataques ou a captura das mensagens transmitidas no Bluetooth, foram
criados esquemas de autenticao dos dispositivos e criptografia dos dados. As duas
tcnicas em conjunto com o Frequence Hopping com o alcance limitado de dez metros
minimizam o evento de um ataque infraestrutura Bluetooth.
Quanto segurana, existem trs modos de operao do Bluetooth:
No seguro: nesse modo no ocorre processo de autenticao e criptografia.
Segurana de enlace: os procedimentos de segurana ocorrem na criao do
enlace (conexo) [criptografia & modos de autenticao].
Segurana de servio: existe uma camada de servio que controla quando a
sesso entre os dispositivos estabelecida.
Alguns ataques rede Bluetooth:
Bluesnarfing: esse ataque consiste em um hacker ganhar acesso a um dispositivo da rede Bluetooth com o propsito de coletar informaes incluindo
calendrio, contatos. Um hacker pode inclusive configurar a transferncia de
chamadas do dispositivo atacado para o seu celular. Para se proteger desses
ataques, importante desabilitar a autodeteco do dispositivo.

74

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Bluebugging: consiste em um hacker invadir o dispositivo e realizar aes


como derrubar uma chamada, realizar uma chamada e usar o dispositivo para
conectar a Internet. O Bluebugging explora uma vulnerabilidade no firmware
de alguns telefones antigos.
Bluejacking: trata-se de enviar um business card falso a um dispositivo com
o objetivo de explorar uma vulnerabilidade e buscar a lista de contatos do
dispositivo alvo.
Negao de servio: ataques de negao de servio podem ocorrer quando
um hacker usa um dispositivo Bluetooth para parear repetidamente com o dispositivo alvo. Como existe uma requisio constante, esses processos podem
cansar o processador do dispositivo alvo, derrubando os servios.
As transmisses do Bluetooth esto sujeitas interceptao, o que tambm
representa uma ameaa segurana da informao.

Bluetooth 2.0
O Bluetooth 2.0 uma tecnologia que ainda no est 100% padronizada e busca
aumentar a velocidade do Bluetooth para 4, 8 e 12 Mbps. Isso ser possvel substituindo
o Spread Spectrum Frequence Hopping por uma outra tecnologia no baseada em
saltos de frequncia. A camada MAC tambm ser completamente remodelada. Alm
disso, na piconet no haver mais o problema de a rede cair quando o mestre deixar
a rede.
O Bluetooth tem o seu nicho de mercado e no acredita-se que essa tecnologia
v avanar muito em termos de alcance e velocidade porque as tecnologias de redes
sem fio WiFi esto muito mais maduras nesse segmento.

ZigBee
ZigBee um padro definido pelo IEEE 802.15.4 para comunicao de rede sem
fio entre dispositivos inteligentes, fazendo parte do conjunto de especificao de
Wireless Personal Area Network. A ideia muito parecida com o Bluetooth, ou seja,
substituir cabos de rede e conexes entre dispositivos.
Ele se caracteriza por dispositivos que se conectam a baixas velocidades e que
consomem uma potncia muito baixa, aumentando a vida til da bateria.
No Bluetooth foi criada uma associao de fabricantes que trabalham juntos,
buscando solues de interoperabilidade, baixa potncia e baixo custo, de forma a
criar um padro mundial aberto. Os fabricantes da associao constroem chipsets

Personal Area Networks

75

para dispositivos ZigBee. Os principais membros so Philips, Motorola, Intel, HP. A


Figura 3.11 apresenta o logo do ZigBee Alliance.

Figura 3.11 - Logo do ZigBee Alliance.

O objetivo do ZigBee ser uma tecnologia embarcada em uma srie de dispositivos na linha de varejo, empresarial, industrial e governo, seguindo o conceito de
simplicidade, a baixo custo e baixa potncia.
O ZigBee trabalha na faixa de frequncia ISM nas bandas de 868 MHz na Europa,
915 MHz nos Estados Unidos e 2.4 GHz no resto do mundo. Exemplos de alguns dispositivos que comeam a incorporar essa tecnologia: sistemas de alarme, termostatos,
sistemas de controle remoto e vrias aplicaes para automao residencial.
Os chips ZigBee so embarcados em pequenos microcontroladores com 60 K e
256 K de memria flash. A gama de utilizao muito grande. Existem desde sensores
ssmicos at microrrobs que se comunicam na rede ZigBee. Uma caracterstica dessa
tecnologia o baixssimo consumo de bateria. Normalmente os dispositivos ficam
hibernando at receberem alguma solicitao de comunicao. Eles tm a capacidade
de despertar e iniciar uma comunicao em at 15 milissegundos. A Figura 3.12
apresenta uma placa ZigBee.

Figura 3.12 - Placa ZigBee. Foto extrada do site pantechshop.com.br

76

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

ZigBee uma nova tecnologia que busca a conexo de dispositivos a baixa


velocidade e com baixo consumo de bateria. Essa tecnologia ainda no tem sua
padronizao terminada e possui um nicho especfico de mercado que a comunicao
entre dispositivos inteligentes.
Algumas caractersticas da rede ZigBee:
Velocidade mxima de transmisso de 250 Kbps a 2.4 GHz, 40 Kbps a 915 MHz
e 20 Kbps a 868 MHz.
Baixa latncia e rpido tempo de resposta. Pode ser usado em dispositivos
crticos como alarmes.
Trabalha com CSMA/CA.
Possui espao de endereamento de 64 bits, o que permite at 65.535 dispositivos na mesma rede.
Alcance de 50 metros.
Controle e tratamento de erros.
Permite topologia estrela, ponto a ponto e full mash.

Resumo do Captulo 3
Este captulo destacou as tecnologias de Personal Area Network, e como enfoque principal
o Bluetooth. Foram mostrados detalhes da tecnologia, as vantagens quanto a substituies
de cabos, sua arquitetura, topologias, caractersticas e aplicaes. Complementando, fez-se
uma apresentao de novas tecnologias como o Bluetooth 2.0 e o ZigBee.

Personal Area Networks

77

Qual o alcance de um dispositivo Bluetooth Classe 3?


a. 300 metros
b. 120 metros
c. 10 metros
d. 100 metros

2.

A especificao do Bluetooth foi criada por quem?


a. IEEE
b. Ericson
c. 3Com
d. Bluetooth SIG

3.

Qual o nmero mximo de dispositivos em uma piconet?


a. 32
b. 8
c. 2
d. 3

4.

Vrias piconets interconectadas formam uma...


a. Rede local
b. WAN
c. Scatternet
d. Bridge

5.

Qual a tecnologia utilizada em redes Bluetooth?


a. Spread Spectrum Direct Sequence
b. Spread Spectrum Frequence Hopping
c. OFDM
d. TDM

6.

Qual a taxa mxima de transmisso do Bluetooth?


a. 256 Kbps
b. 64 Kbps
c. 2 Mbps
d. 768 Kbps

78

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Exerccios

1.

Exerccios

7.

Qual a faixa de frequncia do Bluetooth?


a. 900 MHz
b. 5 GHz
c. 2 GHz
d. 2.4 GHz

8.

Qual ataque dos seguintes ocorre devido a uma vulnerabilidade no


firmware de antigos telefones Bluetooth?
a. BlueSnarfing
b. Bluebugging
c. Bluejacking
d. DoS

9.

Qual a velocidade mxima de um dispositivo ZigBee?


a. 100 Kbps
b. 250 Kbps
c. 2 Mbps
d. 16 Kbps

10. O que ocorre em uma rede Bluetooth 1.0 quando o dispositivo mestre
desligado?
a. Outro dispositivo assume o papel de mestre.
b. Inicia-se um processo de coliso.
c. A rede cai e os dispositivos se desconectam.
d. Nada.
11. Qual destes no um profile no Bluetooth?
a. Transferncia de arquivos
b. Impresso bsica
c. Hands Free
d. EDI

Personal Area Networks

79

a. Redes sem fio 802.11a


b. Telefone celular
c. Redes sem fio 802.11g
d. Rdio FM
13. Qual a origem do nome Bluetooth?
a. Os componentes da placa so azuis.
b. um nome de origem americana.
c. Do rei Viking Harald Blatand.
d. Nome do frum de discusses.

80

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Exerccios

12. O que causa interferncia no Bluetooth?

Captulo 4

Projeto de
Redes sem Fio

ma das fases mais


importantes da implantao de uma rede sem
fio sem dvida o projeto. Existem
vrias etapas que devem ser cumpridas para
garantir que a rede sem fio atenda demanda requerida e fornea um nvel adequado de servio.
As principais fases do projeto so:
Avaliao;
Planejamento e desenho;
Implementao, operao e manuteno.

Avaliao
Na etapa de avaliao algumas premissas devem ser analisadas. A primeira delas
a viabilidade. Existem alguns cenrios em que no possvel a implementao de
redes sem fio. Alguns ambientes industriais com grandes fontes de rudo e interferncia (por exemplo, motores eltricos) podem tornar invivel a implantao de redes
sem fio.
Escritrios localizados em regies com alta densidade de redes sem fio j instaladas podem tambm representar um impeditivo. A rede sem fio normalmente
simples, mvel e fcil de instalar, entretanto interessante realizar um estudo dos
eventuais impeditivos antes de partir para o projeto.

Outro ponto importante o retorno do investimento. Como o preo dos dispositivos da rede sem fio reduziu bastante nos ltimos anos, normalmente ele se paga
muito rapidamente. importante frisar a grande economia da rede sem fio em comparao com a instalao de uma rede cabeada.
Performance outro ponto importante. Em uma rede sem fio nunca conseguiremos chegar ao mesmo nvel de performance da rede cabeada. A velocidade
mxima de uma rede sem fio 300Mbps com o IEEE 802.11n, entretanto a taxa
efetiva bem menor, por volta de 193Mbps. Isso impacta diretamente a conexo
de servidores em redes sem fio. bom lembrarmos tambm que o ar e a frequncia
so compartilhados. Assim sendo, quanto mais estaes a rede tiver, menor vai ser a
performance.
Qual o nvel de segurana que desejamos ter? Hoje no possvel falar de rede
sem fio sem segurana. Este livro foca bastante a questo de segurana justamente
por causa disso. Ela fundamental para garantir a privacidade dos dados na rede
sem fio. Implementar uma rede sem fio sem segurana convidar usurios no autorizados a usar a rede, ou mesmo permitir um acesso grtis de outros usurios
Internet.
Normalmente simples conseguir uma justificativa para a rede sem fio, principalmente devido eficincia, reduo do custo em mudanas, facilidade de implementao e, em muitos casos, por atender a situaes que o cabeamento tradicional
no atende.

Planejamento e Desenho
Esta uma das etapas principais do projeto. Com o planejamento definimos
exatamente com a rede sem fio vai ser implementada. O primeiro passo para o planejamento possuir uma planta baixa do escritrio ou do local onde vai ser implementada a rede sem fio.
Essa planta baixa serve para identificar os pontos onde sero instaladas as redes
sem fio. importante que j estejam identificados nessa planta os pontos onde passa
o cabeamento estruturado, pois nesses locais possvel conectarmos os access points.
A Figura 4.1 apresenta um exemplo de planta baixa.
De posse da planta, passamos para a segunda fase que uma visita ao local
onde ser instalada a rede. fundamental verificar a presena de barreiras na propagao de rede sem fio, como portas ou armrios de metal, paredes de concreto
muito grossas, vigas etc.
Na visita ao local inicia-se uma das atividades mais importantes, conhecida como
Site Survey.
82

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Figura 4.1 - Planta baixa do escritrio.

Site Survey
O Site Survey, ou simplesmente pesquisa do local, uma etapa fundamental para o
planejamento e a correta instalao da rede sem fio. Ele busca levantar dados do local,
principalmente identificar como a propagao e medir o nvel do sinal da rede sem fio,
a partir da colocao de um access point em um ponto fixo.
Existem duas maneiras de realizarmos
o Site Survey:
Econmico: com o uso de um notebook com o sofware open source
NetStumbler e um access point.
Profissional: usando um analisador
wireless e um emissor de sinal que
pode tambm ser um access point.
A Figura 4.2 mostra um analisador
de sinal do fabricante Fluke.
Figura 4.2 - Analisador Wireless Profissional Fluke.
Foto extrada de www.fluke.com

Projeto de Redes sem Fio

83

A tcnica de Site Survey consiste em colocar um access point em um ponto


central do escritrio e caminhar com um notebook onde o software Netstumbler est
instalado. No captulo sobre as principais ameaas s redes sem fio, esse software
apresentado em detalhes. Agora o objetivo determinar o nvel de intensidade do
sinal wireless.
Alm disso, importante observar a velocidade de conexo nos pontos. A rede
sem fio trabalha com o conceito de fall-back, ou seja, se o sinal no est na intensidade adequada no local, a rede automaticamente baixa a velocidade de transmisso.
Se estamos, por exemplo, trabalhando com uma rede IEEE 802.11g, interessante
que a rede disponibilize um sinal excelente ou timo em todo o escritrio, disponibilizando dessa maneira os 54Mbps. A Figura 4.3 apresenta o Netstumbler medindo o
nvel de intensidade do sinal em determinado ponto.

Figura 4.3 - NetStumbler medindo a intensidade do sinal.

Alm de medir o nvel de intensidade do sinal, o NetStumbler uma ferramenta


importantssima para identificarmos os canais que as redes vizinhas esto utilizando.
No Brasil h trs canais em que no existe nenhum tipo de sobreposio do sinal, so
eles 1, 6 e 11. muito importante fazer uma anlise desses canais e configurar a rede
no canal menos utilizado. A Figura 4.4 mostra o exemplo da tela do Netstumbler com
as redes identificadas no local (SSIDs) e os canais usados por elas.
Observa-se, pela leitura do NetStumbler, a configurao incorreta da rede sem
fio nesse local. Existem vrias redes usando canais sujeitos sobreposio, como os
canais 8 e 7.

84

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Figura 4.4 - NetStumbler, redes identificadas e canais utilizados.

Analisando o resultado do NetStumbler, percebemos que esse local possui uma


quantidade muito grande de rede. O canal 6 utilizado por 15 redes, o canal 1 utilizado por quatro redes e o canal 11 utilizado por nove redes. Avaliando essas informaes, percebemos que o canal menos utilizado o 1. Assim sendo, interessante
posicionarmos a rede no canal 1.
preciso ento caminhar por todo o escritrio e anotar em cada ponto o nvel
de intensidade do sinal e a velocidade de conexo. Para esses testes no necessrio
fazer nenhuma configurao especial no access point, nem ao menos conect-lo a
nenhuma rede. Na Figura 4.5 podemos observar essa atividade.

Figura 4.5 - O Site Survey.

Projeto de Redes sem Fio

85

A Figura 4.6 demonstra que o resultado de um Site Survey identificou muitas


reas de sombra.

Figura 4.6 - reas de sombra.

Nas reas de sombra o nvel do sinal inexistente ou muito baixo e no permite


obter o nvel de performance desejado. Existem duas solues para reas de sombra:
Mover o access point para outro ponto do andar e refazer a anlise (coletar
novamente os dados); ou
Definir outro ponto para a colocao de um segundo ou quantos access points
forem necessrios.
Observe na Figura 4.7 a soluo utilizada neste caso, que foi a adoo de mais
dois access points no local.

86

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Figura 4.7 - Implantao de mais dois access points para cobrir rea de sombra.

A Figura 4.8 apresenta o resultado do Site Survey. Neste caso foi utilizada uma
ferramenta do fabricante Cisco, a Cisco Wireless Control System (WCS).

Figura 4.8 - Exemplo do resultado de um Site Survey.

Projeto de Redes sem Fio

87

O Site Survey deve ser realizado em todos os locais onde se deseja posicionar
redes sem fio. Ele auxilia a definir o melhor local para disponibilizar os access points
da rede sem fio.
Existem outras tarefas que devem ser realizadas tambm no Site Survey. Uma das
principais identificar as fontes de interferncia, algumas relembradas a seguir:
Fornos de micro-ondas;
Telefones sem fio na mesma frequncia;
Alarmes de segurana na mesma frequncia;
Equipamentos Bluetooth;
Motores eltricos;
Outros equipamentos sem fio operando na mesma faixa de frequncia.
O magntron dos fornos de micro-ondas tem a frequncia central de funcionamento em 2450~2458MHz, que interfere diretamente nas redes 802.11b e 802.11g.
O magntron gera uma intensidade de sinal de 18dBm a trs metros de distncia.
Os fornos de micro-ondas conseguem corromper o sinal wireless e muitas vezes
causar indisponibilidade da rede enquanto do uso do forno. A soluo para a interferncia do forno de micro-ondas tentar utilizar canais diferentes, ou seja, fora
dessa faixa, talvez optar por uma soluo 802.11a que opera a 5GHz. Outra soluo
utilizar materiais que bloqueiam o RF em torno do forno.
Normalmente a soluo mais adotada mover o forno de micro-ondas para outro
local.
O Site Survey permite identificar as clulas necessrias e fornece como resultado
a quantidade de access points que preciso adquirir, como:
Antenas
Access points
Quantidade de cabos
Conectores
Amplificadores

88

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Antenas
A antena item fundamental para o bom funcionamento do sistema sem fio.
Vejamos a seguir alguns tipos:
Interna/Externa
Direcional/Omnidirecional
Na Figura 4.9 podemos observar os principais tipos de antenas direcionais.

Figura 4.9 - Antenas direcionais. Fonte www.oiwtech.com.br

J a Figura 4.10 exibe as antenas omnidirecionais.

Figura 4.10 - Antenas omnidirecionais. Fonte www.oiwtech.com.br

Projeto de Redes sem Fio

89

Conectores
No Site Survey definimos tambm os conectores a serem utilizados, como indica
a Figura 4.11.

Figura 4.11 - Conectores utilizados. Extrado de www.lucent.com

Cabo e Patch Cord


A Figura 4.12 apresenta o cabeamento empregado para a conexo das antenas.

Figura 4.12 - Cabeamento para conexo das antenas.

90

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Diversos
Na Figura 4.13 podemos observar componentes utilizados no projeto da rede
sem fio.

Figura 4.13 - Amplificadores de potncia e protetores de surto. Fotos extradas do site www.altelicon.com

Um ponto muito importante a ser levantado no Site Survey a quantidade de


estaes que precisam utilizar a rede sem fio. Existe um nmero emprico considerado
pelos projetistas de redes sem fio, que so 13 estaes ativas por access point, ou
seja, 13 estaes acessando ao mesmo tempo o access point. Aps esse nmero a
rede funciona, porm percebe-se mais constantemente a degradao do sinal.
Se esse nmero for atingido, o que pode ser feito para disponibilizar a rede
a mais usurios? Simplesmente fazer o que se conhece como OverLap, ou seja, na
mesma clula disponibilizar um outro access point com a mesma rea de cobertura,
porm trabalhando em um canal diferente. Isso praticamente dobra a capacidade de
cobertura, chegando a 26 mquinas no mesmo local.
Outro ponto que pode ser levantado na realizao do Site Survey a potncia
de transmisso. Se a rede pequena e as estaes esto relativamente prximas do
access point, interessante baixar a potncia do access point, o que pode evitar, por
exemplo, a deteco da rede a distncias maiores com o uso de antenas adaptadas.
Assim a rede fica menos susceptvel a um War Driving.
O Site Survey pode ser realizado tambm nos projetos de wireless bridging, cuja
ideia interconectar dois edifcios usando a tecnologia de redes sem fio. Para essa
aplicao, necessrio ter uma antena externa, o access point e muitas vezes um
amplificador que vai garantir que o sinal alcance distncias maiores, como algumas
dezenas de quilometros.
A Figura 4.14 mostra uma antena externa usada em wireless bridge.

Projeto de Redes sem Fio

91

J na Figura 4.15 podemos observar como montada a wireless bridge.

Figura 4.14 - Antena usada em


wireless bridge. Fonre www.jet.com.br

Figura 4.15 - Diagrama


do wireless bridge.

Um Site Survey para wireless bridge deve definir toda a infraestrutura necessria,
se existe visada entre as antenas, e novamente as eventuais fontes de interferncias.
Finalmente o Site Survey deve fazer as recomendaes de segurana conforme
a poltica estabelecida pela empresa. Normalmente as recomendaes seguem esta
linha:
APs devem ser plugadas em portas de switches, o que facilita o isolamento do
trfego em uma VLAN.
Esta VLAN dever estar conectada diretamente a uma DMZ de um firewall,
justamente para que seja possvel segregar o trfego, analisar e aplicar regras
de acesso para trfegos no desejados.
Deve ser habilitado o Log na AP por questes de auditoria e troubleshooting.
Incluir os mecanismos de autenticao, para que seja possvel controlar e
monitorar o uso da rede sem fio. O 802.1x pode inclusive ser utilizado em
conjunto.
Segmentar as redes em Vlans.
Filtrar trfegos no desejados.

92

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Implementao, Operao e Manuteno


A implementao deve seguir risca o que foi definido no Site Survey. Aps implementar a soluo, essencial realizar testes para verificar se ela segue o que foi
definido no Site Survey.
Os testes de sinal podem ser feitos da mesma maneira que o Site Survey. Alm
deles, deve-se realizar o teste de operao, que consiste em transferir dados pela rede
sem fio e verificar a perfomance. Testes de estresse podem ser realizados tambm,
fazendo com que mquinas transmitam grandes arquivos usando, por exemplo, FTP
(File Transfer Protocol). Nesses testes preciso medir e analisar dados como colises
e taxa efetiva de transmisso.
Caso ocorram problemas, interessante voltar um passo e redesenhar o Site
Survey, j pensando em alter-lo para tomar aes corretivas.
Os testes de perfomance devem cobrir as seguintes necessidades:
Verificao do overhead nos pacotes da rede sem fio e de como isso afeta
principalmente as aplicaes;
Quantidade de pacotes perdidos;
Validao da rea de cobertura;
Quantidade de usurios por clula;
Banda til por usurio.
Alm de analisar a performance, importante realizar uma avaliao de segurana
aps a implementao para verificar principalmente se a poltica de segurana foi introduzida corretamente. Nessa etapa podem ser contratados testes de invaso por
empresas terceiras, ou mesmo realizado um trabalho de anlise de risco.

Resumo do Captulo 4
O objetivo deste captulo foi apresentar as etapas de projeto de um sistema de redes sem
fio, incluindo as trs principais fases: avaliao; planejamento e desenho; implementao,
operao e manuteno. Explanou o Site Survey, principal atividade em um projeto de rede
sem fio com qualidade, sendo indispensvel. A maior parte dos problemas encontrados em
redes sem fio est diretamente relacionada a implementaes plug and play, em que o Site
Survey simplesmente desconsiderado.

Projeto de Redes sem Fio

93

Qual ferramenta baseada em software livre foi usada para fazer o Site
Survey?
a. Netbump
b. Fluke
c. NetStumbler
d. Netcat

2.

Qual a quantidade emprica mxima desejvel de mquinas conectadas


a um nico access point?
a. 1
b. 10
c. 5
d. 13

3.

Que canais devem ser utilizados no projeto de rede sem fio?


a. 17, 1, 7
b. 2, 7, 12
c. 1, 6, 11
d. 2, 3, 4

4.

Cite o dispositivo que deve ser usado para filtrar o trfego da rede sem
fio para a rede corporativa.
a. Lista de acesso no switch
b. IDS
c. Firewall
d. Roteador tradicional

5.

Qual o problema ligado ao forno de micro-ondas?


a. Consome muita potncia.
b. Interfere na frequncia da rede 802.11A e derruba a rede sem fio.
c. Interfere na frequncia de 2.4 GHz e derruba a rede sem fio.
d. Bloqueia a propagao de ondas eletromagnticas.

94

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Exerccios

1.

Exerccios

6.

Qual o objetivo do wireless bridging?


a. Fazer a interconexo de prdios usando laser.
b. Interconectar prdios prximos (50 metros).
c. Interconectar prdios que podem estar a alguns quilmetros de distncia.
d. Exige licena.

7.

O que pode ser feito para minimizar o efeito da rea de sombra?


a. Mudar o material da construo.
b. Remover paredes.
c. No usar portas de metal.
d. Adicionar alguns access points a mais.

8.

Quais os tipos de antenas existentes?


a. Direcionais e no direcionais
b. Yagui e Omni
c. Orbital e satelital
d. Interna e externa

9.

Qual o objetivo do protetor de surto?


a. Proteger contra picos de energia.
b. Proteger contra descargas atmosfricas.
c. Aumentar a potncia do sinal.
d. Eliminar interferncias.

10. O que pode causar interferncia na rede sem fio?


a. gua
b. Televiso
c. Telefone sem fio 900 MHz
d. Chuveiro

Projeto de Redes sem Fio

95

Anotaes
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
96

Captulo 5
Fundamentos
de Segurana

Definies de Segurana

nicialmente, vamos verificar algumas definies do termo segurana:

Segurana. S. f. 2. Estado, qualidade ou condio de


seguro. 3. Condio daquele ou daquilo em que se pode
confiar. 4. Certeza, firmeza, convico. [Aurlio]
Um sistema seguro se ele se comporta da forma como voc espera
que ele o faa.
Um computador seguro se voc pode depender dele e o software possui o
comportamento que voc espera.
Segurana em computadores uma srie de solues tcnicas para problemas
no tcnicos. [Garfinkel e Spafford]
Segurana de computadores prevenir ataques com objetivos definidos
atravs de acessos no autorizados ou usos no autorizados de computadores
e redes. [John Howard]
O propsito da segurana da informao garantir continuidade do negcio e
minimizar o dano causado, prevenindo e minimizando o impacto de incidentes
de segurana. (...) Existem trs componentes bsicos: confidencialidade, integridade e disponibilidade. [BS 7799: 1995, British Standards Institute]

Por Que Segurana?


Segundo o CERT.br, a quantidade de incidentes reportados em 2009 foi de
358.343 contra 222.528 do ano de 2008, ou seja, houve um aumento de 62%. Na
Figura 5.1 podemos acompanhar a evoluo dessas ameaas ao longo dos anos, a
qual demonstra que as ameaas relacionadas a problemas de segurana esto a cada
dia mais presentes.
Pelo grfico podemos observar que as taxas de crescimento aumentam de um
ano para outro. Se compararmos 2008 com 2007, o crescimento foi de 38%; menor,
portanto, do que o observado de 2008 para 2009.

Figura 5.1 - Incidentes reportados. Extrado do site www.cert.br

Quanto aos tipos de ataque, o grfico da Figura 5.2, de abril a junho de 2010,
mostra que existe um crescimento contnuo de fraudes na rede e dos ataques de
reconhecimento, que buscam antes coletar informaes sobre os computadores alvo.
Os ataques direcionados especificamente a servidores Web e de negao de
servios DoS tm se mantido praticamente estacionados com pequeno crescimento.

98

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Figura 5.2 - Incidentes reportados de abril a junho de 2010. Figura extrada do site www.cert.br

Legenda
DoS (DoS - Denial of Service): ataques de Negao de Servio. So realizados
por um conjunto de computadores contra uma rede com o objetivo de tornar
indisponvel o servio oferecido por aquela rede.
Invaso: uma tentativa de acesso indevida bem-sucedida. Normalmente ocorre
uma invaso quando o hacker consegue alcanar seus objetivos.
Web: ataques direcionados a alguma aplicao Web, ou que tentam fraudar
usurios com pginas falsas e infectadas.
Scan: tcnica na qual o hacker busca identificar computadores e aplicaes
disponibilizadas por eles. A ideia do scanning identificar alvos e servios
vulnerveis que podem ser explorados.
Fraude: agir de m-f com o objetivo de tirar vantagem de uma vtima.
Outros: outros tipos de notificaes.

Fundamentos de Segurana

99

A Figura 5.3 ilustra os principais incidentes reportados. Mais da metade consiste


em ataques de reconhecimento (Scans) seguidos por fraudes que crescem a cada dia
no Brasil, por infestaes de worms. Neste caso, a ltima ameaa de alta severidade
que tivemos no Brasil foi o Conficker, dentro desse percentual de worms. Outros
ataques, como Web, invases e DoS, tm um percentual menor.

Figura 5.3 - Incidentes reportados. Figura extrada do site www.cert.br

Legenda
Worm: cdigo malicioso que tem a capacidade de se autoduplicar e que se
propaga de forma automtica e muito rapidamente pela rede.
A Figura 5.4 mostra as principais fraudes detectadas no Brasil. Em primeiro lugar
esto os cavalos de Troia, muito utilizados para desfechar fraudes financeiras, em
seguida as pginas falsas utilizadas para coletar informaes dos usurios, como
senhas.

Figura 5.4 - Principais fraudes detectadas no Brasil. Figura extrada do site www.cert.br

Legenda:
Cavalos de Troia: um aplicativo que parece ser legtimo e trazer algum tipo
de benefcio, mas na verdade esconde um cdigo malicioso que pode ser utilizado em fraudes financeiras.
100

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Pginas falsas: pginas fraudulentas que se passam por servios legtimos.


Direitos autorais: notificaes de eventuais violaes de direitos autorais.
Outras: outras tentativas de fraude.
O ltimo grfico da pesquisa, Figura 5.5, bem interessante e demonstra que a
grande maioria dos incidentes reportados tem como origem o prprio Brasil, seguido
por Estados Unidos e China.

Figura 5.5 - Incidentes reportados, principais origens.

As estatsticas dos incidentes do CERT.BR demonstram que as ameaas de segurana esto a cada dia mais presentes e que as corporaes precisam se conscientizar desse aumento.

Hackers e Crackers: O que So e quantos Existem?


Hacker uma pessoa interessada em obter informaes confidenciais de sistemas,
computadores e redes em particular.
Cracker uma pessoa que quebra um sistema de segurana com o objetivo de
roubar ou destruir informaes.
Apenas nos Estados Unidos e no Canad 200 milhes de pessoas acessam a
Internet. Desse nmero 10% j demonstrou algum interesse em realizar hacking,
10% j usou alguma vez uma ferramenta para hacking, outros 10% j desenvolveram
alguma ferramenta para hackers e apenas 1% ou 20.000 hackers so talentosos.

Fundamentos de Segurana

101

Examinando esses nmeros, fica evidente que no existe apenas um grande


nmero de pessoas envolvidas em crimes de computadores, mas um grupo significativo
capaz de criar organizaes voltadas a esse tipo de crime.

Modelo de Referncia de Segurana


Esse modelo foi criado para definir uma arquitetura de rede confivel e que implemente uma poltica de segurana. O termo poltica de segurana consiste em
uma srie de regras, procedimentos, autorizaes e negaes que garantem a manuteno da segurana e da confiabilidade da rede.
Um modelo de referncia de segurana constitudo pelos seguintes componentes:
Equipamentos de rede (roteadores, servidores de comunicao, switches de
rede local, gateways etc.);
Sistemas de autenticao (biomtricos, assinatura digital e certificao digital);
Sistemas de segurana (criptografia, PKI e firewalls);
Sistemas de auditoria;
Informaes e mensagens trocadas no sistema de cunho reservado, confidencial, restrito ou livre para divulgao.
Para a definio do nvel de segurana em um sistema de computao, necessrio conhecermos os servios de segurana que o sistema implementa.
Os principais servios de segurana so:
Integridade;
Autenticidade;
Confidencialidade;
No repdio;
Disponibilidade;
Controle de acesso;
Auditoria.

Integridade
A integridade consiste na garantia de que a informao permaneceu ntegra, o
que significa dizer que ela no sofreu nenhuma espcie de modificao durante a sua
transmisso ou armazenamento, sem a autorizao do autor da mensagem.

102

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Por exemplo, quando realizamos uma transao bancria pela Internet, devemos
garantir que os dados da transao cheguem ntegros at o destino (o banco). Se
fizermos uma transferncia de R$ 200,00 e por algum motivo ilcito a mensagem
perder a integridade, o responsvel pela ao pode alterar tanto a conta de crdito
como colocar um zero a mais, e uma transao de R$ 200,00 pode se transformar
em R$ 2.000,00. Portanto, em aplicaes bancrias, a integridade das informaes
essencial.
A integridade est relacionada com a proteo da informao para que os dados
no sejam intencionalmente ou acidentalmente alterados sem a devida autorizao
(controle de fraude).
O objetivo da garantia de integridade dos dados prevenir a existncia de fraude
ou erros de processamento. Nenhum usurio deve ter a possibilidade de alterar os
dados de forma a corromp-los ou causar perda financeira, tornando a informao
no confivel.
A integridade fundamental e crtica em alguns sistemas, como:
Sistemas de controle de trfego areo;
Sistemas financeiros em geral;
Comrcio eletrnico;
Sistemas de infraestrutura bsica, como fornecimento de energia eltrica,
gua e gs.

Ameaas Integridade
A integridade pode ser comprometida por hackers, usurios no autorizados,
programas maliciosos como Trojan e vrus, ou qualquer ao que implique alterao
dos dados ou programas.
Existem trs controles de segurana principais para garantir a integridade no
processo:
Rotation of Duties, ou simplesmente troca de equipe. A troca constante de
pessoas em cargos chave pode ser uma forma de evitar a fraude em sistemas
ou nos dados, alm de trazer uma srie de vantagens, pois contando com uma
equipe de backup, a perda de um profissional pode ser rapidamente resolvida
com sua substituio.
Need to Know, o que os usurios precisam saber. Esse conceito vem da rea
militar e amplamente utilizado hoje nas corporaes. Diz que o usurio deve
ter acesso apenas aos dados ou programas que ele necessita executar para o

Fundamentos de Segurana

103

seu trabalho, garantindo a integridade. Os controles de acesso aos sistemas


devem ser rgidos para a garantia de integridade.
Separation of Duties, ou simplesmente diviso de responsabilidade. Consiste
em garantir que do incio ao final de um processo duas ou mais pessoas
tenham o controle ou responsabilidade dele, impedindo que todo o controle
esteja na mo de uma nica pessoa.

Funes de Hashing
O hashing a tcnica mais utilizada para verificao e garantia de integridade
dos dados. o resultado de uma funo matemtica, gerado pelo clculo dos dados
que esto sendo armazenados ou transmitidos no meio de comunicao. Quando
ocorre uma transmisso, a mensagem processada na origem, calcula-se o hashing
e em seguida envia-se o hashing junto com a mensagem. Quando a mensagem chega
ao destino, refaz-se o clculo e compara-se o novo hashing calculado com o que
foi recebido. Se houver alterao no valor, houve alterao da mensagem. O mesmo
processo pode ser realizado com as mensagens armazenadas; calcula-se o hashing
original, armazena-se junto com a mensagem e quando a mensagem for consultada, o
hashing novamente recalculado e comparado com o hashing original.
Caractersticas do hashing
A entrada da funo de hashing pode ser de qualquer tamanho para clculo;
O hash sempre tem um tamanho fixo;
As funes de hashing devem ser fceis de computar;
O hash unidirecional e impossvel de inverter;
O hash livre de coliso, ou seja, dois textos no podem possuir o mesmo
hash.
Os principais algoritmos de hashing so:
SHA-1 (Secure Hash Algorith): calculado sobre uma mensagem de qualquer
tamanho, gera um digest (resultado) de 512 bits. O SHA-1 utilizado em
conjunto com os algoritmos criptogrficos apresentados no captulo 5: DES
(Data Encryption Standard), Triple DES e AES (Advanced Encryption Standard).
MD5: criado em 1991 por Rivest da RSA, processa a entrada em blocos de
mensagens de 512 bits e gera digest (hash) de 128 bits. O MD5 est sujeito a
colises.
Os hashing assinados, conhecidos como H-MAC, so tratados no captulo 6.

104

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Confidencialidade
O princpio da confidencialidade proteger a informao em sistemas, recursos e
processos para que eles no sejam acessados por pessoas no autorizadas.
A informao no pode ser disponibilizada a quem no tenha a devida autorizao para acess-la. A confidencialidade tambm um mecanismo que garante a
privacidade dos dados.
Alguns aspectos importantes da confidencialidade so a identificao, a autenticao e a autorizao.

Ameaas Confidencialidade
Hackers: eles podem tentar descobrir senhas de usurios autorizados com
a finalidade de comprometer a confidencialidade, tornando pblica uma informao sigilosa. Os hackers podem ainda criar portas de acesso (backdoor)
que permitam a usurios no autorizados acessar os sistemas e as informaes.
Atividade no autorizada: ocorre quando usurios no autorizados tm
acesso aos sistemas e comprometem arquivos confidenciais.
Downloads no autorizados: quando informaes confidenciais so movidas
de lugares seguros para ambientes onde no possvel garantir a confidencialidade.
Redes: os dados confidenciais que passam por uma rede devem ser criptografados de forma a evitar que a confidencialidade seja comprometida pela
interceptao ou captura de trfego. Redes sem fio que no tm proteo
esto sujeitas a esse tipo de ao.
Vrus e Trojans: esses cdigos maliciosos instalados em sistemas podem atuar
buscando informaes confidenciais, copiando-as para uma entidade externa
ao sistema, como a mquina de um hacker.
Engenharia social: um processo de ataque que no faz uso de tecnologia, e
sim do fator humano. O hacker se faz passar por uma pessoa confivel e simplesmente tenta obter a informao do usurio, como senhas.
A confidencialidade pode ser obtida criptografando os dados armazenados e
transmitidos, restringindo o acesso, classificando os dados e criando procedimentos
de segurana.

Fundamentos de Segurana

105

Identificao
o mtodo usado para que um usurio, programa ou processo disponibilize ao
sistema sua identidade.
A identificao pr-requisito para o processo de autenticao.

Autenticao
Aps prover a identidade ao sistema, o usurio deve fornecer uma senha, frase
secreta, certificado, PIN ou algo que ele possua para garantir que mesmo autntico.
A autenticidade consiste em mecanismos nos quais verificamos se a mensagem
mesmo de quem diz ser o remetente, pois nunca se sabe quem est conectado rede.
Existem trs mecanismos para garantir a autenticidade de um usurio:
O que o usurio conhece: normalmente uma senha.
O que o usurio possui: um carto, token, uma chave criptogrfica ou certificado.
O que o usurio : para isso ele fornece uma caracterstica biomtrica nica,
como impresso digital, ris ou geometria das mos.

Autorizao
Este ltimo processo ocorre aps a autenticao. Uma vez que as credenciais
foram propriamente verificadas e validadas, o sistema deve verificar os privilgios,
segundo uma matriz de acesso, e autorizar o acesso obedecendo aos princpios de
need to know, ou seja, os usurios devem acessar apenas os sistemas autorizados.
As solues de gerenciamento de identidade so usadas para verificar a identidade, autenticar e autorizar o acesso.
IDENTIFICAO AUTENTICAO AUTORIZAO

Disponibilidade
A disponibilidade a garantia de que o sistema vai estar sempre acessvel quando
o usurio precisar.

106

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Ameaas Disponibilidade
As ameaas disponibilidade esto relacionadas a ataques de negao de servio
DoS e perdas resultantes de desastres naturais, como fogo, enchente, terremotos, ou
aes humanas.
Os ataques de negao de servio derrubam servidores, deixando os servios indisponveis. Existem vrios mtodos desses ataques, porm a maioria busca extenuar
os recursos de rede com uma quantidade de conexes muito acima do que o sistema
pode suportar, sobrecarregando assim os links de comunicao e os recursos.
Os ataques de negao de servios distribudos so causados por mquinas zumbis
contaminadas na Internet. So como soldados que agem conforme o comando dos
hackers, desfechando milhares de conexes s mquinas alvo e, consequentemente,
derrubando os servios.
O sistema e a rede devem ser capazes de prover um nvel aceitvel de performance. Em geral, para aumentar a disponibilidade de um sistema, utilizamos equipamentos, aplicativos e servidores redundantes, e no caso de falha do principal, um
sistema backup pode atuar.

No Repdio
O no repdio um servio de segurana que possui tcnicas e mtodos para
que o remetente da mensagem no possa negar no futuro o envio da mensagem.
Esse servio tambm utilizado pelos sistemas de Internet Banking. Prov
mecanismos para que os usurios no possam negar a autoria a posteriori de uma
operao realizada com sucesso anteriormente.

Auditoria
A auditoria um importantssimo servio de rede. Com ela possvel a criao de
registros, os chamados logs, nos quais as aes ocorridas na rede ficam registradas,
podendo ser auditadas no futuro para verificao de irregularidades.
Consiste na capacidade de verificao das atividades do sistema e na determinao
do que foi feito, por quem, quando e o que foi afetado. A auditoria aplica-se no apenas
verificao de atividades de usurios no autorizados, mas tambm dos usurios autorizados (que podem cometer erros ou executar aes maliciosas no sistema).
Em aplicaes crticas, o nvel de detalhe nos registros de auditoria pode ser suficiente a ponto de permitir desfazer operaes para ajudar a trazer o sistema a um
estado correto de operao.
Fundamentos de Segurana

107

Embora de uma forma geral todos os servios de segurana sejam importantes, diferentes organizaes tero vises desiguais sobre quanto cada servio importante.
No ambiente bancrio, por exemplo, integridade e auditoria so usualmente as
preocupaes mais crticas, enquanto confidencialidade e disponibilidade vm
a seguir em importncia. Em uma universidade, a integridade e a disponibilidade
podem ser os requisitos essenciais.

Plano de Segurana
Para definirmos um plano de segurana para uma organizao, necessrio inicialmente uma anlise dos riscos aos quais a organizao est sujeita.
Aps o levantamento dos riscos, deve ser tomada uma deciso gerencial na organizao sobre as aes a serem tomadas; se o risco ser ignorado, aceito, minimizado
ou se simplesmente a corporao vai decidir passar pelo risco.
Quando analisamos os riscos e as aes que devem ser tomadas, devemos levar em
conta no apenas possveis perdas tangveis, como sistemas, computadores, unidades
de armazenamento etc., mas tambm os riscos intangveis, como a reputao e a
imagem da empresa no mercado.
Por exemplo, a divulgao de uma falha de segurana pela imprensa em um site
de comrcio eletrnico muito mais prejudicial do que a perda de um sistema ou
mesmo servidor, pois ataca diretamente a credibilidade do site e os clientes tendem a
ficar inseguros e receosos em realizar compras por ele, ou seja, o risco para a imagem
da organizao intangvel, mas gera um prejuzo muito maior para a empresa do
que os sistemas afetados.
Hoje, pela legislao americana de transaes eletrnicas, uma das mais avanadas
do mundo, a empresa responsvel pelo site pode ser processada caso no tenha
tomado as devidas medidas de precauo e o site tenha sido atacado, resultando no
roubo de informaes de cadastro dos clientes, como o nmero de carto de crdito,
por exemplo.

Anlise e Gerenciamento de Riscos


O gerenciamento e a anlise de riscos envolvem identificar perdas e impactos
causados pelo comprometimento da confidencialidade das informaes ou por roubo
das informaes restritas empresa. Os riscos quanto s informaes podem estar
relacionados distribuio de dados de importncia crtica para a empresa e perda
de integridade das informaes.

108

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Quando uma organizao trabalha com uma infraestrutura de Internet, ela deve
tomar uma deciso de como os riscos devem ser tratados. praticamente impossvel eliminarmos todos os riscos pelos quais uma organizao pode passar, mas devemos possuir
uma estratgia para minimiz-los ou mesmo ter um plano de respostas a incidentes.
O princpio bsico de gerenciamento de riscos : no podemos proteger algo
que no conhecemos. Com o conhecimento dos riscos envolvidos possvel planejar
as polticas e tcnicas a serem implementadas para a sua reduo. Por exemplo, se disponibilidade importante, e existe o risco de o sistema ficar fora do ar devido a uma
queda de energia, ento o risco pode ser reduzido com a utilizao de um sistema
ininterrupto de fora.
O processo de avaliao e tomada de decises que permite a identificao e a
quantificao dos riscos envolvidos em um sistema chamado de anlise de risco. O
nvel de risco no qual uma organizao aceita operar denominado risco aceitvel. A
anlise de risco deve ser feita considerando vrios aspectos, como bens envolvidos,
ameaas e vulnerabilidades.
Ela pode ser bem especfica, detalhando, como exemplo:
O controle dos usurios e o nvel de autenticao na rede.
Os sistemas e servios de criptografia necessrios.
Se existe segurana fsica na empresa e no data center.
A identificao dos sistemas de misso crtica.
O cumprimento de normas de segurana da informao, como a ISO 1.7799.
A importncia e o nvel de sensibilidade das informaes.
A anlise dos riscos relativos a sistemas de comunicao.
Os aspectos de contingncia.
Inclui ainda aspectos administrativos, como justificar os gastos de segurana
direo da empresa, ou mesmo demonstrar, quando solicitado, que o nvel de proteo
da empresa adequado s ameaas que ela enfrenta.
Durante o processo de avaliao dos riscos, devem ser feitos levantamentos a
respeito dos bens que precisam ser protegidos. Os itens listados devem incluir os bens
tangveis da empresa, como informaes, discos, equipamentos de rede, impressoras
e patrimnios, e os bens intangveis, como imagem pblica, reputao, habilidade
de desenvolvimento da atividade, indo desde pessoas aos equipamentos fsicos e s
informaes mantidas no sistema.
Aceitar um risco pode ser muito perigoso. A perda das informaes, o down time
de uma rede, e o custo para recuperao de uma informao podem reduzir sensiFundamentos de Segurana

109

velmente a produtividade e a reputao da empresa perante o mercado. A perda da


imagem da empresa muitas vezes intangvel e afeta diretamente a relao de fidelidade entre os consumidores e ela.
A minimizao do risco inclui atitudes que podem ser tomadas para evitar ou
reduzir o efeito do incidente causado pelo risco. Em geral envolve em uma corporao o gerenciamento, o monitoramento e o plano de resposta. Sempre possvel
minimizar riscos, mas nunca livrar-se deles. Existem riscos com menor probabilidade
de ocorrncia, mas no impossveis, como furaces, terremotos ou mesmo o choque
de um avio contra a empresa.
Evitar um risco muito complexo. Como j citamos, em boa parte das vezes
conseguimos minimizar o efeito do risco, mas no nos livrarmos dele.
Transferir o risco uma estratgia que muitas empresas vm adotando. Elas terceirizam as aes de segurana contratando uma empresa especializada. Fecham um
contrato detalhado de garantia de segurana, a qual deve ser mantida pela empresa
contratada.
O gerenciamento do risco envolve uma srie de atividades de levantamento,
anlise e reviso contnua dos processos, aspectos humanos, principalmente relacionados aos sistemas e ao nvel de segurana desejvel.
Existem basicamente duas formas de realizar a anlise de riscos:
Anlise quantitativa
Anlise qualitativa

Anlise Quantitativa
Ela est diretamente relacionada com a questo financeira e a estimativa de
custos e valores ligados ameaa e proteo.
A anlise quantitativa tambm est intimamente ligada medio do custo da
perda, mesmo que na maioria das vezes seja um processo complexo. Esse custo
difcil de ser levantado, pois muitas vezes incorpora valores intangveis. Como em
geral o tempo para levantar esses custos amplo, quando os valores so finalmente
calculados, no so mais vlidos, pois o ambiente operacional da empresa j mudou.
Outro ponto de difcil abordagem na anlise quantitativa calcular a probabilidade
de que os eventos ou ameaas ocorram, principalmente porque em boa parte dos
casos trabalhamos com nmeros e percentuais inferiores a 1%.

110

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

As etapas detalhadas do processo de anlise de risco so:


Identificar as ameaas que possam afetar operaes crticas e os bens tangveis e intangveis da organizao, como hackers, criminosos, terroristas,
ameaas naturais etc.
Estimar a probabilidade de um evento ocorrer com base no histrico das informaes e julgamentos individuais.
Identificar e classificar o valor, o nvel de sensibilidade e a criticalidade das
operaes e as potenciais perdas ou danos que podem ocorrer se a ameaa se
realizar, incluindo ainda os custos de recuperao.
Identificar aes baseadas em anlise de custo x benefcio na conduo da
reduo do risco. Essas aes podem incluir a implementao de novas polticas organizacionais e procedimentos, assim como maiores controles
tcnicos e fsicos.
Os resultados devem ser documentados e a partir desse momento preciso
criar um plano de ao.

Anlise Qualitativa
a tcnica mais usada na anlise de risco. Nesse tipo de anlise, dados
probabilsticos no so analisados, e sim apenas uma estimativa da perda utilizada.
A maior parte das abordagens de anlise de risco trabalha com esse mtodo.
Esse tipo de abordagem trabalha com ameaas, vulnerabilidades e mecanismos
de controle.

As ameaas
As ameaas so os principais e provveis perigos a que uma empresa est sujeita.
Podem englobar:
Ameaas intencionais: so as que viram notcia de jornal e nas quais os
produtos de segurana podem atuar melhor. Essas ameaas podem surgir
de dois tipos de agentes: internos ou externos. Agentes externos podem ter
acesso a um sistema de vrias formas, como arrombamento, falsificao de
documentos de identificao, atravs de modems ou conexes de rede ou
ainda suborno ou coao de pessoal interno. Apesar de o foco dos produtos
de segurana normalmente ser o agente externo, a maior parte dos problemas
de segurana provocada por agentes internos. Os principais agentes causadores de ameaas intencionais so:

Fundamentos de Segurana

111

Espio industrial: algum contratado para roubar uma informao da


empresa e, como consequncia, causar algum dano.
Criminoso profissional: interessado num ganho financeiro com o uso de
uma informao. Para isso pode usar tcnicas de chantagem.
Hacker: especialista em computao que usa seu conhecimento para
invadir sistemas e fraudar dados.
Funcionrio mal-intencionado: geralmente este um dos maiores perigos.
Trata-se do funcionrio que tenta internamente roubar informaes da
empresa.
Ameaas relacionadas aos equipamentos: um equipamento pode apresentar
falhas de hardware ou mesmo de software, as quais podem ocorrer por defeitos no equipamento ou mesmo por bugs de software. preciso ter cuidado
para que pessoas de m-f no induzam falhas aos sistemas.
Ameaas relativas a um evento natural: nesse grupo todos os equipamentos
ou instalaes fsicas de uma organizao podem estar sujeitos a ameaas:
fogo, inundaes, quedas de energia. Normalmente difcil evitar a ocorrncia
de tais eventos, no entanto eles podem ser facilmente detectados. Pode-se minimizar as chances de o estrago ser severo e tambm fazer um planejamento
para a recuperao aps a ocorrncia de um desastre de ordem natural.
Ameaas no intencionais: so os perigos trazidos pela ignorncia. Por
exemplo, um usurio ou administrador de sistema que no tenha sido
treinado adequadamente, que no tenha lido a documentao ou que no
tenha entendido a importncia do cumprimento das regras de segurana estabelecidas. Boa parte dos danos causados no sistema surge sem inteno e
no por aes maliciosas.

Vulnerabilidades
A vulnerabilidade um ponto no qual o sistema suscetvel a ataque. Por
exemplo: as pessoas que operam e usam o sistema foram treinadas adequadamente?
Na conexo do sistema Internet, as comunicaes so criptografadas? Se o prdio
est em uma rea sujeita a inundaes, o sistema est no piso trreo?
Ameaa uma inteno concreta de explorao das vulnerabilidades em um
sistema.
O processo de identificao das vulnerabilidades do sistema e das ameaas existentes recorrente? Dadas as ameaas, onde esto as vulnerabilidades do sistema?
Dadas as vulnerabilidades, que ameaas podem surgir? Mesmo que as ameaas
paream insignificantes, todas as possveis vulnerabilidades devem ser identificadas.
Ameaas irrelevantes podem tornar-se relevantes e outras podem surgir.
112

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

As vulnerabilidades de um sistema podem ser categorizadas em:


Fsicas: os prdios e salas onde o sistema mantido so vulnerveis, podendo
ser invadidos, por exemplo, por arrombamento.
Naturais: computadores so extremamente vulnerveis a desastres de ordem
natural e s ameaas ambientais. Desastres como fogo, inundao, terremoto
e perda de energia podem danificar computadores ou destruir dados. Poeira,
umidade ou condies de temperatura inadequadas tambm podem causar
estragos.
Hardware e software: falhas de hardware e de software podem comprometer
toda a segurana de um sistema. A falha de um componente de hardware
do sistema de segurana pode torn-lo intil. Falhas de software ou bugs
podem abrir buracos ou portas no sistema, ou ainda faz-lo comportar-se de
forma imprevista. Mesmo que individualmente os componentes de hardware
e software sejam seguros, a sua instalao ou conexo inadequadas podem
comprometer a segurana do sistema como um todo.
Mdia: discos, fitas e material impresso podem ser facilmente roubados ou danificados. Informaes sensveis podem ser mantidas em discos ou fitas mesmo
aps terem sido logicamente removidas, mas no fisicamente apagadas.
Emanao: todos os equipamentos eletrnicos emitem radiaes eltricas
e eletromagnticas. Os sinais emitidos por computadores, equipamentos de
rede e monitores podem ser captados e decifrados, permitindo a obteno
das informaes do sistema ou a inferncia no seu contedo.
Comunicao: mensagens em trnsito podem ser interceptadas, desviadas ou
forjadas. Linhas de comunicao podem ser escutadas ou interrompidas.
Humanas: as pessoas que administram e usam o sistema representam sua
maior vulnerabilidade. Normalmente a segurana de todo o sistema est sob
o controle do administrador do sistema. Os usurios, operadores ou administradores do sistema podem cometer erros que comprometam o sistema.
Riscos surgem a partir de vulnerabilidades que possam ser exploradas com facilidade.
Por exemplo, a interceptao dos sinais de telefones sem fio ou celulares requer
apenas um sistema de varredura que pode ser adquirido facilmente. No entanto, a
escuta de dados criptografados trafegados em uma linha de fibra ptica ou a captao
de emanaes de aparelhos especialmente blindados no simples e pode requerer
equipamentos sofisticados e caros.
Em um plano de segurana, a partir do conhecimento das vulnerabilidades precisamos identificar a probabilidade de ocorrer uma ameaa. Esse processo deve ser
constante, pois a rede dinmica, ou seja, sempre muda.
Fundamentos de Segurana

113

Aps identificado o custo da perda no caso de um ataque (lembre-se de que o


custo da perda deve envolver os itens tangveis e intangveis, como a imagem da
empresa), necessrio levantar o custo para tomarmos uma ao preventiva. Se o
custo de proteo menor que o custo da perda, vale a pena o investimento.
Por exemplo, um Data Center pode possuir US$ 5 milhes em equipamentos. Se
o custo para a instalao de uma central de incndio de ltima gerao de US$ 500
mil, o investimento vale a pena, pois 1/10 do custo da perda.

Controles
Os controles so mecanismos de contramedidas usadas para minimizar ameaas.
Existem basicamente cinco tipos desses mecanismos:
Controle efetivo: o controle que fazemos para diminuir a probabilidade de
ocorrncia de uma ameaa.
Controle preventivo: procura nos prevenir de vulnerabilidades de forma a minimizarmos o sucesso de tentativas de ataques e reduzir o impacto sobre elas.
Controle corretivo: reduz o efeito das ameaas.
Controle detectivo: procura descobrir ataques e possui mecanismos de
controle de correo.
Controles de recuperao: permitem restaurar a situao da empresa a um
quadro normal aps a incidncia de um evento.

Reviso Constante dos Riscos


O trabalho de anlise de risco no deve ser feito apenas uma vez e ento esquecido. Novas ameaas podem surgir, vulnerabilidades no identificadas em
primeiras anlises podem ser notadas em revises futuras, e as probabilidades de
ocorrncia das ameaas podem ser alteradas. Sempre que forem feitas mudanas significativas no sistema, uma nova anlise de risco deve ser feita.
Os riscos no podem ser eliminados. Em geral podem ser identificados, quantificados e ento reduzidos, mas no possvel elimin-los completamente.
Aps completar a anlise de risco, necessria a realizao de uma anlise de
custo/benefcio, a qual consiste na determinao do custo gerado caso uma ameaa
se concretize, denominado custo da perda, e na determinao do custo do estabelecimento de mecanismos de defesa contra a ameaa, denominado custo da proteo.
Um investimento para minimizar riscos s deve ser realizado se o custo da perda
for inferior ao custo da proteo.
114

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Poltica de Segurana
A poltica de segurana define diretrizes quanto ao uso das informaes no ambiente corporativo. Ela relaciona:
Riscos ao patrimnio,
Risco de roubo;
Risco de fraude;
Os acessos dos usurios aos sistemas;
O uso de canais de comunicao;
Sistemas redundantes e tolerantes a falhas;
Garantia de integridade de software.
O propsito de uma poltica de segurana definir como uma organizao ir se
proteger de incidentes de segurana. Ela tem trs funes bsicas:
Deixar claro o que deve ser protegido e por qu;
Explicitar quem responsvel pela proteo;
Funcionar como referncia para a soluo de conflitos e problemas que
possam surgir.
Uma poltica de segurana no deve ser uma lista de ameaas, equipamentos ou
pessoas especficas. Ela deve ser genrica e variar pouco com o tempo. Deve ser definida por um grupo com objetivos similares.
Desta forma, pode ser necessrio dividir a organizao em componentes menores,
caso ela seja muito grande ou tenha reas com interesses muito diversificados.
Algumas definies da poltica de segurana:
Pense no proprietrio: toda informao e equipamento a ser protegido deve
ter um proprietrio.
Seja positivo: as pessoas respondem melhor a sentenas positivas do que a
negativas (faa melhor que no faa).
Todos somos pessoas: inclusive os usurios! E pessoas cometem erros.
Invista em educao: uma poltica deve incluir regras para a educao das
pessoas envolvidas.
Responsabilidade deve ser seguida de autoridade: se voc responsvel
pela segurana, mas no tem autoridade para definir regras ou punir os violadores, sua funo na organizao ser apenas assumir a culpa quando algo
sair errado.
Fundamentos de Segurana

115

Defina a filosofia da poltica: tudo o que no for proibido permitido ou


tudo o que no for permitido proibido.
Seja abrangente e profundo: no seja superficial na criao da poltica. Inclua
diferentes nveis de proteo.
Uma poltica de segurana deve ser formada pelos seguintes componentes:
Escopo;
Posicionamento da organizao;
Aplicabilidade;
Funes e responsabilidades;
Complacncia;
Pontos de contato e outras informaes.

ISO 1.7799
A ISO 1.7799 um padro de normas internacionais para o gerenciamento de
segurana da informao. A ISO organizada em dez principais sesses, e cada uma
cobre diferentes tpicos e reas. Ela baseada nas normas britnicas British Standard
for Information Security Management (BS 7799).
A ISO define os dez pilares de segurana da informao que devem ser regularmente seguidos pelas empresas que desejam ser certificadas. So eles:
Plano de continuidade de negcios
Polticas de controle de acesso
Polticas de desenvolvimento e manuteno de sistemas
Polticas de segurana fsica e de ambiente
Polticas de segurana pessoal
Polticas de gerenciamento dos computadores e das redes
Polticas de controle e classificao de ativos
Poltica global de segurana da informao
Anlise de conformidade
Aspectos legais

Plano de Continuidade dos Negcios


Os objetivos desta sesso da norma ISO 1.7799 so analisar e evitar a interrupo
do negcio devido a falhas ou desastres.
116

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Polticas de Controle de Acesso ao Sistema


Os objetivos desta sesso so:
Controlar o acesso informao;
Prevenir acessos no autorizados a sistemas de informao;
Garantir a proteo dos servios de rede;
Prevenir que usurios no autorizados acessem o sistema;
Detectar atividades no autorizadas;
Garantir a segurana quando do uso de terminais portteis ou mveis.

Polticas de Desenvolvimento e Manuteno de Sistemas


Os objetivos desta sesso so:
Garantir que a segurana foi implementada nos sistemas operacionais;
Prevenir perdas, modificaes ou mau uso dos dados nos sistemas de aplicao;
Garantir confidencialidade, autenticidade e integridade das informaes;
Garantir que atividades de suporte e projetos de IT sejam conduzidas de
maneira segura;
Manter a segurana do software aplicativo e dos dados.

Polticas de Segurana Fsica e de Ambiente


Os objetivos desta sesso so:
Prevenir acessos no autorizados, danos e interferncias s premissas do
negcio e das informaes;
Prevenir perda, dano ou comprometimento dos ativos e interrupo das atividades da empresa;
Prevenir roubo de informaes e processamento de informaes das instalaes da empresa.

Polticas de Segurana Pessoal


Os objetivos desta sesso so:
Reduzir os riscos do erro humano, roubo ou fraude de forma a garantir que os
usurios conheam as ameaas e preocupaes da segurana da informao,
Fundamentos de Segurana

117

e estejam equipados para suportar polticas de segurana da informao corporativas que estejam em curso na empresa;
Minimizar o dano resultante de incidentes de segurana, m funcionalidade e
aprender com o resultado dos incidentes.

Polticas de Gerenciamento de Computadores e Rede


Os objetivos desta sesso so:
Garantir o processamento de informaes de forma fcil, segura e correta;
Minimizar os riscos de falhas no sistema;
Proteger a integridade do software e da informao;
Manter a integridade e a disponibilidade da informao processada e da comunicao;
Garantir a guarda das informaes na rede e a proteo da infraestrutura suportada;
Prevenir danos a ativos e interrupes das atividades do negcio;
Prevenir perda, modificao ou mau uso de informaes trocadas entre organizaes.

Polticas de Controle e Classificao de Ativos


Os objetivos desta sesso so:
Manter proteo apropriada para ativos corporativos e garantir que a informao seja classificada e receba apropriado nvel de proteo.

Poltica Global da Segurana da Informao


O objetivo desta sesso :
Prover a direo e o suporte para a segurana das informaes.

Contingncia e Disponibilidade
Gerenciar a segurana da informao com a empresa.

118

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Aspectos Legais
Os objetivos desta sesso so:
Evitar brechas na legislao criminal ou cvel, regulatria ou mesmo obrigaes contratuais e relacionadas a qualquer requisito de segurana;
Garantir o cumprimento de polticas de segurana organizacionais e padres;
Maximizar a efetividade e minimizar a interferncia de ou para o sistema de
auditoria.

Anlise de Conformidade
Os objetivos desta sesso so:
Manter a segurana das facilidades e do processamento da informao organizacional e de ativos, alm dos parceiros;
Manter a segurana da informao quando a responsabilidade pelo seu processamento for terceirizada.
O processo de certificao no padro envolve a definio de regras e responsabilidades, a criao de estratgias e objetivos operacionais, identificao e avaliao de
bens crticos, definio de procedimentos de rastreamento e controles de auditoria,
criao de grupo de resposta a incidentes e a criao de grupo de resposta a emergncias.

Auditoria na ISO 1.7799


A auditoria consiste na verificao das atividades do sistema e na determinao
do que foi feito, por quem, quando e o que foi afetado. Aplica-se no apenas verificao de atividades de usurios no autorizados, mas tambm dos usurios autorizados (que podem cometer erros ou executar aes maliciosas no sistema).
Em aplicaes crticas, o nvel de detalhe nos registros de auditoria pode ser suficiente a ponto de permitir desfazer operaes para ajudar a trazer o sistema a um
estado correto de operao.
O processo de auditoria essencial para verificar o cumprimento das polticas
de segurana da informao na organizao. Deve ser dada ao auditor autonomia
suficiente para tomar as devidas providncias caso exista um problema de segurana
evidente.

Fundamentos de Segurana

119

Resposta a Incidentes
A resposta a incidentes importantssima para a garantia da segurana da informao. As empresas e corporaes devem tratar de forma eficiente incidentes,
para com isso minimizar as perdas ou danos. Em geral, a resposta realizada por uma
equipe especializada, com poderes e autoridades para contornar rapidamente um
incidente de segurana.
Normalmente um grupo de resposta a incidentes deve atuar com base em polticas e normas de segurana estabelecidas pela organizao, seguindo algum padro,
como a ISO 1.7799.

Resumo do Captulo 5
Este captulo apresentou os fundamentos da segurana da informao. Para compreender
a temtica da segurana em redes sem fio, importantssimo possuir uma base slida dos
fundamentos, por isso foram mostrados conceitos dos principais servios de segurana,
como auditoria, integridade, autenticidade, alm de anlise de risco, poltica de segurana
e a ISO 1.7799.

120

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Exerccios

1.

Qual dos itens apresentados no um servio de segurana?


a. Confidencialidade
b. Veracidade
c. Auditoria
d. Integridade

2.

Qual o mecanismo usado para verificar e manter a integridade?


a. Criptografia
b. Funes de Hashing
c. Frase secreta
d. Handshake

3.

Qual servio consiste em verificar o profile de acesso?


a. Identificao
b. Auditoria
c. Autorizao
d. Criptografia

4.

Qual dos itens seguintes um ataque contra a disponibilidade?


a. Password cracking
b. PHP Injection
c. Negao de servio
d. Worm

5.

O que vulnerabilidade?
a. Uma ameaa.
b. A probabilidade de um evento ocorrer.
c. Um ponto falho no sistema.
d. Um ataque.

6.

A anlise de riscos um processo que:


a. Quantifica a possibilidade de um evento ocorrer.
b. Evita que o evento ocorra.
c. Define o custo de proteo.
d. Define o custo da perda.

Fundamentos de Segurana

121

Quanto ao no repdio:
a. um processo no qual o usurio garante a integridade da informao.
b. Usa criptografia.
c. Processo no qual o usurio no pode negar uma ao realizada por
ele mesmo.
d. Faz parte do servio de confidencialidade.

8.

Qual a norma ISO de segurana da informao?


a. ISO 2332
b. ISO 1774
c. ISO 1.7799
d. 802.11

9.

O que um ataque?
a. Uma ao normal.
b. Um incidente.
c. A explorao bem-sucedida de uma vulnerabilidade.
d. Um evento.

10. Qual o papel da anlise de vulnerabilidades?


a. Avaliar e encontrar os riscos.
b. Encontrar vulnerabilidades.
c. Corrigir vulnerabilidades.
d. NDA.

122

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Exerccios

7.

Captulo 6
Introduo
Criptograa
Terminologia

riptografia a cincia
que utiliza algoritmos matemticos para criptografar/encriptar (cripto
= esconder) dados (texto claro) numa forma aparentemente no legvel (texto cifrado) e recuper-los
(decriptograf-los). Com essa cincia, o custo de tentar descobrir o contedo das mensagens cifradas torna-se maior do que
o potencial ganho com os dados.
Encriptao um processo de transformao de dados claros em
uma forma ilegvel, ou seja, encriptados. O propsito garantir privacidade,
mantendo a informao escondida para qualquer um que no seja o destinatrio da
mensagem, mesmo que ele possa ter acesso s informaes criptografadas.
Decriptao o processo reverso da criptografia; a transformao dos dados
encriptados de volta forma de texto claro.
Texto claro a mensagem a ser enviada. Se for interceptada em uma comunicao,
pode ser compreendida pelo interceptador porque no se encontra criptografada.
Texto cifrado uma mensagem que passou por um processo de encriptao e, se
for interceptada em uma comunicao, no pode ser compreendida pelo interceptador,
desde que ele no conhea a chave e o algoritmo criptogrfico utilizados.
Os governos, as empresas e outras organizaes contriburam para a vasta coleo
de padres de criptografia. Alguns deles so ISO, ANSI, IEEE, NIST e IETF.

PKCS uma padronizao da indstria desenvolvida em 1991 pela RSA juntamente com os maiores fabricantes da indstria. O padro contm 12 captulos que
descrevem processos de encriptao, troca de chaves e certificados digitais.
Criptoanlise a cincia que estuda mtodos, algoritmos e dispositivos que
tentam quebrar a segurana dos sistemas criptogrficos, tentando descobrir o texto
claro a partir do texto cifrado.
Criptologia a rea da matemtica que estuda a criptografia e a criptoanlise.

Histria da Criptografia
Por ser uma cincia matemtica e no computacional, a criptografia muito anterior aos computadores. Assim sendo, sua aplicao j existe h sculos na histria
da humanidade.
Um exemplo foi o modelo criptogrfico chamado Jlio Cypher, criado por Jlio
Csar, na poca do Imprio Romano. Como os meios de comunicao eram muito
limitados, nessa poca se usava um cavalo rpido e um mensageiro para o envio de
mensagens no campo de batalha, entretanto sempre se corria o risco de o mensageiro
ser interceptado, e com isso o contedo das mensagens, crucial para a batalha, cair
nas mos do inimigo.
Jlio Csar criou um algoritmo que consistia em deslocar as letras da mensagem
trs posies para a direita de forma a torn-la sem sentido para quem fosse ler, seguindo a regra da figura apresentada em seguida. Assim, a mensagem ATACAR ficaria
transformada em DWDFDU. A decriptao da mensagem consistia em deslocar novamente para a esquerda as trs posies. A Figura 6.1 mostra a cifragem de Jlio Csar.

Figura 6.1 - Cifragem de Jlio Csar.

Esse mecanismo, embora muito simples, foi efetivo por algumas dcadas nas comunicaes do imprio, principalmente porque poucas pessoas na poca sabiam ler.

124

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Outro exemplo de aplicao militar foi durante a Segunda Guerra Mundial. A


Alemanha nazista desenvolveu um sistema criptogrfico que se baseava em um equipamento mecnico para a criao de mensagens criptografadas que eram enviadas
por ondas de rdio para os U-Boats, submarinos alemes que atuavam no Atlntico
Norte.
Cada submarino possua o mesmo equipamento utilizado para decriptografar as
mensagens enviadas por rdio. Os aliados s conseguiram interceptar as mensagens
quando um dos submarinos alemes foi detido com o equipamento intacto.
Certamente este foi um dos fatos que alteraram o rumo da Segunda Guerra Mundial.

Usos da Criptografia
A criptografia pode ser usada para:
Garantir a confidencialidade da mensagem para que usurios no autorizados
no tenham acesso a ela;
Garantir que a mensagem enviada autntica;
Validar a origem da mensagem;
Manter a integridade;
Garantir que a mensagem no foi modificada no encaminhamento;
No repdio;
Provar o envio.
Hoje em dia a criptografia mais do que encriptao e decriptao. Autenticao
uma parte fundamental de nossas vidas, bem como a privacidade. Em um mundo
em que as decises e acordos so comunicados eletronicamente, necessitamos de
tcnicas eletrnicas para prover a autenticao. A criptografia fornece mecanismos
para esse processo.
A assinatura digital associa um documento ao proprietrio de uma chave privada,
enquanto a assinatura do tempo associa um documento data de sua criao. Esses
mecanismos criptogrficos podem ser usados para controlar o acesso a um disco
compartilhado, uma instalao de alta segurana, ou a um canal de TV pay-per-view.
Uma aplicao que vem sendo muito utilizada a criptografia para pagamentos
a partir de moeda eletrnica.

Introduo Criptograa

125

A Criptografia Segura?
Algoritmos criptogrficos devem ser razoavelmente eficientes (do ponto de vista
de tempo computacional envolvido) de modo a poderem ser aplicados conforme o
conhecimento das chaves envolvidas. Ou seja, deve ser computacionalmente fcil
executar as funes de encriptao e decriptao desde que as chaves sejam conhecidas.
Para que um algoritmo criptogrfico seja seguro, deve ser praticamente impossvel
descobrir a chave utilizada ou calcular o texto claro a partir do texto cifrado sem o
conhecimento da chave.
A encriptao computacionalmente segura, o que significa que os dados esto
seguros se no existe poder de computao de alta capacidade para quebrar a cifragem.
Para tanto esses sistemas so baseados no conceito de que impossvel quebrar
a chave secreta, embora isso ainda no tenha sido provado.
Muitos desses sistemas perderiam o seu uso se algum conseguisse reverter o
algoritmo usado. A questo da reverso de algoritmos criptogrficos est associada a
tempo e esforo necessrios para isso.

O que Deve Ser Encriptado?


Todas as informaes reservadas, que possuem algum valor para a atividade econmica das empresas, e que podem ser transportadas num meio inseguro, devem ser
criptografadas.
Existem trs sistemas criptogrficos:
Sistema de Chave Secreta
Sistema de Chave Pblica
Baseado em Funo de Hashing
Os algoritmos criptogrficos pblicos so geralmente considerados mais seguros,
embora a engenharia reversa possa ser usada em todos os casos.

Sistema de Chave Secreta


Baseia-se no conhecimento entre as partes da comunicao de uma chave secreta,
geralmente utilizado quando existe uma grande quantidade de dados a ser criptografada.

126

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Esse sistema no capaz de prover o no repdio porque ambas as partes so


conhecedoras da chave secreta. A segurana desse sistema est na chave que deve ser
mantida em segredo.

Sistema de Chave Pblica


Esse sistema utiliza uma chave pblica conhecida por ambas as partes e uma
chave privada que mantida em segredo para encriptar os dados, ou seja, cada um
dos interlocutores necessita gerar um par de chaves pblica e privada.
Por exemplo: Joo quer mandar uma mensagem criptografada para Maria. Ela
deve previamente conhecer a chave pblica de Joo, pois somente ela ser capaz
de decriptografar a mensagem que foi criptografada com a chave privada de Joo.
O mesmo para Joo decriptografar as mensagens enviadas por Maria. Ele deve ser
conhecedor da chave pblica de Maria.
Esses sistemas exigem mais recursos computacionais, e em geral so utilizados
para distribuir chaves secretas ou enviar pequenas mensagens.

Message-Digest
Esses sistemas mapeiam textos de tamanho varivel em um texto cifrado de
tamanho fixo. So usados para computar hashes e checksum de mensagens com o
objetivo de produzir uma pequena string (conjunto de caracteres), que nica para
o mesmo texto. Essa tcnica usada para verificar se houve alterao da mensagem
durante o transporte.

Implementao dos Sistemas Criptogrficos


A implementao via software em geral mais barata, entretanto o resultado
mais lento e menos seguro, visto que o software mais fcil de ser modificado e
forjado.
A implementao via hardware feita em chips e microprocessadores dedicados
criptografia. So mais rpidos ainda que os controlados por software, entretanto
menos flexveis.

Introduo Criptograa

127

Chaves Criptogrficas
Definies
O processo de encriptao e decriptao requer o uso de informaes secretas,
usualmente conhecidas como chaves.
Chave um nmero, em geral primo, utilizado em conjunto com um algoritmo
criptogrfico na criao do texto cifrado. Alguns atributos da chave so:
Tamanho: nmero de bits/bytes da chave;
Espao: coleo de combinaes matemticas que possuem o mesmo tamanho
da chave.
Exemplo: uma chave de dois bits pode ter um espao de 4 (00, 01, 10 e 11).

Gerenciamento de Chaves
O gerenciamento das chaves criptogrficas deve definir mecanismos para:
Gerao;
Distribuio;
Entrada e sada;
Armazenamento;
Arquivamento de chaves.

Gerao de Chaves
A gerao de chaves deve obrigatoriamente fazer uso de um algoritmo devidamente testado. O gerador de nmeros aleatrios deve garantir que todos os
valores dos bits so gerados igualmente. Uma semente deve ser inserida no sistema
da mesma maneira que uma chave criptogrfica. Os valores da semente no devem
ser conhecidos por quem no gerou a chave. Resumindo, o padro de gerao de
chaves no pode ser de conhecimento pblico, portanto preciso usar algoritmos
randmicos que geram nmeros aleatrios.

Distribuio da Chave
A distribuio da chave pode ser manual, automtica ou uma combinao. A
entrada da chave ainda pode ser feita via teclado ou automaticamente, utilizando
Smart Cards.
128

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

O canal utilizado para o envio e troca de chaves criptogrficas deve ser seguro.
Um exemplo muito usado dividir a chave em dois ou mais pedaos usando diferentes
meios para o seu envio, como telefone, fax etc.

Armazenamento da Chave
As chaves no devem ser acessveis, entretanto muito til armazenar as
chaves criptogrficas em um arquivo para o caso de perda, permitindo assim a sua
recuperao. Esse arquivo deve estar localizado em um computador que esteja em um
ambiente seguro e controlado.

Troca de Chaves
Consiste na definio de mecanismos a serem usados para que as duas partes
envolvidas na comunicao tenham conhecimento das chaves criptogrficas.
O que se busca um dispositivo que permita a troca de chaves de maneira segura,
sem a necessidade de estabelecer uma chave compartilhada anteriormente.
No algoritmo criptogrfico de Diffie-Hellman, a chave pode ser trocada quando
necessrio, utilizando envelopes digitais.
Cada ponta gera localmente uma chave usando Diffie-Hellman. A ponta determina
a chave secreta utilizando como parmetros um p (nmero primo) e um g (gerador)
ou raiz do nmero primo e suas chaves privadas (valores randmicos) para criar uma
chave pblica.
A chave pblica ento definida pela frmula:
pub = g^priv mod P
As partes ento trocam as chaves pblicas e computam a chave secreta K:
K = (g^pub)priv mod p
Sumarizando, a chave secreta no usada diretamente para encriptar ou autenticar. uma chave mestra que servir para a criao das trs outras chaves:
Derivao;
Autenticao;
Encriptao.

Introduo Criptograa

129

Envelope digital um processo no qual uma chave de criptografia simtrica


criptografada e enviada utilizando criptografia assimtrica (algoritmos de chave
pblica). A Figura 6.2 mostra como funciona esse mecanismo.

Figura 6.2 - Envelope digital.

Os passos do funcionamento do mecanismo de envelope digital so os seguintes:


1 Passo: Maria cria uma chave que ser utilizada no processo de criptografia
simtrica.
2 Passo: Maria prepara uma mensagem para enviar a chave criptogrfica
(criptografia simtrica) a Joo. Para elucidar, chamaremos a mensagem de
mensagem chave.
3 Passo: essa mensagem criptografada por um mtodo de criptografia assimtrica. Maria usa, portanto, a chave pblica de Joo para criptografar a
mensagem chave.
4 Passo: a mensagem chave devidamente criptografada ento transmitida
no meio de transmisso.
5 Passo: Joo recebe a mensagem chave criptografada.
6 Passo: Utilizando sua chave privada e a criptografia assimtrica, Joo decriptografa a mensagem chave.
7 Passo: com a mensagem chave decriptografada, Joo retira a chave de criptografia simtrica, criada por Maria, e inicia uma sesso de criptografia simtrica com Maria.
A vantagem desse mecanismo que as chaves podem ser alteradas frequentemente pelo sistema. Alm disso, muito mais rpido o processo de criptografia
simtrico (chave privada) do que o assimtrico (chave pblica), o que aumenta o desempenho dos sistemas criptogrficos.

130

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

O padro FIPS 140-1 define os nveis de segurana para o armazenamento das


chaves criptogrficas:
Nvel 1: bsico e mais simples, no havendo restries quanto ao armazenamento fsico.
Nvel 2: utilizao de lacres ou selos para verificar se houve violao da senha.
Nvel 3: proteo forte.
Nvel 4: proteo contra invaso do dispositivo no qual a senha est armazenada, inclusive com mecanismos de apagamento automtico caso seja detectada a intruso, por alarmes.
Devido aos acontecimentos do cenrio internacional, como os atentados terroristas de 11 de setembro de 2001, o governo americano vem tomando uma srie de
medidas preventivas para monitorar o fluxo das mensagens trocadas pela Internet. Tal
preocupao veio da constatao de que boa parte da comunicao entre os grupos
terroristas para o planejamento do atentado foi feita utilizando aplicaes de e-mail
tradicionais pela Internet.
Preocupado principalmente com os limites que a criptografia iria impor principalmente ao monitoramento das mensagens trocadas, o governo americano criou
uma srie de dispositivos legais para que as chaves criptogrficas possam ser eventualmente acessadas nos sistemas de forma a permitir o monitoramento do trfego.
Essa funcionalidade j est sendo incorporada aos novos sistemas de redes; os
atuais possuem um prazo para implement-la. Para a implementao dessa funcionalidade, o par de chaves privada e pblica deve ser armazenado em servidores especiais que podem ser acessados por esse sistema de vigilncia.

Tipos de Criptografia
Criptografia Simtrica
Nos algoritmos de chave simtrica, tanto quem envia como quem recebe a
mensagem devem possuir a mesma chave. Esses algoritmos so muito rpidos, mas
existe o problema da necessidade de um canal seguro para enviar a chave secreta,
uma vez que existe o risco de a pessoa que descobrir a chave secreta conseguir decriptografar a mensagem.
Com a criptografia simtrica no possvel tambm garantir o no repdio da
mensagem.

Introduo Criptograa

131

A Figura 6.3 apresenta a criptografia simtrica ilustrando a chave nica nas operaes. O texto claro passado pelo processo de encriptao com o uso da chave
secreta, compartilhada entre as partes. O texto cifrado ento enviado pelo canal
de comunicao e decriptado no destino, usando novamente a mesma chave secreta.

Figura 6.3 - Criptografia simtrica com o uso de uma nica chave.

Principais Algoritmos da Criptografia Simtrica


DES e 3DES
O DES (Data Encryption Standard) um algoritmo criptogrfico padro, desenvolvido nos anos de 1970 pelo National Institute of Standards and Technologies (NIST)
em conjunto com a IBM. A chave tem tamanho de 56 bits. No 3DES, o algoritmo DES
aplicado trs vezes com trs chaves distintas a 168 bits ou duas distintas a 112 bits.
O DES substitui os bits da mensagem clara pelos bits da mensagem criptografada.
Como o processo simples, os algoritmos possuem rpida execuo.

RC2
O RC2 foi desenvolvido por um dos fundadores da RSA, Ronald Rivest. vendido
pela RSA e permite o uso de chaves criptogrficas de at 2.048 bits.

RC4
O RC4 uma evoluo do RC2, sendo mais rpido. Tambm um produto da RSA
que trabalha com chaves de at 2.048 bits.

132

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

RC5
O RC5 foi publicado em 1994 e permite o uso de chaves com tamanho definido
pelo usurio.

IDEA
O International Data Encryption Algorithm (IDEA) foi desenvolvido por James
Massey e Xuejia Lai. Ele usa uma chave de 128 bits e a patente pertence a ASCOM
TECH AG, uma empresa Sua.

Mtodos de Encriptao
A encriptao pode ser feita com base em uma operao de fluxo de dados ou
blocos. Basicamente se faz uma operao binria sobre um fluxo de dados. Em geral,
os algoritmos que trabalham com fluxo so muito mais rpidos dos que os que encriptam bloco por bloco.
Na encriptao por bloco, um bloco inteiro de texto claro de tamanho fixo
transformado em um bloco de texto cifrado. Na encriptao por fluxo, realizada
uma operao binria e cada bit de texto claro transformado em um bit de texto
cifrado.
A Tabela 6.1 apresenta os principais algoritmos de criptografia simtricos e o
mtodo de encriptao utilizado.

AES
O AES um algoritmo criado pelo NIST como um padro avanado de criptografia com o objetivo de substituir o DES e o 3DES. Ele surgiu em um concurso realizado pelo NIST.
Os pr-requisitos do AES definidos pelo NIST foram:
Algoritmo publicamente definido
Ser uma cifra simtrica de bloco
Projetado para que o tamanho da chave possa aumentar
Implementvel tanto em hardware quanto em software
Disponibilizado livremente ou de acordo com termos ANSI

Introduo Criptograa

133

Os fatores analisados pelo NIST na escolha do algoritmo foram segurana (esforo


requerido para criptoanlise), eficincia computacional, requisitos de hardware e
software, simplicidade e licenciamento.
O padro foi definido em 2001, e o algoritmo vencedor foi o criado por Vincent
Rijmen e Joan Daemen, por isso o nome inicial Rijndael.
O AES que nasceu do Rijndael trabalha com um bloco fixo de 128 bits e uma
chave cujo tamanho varia entre 128, 192 ou 256 bits.
Nome do algoritmo

Tipo de encriptao

Tamanho da chave

DES

Por bloco

56 ou 64

IDEA

Por bloco

128

RC2-RC5

Por bloco

1 a 2.048

3DES

Por bloco

56 ou 112

AES

Por bloco

128, 192 ou 256

Tabela 6.1 - Principais algoritmos criptogrficos.

Criptografia Assimtrica
Criado em 1976 por Whitfield Diffie e Martin Hellman, esse modo de criptografia
baseia-se na utilizao de duas chaves, sendo uma mantida secreta, enquanto outra
pode ser divulgada publicamente.
Enquanto uma chave utilizada para encriptao, outra usada para decriptao.
Esse modo, por ser mais complexo, muito mais lento que a criptografia simtrica,
algo de 100 a 1.000 vezes mais lento.
Ele resolve o problema do gerenciamento de chaves. A criptografia assimtrica
tambm chamada de criptografia de chave pblica. Um requisito bsico desse mtodo
criptogrfico que as chaves pblicas sejam armazenadas de modo seguro e autenticado.
Em alguns casos, a criptografia de chave pblica (assimtrica) no necessria e
apenas a privada (simtrica) suficiente. Em geral isso possvel quando existe um
meio seguro para enviar a chave privada, como em uma reunio particular.
A criptografia de chave pblica (assimtrica) permite, alm de proteger as informaes, fornecer um mecanismo eficiente para a assinatura digital e o certificado
digital.

134

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Funes Matemticas Unidirecionais


A criptografia assimtrica possvel porque utiliza funes matemticas unidirecionais com as quais no possvel chegar ao valor inicial da funo se forem invertidas. A nica forma de realizar uma inverso possuir o conhecimento de parte do
contedo da mensagem que foi criptografada, porm, computacionalmente falando,
essa inverso muito difcil.
Na Figura 6.4 podemos observar um exemplo de criptografia assimtrica:

Figura 6.4 - Criptografia assimtrica.

Maria criptografa a mensagem (texto claro) utilizando-se da chave pblica de


Joo. A mensagem cifrada ento enviada a Joo que a decriptografa utilizando sua
chave privada. Como a criptografia assimtrica trabalha com funes unidirecionais,
Joo no conseguiria decriptografar a mensagem usando sua chave pblica, pois
apenas a chave privada permite essa decriptografia.
A Tabela 6.2 apresenta os principais algoritmos criptogrficos assimtricos:
Algoritmo

Tipo

Fundamento matemtico

DSA

Assinatura digital

Logaritmos discretos

RSA

Confidencialidade, assinatura digital e troca


de chaves

Fatorizao

Diffie-Hellman

Troca de chaves

Logaritmos discretos

Curvas elpticas

Confidencialidade, assinatura digital e troca


de chaves

Uso de pontos de curvas elpticas

Tabela 6.2 - Algoritmos criptogrficos assimtricos.

RSA
O algoritmo criptogrfico RSA foi inventado em 1977 por Ron Rivest, Adi Shamir
e Leonard Adleman, sendo hoje considerado j um padro de fato.
Introduo Criptograa

135

A segurana desse algoritmo est diretamente relacionada com a dificuldade de


realizar fatoraes. As chaves pblica e privada so nmeros primos grandes (100
a 200 dgitos ou mais). O RSA utilizado para garantir confidencialidade e autenticidade.
muito mais lento que algoritmos simtricos como DES ou IDEA, portanto no
utilizado para a encriptao de grandes blocos de dados. Ele patenteado nos EUA,
mas pode ser utilizado sem uma licena em outros pases.

Diffie-Hellman
Diffie-Hellman foi o primeiro algoritmo de chave pblica, criado em 1975, e leva
o nome dos inventores Whitfield Diffie e Martin Hellman. Baseia-se no uso de chaves
logartmicas discretas.
Ele utilizado pelos algoritmos criptogrficos para a troca de uma chave pblica
compartilhada por meio de um canal pblico (no seguro) de comunicao.

Security Socker Layer (SSL)


Trata-se de uma camada que fica entre a interface Socket do TCP e a aplicao. Os
principais benefcios do SSL so:
Criptografia dos dados;
Os dois lados podem verificar as identidades, um lado apresentando um certificado para o outro;
A integridade dos dados garantida, e qualquer alterao em um byte invalida
o checksum.
O SSL uma poderosa ferramenta hoje utilizada pela maioria dos sistemas de
Home Banking. A pea crucial desse sistema o certificado digital que comprova
quem o dono da chave privada.
Ele muito bom para resolver o problema de autenticao e privacidade entre
dois sites usando TCP.

Pretty Good Privacy (PGP)


O PGP uma aplicao criptogrfica de alta segurana que permite aos usurios
trocar mensagens com privacidade e autenticao. As implementaes comerciais e
livres do PGP disponibilizam mtodos para encriptao de arquivos, criao de chaves
pblicas e privadas, gerenciamento de troca de chaves e o uso de assinaturas digitais.

136

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

A troca de chaves pblicas e privadas permite a autenticao de ambas as partes


na transao. A transmisso de dados protegida por encriptao. Tipicamente, no
processo de inicializao da conexo PGP, uma chave pblica utilizada para transmitir
uma chave que ser utilizada numa criptografia simtrica, usando um mecanismo de
envelope digital.

Qual modelo devemos usar? Criptografia simtrica ou assimtrica?


Existem algumas razes para utilizarmos os dois modelos.
Os sistemas de criptografia simtrica so rpidos e a inicializao tambm. J os
sistemas de criptografia assimtrica possuem um bom esquema de gerenciamento de
chaves.
Uma soluo hbrida combina o melhor dos dois mundos. Os sistemas de criptografia assimtrica podem ser usados para transmitir as chaves a serem utilizadas pelos
sistemas de criptografia simtrica.
Em algumas situaes, a criptografia assimtrica no necessria, sendo apenas
a simtrica suficiente. Isso inclui solues em que a troca da chave no crtica, como
usurios em uma reunio privada. Inclui tambm ambientes em que uma autoridade
nica conhece e gerencia as chaves. Alm disso, a criptografia assimtrica usualmente
no necessria em um ambiente monousurio. Por exemplo, se utilizamos a criptografia para proteger os dados armazenados em um disco, uma nica senha (chave
privada) suficiente.

Fora da Chave
A fora de uma chave criptogrfica est diretamente relacionada com o tamanho
em bits da chave. Na Tabela 6.3 podemos observar a correspondncia de diferentes
tamanhos de chave em sistemas criptogrficos simtricos, assimtricos e elpticos.
Criptografia simtrica

Criptografia assimtrica

Criptografia elptica

40

274

57

56

384

80

64

512

106

80

768

132

96

1024

160

112

1792

185

120

2048

211

128

2304

237

Tabela 6.3 - Correspondncia de chaves.

Introduo Criptograa

137

A Tabela 6.4 mostra as principais diferenas entre sistemas de criptografia simtrica e assimtrica:
Atributo

Simtricos

Assimtricos

Nmero de chave

nica chave compartilhada pelas partes

Par de chaves em cada lado

Tipo de chave

Secreta

Uma pblica e uma secreta em cada lado

Proteo das chaves

Distribuio indevida e
modificao

Distribuio para a chave privada e


modificao para a chave pblica

Velocidade

Processo rpido

Processo lento

Tamanho da chave

Fixo*

Varivel

Uso tpico

Criptografia de grande
quantidade de informaes

Distribuio de chaves e assinaturas

* Existem alguns algoritmos simtricos com tamanho de chave varivel, como o RC2, RC5 e Blowsh.

Tabela 6.4 - Diferenas entre sistemas criptogrficos.

Algoritmos de Clculo de Hashing


Esses algoritmos so usados para garantir integridade e verificar se ocorreram
mudanas no previstas no envio das mensagens.
Uma funo de hashing mapeia blocos de dados de tamanho varivel ou mensagens
em valores de tamanho fixo chamados de cdigo hash. A funo foi desenvolvida para
trabalhar unidirecionalmente e, quando protegida, prov um elemento identificador
da mensagem, que o hash.
O mecanismo simples. Aplicamos uma mensagem a uma funo de hashing
que apresentar como resposta o hash, ou seja, um conjunto de bytes de tamanho
fixo. Esse hash nico para esse texto, ou seja, se realizarmos qualquer modificao
no texto, como incluir uma vrgula, ao pass-lo novamente pela funo de hashing, o
resultado desse conjunto de bytes no ser o mesmo.
Esse mecanismo garante integridade, pois podemos calcular o hashing,
criptograf-lo e envi-lo junto com a mensagem. Quem a receber pode decriptografar
o hashing e compar-lo com o resultado do clculo realizado na recepo. Se o hashing
enviado no coincidir com o hashing recebido, est provado que houve alterao da
mensagem no canal de envio.
Exemplos de algoritmos de hashing so MD4 & MD5 (128 bits) e SHA1 (160 bits).
Um hashing pode ser usado para deteco de erros em uma mensagem, entretanto
no garante sua confidencialidade nem autenticao.

138

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Basicamente a partir de um hashing deve ser impossvel determinar a mensagem


que originou aquele hashing e computacionalmente impossvel encontrar duas
mensagens com o mesmo hashing.
O hashing deve ser sempre randmico e qualquer texto por ele passado deve
possuir um tamanho fixo.

Message Authentication Codes (MAC)


O MAC, ou cdigo de autenticao de mensagem, uma funo de hashing que
incorpora uma chave, ou seja, para executar o algoritmo de hashing, necessrio que
o receptor da mensagem possua a mesma chave usada na criao do MAC. O MAC
pode ser usado para verificar a integridade das mensagens. Um usurio pode, por
exemplo, descobrir pelo MAC se um arquivo foi alterado por um vrus. Veja a Figura
6.5.

Figura 6.5 - Aplicao da funo de hashing.

Assinatura Digital
Ela implementada fazendo uso de criptografia assimtrica, tambm chamada
de criptografia de chave pblica, e serve para verificar a autenticidade e a integridade
da mensagem.
A grande vantagem da criptografia assimtrica que apenas o proprietrio da
chave privada pode decriptar a mensagem. Isso garante autenticidade, entretanto
encriptar mensagens assimetricamente um processo muito lento, principalmente
se a mensagem muito grande, por isso aplica-se esse processo apenas na assinatura
digital do documento.
A assinatura digital criada inicialmente passando a mensagem por uma funo
de hashing para gerar o hash. Esse hash, por ser pequeno, pode ser criptografado por
funes de criptografia assimtrica, ou chave pblica, e ento anexado mensagem
original.

Introduo Criptograa

139

A assinatura digital que foi anexada ao documento garante que ele foi criado pelo
originador da mensagem. Principalmente porque qualquer mudana em um caractere
da mensagem altera o hashing, o destinatrio pode garantir que a mensagem no foi
mudada aps a gerao do hashing.
A autenticao pode ser ainda mais forte com o uso de certificados digitais.
A Figura 6.6 facilita o entendimento do mecanismo. Suponha que Maria queira
assinar um documento digitalmente, o qual passado por uma funo de hashing,
gerando o hash, que criptografado com a chave privada da Maria, e o hash do
documento criptografado anexado ao final da mensagem.

Figura 6.6 - Mecanismo de Assinatura Digital.

Quando Joo recebe o documento, ele retira o hashing criptografado do texto,


decriptografa utilizando a chave pblica de Maria e o armazena. A segunda etapa
calcular o hashing da mensagem. Se for idntico ao hashing armazenado, est
garantido que a mensagem foi assinada por Maria.
Os principais algoritmos assimtricos usados para gerar as assinaturas digitais
so RSA, DSS, ECDSA ou Triple Davis (NAI).
O DSS um padro da NIST chamado Digital Signature Standard. Essencialmente
o mesmo que RSA. A deciso de usar um ou outro est ligada a fatores de
limitao de exportao e licena de uso.
O Elliptic Curve Digital Signature Algorithm (ECDSA) foi proposto pelo grupo
P1363 do IEEE.
140

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

A assinatura digital utiliza o mesmo princpio de uma assinatura normal que


fazemos todos os dias quando emitimos um cheque, e o emitente no pode repudiar
o documento aps assin-lo. A vantagem da assinatura digital que ela depende do
documento e no h maneira de copi-la de um documento para outro.
Uma aplicao que usa muito a assinatura digital o PGP, que gera uma
assinatura a partir de uma mensagem, criando um hashing usando algoritmo MD5 e
criptografando o hashing assimetricamente.
O Brasil tem executado grandes avanos no que diz respeito legislao da
assinatura digital. As primeiras leis j esto aprovadas, portanto num futuro no muito
distante pode ser uma realidade nacional o uso de cartrios digitais, principalmente
para garantir a autoria de documentos assinados digitalmente.

No Repdio
um dos principais servios de segurana implementados pela assinatura digital.
Garante que a transao ou mensagem no tenha sua validade questionada pelas
partes. Essa questo muito importante em transaes legais. Outra aplicao em
transaes de e-commerce pela Web. O requisito bsico dessas transaes sempre
a confidencialidade da chave privada. Ela nunca deve ser revelada para garantir a
confidencialidade das operaes.

Certificados Digitais e PKI


O certificado utilizado para verificar se uma chave pblica mesmo de
determinado usurio. Ele assinado digitalmente por uma Autoridade de Certificao
(CA) que verifica a autenticidade da chave pblica. Um dos padres de certificado
usualmente utilizados definido pela norma ITU-T X.509. A Tabela 6.5 exibe a analogia
de um certificado digital com um passaporte.
Certificado
Identifica entidades

Passaporte
Identifica indivduos

Pode ser usado por mquinas e sistemas

No pode

Pode ser copiado e distribudo, pois no possui informaes confidenciais

No pode

Tabela 6.5 - Analogia entre certificado e passaporte.

Introduo Criptograa

141

Autoridade de Certificao (Certificate Authority)


A CA garante que o certificado com chave pertence ao usurio. impossvel
alterar parte do certificado em virtude de ser armazenado na forma cifrada. Quando
uma comunicao se inicia, a chave pblica no enviada e sim o certificado. Se a
assinatura da CA aceita, o certificado foi expedido pela CA. Isso no quer dizer que
o certificado vlido, pois necessita de uma consulta extra a CA para verificar a lista
de revogao de certificados.

Certificado X.509
Um certificado X.509 contm as seguintes informaes:
Verso do formato do certificado. Usualmente 1996.
Nmero serial associado ao certificado. nico ao certificado e controlado
pela Autoridade de Certificao.
Identificao do algoritmo utilizado para assinar o certificado.
Emissor com informaes sobre a CA.
Perodo de validade inicial e final.

Figura 6.7 - Certificado digital.

142

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Sujeito com informaes do usurio.


Informao sobre a chave pblica.
Assinatura da CA cobrindo todo o certificado.
A Figura 6.7 apresentou os campos do certificado X.509.
O certificado baseado no sistema de diretrios X.500, como o LDAP. Logo, em
muitas implementaes o certificado pode ser acessado por comandos LDAP, o que
torna mais rpido e seguro o acesso.

Emisso do Certificado
Para emitir o certificado, a entidade certificadora pode fazer uma srie de
exigncias de acordo com o grau de segurana de um certificado.

Certificados - Grau de Segurana


Classe 1: fcil obteno - garantia nula.
Classe 2: verificao da base de dados de consumidores. Exemplo: SERASA.
Classe 3: presena diante do tabelio - f pblica.
Classe privada: interno empresa que vira um domnio de certificao.

O que uma CA deve ter?


Controle fsico - sala cofre
Controle de procedimentos
Controle de pessoal
Controle de qualidade das mquinas e componentes
Segurana na rede: firewall, IDS etc.
Controle dos mdulos criptogrficos

Criao do Certificado
O usurio cria as chaves pblica e privada randomicamente. A chave pblica
ento enviada para a CA, que cria o certificado com as informaes pertinentes e
assina-o com a chave privada da CA. O certificado enviado de volta para o usurio j
assinado. Por segurana, todo certificado leva data de validade.

Introduo Criptograa

143

Lista de Revogao de Certificados (CRL - Certificate Revogation List)


uma lista de certificados sem validade, armazenada na prpria CA ou em servios
de diretrio. Deve ser consultada com certa frequncia para garantir a validade de um
determinado certificado.
A CRL fica em um diretrio pblico chamado de CR (Certificate Repository).

Revogao de Certificados
O certificado revogado quando:
O usurio removido do domnio de segurana;
O proprietrio do certificado reconhece que perdeu a chave privada;
H suspeita de ataques.
Tanto a CA como o usurio podem solicitar o cancelamento do certificado.

Hierarquias de Certificao
Existe uma hierarquia de certificao em que as CAs de um nvel superior atestam
a autenticidade de CAs de nvel inferior. Alm disso, o mesmo processo pode ocorrer
entre CAs na mesma hierarquia, e neste caso leva o nome de verificao cruzada.
Podemos observar essas hierarquias na Figura 6.8.

Figura 6.8 - Verificaes hierrquica e cruzada.

144

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

As principais funes de uma autoridade certificadora so:


Distribuio de certificados
Emisso e assinatura de novos certificados
Renegociao de certificados
Revogao de certificados
A Certificate Authority (CA) verifica a identidade assinando o certificado digital
que contm a chave pblica do elemento de rede. Um certificado equivale a um carto
de identidade.

Public Key Infrastructure (PKI) ou Infraestrutura de Chave Pblica


Consistem em polticas, entidades e mecanismos relacionados e usados para
carregar chaves criptogrficas e associ-las aos proprietrios, programas, formatos de
dados, protocolos etc. As aplicaes que trabalham com PKI devem ser PKI Eneable.
Os protocolos que usam criptografia com PKI so os seguintes:
Aplicao: Lotus Notes, S/MIME
TCP/UDP: SSL
IP: IpSec
Interface de rede: PPP (CHAP)

Elementos do PKI
EE (End-Entities) ou usurios
CA (Certificate Authority)
CR (Certificate Repository)
RA (Registration Authority) - processo de verificao e gerenciamento

Introduo Criptograa

145

Certificados Digitais
A Figura 6.9 apresenta a infraestrutura de PKI.

Figura 6.9 - Infraestrutura de PKI.

Criptoanlise - Quebra da Criptografia


Conforme j comentado, a criptoanlise a cincia que estuda as tcnicas para
quebrar cdigos criptogrficos, descobrindo assim o texto claro a partir do texto
cifrado.
A quantidade de informao disponvel ao criptoanalista define o tipo de criptoanlise:
somente texto cifrado;
texto claro conhecido;
possuir outro algoritmo que decriptografa o texto cifrado;
pr-conhecimento da chave.
Um algoritmo criptogrfico seguro quando computacionalmente impossvel
descobrir a chave e encontrar o texto claro a partir do texto cifrado.
Os principais conselhos para aumentar a segurana dos sistemas criptogrficos
so:
Controle do texto claro que ser criptografado - arquivos temporrios, apagados etc.
Evitar algoritmos proprietrios de criptografia.
146

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Evitar fazer backup da chave criptogrfica.


Controlar quem possui a chave criptogrfica.
Usar sempre sistemas de certificao digital.
Cuidado com os produtos que se dizem 100% seguros. No existe sistema criptogrfico infalvel. Mesmo os melhores algoritmos so suscetveis a ataques
de fora bruta, embora seja impraticvel se a chave for grande o suficiente.

Sistemas de Criptoanlise
Muitos ataques de criptografia no so puramente matemticos. Em ambientes
nos quais a segurana das informaes vital, como em ambientes de desenvolvimento
de alta tecnologia, deve-se tomar muito cuidado com o lixo, pois o usurio pode ter
anotado uma chave em um papel que foi para o cesto de lixo. Alm disso, as pessoas
so vulnerveis corrupo e outras formas de espionagem industrial, portanto o
ideal que um grupo muito pequeno de pessoas conhea a chave criptogrfica e, se
possvel, que ela seja repartida entre mais de uma pessoa, para que s com as duas
partes se possa formar a chave original.
Quando se conhece o texto claro, um criptoanalista pode, a partir da comparao
do texto claro com o cifrado, descobrir a chave criptogrfica. Em outro tipo de ataque
o criptoanalista obtm o texto cifrado sem o texto claro, e tenta obter o texto claro
a partir do cifrado. Nesse tipo de ataque muito difcil obter sucesso, pois preciso
um texto cifrado muito grande, e a complexidade aumenta com o tamanho da chave.
Os ataques com texto escolhido so os mais usados para quebrar sistemas de
chave pblica, e consistem em escolher parte do texto cifrado e tentar decriptograf-lo
com sistemas computacionais que analisam os dados de entrada e as sadas, buscando
sequncias claras como uma srie de palavras.
Em geral, os ataques para quebrar a criptografia baseiam-se em buscas exaustivas
da chave criptogrfica. Os ataques de fora bruta tentam justamente testar combinaes para encontrar a chave criptogrfica.
A Tabela 6.6 mostra uma estimativa de tempo para quebra de chaves criptogrficas por ataques de fora bruta. As colunas indicam a capacidade computacional
de quebrar a criptografia por cada grupo.

Introduo Criptograa

147

Tamanho
da chave

Hacker
individual

Grupo

Rede
acadmica

Grande
empresa

Inteligncia
militar

40 bits

Algumas
semanas

Alguns
dias

Algumas horas

Alguns milissegundos

Alguns microssegundos

56 bits

Alguns
sculos

Algumas
dcadas

Alguns anos

Algumas horas

Alguns segundos

64 bits

Alguns
milnios

Alguns
sculos

Algumas dcadas

Alguns dias

Alguns minutos

112 bits

Infinito

Infinito

Infinito

Alguns sculos

Alguns sculos

128 bits

Infinito

Infinito

Infinito

Infinito

Alguns milnios

Tabela 6.6 - Estimativa de tempo para quebra de chaves criptogrficas.

S para se ter uma ideia, um Chip FPGA que custa US$ 100,00 quebra chaves de
40 bits em uma hora e demora alguns meses para quebrar uma chave de 56 bits. Com
25 chips ORCA ao custo de US$ 1.000,00 podemos quebrar uma chave de 40 bits em
quatro minutos e de 56 bits em 100 dias.
Com um hardware de US$ 100.000,00 as chaves de 40 bits podem ser quebradas
em 24 segundos e de 56 bits em dez dias. As agncias de inteligncia possuem
sistemas que permitem quebrar chaves de 40 bits em apenas sete segundos e 56 bits
em 13 horas.

Criptografia - Limitaes de Importao e Exportao


Pela lei americana, a criptografia classificada como parte de um programa de
controle de exportao e controlada pelo Departamento de Comrcio Americano. Em
geral, essas regulamentaes probem a exportao pelos Estados Unidos de software
com encriptao forte, ou seja, com chaves grandes, entretanto existem algumas excees, por exemplo, subsidirias de empresas americanas no exterior e instituies
bancrias.
Em 1992, a associao dos fabricantes de software americana fechou um acordo
com o Departamento de Comrcio, permitindo a exportao de software que continha
algoritmos criptogrficos da RSAs RC2 e RC4, mas apenas se o tamanho da chave
fosse limitado a 40 bits, enquanto nos Estados Unidos continuava liberado a chaves
de 128 bits.
A segurana de um algoritmo dependente do tamanho da chave utilizada.
Quanto maior a chave, maior o nmero de combinaes possveis necessrias para
quebrar o cdigo.

148

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Exerccios

Desde 1992, a velocidade e a disponibilidade dos computadores tm


crescido rapidamente e chaves com 40 bits ainda levam um tempo considervel
para serem quebradas, porm muito menor. A cada dia, com a evoluo da
capacidade computacional, esse modelo de criptografia fica mais vulnervel e
menos seguro para transaes de comrcio eletrnico.
O governo dos Estados Unidos tem apresentado vrios mtodos para
permitir a exportao de encriptao forte, os quais se baseiam em sistemas de
recuperao de senhas que possibilitam s agncias americanas obter uma cpia
da chave privada e decriptar as mensagens.
Em janeiro de 1997, foi criada uma agncia de controle de exportao de
produtos de criptografia que permite aos fabricantes exportar produtos com
chaves de 56 bits, mas apenas se eles aceitarem incluir sistemas de recuperao
de chaves em seus produtos.
Outros pases, como Israel, possuem restries para a importao, mas no
impem limites exportao. A Frana possui restries quanto venda e uso
de criptografia dentro do pas.
Hoje a criptografia com chaves acima de 128 bits j se encontra liberada
para uso geral em sistemas na Internet.

Resumo do Captulo 6
Este captulo apresentou os fundamentos da criptografia, que servem de base para introduzirmos a criptografia em sistemas de redes sem fio. Mostrou os conceitos de criptografia,
criptoanlise, os algoritmos simtricos e assimtricos, as assinaturas digitais e os certificados digitais.

Introduo Criptograa

149

A criptografia :
a. Cincia que permite esconder o texto claro.
b. Cincia que permite obter o texto claro a partir de um texto cifrado.
c. Cincia que permite obter o texto cifrado a partir do texto claro.
d. Cincia que estuda a criptoanlise.

2.

Qual informao no faz parte do certificado X.509?


a. Verso
b. Nmero de srie
c. Chave pblica
d. Lista de revogao de certificados

3.

Qual o algoritmo criptogrfico desenvolvido por Philip R. Zimmermann?


a. DH
b. SSL
c. Pretty Good Privacy
d. HTTPS

4.

Que algoritmo veio substituir o DES e o 3DES?


a. Blowfish
b. IPSEC
c. Rijndael
d. RC5

5.

A assinatura digital no serve para garantir:


a. autenticidade da origem
b. integridade
c. no repdio
d. confidencialidade

6.

Qual dos algoritmos a seguir o mais rpido para processamento?


a. Diffie-Hellman
b. RSA
c. DS
d. DES
e. 3DES

150

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Exerccios

1.

Captulo 7

Criptograa em
Redes Sem Fio

este captulo vamos


apresentar como a criptografia utilizada nas redes sem fio e
quais os mecanismos e algoritmos utilizados
para garantia da segurana.

Service Set Identifier (SSID)


O SSID um nome que identifica uma rede sem fio em particular.
Os usurios da rede sem fio podem receber automaticamente o nome dos
access points que esto divulgando o SSID no alcance. O SSID pode tambm ser
configurado manualmente nas estaes.
O identificador da rede pode possuir at 32 caracteres. Todas as estaes que
fazem parte da rede devem utilizar o mesmo SSID. como se fosse uma senha de
entrada para a rede. Em uma rede com mltiplos access points possvel que mais de
um access point possua o mesmo SSID.
Cada fabricante vem com um SSID padro que deve ser trocado durante o
processo de configurao. Por exemplo:
3com: 101
Cisco: Tsunami
D-Link: Dlink

Linksys: linksys
Lucent/Cabletron: RoamAbout Default Network Name
Addtron: WLAN
Intel: intel
Netgear: Default ou Netgear
Quanto mais pessoas conhecerem o SSID, maior a chance de ser mal utilizado. A
mudana do SSID requer a mudana em todos os usurios da rede.
O SSID adicionado ao cabealho de todos os pacotes que pertencem a uma rede
sem fio especfica. O que vai diferenciar as redes justamente o SSID. Um dos maiores
erros dos administradores no alterar o SSID de fbrica, o que equivale a utilizar
uma senha default para acessar a rede.
Existem algumas configuraes que aumentam a segurana das redes sem fio que
envolvem o SSID, tratadas nos prximos captulos.

Filtragem do Endereo MAC das Estaes


um recurso interessante que auxilia a aumentar a segurana e a realizar um
filtro nos access points, permitindo que apenas as estaes que possuam endereo
MAC registrado tenham acesso rede.
Estaes com endereos MAC distintos dos configurados no conseguem acessar
a rede. Esse mecanismo seria muito eficiente se os endereos MAC no pudessem ser
atacados por tcnicas de Spoofing, ou seja, algum trocar o endereo da sua estao
para o endereo de uma estao vlida e ter acesso rede.
Alm disso, esse recurso torna-se invivel se possumos uma rede muito grande
com muitas estaes, em que difcil controlar os endereos MAC de todas as estaes. Imagine o trabalho de cadastrar mquinas de visitantes, ou mesmo novas
mquinas adicionadas rede diariamente.

Wired Equivalent Privacy (WEP)


O WEP nasceu da especificao do padro IEEE 802.11b com o intuito original de
prover o mesmo nvel de confidencialidade que uma rede cabeada tradicional.

152

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

O objetivo do WEP era:


Fornecer confidencialidade aos dados por meio de um algoritmo criptogrfico
de chave secreta;
Ser eficiente, capaz de ser processado rapidamente via software;
Ser exportvel, ou seja, deveria usar uma tcnica de criptografia que permitisse exportar para outros pases alm das fronteiras americanas.
O WEP trabalha com o RC4 da RSA que uma cifra baseada em stream ou fluxo (40
bits de chave + 24 bits de vetor de inicializao). um algoritmo simtrico que usa a
mesma chave para encriptar e decriptar a informao PDU (Protocol Data Unit). Para cada
transmisso o texto claro passa por um XOR com um stream aleatrio baseado na chave
criptogrfica que produz um texto cifrado. O processo inverso usado para decriptao.
O algoritmo opera nos seguintes passos:
Assume que a chave secreta ser distribuda tanto para as estaes que esto
transmitindo com para as que esto recebendo de uma maneira segura.
Na estao que est transmitindo uma chave criptogrfica de 40 bits, concatenada com um vetor de inicializao (IV) de 24 bits produzindo uma semente.
Essa semente gera um stream de dados pseudorrandmico.
Em seguida, realizada uma operao de XOR entre esse fluxo pseudorrandmico e o texto claro para gerar o texto cifrado.
O texto cifrado concatenado com o vetor de inicializao e transmitido.
Quem recebe a mensagem executa os passos reversos, ou seja:
L o vetor de inicializao que recebe junto com a mensagem.
Concatena com a chave secreta, gerando a semente.
O receptor consegue, desta maneira, gerar o mesmo stream pseudorrandmico usado na transmisso.
Em seguida, realiza a operao de XOR com o texto cifrado e o stream,
obtendo o texto claro.
Existe ainda uma proteo de CRC para verifica se no ocorreram erros de
transmisso.

Criptograa em Redes Sem Fio

153

Na Figura 7.1 podemos observar o processo:

Figura 7.1 - Funcionamento do WEP.

Alguns estudos realizados pela Universidade de Berkeley na Califrnia e pela


Universidade de Maryland provaram a existncia de grandes problemas de segurana
com o WEP, demonstrando que ele no adequado para prover privacidade em redes
sem fio em camada de enlace.
O WEP possui algumas vulnerabilidades. A primeira delas que ele trabalha
com um vetor de inicializao muito pequeno, o que o torna ainda mais vulnervel a
ataques que buscam descobrir a chave criptogrfica.
Os ataques passivos consistem em decriptografar o trfego com base em anlises
estatsticas, enquanto os ataques ativos consistem em gerar novo trfego de estaes
estranhas com base em textos claros conhecidos.
Alm disso, todos os usurios de um mesmo access point compartilham a mesma
chave WEP de criptografia.
Os estudos realizados sobre o protocolo WEP demonstraram que ele deveria ser
utilizado em conjunto com outra soluo de criptografia, como IpSec, utilizado muito
para o estabelecimento de VPNs ou mesmo SSH (Secure Shell).

WEP 2
O WEP 2 foi estudado no incio da especificao do IEEE 802.11i e consiste basicamente em ampliar a chave WEP para 128 bits, com o objetivo de dificultar os
ataques de fora bruta.
No WEP 2, o vetor de inicializao continua com 24 bits e a chave com 104 bits. Os
estudos de vulnerabilidade do WEP comprovaram que o WEP 2 tambm ineficiente

154

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

e vulnervel a ataques, tanto assim que o grupo de trabalho do IEEE 802.11i decidiu
abandonar o WEP 2 e partir para a soluo com o WPA2.

WPA
O WPA foi criado pelo consrcio do WiFi em 2003 como uma forma de enderear
as vulnerabilidades do WEP. A primeira implementao do WPA adiciona o TKIP ao
WEP de modo a fornecer um melhor mtodo para gerenciamento de chaves, porm
continuando a utilizar a cifra RC4.
O TKIP (Temporal Key Integrity Protocol) foi inicialmente designado de WEP2,
tendo sido desenvolvido para enderear as ineficincias do WEP. A segurana se inicia
com a criao de uma chave temporal de 128 bits que compartilhada entre todos os
clientes e o access point.
O TKIP combina a chave temporal com o endereo MAC da estao adicionando
16 octetos ao vetor de inicializao para produzir a chave que ir encriptar os dados.
Cada chave temporal trocada a cada 10.000 pacotes. Essa diferena permite um
melhor mtodo para distribuio dinmica de chaves, o que aumenta a segurana.
O WPA foi desenvolvido para trabalhar em dois modos:
WPA Personal: nesse modo uma chave preestabelecida (pre-shared key) deve
ser configurada no access point e nas estaes para iniciar o processo de troca
de chaves.
WPA Enterprise: esse modo utiliza a autenticao IEEE 802.1x, que um
protocolo de autenticao baseado na porta que utiliza EAP (Extensible
Authentication Protocol).

EAP
O EAP disponibiliza um framework de vrios mecanismos de autenticao. So
eles:
EAP-TLS: usa certificados digitais tanto do lado do cliente como do lado do
servidor.
EAP-TTLS: prov autenticao apenas do lado do servidor usando certificados
digitais.
PEAP: muito similar ao EAP-TTLS, trabalhando com autenticao do lado do
servidor.

Criptograa em Redes Sem Fio

155

O EAP trabalha em conjunto com o 802.1x e a autenticao no servidor destino


realizada com protocolo RADIUS.

802.1x
O 802.1x uma especificao que pode ser utilizada tanto em redes cabeadas
como em redes sem fio. Baseia-se no uso do EAP (Extensible Authentication Protocol)
RFC 2284.
A autenticao centralizada em um servidor em que a comunicao ocorre pelo
protocolo RADIUS. O 802.1x em redes sem fio muito utilizado tambm para troca
dinmica de chaves e em processos transparentes de Roaming. A Figura 7.2 apresenta
o processo de autenticao de uma estao na rede com o EAP, usando as duas fases.

Figura 7.2 - Processo de autenticao com o EAP.

O WPA elimina as vulnerabilidades do WEP e estende o algoritmo RC4 do WEP


em quatro novos algoritmos:
Extenso do IV para 48 bits e criao de 248 regras de sequenciamento, o que
equivale a mais de 500 trilhes de nmeros. As regras de sequenciamento
especificam como IVs so selecionados.
Message Integrity Code (MIC), empregado via hardware, realiza troca dos
nmeros de sequencia dos pacotes, deixando os mesmos alteatrios e
evitando ataques de Man in the Middle.
Key Derivation & Distribution.
TKIP (Temporal Key Integrity Protocol), gerando chaves por pacote.

156

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

A Figura 7.3 mostra o processo do WPA agregando o MIC (Message Integrity


Code) ao RC4 como mecanismo para aumentar a segurana.

Figura 7.3 - WPA - Agregao do MIC segurana do RC4.

Vulnerabilidades do WPA com TKIP


O TKIP vulnervel a ataques passivos, uma vez que a chave do WEP facilmente
quebrada. A vantagem que o tempo necessrio para quebrar a chave impede que ela
seja utilizada em um ataque ativo, uma vez que a chave nesse momento j foi trocada.
Existem ainda alguns ataques em que o hacker injeta pacotes no processo do
TKIP de uma forma ativa com sucesso.

Criptograa em Redes Sem Fio

157

WPA2
O WPA2 foi lanado em 2004 pelo consrcio WiFi. Fornece para o uso domstico
e de empresas um alto nvel de proteo aos dados, garantindo que apenas usurios
autorizados tenham acesso s redes. O WPA2 baseia-se na especificao final do IEEE
802.11i, que foi ratificado em junho de 2004. O WPA2 compatvel com o WPA e
inclui o TKIP e o protocolo 802.1x.
O WPA2 utiliza como algoritmo criptogrfico o CCMP, o mais seguro de todos,
que se baseia na especificao final do AES (Advanced Encryption Standard). Esse
algoritmo certificado no mais alto nvel de segurana pelo governo dos Estados
Unidos com o FIPS 140-2.
Como o WPA, o WPA2 usa dois diferentes mtodos de autenticao. Ambos disponibilizam uma soluo para autenticao e encriptao. Todas as solues que
possuem certificao WiFi precisam trabalhar nos dois modos:
WPA2 Personal Mode: oferece uma soluo simples para usurios domsticos e
pequenos escritrios. No modo Personal apenas uma pre-shared key necessria para
autenticao.
WPA2 Enterprise Mode: nesse mtodo usada a autenticao 802.1x com RADIUS.
O mtodo de pr-autenticao facilita as atividades de roaming, uma vez que no
solicitada novamente a senha quando ocorre uma reconexo em um outro access
point da rede. No caso de roaming, a senha fica armazenada em uma rea de cache.
A Tabela 7.1 compara os dois modos do WPA, tanto no WPA1 como no WPA2.
MODO
Personal Mode

Enterprise Mode

WPA

WPA2

Autenticao

Pre Shared Key

IEEE 802.1X/EAP

Encriptao

TKIP/MIC

AES

Autenticao

IEEE 802.1X/EAP

IEEE 802.1X/EAP

Encriptao

TKIP/MIC

AES

Tabela 7.1 - Modos de autenticao.

O WPA2 Personal Mode apropriado para pequenos escritrios e usurios domsticos e no requer a complexidade do 802.1x. Cada dispositivo wireless deve encriptar o trfego de rede usando uma chave de 256 bits (AES), a qual deve ser entrada
com 64 caracteres em hexadecimal ou uma frase secreta de 8 a 63 caracteres ASCII.
Quando se utiliza o modo em caracteres ASCII, a chave de 256 bits calculada
segundo uma funo de derivao de chaves conhecida como PBKDF2. Essa funo

158

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

utiliza como variveis o identificador da rede (SSID) adicionado a 4.096 interaes do


HMAC-SHA1.
A pre-shared key vulnervel a ataques de fora bruta ou de dicionrio, principalmente se a frase secreta for de baixa complexidade. Outro ponto que o identificador da rede, o SSID, no pode estar na relao dos 1.000 mais utilizados.
O WPA2 com o AES a soluo mais segura existente, uma vez que o AES um
algoritmo criptogrfico at hoje inviolvel. Estima-se que seriam necessrios milhares
de anos para quebrar a chave de 256 bits do AES.

Exemplos de Configurao de Criptografia


no Access Point
A seguir, vamos apresentar como configurada a criptografia em trs modelos
de access point:
Linksys da Cisco;
Netgear;
D-Link.

Linksys
O roteador Linksys utilizado para essa configurao foi o modelo WRT54G, um
dos mais comercializados pela Cisco/Linksys no Brasil. A Figura 7.4 apresenta uma
foto desse modelo. um roteador IEEE 802.11b/g.

Figura 7.4 - Roteador Linksys WRT54G. Foto extrada do site www.cisco.com

Criptograa em Redes Sem Fio

159

Na Figura 7.5 podemos observar as portas do equipamento. Esse roteador possui


uma porta WAN para conexo Internet e mais quatro portas do tipo hub para a
conexo de dispositivos cabeados, como impressoras, desktops etc.

Figura 7.5 - Portas do roteador wireless Linksys WRT54G. Foto extrada do site www.cisco.com

Acessando o roteador pela web, Figura 7.6, verificam-se os modos suportados


pelo roteador:
WPA Personal
WPA Enterprise
WPA2 Personal

WPA2 Enterprise
RADIUS
WEP

Figura 7.6 - Modos de configurao de criptografia.

160

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

WPA Personal
Quando selecionamos WPA Personal, Figura 7.7, existe a opo do uso do algoritmo:
TKIP, usando o RC4;
AES.
Observe que mesmo o AES no sendo especificado no WPA, e sim no WPA2, esse
dispositivo permite essa configurao. Alguns fabricantes suportam modos adicionais
ao padro.

Figura 7.7 - Modos de configurao WPA Personal.

Em seguida, deve-se configurar o pre-shared key, ou chave secreta compartilhada.


Neste caso usamos &ric@2010, Figura 7.8.

Figura 7.8 - Configurao da chave compartilhada (pre-shared key).

Criptograa em Redes Sem Fio

161

WPA Enterprise
Na configurao do WPA Enterprise o processo parecido, porm so adicionadas
as opes de configurao do servidor RADIUS, como indica a Figura 7.9. Nessa tela
adicionamos o endereo do servidor RADIUS 192.168.1.100 e a shared key que deve
ser utilizada na autenticao: &ric@2010.

Figura 7.9 - Configurao do servidor RADIUS.

WPA2 Personal
O processo o mesmo do WPA, com as opes de TKIP e AES. Veja na Figura 7.10
a configurao exemplo com AES e a pre-shared key &ric@2010.
Nas telas aparece WPA2 sem o trao (WPA-2), forma padronizada tambm no
texto.

Figura 7.10 - WPA2 Personal.

162

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

WPA2 Enterprise
O processo tambm o mesmo do WPA, adicionando-se o endereo do servidor
RADIUS 192.168.1.100 e a pre-shared key &ric@2010, Figura 7.11.

Figura 7.11 - WPA2 Enterprise.

RADIUS apenas
O roteador da Linksys permite a utilizao do RADIUS para autenticao das estaes em conjunto com WEP. A Figura 7.12 ilustra esse cenrio. A passphrase utilizada para gerar os 128 bits da chave WEP.

Figura 7.12 - Configurao com RADIUS.

Criptograa em Redes Sem Fio

163

WEP
Por ltimo temos a opo de configurao de uma chave WEP. possvel configurarmos o WEP para trabalhar como uma chave de 64 ou 128 bits. Na Figura 7.13 observamos essa configurao. Existe tambm a opo de gerar a chave a partir de um
passphrase, e o usurio precisa definir qual das quatro chaves geradas ser utilizada.

Figura 7.13 - Configurao WEP.

Netgear
O modelo Netgear apresentado na Figura 7.14 o WGR614, que um roteador
IEEE 802.11b/g.

Figura 7.14 - Roteador Netgear WGR614. Foto extrada do site www.netgear.com

164

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Esse roteador similar ao Linksys no que diz respeito ao nmero de portas,


porm possui apenas uma antena.
O Netgear no permite a configurao em modo Enterprise, como observamos
no menu de opes, Figura 7.15.

Figura 7.15 - Menu principal do access point Netgear - acesso web.

WEP
Na configurao WEP precisamos definir o identificador da rede que ser usado
por todas as estaes SSID. Neste caso definimos como Erica, o modo de autenticao open ou shared key, o tamanho da chave WEP 64 ou 128 bits. Em seguida,
precisamos gerar a chave a partir de uma passphrase: &ric@2010. Essa configurao
pode ser verificada na Figura 7.16.

Criptograa em Redes Sem Fio

165

Figura 7.16 - Configurao de WEP no Netgear.

WPA Personal
Na configurao WPA Personal precisamos apenas selecionar a opo de WPA-PSK
(TKIP) e definir a pre-shared key (passphrase), neste caso &ric@2010, Figura 7.17.

Figura 7.17 - Configurao WPA-PSK.

166

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

WPA2 Personal
Na configurao WPA2 Personal precisamos apenas selecionar a opo de
WPA2-PSK (AES) e definir a pre-shared key (passphrase), neste caso &ric@2010.

Figura 7.18 - Configurao WPA2 Personal.

WPA Personal TKIP + WPA2 AES


Esse modo de configurao especfico do Netgear e permite implementar o AES
em conjunto com a facilidade de troca de chaves do TKIP. A Figura 7.19 apresenta essa
configurao.

Figura 7.19 - TKIP + AES.


Criptograa em Redes Sem Fio

167

D-Link
O modelo D-Link apresentado na Figura 7.20 o DI-524, que um roteador IEEE
802.11b/g.

Figura 7.20 - Roteador D-Link DI-524. Foto extrada do site www.dlink.com

O roteador D-Link muito similar aos anteriores. Possui uma porta WAN para
conexo Internet e quatro portas do modo hub para conexo de mquinas cabeadas.
Na Figura 7.21 podemos observar os modos de configurao do roteador.

Figura 7.21 - Configurao do roteador D-Link.

168

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

WPA Enterprise
Para a configurao do WPA Enterprise selecionamos a opo WPA, em seguida
definimos o endereo do servidor RADIUS e a pre-shared key, como indica a Figura 7.22.

Figura 7.22 - Configurao WPA D-Link.

WPA Personal
Para a configurao do WPA Personal definimos a pre-shared key que ser usada
entre o access point e as estaes de trabalho. Essa configurao pode ser conferida
na Figura 7.23.

Figura 7.23 - Configurao do WPA Personal.


Criptograa em Redes Sem Fio

169

WPA2 Enterprise
Na configurao do WPA2 enterprise precisamos definir o endereo do servidor
RADIUS e a shared secret que ser utilizada. Veja essa configurao na Figura 7.24.

Figura 7.24 - Configurao do WPA2 Enterprise.

WPA2 Personal
Para a configurao do WPA2 Personal definimos a pre-shared key que vai ser
usada entre o access point e as estaes de trabalho. Essa configurao pode ser
observada na Figura 7.25.

Figura 7.25 - Configurao do WPA2 Personal.

170

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

WEP
Na configurao WEP precisamos apenas adicionar a chave de 64 ou 128 bits,
conforme a Figura 7.26.

Figura 7.26 - Configurao WEP.

Resumo do Captulo 7
Este captulo apresentou os mtodos usados para garantia de privacidade dos dados na
rede sem fio, desde senhas de identificao de redes, como o SSID, at a aplicao da criptografia WEP, AES e dos mtodos de autenticao WPA e WPA2. Concluindo o captulo,
foram mostradas as telas de configuraes desses parametros em trs modelos de access
points: Linksys, Netgear e D-Link.

Criptograa em Redes Sem Fio

171

Qual informao enviada no header de cada pacote e identifica a rede


sem fio?
a. Chave WEP
b. Vetor de inicializao
c. Pre-shared key
d. SSID

2.

Qual o algoritmo mais seguro?


a. WEP-64
b. WEP-128
c. AES
d. RC4

3.

Qual a vantagem do WPA Enterprise?


a. Uso de senha compartilhada.
b. Usurios podem ser autenticados em um servidor 802.1x.
c. Utiliza o 802.1x com EAP e os usurios so autenticados no servidor
RADIUS.
d. mais utilizado em residncias e pequenas empresas.

4.

Quanto filtragem de MAC Address:


a. o mtodo mais seguro, pois os MAC address so protegidos.
b. Ajuda, porm passvel de MAC Address spoffing.
c. obrigatria para uso com WEP.
d. definida no WPA2

5.

Qual o mtodo especificado do WPA?


a. CKIP
b. AES
c. WEP
d. TKIP

172

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Exerccios

1.

Exerccios

6.

O que MIC?
a. Message Industry Code
b. Especificado pelo AES
c. Message Integrity Code
d. WPA

7.

O AES uma cifra:


a. Em bloco assimtrica
b. Em bloco simtrica de 64 bits
c. Em bloco simtrica de 256 bits
d. Em stream de 128 bits

8.

Quais os modos extras de configurao do Linksys?


a. RADIUS e WPA2
b. RADIUS e AES com WPA2
c. WPA com AES e RADIUS
d. SSID control

9.

Qual o modo no suportado no roteador Netgear?


a. WEP
b. WPA Enterprise
c. WPA2 Personal
d. WPA2 Enterprise

10. Qual a diferena do roteador Linksys apresentado?


a. Quantidade de portas
b. Perfomance
c. Nmero de antenas
d. Fonte 110-220 volts

Criptograa em Redes Sem Fio

173

Anotaes
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
174

Captulo 8

Principais Ameaas e
Ataques Rede sem Fio

s redes Wireless usam


como meio de transmisso o ar, que traz como vantagem a
mobilidade, porm gera o inconveniente de as
transmisses de rdio poderem ser interceptadas.
Podemos imaginar a transmisso de rede sem fio como
um grande hub que retransmite os sinais para todas as estaes
que possuem uma interface de rede sem fio.
O Wireless tambm expande o permetro de rede da empresa. O que
antes era um ambiente de rede controlado, centralizado e cabeado acaba se
tornando um desafio de segurana, uma vez que o permetro da rede da empresa
pode alcanar em alguns casos at mais de um quilmetro, desde que a tcnica de
interceptao de sinais adequada seja utilizada.
nesse ambiente que confiamos os dados privados e confidenciais de nossas empresas, dados pessoais, dos cartes de crdito e de contas bancrias. Como garantir
a integridade e a privacidade dos dados nesse ambiente?
Para isso, preciso garantir a implementao de um ambiente seguro com criptografia de chave forte, porm antes disso deve-se entender as reais ameaas que nos
afetam.

War Driving
Em 2001, hackers independentes criaram o Worldwide War Driving, cuja ideia era
mapear no mundo as redes sem fio encontradas, e principalmente aquelas que no
apresentavam o mnimo de segurana, representando redes de livre acesso Internet
e sem controle.
Essa iniciativa vingou at o ano de 2005. Na Tabela 8.1 podemos observar os
dados publicados no ano de 2004.
Categoria

Total

Alterao WWD 3

Total de AP

228.537

100

N/A

Com criptografia WEP

87.647

38.30

+6.04

Sem criptografia WEP

140.890

61.6

-6.04

SSID Default

71.805

31.4

+3.57

SSID Default e sem WEP

62.859

27.5

+2.74

Tabela 8.1 - Worldwide War Driving.

Embora os nmeros no sejam atuais, observa-se na tabela que 61,6% das redes
no implementavam nenhum tipo de criptografia. Alm disso, 27,5% das redes, alm
de no implementarem a criptografia, possuam SSID Default. Isso indica que quase
nenhuma configurao foi feita com o roteador Wireless.
O War Driving normalmente realizado a p ou de carro. Nos anos de 2004
a 2006, era comum encontrar no Vale do Silcio, Califrnia, marcaes com giz
nas caladas que indicavam redes sem fio sem proteo, o que foi chamado de
warchalking. Podemos observar as marcaes realizadas nas caladas na Figura 8.1.

Figura 8.1 - Warchalking. Fonte: www.worldwidewardriving.com

176

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Os hackers desenvolveram a simbologia mostrada na Figura 8.1, em que o smbolo


)( representa uma rede aberta. Na parte de cima o hacker colocava o nome do SSID,
ao lado o padro da rede IEEE 802.11 a, b ou g e abaixo a velocidade com que era
possvel conectar-se naquele ponto.
A Figura 8.2 exibe um War Driving em que o hacker monta uma antena especial,
mais o computador e o GPS para armazenar os pontos que se encontram em uma rede
sem fio.

Figura 8.2 - War Driving. Foto extrada do site http://wiki.wifi.ee/index.php/Wardriving (Wikipdia)

Os hackers podem utilizar antenas de alto ganho desenvolvidas com uma simples
lata com revestimento interno de alumnio, a qual permite captar o sinal de redes sem
fio a at alguns quilmetros do ponto de recepo. Para que essa atividade seja bem-sucedida, interessante que o hacker faa uso de um trip, pois havendo qualquer
variao pequena de ngulo, o sinal pode se perder.
A ideia do War Driving identificar os pontos de acesso, a partir dos quais o
hacker pode realizar um scanning do trfego, ou seja, capturar os pacotes que esto
sendo trocados na rede sem fio.
Se a rede no possui criptografia, o hacker consegue ler claramente os pacotes
trocados, o que representa um risco privacidade. Caso os dados estejam criptografados, o hacker pode usar algumas ferramentas para quebrar as chaves, fundamentalmente chaves WEP. Nessa linha existem dois ataques que podem ser desenvolvidos:
Ataque ativo: o hacker descobre a chave criptogrfica e configura sua estao
para fazer parte da rede.
Ataque passivo: o hacker apenas captura os pacotes e os decriptografa com o
intuito de descobrir os dados trafegados pela rede.

Principais Ameaas e Ataques Rede sem Fio

177

Interceptao de Sinal
Esse ataque contra a confidencialidade dos dados transmitidos pela rede. As
redes sem fio, por sua natureza, irradiam todos os dados no ar, o que torna impossvel
o controle de quem recebe o sinal. Esta a maior ameaa rede sem fio, uma vez
que essa interceptao pode ser realizada a distncias muito grandes com o uso de
antenas que no requerem muito conhecimento para a montagem. Na Figura 8.3
podemos observar antenas caseiras de alto ganho desenvolvidas pelos hackers.

Figura 8.3 - Antenas caseiras de alto ganho. Foto extrada do site www.wardriving.org

Ferramentas Usadas para War Driving


NetStumbler
A ferramenta mais conhecida para a realizao do War Driving o NetStumbler,
Figura 8.4. Constitui uma interface que permite identificar redes sem fio que esto
realizando broadcast do SSID (identificador da rede). O NetStumbler permite identificar o nvel de sinal, o canal da rede sem fio utilizado pela rede, os MAC Address das
estaes e o tipo de criptografia utilizado.

Figura 8.4 - Descoberta de redes com o NetStumbler.

178

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

O NetStumbler tambm possibilita verificar o nvel de intensidade de sinal de um


access point. Acompanhe na Figura 8.5.

Figura 8.5 - Nvel do sinal com NetStumbler.

Outra ferramenta muito utilizada para este fim o AirSnort, que captura pacotes
na rede sem fio e realiza o processo de quebra da chave WEP. Embora seja uma ferramenta muito antiga, ela consegue detectar redes com chaves WEP de at 128 bits e
quebr-las. A Figura 8.6 mostra a tela principal do AirSnort.

Figura 8.6 - AirSnort.

Principais Ameaas e Ataques Rede sem Fio

179

Kismet
Kismet uma ferramenta utilizada em ambiente Linux que permite fazer o reconhecimento e a identificao de redes sem fio, inclusive de redes vulnerveis, ou
seja, que esto configuradas apenas com WEP. Inicialmente o programa realiza uma
captura e logo em seguida, no console, podem ser visualizados os pacotes capturados
e os dados das redes identificadas. A Figura 8.7 exibe a tela do Kismet com os dados
de SSID, canal da rede e o tipo de criptografia utilizado.

Figura 8.7 - Kismet.

Quebra de Chaves WEP


A forma mais simples de quebrar a chave WEP usar duas ferramentas baseadas
em software livre, a saber:
Airodump-ng: capaz de capturar trfego de redes sem fio. Para que essa ferramenta funcione, necessria uma interface de rede sem fio trabalhando em
modo monitorao.
Aircrack-ng: capaz de quebrar a chave WEP a partir de uma captura gerada
pelo Airodump.

Airodump-ng
Airodump um software baseado em Linux que captura pacotes que podem ser
utilizados para quebrar as chaves da rede sem fio. O Airodump-ng tambm identifica
o MAC Address do access point, o nvel do sinal, o canal que est sendo utilizado, a
velocidade, o tipo de criptografia e o SSID da rede.
180

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

A Figura 8.8 destaca o exemplo de uma captura com o Airodump-ng. Para recuperar a chave dessas redes, necessrio focar o trabalho apenas nas redes que
possuam chave WEP.

Figura 8.8 - Airodump-ng.

Aircrack-ng
O Aircrack-ng um programa baseado em distribuio Linux. A partir de uma
captura gerada pelo Airodump, ele capaz de quebrar a chave WEP utilizada. Na
Figura 8.9 a ferramenta executa um ataque de fora bruta na chave WEP.

Figura 8.9 - Aircrack-ng realizando ataque de fora bruta.

Principais Ameaas e Ataques Rede sem Fio

181

A Figura 8.10 exibe o resultado com a chave quebrada j apresentada. Nessa


simulao usamos uma chave de 64 bits, que foi quebrada em apenas 15 segundos.

Figura 8.10 - Resultado do processo e a chave WEP utilizada.

Existem alguns ataques produtividade das redes sem fio, os quais so direcionados disponibilidade do servio.

Gerix
O Gerix uma ferramenta presente na distribuio de segurana Backtrack. Ele
agrega a uma interface amigvel um conjunto de ferramentas necessrias para quebrar
a segurana da rede sem fio, destacando-se o Aircrack-ng, Airodump-ng e outras ferramentas, como Aireplay-ng, para injetar pacotes em uma conexo de rede sem fio.

Figura 8.11

182

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Negao de Servio
O ataque de negao de servio consiste em realizar inundao de pacotes na
rede sem fio, afetando a disponibilidade dos recursos de rede. Devido natureza da
rede sem fio, ela vulnervel a ataques de negao de servio, ainda mais porque as
taxas de transmisso so relativamente baixas se comparadas com as redes cabeadas
a Gigabit Ethernet.
Outra forma de gerar o ataque de negao de servio por um rdio que emite
interferncia na frequncia da rede sem fio, prejudicando diretamente os canais de
comunicao.
Existem outras fontes de interferncia na rede sem fio, como o aparelho de
micro-ondas e telefones sem fio que trabalham na frequncia de 2.4 GHz.
A Figura 8.12 apresenta a interferncia por sistemas que trabalham em 2.4 GHz.

Figura 8.12 - Negao de servio (DoS) gerador de interferncia.

Existem algumas ferramentas que permitem criar uma inundao de pacotes na


rede sem fio com o objetivo de gerar indisponibilidade, como a AirDrop-ng, explicada
a seguir.

AirDrop-ng
Essa ferramenta derruba estaes da rede sem fio injetando pacotes na rede. A
Figura 8.13 ilustra essa situao.

Principais Ameaas e Ataques Rede sem Fio

183

Figura 8.13 - AirDrop-ng injetando pacotes na rede.

DoS por Rdio Via Frequency Jammers


Existem ainda equipamentos que permitem gerar interferncia na faixa de frequncia de 2.4 GHz, os quais so conhecidos como frequency jammers.
Basicamente consiste em um rdio sintonizado na frequncia de 2.4 GHz que
gera sinais, interferindo em todo o espectro e tornando todas as rede que operam
nessa faixa indisponveis. Na Figura 8.14 podemos observar um frequency jammer.

Figura 8.14 - Frequency jammer. Foto extrada de http://www.stopshop.co.za/

184

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Man in the Middle Attack


O ataque Man in the Middle, ou homem no meio, pode ser realizado tanto em
redes cabeadas como em redes sem fio. uma forma ativa de interceptao dos dados
na qual o hacker captura os dados das conexes entre o access point e as estaes e
controla os dados que esto sendo trocados nessa conexo, permitindo inclusive que
o hacker injete pacotes na seo que j est ativa. Esto sujeitas a esses ataques as
redes configuradas com WEP 64 e 128, porque a chave pode ser facilmente quebrada
e usada na configurao do Man in the Middle, e redes que no possuem criptografia.
O hacker consegue executar esse tipo de ataque porque deixa a interface em
modo promscuo, o que permite capturar pacotes destinados sua interface ou
qualquer outra na rede. Com esse ataque o hacker intercepta dados como senhas,
cookies e interfere na conexo ativa. Logicamente, como se o hacker estivesse no
meio da conexo. Usando tcnicas de ARP Spoofing, ele engana a mquina da rede
wireless, fazendo parecer que o MAC Address do hacker o do access point. O mesmo
feito com o access point, que pensa que sofre tambm ARP Spoofing e envia os
pacotes para a mquina do hacker em vez de enviar para a estao destino.
Desta maneira, a mquina do hacker atua como se fosse um proxy em que as
mensagens podem ser interceptadas e alteradas. A Figura 8.15 apresenta o Man in the
Middle em redes sem fio.

Figura 8.15 - Ataque Man in the Middle.

Principais Ameaas e Ataques Rede sem Fio

185

Evil Twins
Evil Twins um termo usado para designar um access point falso que se passa por
um access point legtimo.
O objetivo do Evil Twins que as mquinas da rede sem fio inadvertidamente se
conectem ao access point falso, achando que se trata da rede legtima. Normalmente
o hacker monta uma pgina web de autenticao que solicita ao usurio seu nome e
senha para acessar a rede.
Desta forma, o hacker consegue capturar centenas de senhas com apenas poucas
horas de conexo de um Evil Twins. Os hackers normalmente fazem uso de aeroportos e hotspots pblicos para acionar o access point falso.
O sistema muito simples e normalmente requer apenas um notebook com interface wireless configurada no modo Basic Service Set. A soluo para Evil Twins
a utilizao de criptografia e certificados digitais nos sistemas de autenticao em
hotspots, desde que, claro, o usurio perceba que no foi enganado e no se conectou a um servidor inseguro.
A Figura 8.16 apresenta o cenrio do Evil Twins.

Figura 8.16 - Evil Twins.

Resumo do Captulo 8
Este captulo introduziu as ameaas e vulnerabilidades das redes sem fio, desde o conhecido
mtodo de War Driving e warchalking, as antenas usadas para esses ataques, destacando
importantes ferramentas, como NetStumbler, Kismet e outras de distribuio de segurana
Backtrack: Airodump-ng, Aircrack-ng e AirDrop-ng. Mostrou os ataques de negao de
servio, Man in the Middle e Evil Twins.

186

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Exerccios

1.

O que significa o smbolo )( no warchalking?


a. Rede que faz broadcast de SSID
b. Rede fechada com WEP
c. Rede sem criptografia aberta
d. Rede com AES

2.

Qual o software usado para quebrar chaves WEP?


a. Airodump
b. AirDrop
c. Bitget
d. Aircrack

3.

Como possvel capturar o trfego de redes sem fio a mais de dois quilmetros?
a. Com o uso de um amplificador de sinal.
b. Com o uso de uma antena Yagi.
c. Com uma antena adaptada feita de uma latinha com revestimento
interno de alumnio.
d. Atravs da rede campus.

4.

Quais as chaves possveis de serem quebradas com o Aircrack?


a. AES-128
b. AES-64
c. WEP-256
d. WEP-128

5.

Qual a melhor distribuio Linux para testes de invaso em redes sem


fio?
a. Knoppix
b. Ubantu
c. Backtrack
d. Redhat

Principais Ameaas e Ataques Rede sem Fio

187

Qual dos equipamentos seguintes pode ser usado para gerar interferncia na rede sem fio 802.11g?
a. Telefone celular
b. Telefone sem fio a 5.8 GHz
c. Forno de micro-ondas
d. Traffic Jammer GPS

7.

Qual funcionalidade no est disponvel no NetStumbler?


a. Descobrir os SSIDs
b. Descobrir as estaes
c. Medir o nvel de intensidade dos sinais
d. Quebrar as chaves WEP

8.

O que necessrio para snifar ou interceptar a rede?


a. Uma mquina com interface de rede apenas
b. Um software de sniffing apenas
c. Uma mquina com interface wireless em modo promscuo
d. Um access point

9.

Por que to simples snifar ou interceptar uma rede sem fio?


a. Porque existem muitos softwares no mercado.
b. Porque o ar um meio fsico compartilhado.
c. Porque todos trabalham na mesma frequncia de 8 GHz.
d. Porque no um meio seguro.

188

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Exerccios

6.

Captulo 9
Implementao de VPN
em Redes sem Fio Firewalls, IDS e IPS

xistem alguns cenrios em que no


possvel a implementao de
algoritmos criptogrficos seguros diretamente nas interfaces de redes sem fio,
porque a empresa j possui um legado de equipamentos que no suportam o WPA2 com criptografia
AES, somente a criptografia WEP que, como j discutimos
neste livro, vulnervel a ataques de quebra de chave.
Qual seria a soluo?
A soluo seria tratarmos a criptografia em camadas superiores do modelo
OSI, como a camada 3 de Rede ou a camada 4 de Transporte. Para isso, necessrio
usar aplicativos especficos para este fim nas estaes de redes sem fio e nos servidores. Esses aplicativos muitas vezes j so nativos do sistema operacional, como
no caso do Windows, e permitem criar o que se conhece como VPN (Virtual Private
Network), ou uma Rede Privada Virtual.
A VPN implementa uma camada de criptografia com protocolos seguros
aplicao, permitindo que a comunicao entre as estaes de rede sem fio e os servidores ocorra de forma segura. A VPN executa risca os conceitos de segurana da
informao:
Confidencialidade dos dados;
Garantia de integridade;
Autenticao de usurios.

A forma mais simples de implementar uma VPN trabalhar com uma tecnologia
padro de mercado como o IP Sec, ou IP Seguro.
A estratgia montar a rede com todo o aparato de segurana suportado nas
placas de access points, como WEP, filtragem de MAC Address e, se ela suportar, o
WPA com TKIP. Em seguida, implementa-se essa camada adicional de proteo com
VPN.
Para a implementao dessa VPN, vamos precisar de um servidor que seja o concentrador de VPN ou Firewall, onde o tnel de criptografia vai terminar, e instalar
clientes IP Sec nas estaes. A Figura 9.1 apresenta esse cenrio.

Figura 9.1 - Rede sem fio com VPN IPSec.

O prximo passo compreender o IPSec e os recursos que garantem a confiabilidade e a confidencialidade da VPN.

IPSec
Com base na RFC 2401, o IPSec foi implementado para operar tanto num ambiente de estao do usurio como em gateway (roteador, concentrador etc.), garantindo a proteo para o trfego IP, a qual se baseia nas necessidades da poltica de
segurana estabelecida e mantida pelo usurio ou administrador do sistema.
O IPSec um protocolo de tunelamento desenhado tanto para IPv4 como IPv6, e
disponibiliza segurana fim a fim entre redes IP.

190

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

O IPSec disponibiliza mecanismos de segurana e criptografia na camada IP.


Basicamente os seguintes servios esto disponibilizados:
Integridade dos dados: os pacotes so protegidos contra modificao acidental ou deliberada.
Autenticao: a origem de um pacote IP autenticada criptograficamente.
Confidencialidade: a parte til de um pacote IP ou o prprio pacote IP pode
ser criptografado.
Antirreplay: o trfego IP protegido por um nmero de sequncia que pode
ser usado pelo destino para prevenir ataques do tipo replay (que repete a
mesma sequncia antes enviada).
Ele permite a interoperabilidade de implementaes de diferentes fabricantes e
uma soluo de segurana fim a fim entre roteadores, firewalls, estaes de trabalho
e servidores. O IPSec se integra com a pilha TCP/IP, tornando-se transparente para
todas as aplicaes, ou seja, no h necessidade de executar nenhuma alterao nos
sistemas existentes para aplicao do IPSec.
O IPSec utiliza criptografia simtrica, devido rapidez do mecanismo para encriptar os dados, e criptografia assimtrica para prover mecanismos de troca de
chaves criptogrficas. Os algoritmos de hashing no IPSec geram hashings de tamanho
de 128 ou 160 bits.
Algoritmos suportados pelo IPSec:
Criptografia: AES, DES, 3DES, RC5, IDEA, CAST e Blowfish
Hashing: MD5, SHA-1 e Tiger
Autenticao: assinaturas digitais RSA e DSS.

Associao de Segurana
um acordo entre os dois pontos da comunicao para negociao de parmetros do tnel IPSec. Esse acordo deve ser estabelecido antes da criao do tnel
IPSec.
Entre os mesmos dois pontos podem existir mltiplas associaes de segurana,
as quais ficam armazenadas na SPD (Security Policy Database), ou base de dados da
poltica de segurana, e na SAD (Security Association Database). Cada associao de
segurana possui seu identificador nico reconhecido pelo SPI (Security Parameter
Index).

Implementao de VPN em Redes sem Fio - Firewalls, IDS e IPS

191

Na associao de segurana so negociados os seguintes mecanismos:


Modo do tnel IPSec: ESP ou AH;
Algoritmo de criptografia;
Mtodo de autenticao;
Funo de Hashing;
Mtodo de autenticao do usurio: RADIUS, SecurID;
Escolha das chaves criptogrficas e de autenticao.

Base de Dados da Associao de Segurana (SAD)


Base de dados dinmica que contm todas as associaes de segurana em uso.
Ela possui os seguintes campos:
Endereo IP destino;
Protocolo usado no tnel IPSec;
SPI (identificador da associao de segurana);
Nmero de sequncia;
Janela antirreplay;
Parmetros do AH;
Parmetros do ESP;
Modo;
Tempo de vida da associao de segurana.
Na base SAD esto os parmetros negociados. So eles:
Algoritmo de autenticao AH e chaves;
Algoritmo de autenticao ESP e chaves;
Tempo de vida da associao de segurana;
Modo, que pode ser tnel ou transporte.

192

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Base de Dados da Poltica de Segurana (SPD)


Ela deve ser consultada no processamento de todo o trfego de entrada e sada,
pois define se o pacote deve ser descartado e se ser aplicado o IPSec. Essa base
possui os seguintes campos:
Endereo IP origem e destino;
Porta origem e destino;
Nome;
Nvel de sensibilidade dos dados;
Protocolo da camada de Transporte.
A SPD especifica os servios de segurana que devem ser oferecidos ao pacote
IP. Cada entrada nessa tabela indica se o trfego deve ou no ser descartado e se
est sujeito a processamento IPSec. Caso esteja, o SPD define o servio que deve ser
provido: protocolos de segurana, modo do protocolo, servios de autenticao ou
encriptao e algoritmos de encriptao ou autenticao.
A Figura 9.2 apresenta os tipos existentes de associao de segurana SA; j a
Figura 9.3 mostra o pacote IPSec com os cabealhos envolvidos.

Figura 9.2 - Tipos de associao de segurana.

Implementao de VPN em Redes sem Fio - Firewalls, IDS e IPS

193

Figura 9.3 - Pacote IPSec com os cabealhos envolvidos.

Estabelecimento da Associao de Segurana


O estabelecimento da associao de segurana pode ser gerenciado manual ou
automaticamente.

Estabelecimento Automtico
Neste caso, o processo executado com mecanismos de troca de chaves criptogrficas, como ISAKMP ou IKE. O processo dinmico melhor para grandes corporaes.

Estabelecimento Manual
Definido na base de estao para estao, mais simples e melhor para pequenas
corporaes.

Internet Key Exchange (IKE) - Algoritmo de Troca de Chaves


Padronizado pela RFC 2409, usado para negociar e prover mecanismos de autenticao de chaves para associaes de segurana (SA). um protocolo hbrido que
utiliza o ISAKMP (RFC 2408) e o Oakley (RFC 2412).

194

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

O propsito do IKE negociar e prover segurana para as associaes de segurana IPSec. Os pacotes IKE so transportados por UDP e a porta de origem e
destino a 500.
O protocolo IKE define duas fases:
Fase 1: para definir com confiana uma associao de segurana IP, os dois
pontos devem inicialmente estabelecer um canal seguro, sendo necessrio:
acordar o mtodo de autenticao;
selecionar os algoritmos de autenticao e encriptao;
trocar as chaves;
verificar as identidades de cada uma das partes.
O canal de segurana determinado a partir de uma associao de segurana
chamada ISAKMP. uma poltica compartilhada e preestabelecida usada pelos
dois pontos para a troca de chaves da futura negociao da associao de
segurana IPSec.
Fase 2: a associao de segurana negociada uma vez que o canal seguro
ISAMKP foi estabelecido. Todo o pacote trocado na fase 2 autenticado e
encriptado de acordo com as chaves e algoritmos definidos na fase anterior.
Quem inicia pode enviar propostas para uma ou mais associaes de segurana. Veja a Figura 9.6.
A primeira fase complexa e requer muito recurso de CPU das duas mquinas que
esto estabelecendo a associao de segurana. A segunda fase menos complexa
e ocorre mais frequentemente que a primeira fase. Uma nica fase 1 pode ser usada
para negociao de vrias fases 2 no processo de associao de segurana.

Modos do IKE (Internet Key Exchange)


Principal: usado para negociar a fase 1 da associao de segurana ISAKMP,
com base na troca de chaves autenticadas usando Diffie-Hellman, garantindo
a proteo da identidade das partes. Esse mecanismo eficiente para a troca
de chaves criptogrficas. Existem dois mtodos para completar a fase 1:
Modo principal: nesse modo a negociao utiliza seis mensagens. As primeiras duas mensagens so usadas para negociar a poltica, as prximas
duas para definir a troca das chaves pblicas via Diffie-Hellman e as ltimas
para autenticao das partes. Observe a Figura 9.4.

Implementao de VPN em Redes sem Fio - Firewalls, IDS e IPS

195

Figura 9.4 - IKE fase 1 - Modo principal.

Modo agressivo: nesse modo o servio disponibilizado como no modelo


principal, porm apenas dois ou trs pacotes so usados para completar
a fase 1, em vez de seis como no modo principal. A primeira mensagem
negocia a poltica e determina a identidade das partes, a segunda autentica
quem recebe a mensagem e a terceira autentica quem a envia, Figura 9.5.

Figura 9.5 - IKE fase 1 - Modo agressivo.

196

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Figura 9.6 - IKE fase 2 - Modo rpido.

IKE - Gerao de Chaves


Os dois pontos que esto executando a comunicao devem trocar suas chaves
pblicas. Uma chave compartilhada ento criada usando a chave secreta de quem
est criando e a chave pblica recm-recebida.
A chave compartilhada usada para a criao de trs chaves adicionais:
Chave de derivao (usada para gerar chaves no modo rpido);
Chave de autenticao;
Chave de encriptao.
As novas chaves de autenticao e encriptao trocam informaes adicionais na
fase 1.
Cada ponta gera localmente uma chave usando Diffie-Hellman. Veja em detalhes
no captulo 5.

Ataque Homem no Meio


O processo de troca de chaves pode ser interceptado por um terceiro. As chaves
pblicas so ento substitudas no trnsito e toda a comunicao interceptada,
sendo realizado um processo de spoffing, mascarando o endereo do hacker. A Figura
9.7 apresenta o mecanismo do ataque homem no meio.

Implementao de VPN em Redes sem Fio - Firewalls, IDS e IPS

197

Figura 9.7 - Ataque homem no meio.

Gerao do MAC
O MAC torna possvel verificar a integridade dos dados e a autoria usando uma
combinao de sistemas de criptografia simtricos e assimtricos. O MAC computado de diferentes maneiras de acordo com o mtodo de autenticao.

Protocolos de Segurana do IPSec


O padro IPSec define dois protocolos de segurana:
AH (Authentication Header), ou simplesmente cabealho autenticado;
ESP (Encapsulating Security Payload), ou simplesmente encapsulamento de
segurana da parte dos dados transmitidos no pacote, que garante tambm
integridade, servios de antirreplay e confidencialidade, ou seja, a criptografia
que o AH no disponibiliza.
A forma correta utilizar uma combinao de AH e ESP.

Authentication Header (AH) - Cabealho Autenticado


A autenticao do cabealho baseada na posse da chave pblica e garante:
integridade;
autenticao da origem;
opcionalmente servios de antirreplay.

198

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

No modo transporte o AH inserido aps o cabealho IP. Esse protocolo sozinho


no garante a confidencialidade dos dados, pois no suporta criptografia. A Figura 9.8
mostra onde o AH encaixado no pacote.

Figura 9.8 - Incluso do AH no pacote IP.

Formato do Pacote AH
Prximo cabealho: tipo de dados diretamente seguido pelo cabealho de
autenticao.
Tamanho dos dados: esse campo define o tamanho do pacote AH.
Reservado: 16 bits reservados para uso futuro, atualmente setado em 0.
Security Parameters Index (SPI): esse ndice usado para identificar a associao de segurana correta.
Nmero de sequncia: usado para evitar antirreplay.
Dados de autenticao: contm Integrity Check Value (ICV) e deve suportar
algoritmo MD5 e SHA-1.
A Figura 9.9 apresenta o formato do pacote AH.

Figura 9.9 - Formato do pacote AH.

Implementao de VPN em Redes sem Fio - Firewalls, IDS e IPS

199

Encapsulating Security Payload (ESP) - Encapsulamento Seguro


Esse protocolo permite o uso de vrios servios de segurana:
Confidencialidade (opcional);
Integridade de dados;
Autenticao da origem (opcional);
Servio de antirreplay (opcional).
Na Figura 9.10 podemos verificar onde o ESP se encaixa no pacote IP tradicional.

Figura 9.10 - Incluso do cabealho ESP no pacote IP.

Formato do Pacote ESP


SPI: usado para identificar a correta associao de segurana.
Nmero de sequncia: incrementado para detectar antirreplay.
Dados: contm os dados do pacote IP a serem transmitidos.
Prximo cabealho: identifica o tipo de dados contido no campo de dados.
Dados de autenticao: contm os valores de autenticao computados em
todo pacote ESP.
A Figura 9.11 ilustra o formato do pacote ESP.

Figura 9.11 - Formato do pacote ESP.

200

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

IPSec - Modo Transporte e Modo Tnel


No modo tnel um cabealho adicional includo no pacote original, existindo,
portanto, dois endereos, sendo o do tnel e o do pacote IPSec, como observamos
na Figura 9.12.

Figura 9.12 - Novo cabealho no pacote IPSec modo tnel.

O pacote original torna-se a parte de dados do pacote novo. Os endereos do


tnel e do pacote original no precisam ser os mesmos. A vantagem do modo tnel
a completa proteo dos datagramas encapsulados e a possibilidade do uso de endereamentos distintos.

Modo Transporte
Nesse modo o cabealho mantido intacto, e o cabealho do protocolo de segurana colocado aps o cabealho original. Veja a Figura 9.13.

Figura 9.13 - Novo cabealho do modo transporte do IPSec.

Servio de Antirreplay do IPSec


Oferecido opcionalmente no AH e ESP, usa um nmero de sequncia de 32 bits.
O contador incrementado cada vez que um pacote enviado. Quem recebe verifica
cada nmero de sequncia para evitar que os pacotes no estejam duplicados.
Em seguida, listamos as RFCs que definem o padro IPSec:
RFC 1828: Autenticao do IP usando MD5
RFC 1829: The ESP DES-CBC Transform
RFC 1851: The ESP Triple DES Transform (status experimental)
RFC 2085: HMAC-MD5 IP Authentication with Replay Prevention - Feb 97
RFC 2104: HMAC: Keyed-Hashing for Message Authentication - Feb 97
RFC 2401: Security Architecture for the Internet Protocol - Nov 98

Implementao de VPN em Redes sem Fio - Firewalls, IDS e IPS

201

RFC 2402: IP Authentication Header - Nov 98


RFC 2403: The Use of HMAC-MD5-96 within ESP and AH - Nov 98
RFC 2404: The Use of HMAC-SHA-1-96 within ESP and AH - Nov 98
RFC 2405: The ESP DES-CBC Cipher Algorithm With Explicit IV - Nov 98
RFC 2406: IP Encapsulating Security Payload (ESP) - Nov 98
RFC 2407: The Internet IP Security Domain of Interpretation for ISAKMP - Nov 98
RFC 2408: Internet Security Association and Key Management Protocol
(ISAKMP) - Nov 98
RFC 2409: The Internet Key Exchange (IKE) - Nov 98
RFC 2410: The NULL Encryption Algorithm and Its Use With IPSec - Nov 98
RFC 2411: IP Security Document Roadmap
RFC 2412: The OAKLEY Key Determination Protocol - Nov 98
RFC 2451: The ESP CBC-Mode Cipher Algorithms - Nov 98

Firewalls
Os firewalls podem desempenhar o papel de concentradores de VPN na rede sem
fio e ainda serem utilizados para proteger o acesso da Internet para as redes sem fio
e corporativa. Ele ainda protege o permetro da rede sem fio, ou seja, impede que
algum hacker que consiga comprometer a segurana da rede sem fio acesse a rede
corporativa da empresa.
Os access points tradicionais tm recursos muito simples de firewall, o qual na
maioria das vezes no passa de um simples ACL, entretanto alguns firewalls possuem
placas de redes Wireless, funcionando na verdade como um access point na rede sem
fio e fornecendo todo o recurso de segurana existente em um firewall. Um exemplo
o equipamento da SonicWall mostrado na Figura 9.14.

Figura 9.14 - Firewall Wireless da SonicWall. Foto extrada de www.sonicwall.com

202

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

O que na verdade um firewall?


O firewall ou parede de fogo um sistema que atua como ponto nico de
defesa entre a rede privada e a rede pblica. Ele pode ainda controlar o trfego entre
as sub-redes de uma rede privada. Basicamente todo o trfego de entrada e sada da
rede deve passar obrigatoriamente por esse sistema de segurana. O firewall pode
autorizar, negar, alm de registrar tudo o que est passando por ele.
Embora existam muitos programas vendidos com a denominao firewall, um
firewall no um programa e sim um conjunto de recursos de hardware e de software
destinados a garantir a segurana da rede.
Principais funes:
Estabelecer um permetro de segurana;
Separar as redes e controlar os acessos;
Ser um elemento central de controle e aplicao de polticas de segurana;
Proteger sistemas vulnerveis na rede;
Aumentar a privacidade;
Logar e gerar estatsticas do uso da rede e acessos indevidos.
O firewall pode ser simples, como um roteador que aplica um filtro de pacotes,
ou complexo, como um gateway que combina funes de filtros de pacotes e proxy
na camada de aplicao. O firewall sempre proprietrio, pois a regra no seguir
padres para aumentar a segurana.
Controla todas as mensagens que passam por ele. Em geral interconecta uma rede
segura (como a rede interna das empresas) e uma rede insegura (como a Internet).
Os firewalls tm como configurao padro barrar todos os trfegos que passam
por ele. O administrador de segurana, a partir da definio de uma poltica de segurana, deve configurar regras no firewall que liberem os trfegos permitidos. Um
exemplo o servidor de e-mail. Caso no se crie uma regra no firewall liberando
a porta 25 para o servidor de e-mail, a empresa no pode receber e-mails, pois o
firewall bloquear esses pacotes.
Geralmente o firewall tambm configurado para no restringir trfego de sada,
ou seja, dos usurios internos Internet. Pode ainda ser utilizado na proteo entre
redes internas da mesma empresa; por exemplo, um banco pode querer isolar a rede
da tesouraria do resto da rede do banco, permitindo com a adoo do firewall um
nvel de segurana ainda maior para esses usurios, impedindo um ataque proveniente da rede do banco tesouraria.

Implementao de VPN em Redes sem Fio - Firewalls, IDS e IPS

203

Alm de controlar os acessos, possui recursos para registro detalhado dos


usurios e do trfego que passa por ele.
O processo de avaliao e identificao de protocolos que os roteadores fazem
fornece o primeiro tipo de servio de firewall. Os filtros podem ser baseados em:
Anlise do endereo de origem e destino;
Anlise das portas de origem e destino.
As primeiras arquiteturas de firewalls isolavam as redes em nvel lgico. Hoje
existem firewalls dos seguintes tipos:
Filtros de Pacotes: verificam todos os pacotes, e de acordo com uma lista
chamada ACL (Access List) confere se o pacote ser bloqueado ou permitido.
Stateful Inspection: examina a aplicao e a identificao do pacote conforme
um contexto.
Circuit Level Gateways ou Gateways de Aplicao: examina o pacote em detalhes, verificando inclusive o seu contedo.

Filtro de Pacotes
Os filtros de pacotes consideram apenas os endereos IP e as portas TCP/UDP.
Esses firewalls trabalham com uma lista de controle de acesso, tambm conhecida
como Access List, que verificada antes que um pacote seja encaminhado para a rede
interna. A lista relaciona o trfego permitido e o que deve ser bloqueado.
Vantagens
Rapidez e eficincia;
Facilidade de compreenso;
Transparncia;
Disponibilidade em diversos dispositivos;
Flexibilidade.
Desvantagens
O trfego entre as redes no totalmente isolado;
Requer muitos testes para verificar as funcionalidades;
Em geral difcil a aplicao de polticas;

204

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Sintaxe difcil: o controle e a administrao das listas de acesso so complexos


e trabalhosos;
O processamento dos pacotes nos filtros se restringe camada de transporte
do modelo OSI;
A inspeo feita em um pacote por vez;
Est sujeito a ataques de fragmentao;
Os recursos de logs e auditoria so mnimos;
No esconde automaticamente os endereos de rede;
No avalia o tamanho do cabealho IP.
O filtro de pacotes no faz nenhuma alterao no pacote que passa pelo firewall.
A primeira ou ltima regra da lista de acesso deve negar todo o trfego no explicitamente permitido. Como consequncia, cada lista necessita de pelo menos uma
permisso para o trfego. Na Tabela 9.1 observamos uma lista de acesso.
IP da Origem

Porta na Origem

IP do Destino

Porta no Destino

Ao

Registro

Tabela 9.1 - Lista de acesso.

Os critrios que avaliam se o pacote passar ou ser bloqueado so:


Lista de controle de acesso;
Avaliao do ID do protocolo;
IP de origem;
Porta de origem;
IP de destino;
Porta de destino.
A Figura 9.15 apresenta o funcionamento do filtro de pacotes no nvel de camada
OSI.

Implementao de VPN em Redes sem Fio - Firewalls, IDS e IPS

205

Figura 9.15 - Funcionamento do filtro de pacotes em nvel de camada OSI.

Stateful Inspection - Verificao por Contexto


Nessa arquitetura cada pacote individualmente verificado de acordo com o
pacote anterior ou subsequente. Existe, portanto, uma verificao de contexto. Os
pacotes so verificados num fluxo de comunicao.
O Stateful Inspection examina os pacotes com base no estado da sesso da
aplicao TCP ACK#, SEQ#, informaes de portas etc. Os pacotes so examinados
usando informaes de dados de comunicaes passadas. Esses firewalls tm ainda
a habilidade de criar sesses de informao virtual para manter a inspeo sobre
protocolos no orientados conexo de pacotes que possam ter contedo no legal.
Os principais critrios de avaliao so:
Lista de acesso (ACL);
Regras de autorizao;
Verificao de padres conhecidos de bits ou bytes;
Avaliao do cabealho;
Verificao do endereo IP de origem;
Tamanho do cabealho IP;
Indicador do fragmento IP;
Avaliao do status da conexo.

Caractersticas Adicionais
Alm desses critrios, esse tipo de firewall deve ser capaz de prover servios de
roteamento. A verificao do contexto pode exigir muito da CPU, em um proxy de
aplicao, no gerando muitas vezes o benefcio esperado.

206

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Um firewall statefull apenas enviar respostas de DNS se elas estiverem associadas com uma query interna de DNS, ou seja, ele no aceita uma resposta caso
no tenha enviado uma requisio. No caso do Telnet, uma sesso em andamento
deve ser avaliada com base no fluxo apropriado da sequncia de nmeros e ACKs.
A Figura 9.16 mostra as camadas usadas para as decises de filtragem.

Figura 9.16 - Camadas OSI utilizadas na verificao do contexto.

O processamento de pacotes por um filtro stateful envolve a verificao nas


camadas de transporte e sesso. Fazendo a associao da quntupla: Endereo IP
Remoto + Endereo IP Local + Porta Remota + Porta Local + Protocolo de Transporte.

Proxy
O proxy um servidor que literalmente faz a intermediao da comunicao
de um equipamento na rede segura com um equipamento na rede externa. Vamos
imaginar que um computador A deseja se comunicar com um computador B. Todas as
conexes devem ser estabelecidas pelo proxy. Assim sendo, o computador A realiza
uma conexo com o proxy, que estabelece uma conexo com o computador externo
rede (B), sendo o proxy responsvel pela monitorao e controle do trfego.
Vantagens
As redes so totalmente isoladas umas das outras;
Recursos de log/registro;
Recursos de cache;
Balanceamento de carga.

Implementao de VPN em Redes sem Fio - Firewalls, IDS e IPS

207

Desvantagens
So mais lentos e menos flexveis;
Podem exigir configurao dos clientes;
Existe a necessidade dos proxies sofrerem update para cada novo servio/
aplicao criada e inserida na rede.
Os dados so analisados e modificados em nvel de protocolo de aplicao, ou
seja, o pacote todo reescrito e remontado pelo proxy.
Os proxies podem ser transparentes (neste caso no existe nenhum tipo de configurao das mquinas clientes) ou no transparentes, o que j exige configurao.
Na Figura 9.17 a mquina interna inicia uma conexo usando o endereo IP
remoto, a porta remota e o protocolo de transporte. O proxy fica posicionado no
meio, interceptando a requisio, avaliando e iniciando a conexo com a mquina
externa de destino. O proxy usa o endereo IP externo prprio como origem e cria
seu prprio nmero de sequncia.

Figura 9.17 - Funcionamento do proxy.

O reply da mquina remota enviado de volta para o proxy que, por sua vez,
casa a resposta com a requisio inicial da mquina interna, ento remonta o pacote
enviado com o endereo da mquina interna como destino, o endereo de origem da
mquina remota e a porta remota.
Se o recurso de transparncia no usado, significa que a mquina interna deve
estar configurada para trabalhar com o proxy. Em vez de os pacotes serem direcionados para a mquina remota, eles inicialmente so enviados ao proxy que efetiva
a comunicao e envia a resposta mquina de origem.
Existem proxies que trabalham apenas em circuito, criando associaes completas entre o cliente e o servidor, sem a necessidade de interpretao do protocolo
de aplicao.

208

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Os pacotes so tratados pelo proxy, segundo um critrio de avaliao que inclui


regras de autorizao, tabelas de associao e avaliao do cabealho.
Quando utilizamos um proxy, as conexes podem apenas ser executadas pelo
proxy, que tem a funo de separar a rede interna da externa.

Proxy na Camada de Aplicao


Alm dos atributos do proxy em nvel de circuito, esse tipo de proxy executa processamento de protocolos na camada de aplicao. Os critrios de avaliao usados
para o pacote ser permitido ou negado so:
Autenticao do usurio;

Regras de aplicao;

Tabelas de associao;

Avaliao do cabealho;

Regras de autorizao;

Auditoria.

Os proxies de aplicao trabalham com dados complexos das camadas de


aplicao, detectando tentativas de quebra de segurana. Justamente devido a essas
funcionalidades so mais lentos que firewals baseados em filtro de pacotes. Em razo
da interatividade com as aplicaes, esses proxies no esto disponveis para alguns
tipos de servios de aplicaes especficas. A Figura 9.18 apresenta as camadas OSI
utilizadas na deciso por um proxy.

Figura 9.18 - Camadas OSI utilizadas no proxy.

Implementao de VPN em Redes sem Fio - Firewalls, IDS e IPS

209

Passos da Poltica de Segurana em um Firewall Baseado em Proxy


Os principais passos para configurar uma poltica de segurana em um firewall:
Determinar os tipos de proxy usados no firewall;
Listar as mquinas internas que podem usar o proxy;
Ajustar os requerimentos de permisso ou negao a determinados destinos
e os requisitos de autenticao.
O padro definir as seguintes permisses:
Da rede interna: permitir FTP, TELNET, NNTP, NetShow, Real Audio, HTTP.
Da rede externa: permitir POP3 e eventualmente FTP e TELNET.
O endereo de origem ou o nome do host deve ser usado para determinar a
poltica aplicvel.
Algumas regras podem ser aplicadas a grupos de mquinas, criando polticas
de segurana gerais.

Principais Tipos de Proxies


Proxies de aplicao: WWW, FTP, TELNET, MAIL, NNTP, SQL etc.
Proxies de circuito: que estejam em nvel de rede (endereos IP e portas TCP/
UDP).
Proxies reversos: trabalham na forma reversa, permitindo o acesso a recursos
internos.
Proxies de cache: retm os sites mais usados para reso, sem a necessidade
do acesso direto Internet.
A Tabela 9.2 apresenta um comparativo entre os tipos de firewalls.
Autenticao

Autorizao

Auditoria

Filtro de pacotes simples

No

Sim, apenas endereos IP

No

Filtro de pacotes stateful

No

Sim

Limitado

Proxy de circuito

No

Sim

Limitado

Proxy de aplicao

Sim

Sim, endereos IP e ID de usurios

Sim

Tabela 9.2 - Comparativo entre os tipos de firewalls.

210

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Firewall Proxy e Filtro


Essa arquitetura de firewall trabalha tanto no modo proxy, como no modo filtro.
O modo filtro bloqueia e filtra o trfego de servios considerados seguros, enquanto
o modo proxy aplicado em um servio inseguro que necessite do nvel de segurana
de um proxy.
Alm de monitorar o trfego entre redes, um firewall pode tambm desempenhar
as seguintes funes:
Anlise de contedo (Content Screening);
Gateway de VPN (Virtual Private Network);
Traduo de endereos de rede NAT (Network Address Translation);
Autenticao de usurios;
Balanceamento de carga (Load Balancing).

Anlise de Contedo
Um firewall pode ser usado para bloquear determinadas URLs, como de sites pornogrficos, piadas, jogos e cujo contedo no faa parte da poltica de segurana da
empresa. Essas listas de sites proibidos podem ser inseridas manualmente no firewall
a partir de regras, ou dinamicamente utilizando um software que se agrega soluo
de firewall e recebe diariamente a lista de distribuio de sites no permitidos pela
Internet.

Gateway de VPN
Alm de executar as funes de controle de acesso e do trfego, o firewall
funciona como um gateway de VPN (Virtual Private Network), realizando conexes
criptografadas e tuneladas usando um protocolo como o IPSec, que implementa algoritmos criptogrficos como AES e 3DES.

NAT
O NAT foi uma soluo introduzida pela Cisco Systems, que resolve a maior
parte dos problemas relacionados ao esgotamento do nmero de endereos IP da
Internet. O firewall que executa NAT realiza um mapeamento entre endereos vlidos
na Internet e endereos invlidos (que so utilizados pelos computadores da rede
interna), sendo desnecessrio que cada estao possua seu prprio endereo IP vlido
na Internet.

Implementao de VPN em Redes sem Fio - Firewalls, IDS e IPS

211

O mapeamento entre os endereos vlidos e invlidos pode ocorrer da seguinte


forma:
nico, ou seja, existe um nico endereo invlido mapeado em um endereo
vlido;
Um para um, o que significa que para cada endereo invlido deve existir um
endereo vlido;
Muitos para um, a forma mais utilizada, em que muitos endereos invlidos
compartilham o mesmo endereo vlido.
O mapeamento do NAT pode ser visto na Figura 9.19.

Figura 9.19 - Mapeamento dos endereos com NAT.

O uso do NAT aumenta ainda mais a segurana da rede interna, porque os endereos das estaes ficam mascarados.

Autenticao de Usurios
Os usurios externos rede podem ser autenticados no firewall para ter acesso
a algum servidor ou aplicao. Esse processo em geral leva em conta o uso de um
servidor de autenticao RADIUS.
Essa autenticao pode ser configurada para ser solicitada quando do acesso da
pgina HTML. Neste caso, aberto um menu pop-up para o usurio ser autenticado,
entrando com login e senha.

Balanceamento de Carga
O firewall pode executar o balanceamento de carga entre servidores, gerenciando
assim a carga entre eles com base no tempo de resposta de cada servidor.

212

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Limitaes de um Firewall
O firewall s controla o trfego que passa por ele. Assim sendo, em ataques provenientes de usurios internos rede cujo trfego no passa pelo firewall, ele no
prov proteo.
Existem alguns ataques que os firewalls no conseguem evitar, como:
Back Orifice;
Alguns tipos de Denial of Services;
Autenticao fraudulenta;
Backdoors;
Erros humanos.

Arquitetura de um Firewall
A Figura 9.20 ilustra a arquitetura de uma soluo de firewall, sendo destacadas
trs redes:
Rede externa: os firewalls so alocados para o acesso Internet, portanto
podemos considerar essa rede como a Internet. bom lembrar que todos os
endereos dessa rede so vlidos, por isso a interface externa do firewall deve
possuir um endereo vlido na rede.

Figura 9.20 - Arquitetura de um firewall.

Implementao de VPN em Redes sem Fio - Firewalls, IDS e IPS

213

Rede interna: corresponde rede interna da empresa que desejamos proteger.


Em geral as mquinas dessa rede trabalham com endereos no registrados ou
invlidos, cabendo ao firewall a funo de NAT j descrita anteriormente. O
trfego interno dessa rede, ou seja, que no passa para a Internet, no pode
ser tratado pelo firewall em virtude de no passar por ele.
DMZ: tambm conhecida como zona desmilitarizada, essa sub-rede disponibiliza uma proteo adicional rede interna. Os servidores de servios
como WEB, FTP etc. so alocados nessa sub-rede. Assim sendo, o trfego de
usurios externos rede fica permitido apenas a essa sub-rede, no sendo
permitido que usurios externos, provenientes da Internet, tenham acesso
rede interna da empresa.
Normalmente os equipamentos da rede sem fio ficam conectados em uma
DMZ especfica para esse fim.

Deteco e Preveno de Intruso - IDS e IPS


A tripla que buscamos para garantir a segurana de uma rede :
Preveno: IPS, firewalls, encriptao, autorizao;
Deteco: IDS, scanning por antivrus, auditoria;
Reao: poltica, procedimentos e resposta automtica.
Os sistemas de deteco de intruso suplementam a proteo quando existe
necessidade de deixar alguma porta em aberto nos firewalls, como, por exemplo,
quando existe troca de informao entre uma aplicao externa e uma interna.
Muitas empresas se preocupam muito em fechar as portas com um firewall, pois
assim se sentem seguras, e acabam deixando de lado um investimento em sistemas
de deteco de intruso. Como j citamos, os firewalls no possuem mecanismos
de controle de ataques que ocorrem de dentro da rede, ou seja, em que o trfego
no passa por ele. Para estes casos a deteco de intruso extremamente eficiente, sinalizando ao administrador da rede a existncia de tentativa de ataques nos
servidores e derrubando a conexo do invasor.

Modo de Operao
Os sistemas de deteco de intruso utilizam os seguintes mtodos para a deteco:
Anlise de assinatura de ataques: esses sistemas j possuem armazenados
os principais ataques realizados por hackers. Eles simplesmente monitoram

214

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

o comportamento dos servidores para verificar a ocorrncia do ataque. Se o


hacker utiliza-se de um ataque novo cuja assinatura o sistema de intruso no
possui, ele no ser reconhecido.
Anlise de protocolos: est sempre verificando os protocolos de aplicao
para determinar se existe algo de errado. Por exemplo, um ataque de DNS do
tipo overflow do buffer do BIND pode ser detectado pela anlise de protocolo,
pois esse tipo de ataque inclui alguns bytes no pacote que so identificveis.
Deteco de anomalias: este o mtodo mais complexo de deteco de intruso. Ele envolve o monitoramento de CPU, logs do sistema operacional,
memria e discos dos servidores para verificar se alguma anomalia que pode
ou no ser um ataque est ocorrendo no servidor. Existem anomalias que
podem ser detectadas de aplicaes, como a realizao de uma query DNS
num servidor web que a princpio no deveria ter o DNS rodando.
Muitas pessoas acreditam que os sistemas de deteco de intruso detectam
mau uso da rede ou ataques. O fato que esses sistemas detectam problemas ou
anomalias. A funo do administrador de redes determinar se esses problemas ou
anomalias correspondem ou no a ataques. Na verdade, as deteces falso-positivas
so o grande problema dos sistemas de deteco de intruso, o qual foi resolvido com
sistemas de preveno de intruso de ltima gerao que eleminam drasticamente o
nmero de falsos-positivos.
O software apenas capaz de identificar padres maliciosos ou atividades anormais.
Quando um processo identificado, devem ser definidas prioridades. Esses sistemas
trabalham 24 horas por dia, portanto devem existir administradores de rede de planto
que podem ser acionados quando os sistemas de deteco detectarem ataques.
A deteco de anomalias a metodologia mais complexa dos sistemas de IDS. Ela
necessita de interveno manual para verificar se a anomalia verdadeira.

Tipos de Sistema de Deteco de Intruso


Sistemas baseados na rede: trabalham com a anlise de pacotes da rede.
Sistemas baseados nas estaes: trabalham com logs e eventos do sistema
operacional das estaes.
Sistemas baseados na integridade de arquivos: verificam a integridade dos
arquivos utilizando sistemas antivrus e auditoria.
Existem ainda sistemas hbridos que permitem a coleta de informaes baseadas
na rede e nas estaes. J os sistemas baseados na integridade de arquivos criam um
hashing criptografado dos arquivos mais importantes do sistema e alarmam quando
ocorre alguma mudana neles.
Implementao de VPN em Redes sem Fio - Firewalls, IDS e IPS

215

As principais caractersticas de um sistema de deteco de intruso so:


Execuo contnua: independente do horrio comercial das empresas, os
sistemas de deteco devem funcionar 24 horas, como os servidores.
Tolerante a falhas: falhas nesse sistema podem facilitar a ocorrncia de
ataques.
Mnimo overhead na rede: devido a suas caractersticas de scanning contnuo
da rede, devem trabalhar com baixo overhead, de modo a no prejudicar o
trfego de dados normal.
Dificuldade de ser atacado: devem ser sistemas nos quais exista uma grande
dificuldade de ataque, pois um ataque a um sistema de deteco de intruso
uma grande vulnerabilidade na rede.

Preveno de Intruso (IPS)


Os Sistemas de Preveno de Intruso (IPS) permitem, alm de alertar uma tentativa de ataque, realizar o seu bloqueio. Esses equipamentos normalmente esto
conectados nos segmentos crticos da rede, em linha, ou seja, todo o trfego a ser
inspecionado precisa passar por ele. Eles permitem a deteco e o bloqueio automtico de ataques.
Esse tipo de equipamento normalmente trabalha na camada de enlace do modelo
OSI, camada 2, e no necessita de nenhum tipo de reconfigurao da rede para ser
instalado.
Os IPS realizam um nvel de inspeo no pacote muito profundo, que vai at a
camada de aplicao do modelo OSI (camada 7). Um IPS permite detectar as seguintes
ameaas na rede, incluindo a rede sem fio:
Propagao de vrus;
Propagao de worms;
Ataques direcionados a sistemas operacionais;
Ataques direcionados aplicao Web, como cross site script, php injection
e sql injection;
Explorao de vulnerabilidades das principais aplicaes;
Spams e phising;
Spyware;
Uso da rede por aplicaes no permitidas como P2P, incluindo Bittorrent.

216

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Esses equipamentos podem ser utilizados para proteger a rede corporativa dos
acessos rede sem fio. Normalmente tm alta capacidade de processamento, trabalham com interfaces Gigabit Ethernet ou 10 Gigabit Ethernet e realizam a inspeo
em arquitetura de processamento distribudo com microprocessadores de uso dedicado ASICs e FPGAs.
Os IPS possuem baixas taxas de falso-positivos e permitem detectar tambm
ataques de negao de servio.
Na Figura 9.21 observamos a implementao de um sistema de preveno de
invases (IPS) para proteger a rede sem fio.

Figura 9.21 A implementao do firewall e o IPS na rede corporativa sem fio.

Na figura, o IPS realiza um bloqueio da tentativa de ataque proveniente da rede


sem fio.

Resumo do Captulo 9
Este captulo apresentou conceitos de VPN. A Rede Privada Virtual uma das solues a ser
implementada em caso de incapacidade do uso de sistemas mais seguros nas redes sem fio,
como o WPA2. Abordou o IPSec em detalhes, arquitetura e funcionalidades de um firewall,
e os sistemas de deteco (IDS) e preveno de invases (IPS) que auxliam a identificar e
bloquear as ameaas provenientes da rede sem fio.

Implementao de VPN em Redes sem Fio - Firewalls, IDS e IPS

217

Quais so os dois modos do IPSec?


a. Transporte e criptografia
b. Criptografia privada e tnel
c. Preshared e transporte
d. Tnel e tunelado

2.

Quais as trs formas de autenticao do IPSec?


a. Diffie-Hellman, RSA e certificados
b. Kerberos, certificados e pre-shared key
c. SSL, chave privada e certificado
d. Reconhecimento, SSL e pre-shared key

3.

Em qual camada do modelo OSI trabalha o IPSec?


a. Fsica
b. Aplicao
c. Transporte
d. Rede

4.

O que o firewall stateful no consegue fazer?


a. Analisar em detalhes tentativas de explorao de vulnerabilidades
na porta 80.
b. Filtrar acesso a endereos IP.
c. Filtrar acessos rede.
d. Ser concentrador de VPN.

5.

O que IDS?
a. Intrusion Defeat System
b. Invasion Detection System
c. Intrusion Detection System
d. Improve Detection System

218

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Exerccios

1.

Exerccios

6.

Qual a diferena entre um IPS e um IDS?


a. O IDS bloqueia o ataque, o IPS no.
b. O IDS mais avanado e possui menor taxa de falso-positivo.
c. O IPS bloqueia o ataque, o IDS no.
d. O IPS implementado apenas no firewall.

7.

Como podemos isolar a rede sem fio?


a. Colocando-a junto com os servidores.
b. A partir da criao de uma DMZ.
c. Com um IPS.
d. Conectando-a diretamente rede externa.

8.

Por que o IPS implementado em arquitetura ASIC?


a. Porque mais barato.
b. Porque mais simples.
c. Devido alta performance obtida com uma arquitetura em ASIC,
inspeo por hardware.
d. Porque mais fcil programar.

9.

A VPN resolve em parte vulnerabilidades de segurana de qual mecanismo existente na rede sem fio?
a. WPA2
b. WEP 256
c. WEP 64 e WEP 128
d. TKIP

10. Qual a melhor soluo de segurana?


a. Usar um firewall que tenha tambm capacidade de IPS.
b. Usar um IPS que tenha capacidade de firewall.
c. Usar um firewall limitado capacidade de firewall e um IPS limitado
ao trabalho de IPS.
d. No usar nem IPS nem firewall.

Implementao de VPN em Redes sem Fio - Firewalls, IDS e IPS

219

Anotaes
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________
220

Captulo 10

Implementao
da Rede sem Fio

implementao de
uma rede sem fio
envolve uma srie de etapas:
Realizar um bom projeto e o Site
Survey como apresentados no captulo 4.
Fazer a configurao de rede do access point.
Configurar a rede sem fio.
Fazer a configurao da segurana da rede.
Configurar as estaes.
Para tornar este captulo mais prtico, aps as recomendaes apresentamos
uma configurao segura dos seguintes fabricantes:
Cisco LinkSys modelo WRT54G ver.2, verso de firmware 4.21.1
Netgear modelo WGR614v7
D-Link modelo DI-524

Site Survey
O Site Survey foi explicado em detalhes no captulo 4. Nesta etapa espera-se que
o Site Survey j tenha sido executado. A informao necessria para a implementao
saber qual dos trs canais ser utilizado: 1, 6 ou 11.

Para este captulo vamos configurar todos os access points do exemplo no canal
6. A deciso sempre baseada na utilizao dos canais da rede sem fio no local onde
vamos fazer a instalao. Normalmente escolhemos canais menos utilizados pelas
redes preexistentes.

Configurao de Rede
Normalmente o access point possui um wizard para a configurao de rede. Nesta
etapa precisamos definir os parmetros para a configurao do access point Internet
ou rede corporativa.
Para que a configurao funcione, importante que o modem de banda larga
esteja conectado corretamente no access point com um cabo de rede UTP. Essa
conexo pode ser observada na Figura 10.1. Precisamos conectar a porta LAN do
modem Internet na porta WAN do access point.

Figura 10.1 - Conexo do modem Internet com o access point.

Passo 1 - O primeiro passo definir a configurao da Internet. Geralmente


existem as seguintes opes:
DHCP: nessa opo o access point recebe automaticamente de um roteador
ou modem de banda larga um endereo IP, mscara de rede, configuraes
de DNS e Default Gateway. Esta a forma mais simples porque toda a configurao recebida pelo servio de DHCP.
Static IP: essa opo utilizada tambm quando se usa o access point na
rede corporativa. Neste caso o usurio deve informar manualmente as configuraes de endereo IP, mscara, gateway e servidores de DNS. Essa opo
para uma configurao mais avanada, em que o access point sempre ter
um endereo IP fixo.

222

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

PPOE: muitos servios de Internet via cable modem e ADSL utilizam o protocolo PPP over Ethernet. Essa forma de encapsulamento dos dados permite
que os provedores cadastrem um login e um password para o usurio. Nessa
configurao o modem vai fazer o papel do software fornecido pelo provedor
de servio. O usurio precisa apenas configurar no access point seu usurio e
senha, e todas as outras configuraes de endereamento IP, mscara, gateway
da rede e servidores de DNS sero recebidos do provedor de servio automaticamente.
PPTP: realiza um tnel PPTP entre o access point e o provedor de servios.
Devem ser configurados o endereo IP, a mscara, o gateway e o DNS conforme
informado pelo provedor de servios. Alm dessas informaes, necessrio
tambm usurio e senha para autenticao.
L2TP: realiza um tnel L2TP entre o access point e o provedor de servios.
Neste caso no necessrio informar nenhuma configurao de endereamento IP para o access point, apenas o endereo IP do servidor L2TP, alm
de usurio e senha. Esse tipo de configurao muito utilizado na Europa.
Passo 2 - Configurao do endereamento das estaes da rede sem fio.
O passo 2 consiste em realizarmos o setup de endereamento de rede para as
estaes que vo se conectar rede sem fio e o prprio endereo do access point,
que ser utilizado para que as estaes se conectem a ele. O endereamento default
da maioria dos fabricantes para o access point 192.168.1.1, e as estaes da rede
sem fio comeam a receber seu endereamento pelo servidor DHCP do access point a
partir do endereo 192.168.1.100. Essas opes podem ser reconfiguradas de acordo
com a necessidade do usurio. Na configurao da rede sem fio possvel tambm
configurar o servidor de DNS, que ser informado s estaes caso no se deseje
usar o mesmo servidor recebido pelo access point do modem (provedor Internet).
importante configurar o horrio do roteador.

Configurao da Rede sem Fio


Nesta etapa vamos realizar a configurao da rede sem fio.
Passo 3 - Configurar o modo de operao do access point.
Este livro trabalha com access points nos padres IEEE 802.11b e IEEE802.11g,
os modelos mais utilizados no Brasil. Neste passo temos de definir o modo em que o
access point vai trabalhar, se 802.11b, 802.11g ou mix. Recomenda-se deixar em mix,
ou seja, trabalhando tanto em 802.11b como 802.11g. Se configurarmos em 802.11b,
todas as estaes vo acessar com velocidade mxima de 11Mbps. Se, por outro lado,

Implementao da Rede sem Fio

223

deixarmos como 802.11g, caso haja algum dispositivo com interface 802.11b, ele no
vai funcionar. O mais flexvel deixarmos em modo mix, ou seja, 802.11b/g.
Passo 4 - Configurar o SSID.
O SSID o identificador da rede. Todas as estaes na rede devem compartilhar
o mesmo SSID. Por configurao de fbrica os access points que estamos utilizando
vm com os seguintes SSIDs:
Cisco/LinkSys: Linksys;
Netgear: Netgear;
D-Link: D-Link.
Por questes de segurana, principalmente se a rede sem fio for instalada em
ambiente corporativo, no se deve utilizar o nome da empresa como SSID, e sim escolher um nome que no correlacione a rede utilizada empresa ou posio fsica.
Nos exemplos de configurao escolhemos um nome prprio como SSID, Mickey,
portanto a rede ser SSID Mickey.
Passo 5 - Broadcast do SSID.
Este um ponto muito importante, pois existe uma opo de projeto que deve ser
definida. Se desejamos estender a rede a visitantes, mais simples fazer o broadcast
do SSID; caso contrrio, se desejamos um ambiente com mais segurana, recomenda-se no realizar o broadcast do SSID. O broadcast do SSID serve para que as estaes
consigam identificar a rede sem fio. Se desabilitarmos o broadcast, o usurio deve
inserir manualmente o nome do SSID da rede que deseja configurar.
Passo 6 - Configurao de Wireless Security.
A configurao de criptografia j foi apresentada no captulo 7 deste livro.
Basicamente precisamos realizar as opes para configurar os modos WEP, WPA ou
WPA2. Como j foi discutido ao longo deste livro, a configurao realmente segura e
recomendada trabalhar com o modo WPA2, utilizando o algoritmo de criptografia
AES.
Nota: O usurio deve estar ciente dos riscos de configurar sua rede sem criptografia, alm de
fornecer um ponto de acesso Internet sem controle, o que pode favorecer que inclusive hackers
usem a rede para ataques. A falta da criptografia implica tambm que os dados do usurio sejam
interceptados a qualquer momento. As empresas que no utilizam criptografia em suas redes sem
fio devem estar cientes do risco legal caso as redes sejam utilizadas para desfechar um ataque
na Internet.

224

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Passo 7 - Filtragem de endereos MAC.


A filtragem de MAC Address traz uma segurana adicional rede sem fio. A ideia
do filtro permitir que apenas as estaes de rede sem fio com endereos MAC
autorizados tenham acesso rede sem fio. Esse recurso hoje em dia muito pouco
eficiente, uma vez que usurios mal-intencionados podem simplesmente realizar uma
tcnica simples conhecida como MAC Spoofing, que altera o endereo MAC da placa
de rede sem fio para o endereo de uma estao autorizada, possibilitando o acesso
rede. Os endereos das mquinas autorizadas podem ser obtidos com qualquer
software que faa captura dos dados de redes sem fio, como o NetStumbler, j apresentado neste livro.
Embora seja um recurso vulnervel, uma proteo adicional e recomendada.
Para realizar essa configurao, o usurio deve inicialmente descobrir os endereos
MAC das interfaces de rede. Isso pode ser facilmente alcanado com o uso do comando
ipconfig /all. Na Figura 10.2 observamos o resultado do comando ipconfig /all em uma
mquina Windows 7.

Figura 10.2 - Comando ipconfig /all.

A Figura 10.2 exibe o resultado da execuo do comando e o endereo MAC da


estao, neste caso 06-26-82-57-93-A7.

Implementao da Rede sem Fio

225

Passo 8 - Configurao do firewall interno do access point.


Alguns access points implementam regras de Access Control List internamente,
o que lhes permite, por exemplo, bloquear tentativas de conexes da Internet diretamente rede sem fio, trfego de multicast ou qualquer outro indesejado. O usurio
pode criar regras de bloqueio de acordo com as necessidades de sua rede para os
principais servios, como DNS, ping, HTTP, HTTPS, FTP, POP3, IMAP, SMTP, NNTP,
Telnet, SNMP, TFTP, IKE, ou qualquer outra aplicao ou servio. Basta conhecer as
portas TCP/UDP da aplicao.
Recomendamos deixar o firewall habilitado com a configurao default.
Nota: O firewall interno do access point muito simples. Executa apenas filtros de trfego, no
realizando nenhum tipo de inspeo nos pacotes trafegados nas portas autorizadas. Em um ambiente corporativo, recomenda-se adicionar a rede wireless a uma DMZ em separado controlada
por um firewall e um dispositivo de IPS (Intrusion Prevention Systems).

Passo 9 - Configurao da administrao do access point.


Importantssimo alterar a senha do access point; caso contrrio, qualquer
usurio com acesso rede sem fio pode colocar a segurana em risco, alterando as
configuraes dos access points. Troque a senha do access point por uma difcil de
ser adivinhada, ou seja, uma senha forte que contenha pelo menos oito caracteres
maisculos e minsculos, alm de caracteres especiais como $, @, &, !, ?, :, -, /.
Isso aumenta a segurana da senha. Tenha sempre o hbito de trocar a senha regularmente, de preferncia a cada 45 dias.
Os access points usados neste livro vm com as seguintes senhas padro:
LinkSys:
usurio: <deixar em branco>, senha: admin
Netgear:
usurio: admin, senha: password
D-Link:
usurio: user, senha: <Sem senha>

226

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Configurao das Estaes de Rede sem Fio


Passo 10 - Configurar as estaes para acessar a rede sem fio.
Para configurar a estao para a rede sem fio, necessrio que a estao j esteja
com o endereo MAC configurado na lista de endereos MAC disponveis. Vamos
apresentar a configurao no Windows XP e no Windows 2007.
No Windows XP, o primeiro passo acessar o Painel de controle, Figura 10.3.
Em Painel de controle, selecione o cone Conexes de rede, Figura 10.4.

Figura 10.3 - Painel de controle.

Figura 10.4 - Conexes de rede.

Em Conexes de rede, selecione Conexo de rede sem fio, Figura 10.5.

Figura 10.5 - Conexo de rede sem fio.

Implementao da Rede sem Fio

227

Em seguida, observe que a rede Mickey est disponvel, Figura 10.6.

Figura 10.6 - Rede Mickey.

Clique duas vezes na rede Mickey, Figura 10.7, e entre com a chave configurada
de pre-shared key. No livro usamos a chave &dit0r@&ric@ (Editora rica).

Figura 10.7 - Chave configurada no access point.

Aps este passo, verifique que a rede est conectada, Figura 10.8.

Figura 10.8 - Rede Mickey conectada.

228

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

No Windows 7, o primeiro passo acessar o Painel de Controle, Figura 10.9.

Figura 10.9 - Painel de Controle.

Em seguida, acesse Central de Rede e Compartilhamento, Figura 10.10.

Figura 10.10 - Central de Rede e Compartilhamento.

Clique no boto Conectar a uma rede, Figura 10.11.

Figura 10.11 - Conectar a uma rede.

Implementao da Rede sem Fio

229

Selecione a rede Mickey, conforme a Figura 10.12.

Figura 10.12 - Seleo da rede Mickey.

Insira a chave para conectar-se rede, Figura 10.13.

Figura 10.13 - Insero da chave de segurana (pre-shared key) do WPA2.

Por fim, selecione o perfil da rede a que est se conectando, Figura 10.14.

Figura 10.14 - Perfil da rede a que est se conectando.

230

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Configurao Segura do Roteador Linksys


Toda a configurao do access point deve ser realizada com a conexo de cabo
UTP diretamente das portas LAN do access point ao computador, como observamos
na Figura 10.15.

Figura 10.15 - Conexo do computador ao access point Linksys.

Passo 1a
Estamos considerando que o access point est com configurao de fbrica. Caso
ele j possua alguma configurao, pressione com um lpis ou clipe o boto de Reset
com o equipamento ligado, Figura 10.16.
Passo 2a - Certifique-se de que o computador est com configurao de rede para
DHCP.
No Windows XP, o primeiro passo acessar o Painel de controle, Figura 10.17.

Figura 10.16 - Boto de Reset no Linksys.

Figura 10.17 - Painel de controle.

Implementao da Rede sem Fio

231

Em Painel de controle, selecione o cone Conexes de rede, Figura 10.18.


Em Conexes de rede, selecione Conexo local, clicando duas vezes, Figura 10.19.

Figura 10.18 - Conexes de Rede.

Figura 10.19 - Conexo Local.

Observe que a conexo est ativa. Clique no boto Propriedades, Figura 10.20.

Figura 10.20 - Propriedades de Conexo de rede local.

Em seguida, nas opes selecione Protocolo TCP/IP e clique em Propriedades. A


configurao de rede deve fornecer: Obter um endereo IP automaticamente e Obter
o endereo dos servidores DNS automaticamente, Figura 10.21.
Clique na aba Suporte o observe o endereo IP atribudo pelo access point, Figura
10.22.

232

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Figura 10.21 - Propriedades TCP/IP.

Figura 10.22 - Endereamento IP atribudo.

Passo 3a - Acessar o console do access point.


Para isso, voc deve navegar no endereo padro do access point, neste caso
http://192.168.1.1, Figura 10.23.

Figura 10.23 - Acesso ao console Web do access point.

Deixe o nome do usurio em branco e coloque a senha admin.


Passo 4a - Basic Setup.
Para este exemplo vamos deixar a configurao de Internet em Automtica, Figura
10.24, uma vez que esse provedor de servio no exige autenticao do usurio.
Vamos tambm deixar o endereo padro da interface de rede local do roteador, ou
seja, 192.168.1.1. O servidor DHCP interno para as estaes ser mantido com a configurao padro, iniciando a atribuio dos endereos por 192.168.1.100 adiante.

Implementao da Rede sem Fio

233

Figura 10.24 - Basic Setup.

A seguir, vamos baixar a pgina e alterar o fuso horrio para GMT -3, que o do
Brasil, Figura 10.25.

Figura 10.25 - Alterao do fuso horrio.

Passo 5a - Configurao bsica do Wireless.


O prximo passo a configurao bsica do Wireless. Clique na aba Wireless,
Figura 10.26, selecione o modo Mix (802.11b/g) e o SSID a ser utilizado, no caso
Mickey. Agora vamos definir o canal. Neste exemplo, o canal menos utilizado encontrado no Site Survey foi o 11. Existem duas opes: habilitar ou no o broadcast
do SSID. Se optarmos por desabilitar, mais seguro, porm exige alguns passos a

234

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

mais de configurao no cliente. Vamos desabilitar o broadcast do SSID e mais adiante


mostrar as mudanas para adicionar novas mquinas rede. Em seguida, selecione
Save Settings para salvar a configurao.

Figura 10.26 - Configurao bsica de Wireless.

Passo 6a - Configurao Wireless Security.


Neste passo vamos configurar o modo de segurana, Figura 10.27. Selecione
WPA2 Personal e coloque como shared key &DIT0R@&RIC@.
Nota: Este apenas um exemplo de configurao. Neste ponto o usurio deve criar a sua chave
secreta. No use a chave do exemplo para no gerar um problema de segurana na rede.

Figura 10.27 - Configurao do modo de segurana.

Salve a configurao usando a opo Save Settings.

Implementao da Rede sem Fio

235

Passo 7a - Configurao de filtragem de endereos MAC


Selecione a aba de Wireless MAC Filter, em seguida as opes Enable e Permit
only PCs listed to access the wireless network, Figura 10.28. Assim, apenas as mquinas na lista de MAC address tero acesso rede.

Figura 10.28 - Filtragem de endereos MAC.

Clique no boto Edit MAC Filter List para adicionar os computadores que tero
acesso rede, Figura 10.29. No passo 7 deste captulo h maiores detalhes de como
obter os endereos MAC das estaes.

Figura 10.29 - Lista de endereos MAC.

Nota: Esses endereos MAC so apenas um exemplo. Voc deve fazer um levantamento e configurar os endereos MAC das estaes da sua rede sem fio.

236

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Passo 8a - Configurao de firewall


Deixe a configurao do firewall como default, ou seja, com as opes listadas na
Figura 10.30. Em seguida, salve as configuraes.

Figura 10.30 - Opes de firewall.

Passo 9a - Configurao de administrao.


No podemos nos esquecer de trocar a senha padro do equipamento. Este passo
fundamental. Clique na aba Administration, em seguida em Management, digite
uma nova senha e confirme. O acesso administrao mais seguro se for feito por
https. Desabilite o acesso via HTTP, Figura 10.31. Clique em Save Settings para salvar
a configurao.

Figura 10.31 - Senha de administrao.

A partir deste ponto o acesso deve ser feito com https.

Implementao da Rede sem Fio

237

Passo 10a - Adio de uma estao rede sem fio.


Inicialmente certifique-se de que o endereo MAC da mquina que vai configurar foi adicionado lista de MAC Address. Clique em Conexo de rede sem fio,
Propriedades, depois na aba Redes sem fio. Clique em Adicionar, coloque o nome da
rede Mickey e a autenticao WPA2-PSK com AES.

Figura 10.32 - Configurao manual de uma nova rede.

Pronto! Agora basta selecionar a rede Mickey e adicionar a chave secreta compartilhada, no caso do exemplo &dit0r@&ric@, Figura 10.33.

Figura 10.33 - Adio da chave secreta rede Mickey.

Configurao Segura do Roteador Netgear


Passo 1b
Idntico ao passo 1a (Linksys).
238

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Passo 2b
Idntico ao passo 2a (Linksys).
Passo 3b
Idntico ao passo 3a (Linksys), mas assegure-se de ter digitado o usurio admim
e a senha password.
Passo 4b
Deixe as configuraes de rede padro, Figuras 10.34 e 10.35, ou seja, o roteador
Wireless vai receber as configuraes de IP, mscara e servidores de DNS automaticamente do provedor de servio via modem.

Figura 10.34 - Configuraes de rede padro.

Figura 10.35 - Configuraes de rede padro (continuao).


Implementao da Rede sem Fio

239

Passo 5b
Na opo de Wireless Settings, defina o SSID da rede como Mickey e o canal
11 indicado no Site Survey. Deixe o modo de operao no g and b. Na opo de segurana (Security Options) escolha WPA2-PSK [AES]. Na chave secreta (Passphrase)
use &dit0r@&ric@. Em seguida, clique em Apply para salvar a configurao.
Nota: Este apenas um exemplo de configurao. Neste ponto o usurio deve criar a sua chave
secreta. No use a chave do exemplo para no gerar um problema de segurana rede.

Figura 10.36 - Configurao de Wireless Settings.

Passo 6b
Na opo de Maintenance, escolha Set Password, Figura 10.37, defina uma nova
senha para o access point e clique em Apply para salvar.

Figura 10.37 - Defina uma nova senha para o roteador.

240

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Passo 7b
Na opo de Advanced Wireless Settings, Figura 10.38, desabilite o broadcast do
SSID e clique em Setup Access List para definir a lista dos endereos MAC das mquinas permitidas para acessar a rede.

Figura 10.38 - Configurao de Advanced Wireless Settings.

Na opo de Setup Access List, adicione manualmente todas as mquinas que


fazem parte da rede sem fio, Figura 10.39.

Figura 10.39 - Configurao dos endereos MAC das estaes.

O resultado final deve estar como a lista que aparece na Figura 10.40. No se
esquea de selecionar Turn Access On, e finalmente Apply para salvar a configurao.
Nota: Estes endereos MAC so apenas um exemplo. Voc deve fazer um levantamento e configurar os endereos MAC das estaes da sua rede sem fio.

Implementao da Rede sem Fio

241

Figura 10.40 - Tabela final das mquinas do exemplo.

Para adicionar as estaes rede sem fio, utilize o mesmo processo do passo 10.

Configurao Segura do Roteador D-Link


Passo 1c
Idntico ao passo 1a (Linksys).
Passo 2c
Idntico ao passo 2a (Linksys).
Passo 3c
Idntico ao passo 3a (Linksys), mas
assegure-se de ter digitado o usurio
user e a senha em branco.
Passo 4c.
Em Wireless Home, Figura 10.41,
faa a configurao do SSID para
Mickey, coloque o canal como 11, d
um disable no SSID, configure Security
para WPA-PSK e defina a pre-shared
key como &dit0r@&ric@.
Figura 10.41 - Configurao de Wireless Settings.

242

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Passo 5c
Em WAN Home, Figura 10.42, deixe com as configuraes bsicas para receber
endereo IP, mscara e servidores de DNS do provedor de servios.

Figura 10.42 - Configurao de WAN Settings.

Passo 6c
Em LAN Home, Figura 10.43, deixe o endereo LAN do access point como default,
ou seja, 192.168.0.1.

Figura 10.43 - Configurao do endereo LAN do access point.

Implementao da Rede sem Fio

243

Passo 7c
Em DHCP Home, Figura 10.44, deixe o DHCP habilitado com a configurao
padro e clique em Apply para salvar.

Figura 10.44 - Configurao de DHCP.

Passo 8c
Em Admin Tools, Figura 10.45, troque a senha default do access point.

Figura 10.45 - Configurao da senha de administrao.

244

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Passo 9c
Em Advanced Filters, Figura 10.46, inclua os endereos MAC das estaes de rede
sem fio. Clique em Apply para salvar.

Figura 10.46 - Configurao dos endereos MAC da rede.

Nota: Estes endereos MAC so apenas um exemplo. Voc deve fazer um levantamento e configurar os endereos MAC das estaes da sua rede sem fio.

Passo 10c
Para adicionar as estaes rede sem fio, utilize o mesmo processo do passo 10.

Resumo do Captulo 10
Este ltimo captulo foi o mais prtico de todos e mostrou passo a passo como configurar a
rede sem fio com access points de trs fabricantes: Linksys/Cisco, Netgear e D-Link. As configuraes apresentadas so bem bsicas, mas garantem um nvel adequado de segurana
rede sem fio.

Implementao da Rede sem Fio

245

Qual o canal escolhido para a configurao do exemplo?


a. 1
b. 12
c. 11
d. 3

2.

Como deve ser a pre-shared key utilizada no WPA-2?


a. Somente com nmeros.
b. Somente com letras.
c. Usar uma poltica de senha forte, incluindo caracteres especiais.
d. Usar apenas caracteres especiais.

3.

Como feito o acesso de configurao?


a. Protocolo telnet
b. Protocolo serial
c. Protocolo HTTP
d. Protocolo HTTPS em todos os exemplos

4.

Qual a desvantagem de no fazer broadcast do SSID?


a. A configurao fica padronizada.
b. necessrio adicionar as redes manualmente.
c. mais complexo.
d. A chave acaba sendo menos forte.

5.

Qual o problema de configurar filtro de MAC?


a. demorado.
b. Nunca muda.
c. O gerenciamento complexo, uma vez que cada nova estao adicionada rede necessita de reconfigurao.
d. a melhor soluo para empresas muito grandes.

246

Redes Sem Fio - Instalao, Congurao e Segurana - Fundamentos

Exerccios

1.

Glossrio

802.1X PORT BASED AUTHENTICATION


uma especificao que pode ser utilizada tanto em redes
cabeadas como em redes sem fio. Baseia-se no uso do EAP
(Extensible Authentication Protocol).

RFC 2284
A autenticao do usurio realizada na conexo e centralizada em um servidor
em que a comunicao ocorre pelo protocolo RADIUS.

ACCESS LIST - LISTA DE ACESSO


Uma lista que controla o acesso do roteador, como, por exemplo, restringindo certos
pacotes que vm de endereos IP no desejveis.

ACCESS POINT - PONTO DE ACESSO


Na rede wireless chamado de o ponto de acesso de uma rede cabeada com a rede
sem fio (wireless).

ACESSO
Habilidade de um sujeito visualizar, mudar ou se comunicar com outro objeto em
um sistema de computao. Tipicamente, o acesso envolve um fluxo de informaes
entre um sujeito e um objeto (por exemplo, um usurio pode ler um arquivo; um
programa pode criar um diretrio).
Oportunidade de se aproximar, inspecionar, revisar e fazer uso de dados ou informaes.
O transporte baseado em TCP/IP de pacotes entre computadores fim a fim por meio
de uma rede. O acesso em geral fornecido por operadoras que possuem backbone
de dados IP.

ACESSO DEDICADO
Acesso contnuo 24 horas por dia e sete dias por semana.

ADMINISTRADOR DE SISTEMAS DE SEGURANA


Pessoa que administra e controla o acesso a sistemas de computao, definindo privilgios, cdigos de acesso, revogando acessos e definindo os parmetros de proteo.

ALGORITMO
Procedimento para resolver um problema matemtico com um nmero finito de
passoas, que frequentemente envolve a repetio de uma operao. Em 1972, o NBS
(Organismo de Padres) identificou a necessidade de um sistema padro de criptografia para o uso em aplicaes no classificadas. O DES (Data Encription Standard)
representa o primeiro algoritmo criptogrfico aberto desenvolvido pelo governo americano e tornou-se um padro ANSI.

ALGORITMO RSA
Algoritmo de criptografia assimtrico inventado por Ron Rivest, Adi Shamir e Len
Adelman. Baseia-se em chave pblica e na exponenciao do mdulo de funes aritmticas.
Algoritmo de criptografia de chave pblica, baseado em nmeros primos muito
grandes.

AMEAA
Ao ou evento que prejudica a segurana.
Dano possvel a um sistema de computao.
Explorao potencial de uma vulnerabilidade em um sistema.

AMEAA ATIVA
Tipo de ameaa que envolve alterao, no apenas interceptao, de informaes.
Por exemplo, um grampo que pode ser usado para acessar informaes e dados con-

248

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

fidenciais, ou mesmo utilizado para gerar falsas mensagens ou sinalizao com o objetivo de alterar a comunicao entre usurios legtimos. O perigo de uma ameaa
ativa principalmente na autenticao da informao que est sendo transmitida,
contrastando com a ameaa passiva.

ANSI (AMERICAN NATIONAL STANDARDS INSTITUTE)


O principal organismo de padronizao nos Estados Unidos. Os membros em geral
so fabricantes, operadoras, alm do IEEE.

ARIN (AMERICAN REGISTRY FOR INTERNET NUMBERS)


rgo americano responsvel pelo controle e delegao de endereos IP.

ARPANET (ADVANCED RESEARCH PROJECTS AGENCY NETWORK)


Rede baseada na comutao de pacotes, desenvolvida em meados dos anos de 1970
e fundada pela ARPA. A ARPANET evoluiu para Internet e o termo ARPANET deixou
oficialmente de ser usado em 1990.

ARQ (AUTOMATIC RETRANSMISSION QUERY)


Tcnica de confirmao de mensagens do Bluetooth.

ARQUITETURA
Um arranjo de componentes intencionalmente arrumados para atender a determinada
necessidade.

ARQUITETURA DE SISTEMAS ABERTOS


Tecnologia padro e estruturas para hardware, sistemas operacionais, bases de dados,
tolerncias a falhas e sistemas de rede e transporte.

ASSINATURA DIGITAL
Poro de dados que passou por uma transformao criptogrfica que anexada
mensagem original e serve de prova da origem e autenticidade da informao, impedindo que os dados sejam forjados e o no repdio.
Mecanismo de autenticao que permite ao criador da mensagem adicionar um cdigo
chamado assinatura. Essa assinatura garante a origem da mensagem e a integridade.
Ferramenta de autenticao que verifica a origem da mensagem e a identidade do
emissor e do receptor. Uma assinatura digital nica para cada transao.

ASSINATURA DIGITALIZADA
Uma imagem eletrnica de uma assinatura feita mo digitalizada. Uma assinatura
digitalizada parece com a original, porm no prov a mesma proteo que uma
assinatura digital que no pode ser forjada ou copiada.

Glossrio

249

ASSINATURA ELETRNICA
Atributo fixado a um documento eletrnico para amarrar a uma entidade em particular. Um assinatura eletrnica um processo que garante a autenticao de usurio
como um sistema biomtrico. A verificao da assinatura em um documento confere
a integridade do documento e atributos associados, alm de verificar a identidade de
quem o assinou. Existem algumas tecnologias de autenticao de usurios, incluindo
senhas, criptografia e biometria.

ATAQUE
Ato de agressivamente tentar sobrepor controles de segurana. O fato de que um
ataque foi realizado no significa necessariamente que ele obteve sucesso. O nvel de
sucesso depende da vulnerabilidade do sistema e das medidas de proteo tomadas.
Uma tentativa de sobrepor um sistema de controle de segurana. Um ataque ativo
altera os dados; um ataque passivo apenas obtm os dados.

AUDITORIA
Registrar independentemente e depois examinar as atividades de um sistema (por
exemplo, logins e logouts, acessos a arquivos e violaes de segurana).

AUDITORIA DE SEGURANA
Uma reviso independente dos registros de atividade dos sistemas com o objetivo de
testar os sistemas de controle, garantir a conformidade com as polticas e procedimentos operacionais, detectar falhas de segurana e recomendar e indicar mudanas
na poltica de controle e procedimentos.

AUTENTICAO
A verificao de que a entidade quem diz ser.
O processo de provar que determinado usurio ou sistema quem diz ser. A autenticao uma medida usada para verificar a elegibilidade de um sujeito e a sua
habilidade para acessar certas informaes. Ela protege contra o uso fraudulento do
sistema ou a transmisso fraudulenta de informaes. Existem trs formas clssicas
de autenticar um elemento a ele mesmo: algo que voc sabe, algo que voc tem ou
algo que voc .
Disponibilizar garantia da identidade de um usurio ou informao.

AUTENTICAO DE MENSAGENS
Garantir tipicamente que o cdigo de autenticao de uma mensagem bate com o
cdigo da mensagem enviada.

AUTENTICAO FORTE
Processo de autenticao que utiliza um mecanismo de gerao dinmica de senhas,
como um carto de autenticao, ou PIN.
250

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

AUTENTICIDADE
Princpio de segurana que garante que uma mensagem foi recebida exatamente na
forma como foi enviada.

AUTORIDADE CERTIFICADORA (CA) - CERTIFIED AUTHORITY


Entidade segura responsvel pelo mapeamento e fornecimento de chaves pblicas
por meio da identificao do portador do certificado. Em alguns sistemas, as autoridades de certificao podem inclusive gerar as chaves pblicas.
Entidade segura responsvel pela distribuio de certificados. Um certificado de chave
pblica um arquivo que associa o nome do usurio a uma chave pblica digitalmente
assinada pela autoridade certificadora. O ambiente para o uso de certificados de chave
pblica foi definido pelo CCITT na norma do padro X.509. O certificado contm o
nome do usurio, o nmero de srie e o perodo de validade, entre outros campos.

AUTORIZAO
Conceder direitos que incluem a concesso de acesso a determinados arquivos, dados
ou aplicaes.

AVALIAO DE RISCO
Uma anlise pela qual um sistema passa para verificar as vulnerabilidades de forma a
determinar o custo da perda e recuperao do sistema.

BANDWIDTH
Largura de banda, capacidade de banda que pode ser enviada por meio de um link.
Fazendo uma analogia, se gua fosse os dados, a largura de banda seria o cano.

BIOMETRIA
Estudo estatstico de dados biolgicos. Em segurana de redes, o uso de caractersticas nicas do indivduo, como fsicas, de comportamento e de morfologia, disponibiliza identificao positiva pessoal. Exemplos dessas caractersticas so impresses
digitais, padres de retina e assinaturas.
Um sistema de identificao biomtrico identifica um humano pela medida de um
fator fsico ou pela ao repetitiva de um fator individual (por exemplo, geometria das
mos, mapeamento da retina, padres da ris, impresses digitais, caractersticas da
face, sequncia de DNA, impresses da voz e assinatura).

BLUETOOTH
Tecnologia desenvolvida pela Ericsson e que virou padro de mercado para a substituio de cabos por ondas de rdio para interconectar dispositivos, criando-se assim
uma PAN (Personal Area Network).

Glossrio

251

BLUESNARFING
Ataque realizado em rede Bluetooth para tentar buscar os dados do telefone como
contatos, agenda etc.

BOMBA LGICA
um programa de computador que verifica se um conjunto de condies est presente
em um sistema. Quando essas condies so casadas, a bomba lgica executa funes
que resultam em aes no autorizadas.

CAVALO DE TROIA
Tipo de programa que representa uma ameaa. Programa independente que executa
uma funo til de utilitrio, mas esconde um programa no autorizado internamente.
Esse programa em geral utilizado para capturar informaes digitadas via teclado e
envi-las a um provvel invasor.

CCK (COMPLEMENTARY CODE KEYING)


Tcnica de modulao baseada em cdigo utilizada nas redes IEEE 802.11b.

CERTIFICAO
Avaliao tcnica para o suporte, ou validao de um processo estabelecida entre um
sistema de computao em particular, uma implementao ou uma arquitetura de
rede que aderente a determinados requisitos de segurana pr-especificados.

CFP (CONTENTION FREE PERIOD)


Perodo de liberao de trfego para qualidade de servio no IEEE 802.11e.

CHAVE
Na criptografia, um valor secreto usado para encriptar e decriptar mensagens.
Uma sequncia de smbolos, formada por nmeros grandes, que usualmente apenas
quem envia e quem recebe as mensagens conhece.
Uma das entradas de controle da transformao de dados por um algoritmo criptogrfico.

CHAVE ASSIMTRICA
Uma das chaves do par de chaves usado em sistemas criptogrficos do tipo chave
pblica. Um sistema criptogrfico assimtrico possui duas importantes propriedades:
a chave usada para encriptar diferente da usada para decriptar e nenhuma das
chaves pode ser derivada da outra.

252

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

CHAVE PRIVADA
Uma das duas chaves utilizadas em sistemas de criptografia assimtricos. Por motivos
de segurana apenas o criador da chave privada deve conhec-la.
Uma das chaves utilizadas por algoritmos assimtricos. A posse da chave restrita,
usualmente, a uma entidade.

CHAVE PBLICA
Uma das duas chaves usadas em sistemas criptogrficos assimtricos. A chave pblica
deve ser usada em conjunto com a chave privada correspondente nos processos criptogrficos.
Em um sistema criptogrfico assimtrico, pblica a chave que pode ser revelada.

CHAVE SECRETA
Chave usada em algoritmos criptogrficos simtricos que deve ser mantida em sigilo
por ambas as partes envolvidas na comunicao.

CHAVE SIMTRICA
Chave usada em sistemas criptogrficos simtricos. Em alguns desses sistemas a
mesma chave usada para encriptao e decriptao.

CHECKSUM
Nmero somado de acordo com um conjunto de regras particulares e usado para verificar se os dados transmitidos sofreram modificao durante a transmisso.
Dgitos ou bits somados de acordo com regras arbitrrias e usado para verificar a
integridade dos dados.

CIFRAR
Um algoritmo usado para encriptar e decriptar. Um algoritmo de cifragem substitui
um pedao da informao (um elemento em texto claro) por outro objeto com a inteno de esconder o significado.

CLASSIFICAO
A classificao o nvel bsico de sensibilidade de um documento. No ramo militar
as informaes podem ser classificadas como no classificadas, confidenciais, secretas e altamente secretas. Quando um rtulo de sensibilidade incluso, existe
um mecanismo de limitar o acesso s informaes para aquele determinado nvel de
classificao.

CDIGO CONFIVEL
Cdigo assumido para executar um conjunto de operaes corretamente.

Glossrio

253

CDIGO DE AUTENTICAO DE MENSAGENS


Cdigo calculado durante a encriptao e anexado mensagem. Se o cdigo de autenticao calculado igual ao cdigo calculado durante a decriptao, a mensagem no
foi alterada no processo de transmisso. o acrnimo do MAC.

COMUNICAO SEGURA
Proteo s informaes enquanto esto sendo transmitidas, particularmente via
meios de telecomunicao. O principal foco verificar a autenticidade da mensagem.

CONECTIVIDADE
Potencial de um computador ou sistema de computao em estabelecer links (enlaces)
de comunicao ou interagir efetivamente.

CONFIABILIDADE
Medida de consistncia dos dados baseada na capacidade de reproduo da informao e na medida estimada de erros.

CONFIANA
Habilidade de um sistema em cumprir as especificaes.

CONFIDENCIAL
Informao que no pode ser livremente divulgada; informao privada, a qual
enviada ao emissor que se compromete a no divulg-la sem a devida autorizao
para mudana de classificao, principalmente porque possui contedo sensvel.

CONFIDENCIALIDADE
Condio para que uma informao seja compartilhada ou despachada de maneira
controlada.
O contedo da informao no disponibilizado ou revelado para usurios, indivduos, entidades ou processos no autorizados.
Princpio de segurana que mantm a informao sensvel guardada, impedindo que
usurios no autorizados possam acess-la.
Status associado a dados ou informaes que se caracterizam como sensveis por
determinada razo e por isso necessitam de proteo contra roubo ou uso imprprio,
podendo ser disseminadas apenas por indivduos ou organizaes que possuem autorizao para t-las.

CONTROLE DE ACESSO
A preveno para que usurios no autorizados acessem um recurso.

254

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Poltica de uso de informaes que determina quem deve ter acesso a quais informaes, polticas e procedimentos para prevenir o acesso a informaes de usurios
no autorizados.

CP (CONTENTION PERIOD)
Perodo de conteno de trfego usado para qualidade de servio no IEEE 802.11e.

CRC (CYCLIC REDUNDANCY CHECK)


Byte de checagem para a verificao da existncia de erros no pacote enviado.
Funo matemtica que cria uma impresso digital em um bloco de dados de forma
a verificar a existncia de erros, principalmente na transmisso ou armazenamento.

CREDENCIAIS
Informaes que descrevem atributos de segurana (identidade ou privilgio) de um
usurio ou em uma comunicao. As credenciais so utilizadas para autenticao ou
delegao e uso no controle de acesso.

CRIPTOANLISE
Parte da criptologia responsvel por quebrar os cdigos criptogrficos e descobrir e
recuperar o texto claro a partir do cifrado, sem que para isso seja conhecida a chave
criptogrfica.

CRIPTOGRAFIA
Parte da criptologia responsvel pela execuo de algoritmos para encriptao e decriptao com a inteno de garantir a segurana e autenticidade das mensagens.
Morfologicamente o nome criptografia vem do grego kryptos que significa esconder
e de graphia que significa escrita.
Arte de manter dados em segredo, inicialmente por meio do uso de funes matemticas e lgicas que transforma dados legveis em no legveis e vice-versa.

CRIPTOGRAFIA ASSIMTRICA
Forma de sistema criptogrfico em que os processos de encriptao e decriptao
so realizados utilizando duas chaves distintas, uma conhecida como chave pblica e
outra como chave privada. Tambm conhecido como sistemas criptogrficos de chave
pblica.

CRIPTOGRAFIA SIMTRICA
Sistema criptogrfico no qual a encriptao e a decriptao so realizadas usando a
mesma chave.

Glossrio

255

CRIPTOLOGIA
Cincia que estuda tanto a criptografia como a criptoanlise.

CSMA/CA (CARRIER SENSE MULTIPLE ACCESS WITH COLLISION AVOIDANCE)


Mtodo de acesso utilizado no padro Ethernet IEEE 802.11.

DADOS
Sequncia de smbolos que possuem determinado significado.

dBm
dBm usado para definir o nvel de potncia de um sinal em cabo e em redes sem fio
nas frequncias de transmisso. O smbolo uma abreviao de decibis relativos a
um miliwatt, em que 1mW igual a 1/1000 de um watt (0.001W ou 10 -3W). Essa
unidade utilizada para medir o nvel de intesidade do sinal de rede sem fio.

DECRIPTAO
A traduo de um texto encriptado ou dados, chamado de texto cifrado no texto
original.
A transformao de um texto encriptado, chamado de texto cifrado no texto original.

DELEGAO
O ato de um usurio autorizar outro usurio a usar sua identidade ou privilgio, as
vezes com restries.

DENIAL OF SERVICE (DoS) - NEGAO DE SERVIO


Ataque que tem como objetivo derrubar a mquina que est sob ataque, impedindo
assim que os usurios acessem as operaes.

DES (DATA ENCRYPTION STANDARD)


Algoritmo de criptografia de chave privada adotado como padro pelo governo americano e usado extensivamente como proteo para dados em transaes comerciais
tambm.

DICIONRIO DE DADOS
Informao que descreve especificaes e localizao de todos os dados contidos em
um sistema. Ele disponibiliza uma fonte central que garante definies padro para
elementos de dados e estruturas de dados usados em um sistema de computao.

DGITO DE CHECAGEM
A representao resultante de uma operao de checksum.

256

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

DIRECT SEQUENCE
Mtodo de acesso da rede sem fio que espalha o sinal em uma faixa maior de frequncia para garantir maior confiabilidade na transmisso.

DIREITO
A habilidade conferida para a execuo de determinadas aes em um sistema. Para
tomar uma deciso de controle de acesso, so comparados os direitos do usurio com
os direitos requeridos para a realizao de determinada operao.

DISPONIBILIDADE
A propriedade de ser acessvel por demanda a uma entidade autorizada.

DNS (DOMAIN NAME SYSTEM)


Servidor de nomes, responsvel na Internet pela resoluo de endereos IP a partir
de nomes (domnios).

DOMNIO DE SEGURANA
Um conjunto de sistemas em uma organizao que tem como responsabilidade a implementao e manuteno da poltica de segurana.

DOWNSTREAM

Trfego ou banda de dados que so recebidos pelo usurio do servio.

EAP (EXTENSIBLE AUTHENTICATION PROTOCOL)


Protocolo utilizado em conjunto com o 802.1x no WPA Enterprise para autenticar as
estaes e realizar a troca de chaves.

EMULAO DE PORTA SERIAL (SERIAL PORT PROFILE)


Permite criar uma porta serial virtual entre os dispositivos Bluetooth.

ENCRIPTAO
Transformao criptogrfica de dados para produzir um texto cifrado.
Processo de codificar uma mensagem com o objetivo de esconder o seu significado.

ENCRIPTAO DE CHAVE PRIVADA


Tipo de encriptao que usa a mesma chave tanto para o processo de encriptao
como de decriptao. Chamada tambm de criptografia simtrica.

Glossrio

257

ENCRIPTAO DE CHAVE PBLICA


Tipo de encriptao que usa duas chaves matemticas. A chave pblica de conhecimento do grupo de usurios; a chave privada, entretanto, apenas o proprietrio
possui.

ENCRIPTAO DE LINKS
Tipo de encriptao pelo qual a mensagem encriptada quando transmitida e decriptada na recepo.

ENDEREO IP
Uma sequncia numrica formada por 32 bytes que identifica um computador na rede
IP. Os endereos IP identificam vrios computadores conectados Internet e usados
para rotear pacotes aos destinos.

EVENTO DE AUDITORIA
Os dados coletados em um sistema de eventos para a incluso em um log de auditoria
de sistemas.

EWC (ENHANCED WIRELESS CONSORTIUM)


Desenvolve um novo conjunto de testes.
Usado para testar os sistemas baseados em 802.11n.

FALHA DE SEGURANA
Uma ao de um usurio autorizado ou no autorizado que resulta em um impacto negativo sobre os dados em um sistema ou sobre o sistema em si mesmo, ou que possa
causar a revelao no autorizada dos dados, modificao, destruio ou negao de
servio.

FCC (FEDERAL COMMUNICATIONS COMMISSION, USA)


rgo regulatrio americano de equipamentos eletroeletrnicos.

FIREWALL
Sistema ou computador dedicado para proteger uma rede ou sub-rede definida.

FREQUNCIA
Nmero de oscilaes peridicas ou ondas que ocorrem em uma unidade de tempo.

FTP (FILE TRANSFER PROTOCOL)


Protocolo de aplicao da famlia TCP/IP para transporte de arquivos entre ns da
rede.

258

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

FUNES DE HASHING
Funo que mapeia uma poro de dados de tamanho varivel ou mensagens em
valores de tamanho fixo, chamados cdigos Hash.
Funo desenvolvida para, quando protegida, garantir a autenticao de dados ou
mensagens.
Funo matemtica unidirecional fcil de ser computada que gera como resultado
uma string de bytes que nica para o mesmo texto, a partir da qual impossvel
encontrar o texto original.

FREQUENCY HOPPING
Mtodo de acesso usado em redes sem fio que produzem saltos (hops) nas frequncias usadas para transmisso de forma a dificultar a sintonizao do sinal.

GAP (GENERIC ACCESS PROFILE)


Define como dois dispositivos dentro da rede Bluetooth descobrem a si mesmos.

GARANTIA
Medida de confiana que um sistema de segurana possui.
Confiana justificada em um sistema de segurana.
Desenvolvimento, documentao, teste, atividades operacionais que garantem que
um sistema de segurana disponibiliza de fato o nvel de proteo especificado.

GARANTIA OPERACIONAL
Garantia de que um sistema implementa uma poltica de segurana definida. Em geral
se cria o chamado Orange Book, um conjunto de garantias operacionais que incluem
arquitetura do sistema, integridade do sistema, anlise e recuperao.

GATEWAY
Tipicamente sistemas interconectados a dois sistemas, dispositivos ou redes que, por
outro lado, no se comunicam. A comunicao entre um sistema ou rede a outro em
geral roteada por meio de um gateway. Um sistema de gateway pode ser utilizado
com a funo de firewall entre uma rede confivel e outra no confivel. Os gateways
filtram todas as informaes que no so permitidas entre um sistema ou rede no
confivel para um sistema ou rede confivel ou vice-versa.
Os gateways em geral so empregados para conectar redes em que a organizao
possui controle e redes em que no h controle.

GERENTE DE SEGURANA
Responsvel pelo gerenciamento do programa de segurana nas empresas.

Glossrio

259

GOEP (GENERIC OBJECT EXCHANGE PROFILE)


Define um conjunto de protocolos e procedimentos usados para a troca de objetos
entre os dispositivos.

ICMP (INTERNET CONTROL MESSAGE PROTOCOL)


Protocolo padro usado no aplicativo Ping, muito utilizado no troubleshooting de
redes IP.

IDENTIFICAO
Processo de informar a um sistema a identidade de um sujeito (usurio ou outro
sistema). Usualmente feito entrando com o nome do usurio ou usando um token
de acesso ao sistema.

IEEE
Instituto dos Engenheiros Eltricos e Eletrnicos.

IEEE 802.11
Primeiro padro de rede sem fio estabelecido pelo IEEE, especifica redes sem fio com
velocidades de 1 a 2Mbps com base no uso do Frequency Hopping.

IEEE 802.11a
Padro de rede sem fio estabelecido pelo IEEE, especifica redes sem fio com velocidades de 54Mbps com base na tcnica de multiplexao e acesso OFDM, a 5GHz de
frequncia.

IEEE 802.11b
Padro de rede sem fio estabelecido pelo IEEE, especifica redes sem fio com velocidades
de 11Mbps com base na tcnica de acesso DSS (Direct Sequence SpreadSpectrum), a
2.4GHz de frequncia.

IEEE 802.11g
Padro de rede sem fio estabelecido pelo IEEE, especifica redes sem fio com velocidades de 54Mbps com base na tcnica de multiplexao e acesso OFDM, a 2.4GHz
de frequncia.

IEEE 802.11i
Padro de segurana para redes sem fio estabelecido pelo IEEE, especifica o WPA2
com o algoritmo criptogrfico AES (Advanced Encryption Standard).

260

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

IEEE 802.11n
Padro de rede sem fio estabelecido pelo IEEE, especifica redes sem fio com velocidades de 600Mbps trabalhando com mltiplos canais baseadas em tecnologia MIMO
(Multiple Input Multiple Output).

IETF (INTERNET ENGINEERING TASK FORCE)


Revisa e recria normas e padres para a Internet.

IMPERSONALIDADE
Mecanismo de um usurio no autorizado tentar ganhar acesso ao sistema.

INFORMAO
Dados que possuem um certo significado, de acordo com o contexto e convenes
assumidas.

INFORMAES SENSVEIS
Informao que, no caso de ser perdida, pode afetar negativamente o seu proprietrio,
incluindo prejudicar a continuidade do negcio.

INTEGRIDADE
Propriedade dos dados que no permite que sejam alterados ou destrudos de forma
no autorizada.
Princpio de segurana que protege a informao de ser modificada ou corrompida
maliciosa ou acidentalmente.

INTEGRIDADE DE DADOS
Os dados no so alterados ou destrudos de nenhuma maneira, nem por usurios
no autorizados.

INTRUSO
Indivduo que ganha, ou tenta ganhar, acesso no autorizado a sistemas de computao ou privilgios no autorizados a um sistema.

INVASO
Um acesso com sucesso no autorizado a um sistema de computao.

IP (INTERNET PROTOCOL)
Protocolo IP da famlia TCP/IP responsvel por funes de roteamento e estabelecimento de transporte fim a fim por sub-redes heterogneas.

Glossrio

261

IP MULTICAST
Tcnica de roteamento que permite que o trfego IP se propague de uma fonte para
um nmero de destinos ou de muitas fontes para muitos destinos. Em vez de mandar
um pacote para cada destino, um pacote enviado para um grupo, definido por um
grupo de multicast.

ISI (INTER SYMBOL INTERFERENCE)


Interferncia entre os canais da rede sem fio.

ISM (INDUSTRIAL SCIENTIFICAL AND MEDICAL)


Faixas de frequncia de uso livre internacionalmente. O ISM define trs faixas de frequncia: 900MHz, 2.4GHz e 5GHz.

ISO (INTERNATIONAL STANDARDS ORGANIZATION)


Organizao de padronizao que criou o modelo de referncia OSI.

ISP (INTERNET SERVICE PROVIDER)


Provedor de Servio Internet.

ITU (INTERNATIONAL TELECOMMUNICATIONS UNION)


Organismo Internacional de Padronizao em Telecomunicaes.

KBPS
Kilobits por segundo.

KERBEROS
Nome dado ao projeto do servio de autenticao do projeto Athenas.

LAN (LOCAL AREA NETWORK)


Rede local. Tipo de rede com abrangncia limitada, em que os computadores e outros
dispositivos esto conectados em um modo de transmisso comum.

LARGURA DE BANDA
Medida da faixa de frequncia usada para transmisso de dados wireless.

LISTA DE CONTROLE DE ACESSO


Uma lista de entidades e direitos de acesso que juntos permitem e autorizam o acesso
a determinados recursos.

262

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

LOGIN
Processo de identificar no sistema e possuir uma identidade autenticada por um
sistema de computao.

MAC (MANDATORY ACCESS CONTROL)


Um regime de controle em que o acesso baseado em uma poltica de informaes
gerenciada por autoridade designada, considerando quem criou o recurso.
Restrio de acesso a objetos baseada em atributos de segurana definidos por
usurios, arquivos e outros objetos.

MAC ADDRESS
Endereo fsico das interfaces de rede tradicionais e sem fio.

MAGNTRON
Vlvula existente nos aparelhos de micro-ondas que gera ondas eletromagnticas na
faixa de frequncia da rede sem fio: 2.4GHz.

MBPS
Taxa de transmisso em megabits por segundo.

MEDIDAS DE CONTRA-ATAQUE
Aes, dispositivos, procedimentos ou tcnicas usadas para reduzir a vulnerabilidade
de um sistema ou cobrir uma ameaa ao sistema.

MIC (MESSAGE INTEGRITY CODE)


Controle adicionado aos pacotes para que os nmeros de sequncia no sejam
presumveis, evitando assim ataques de Man in the Middle.

MODELO DE CONFIANA
Descrio de componentes de um sistema, em que as entidades de fora devem ser
confiveis para manter a segurana.

MODELO DE SEGURANA
Declarao precisa das regras de segurana.

MODEM
Contrao de MODulao/DEModulao. Um modem converte o sinal digital de um
dispositivo transmissor na forma adequada para ser transmitido em um canal analgico.

Glossrio

263

MODO DE ACESSO
Uma operao especfica reconhecida por mecanismos de proteo como uma possvel
operao em dados ou informaes.
Modos de leitura e escrita nos quais os arquivos em um computador possam ser
acessados. Existem outros modos de acesso como execuo do arquivo, criao e
apagamento de objetos no diretrio.

MODULATION
Processo pelo qual as caractersticas do sinal e da onda variam de acordo com outro
sinal de onda. A modulao pode ser alterada com caractersticas de frequncia, fase
ou amplitude.

MTU (MAXIMUM TRANSMISSION UNIT)


Tamanho mximo do pacote Ethernet. Esse parmetro pode ser configurado em uma
rede Ethernet.

MULTIPLEX
Dispositivo que combina vrios sinais em um nico canal. Esse processo possibilita
que vrios usurios com acesso a um nico meio fsico de transmisso compartilhem
esse canal. Em geral existe multiplexao em frequncia e em tempo.

NO REPDIO
A evidncia que previne que o executor de uma determinada ao possa negar que a
tenha efetuado.

NETSTUMBLER
Software livre utilizado para levantamento de dados sobre as redes sem fio. Alm de
levantar os dados sobre as redes, pode medir o nvel de intesidade do sinal.

NVEL DE ACESSO
Nvel associado ao indivduo que acessa a informao ou que esteja com a informao
que possa ser acessada.

NVEL DE CORREO OU ACCURACY


Magnitude de erros em dados como resultado da falta de controle da informao,
incluindo acesso, verso etc.
O princpio de segurana que permite que a informao seja modificada ou, por
outro lado, corrompida maliciosamente ou acidentalmente. O nvel de correo da
mensagem a protege de fraude. um dos sinnimos de integridade.

264

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

NVEL DE SEGURANA
A representao do nvel de sensibilidade da informao.

NOC (NETWORK OPERATION CENTER)


Centro de operao da rede.

NSP (NETWORK SERVICE PROVIDER)


Provedor de servio de rede.

OBJETIVOS DE SEGURANA
Requisitos de segurana e especificaes que servem de base para uma avaliao de
segurana.

OFDM
Mtodo de acesso rede sem fio que realiza a transmisso em mltiplas subportadoras, permitindo um desempenho cinco vezes superior ao DSS (Direct Sequence
SpreadSpectrum).

OSI (OPEN SYSTEMS INTERCONNECTION)


Modelo de sistemas abertos de comunicao padronizado pela ISO e baseado em sete
camadas: Fsica, Enlace, Rede, Transporte, Sesso, Apresentao e de Aplicao.

PAN (PERSONAL AREA NETWORK)


Redes de dados sem fio de curtssimo alcance, em geral at dez metros, utilizadas
para interconectar dispositivos sem cabos, por exemplo, Bluetooth e ZigBee.

PCF (POINT COORDINATION FUNCTION)


Funcionalidade de coordenao de trfego criada no IEEE 802.11e.

PICONET
Rede criada entre um mestre e um ou mais escravos no Bluetooh.

PDU (PROTOCOL DATA UNIT)


O campo de dados de uma unidade de transporte, ou seja, o pacote sem o cabealho
e bytes de controle. tambm chamado de carga til do pacote.

PERMETRO DE SEGURANA
Fronteira imaginria entre um sistema confivel e seguro e sistemas no seguros.
Exemplo: a rede da empresa segura e o roteador a fronteira para uma rede no
segura, que a Internet.

Glossrio

265

PERMISSO
Representao do nvel de sensibilidade da informao associada aos sistemas de
suporte e acesso. Um usurio com determinada permisso pode tipicamente acessar
apenas informaes com o nvel de sensibilidade igual ou menor que a sua permisso.

PERSONAL IDENTIFICATION NUMBER (PIN) - NMERO DE IDENTIFICAO


PESSOAL
Nmero ou cdigo nico para cada indivduo e que pode ser usado para provar identidade. Em geral usado em caixas automticos de bancos e dispositivos de acesso.

PHASE MODULATION
Modulao de fase, tcnica que modifica as caractersticas de um sinal ou onda gerada
para carregar as informaes.

PISTAS PARA AUDITORIA


Dados coletados e que potencialmente possam ser usados para facilitar a auditoria
de segurana.
Conjunto cronolgico de registros que disponibiliza a evidncia de atividade de um
sistema. Esses registros podem ser usados para reconstruir, revisar e examinar transaes, de forma a verificar as atividades que ocorreram no sistema. Eles podem ser
tambm utilizados para rastrear o uso do sistema, detectar e identificar intrusos.

PLANO DE CONTINGNCIA
Plano elaborado para resposta a uma situao de emergncia. Inclui procedimentos
de backup, preparao do ambiente fsico dos servidores (controle de incndio etc.),
que garantam a funcionalidade e a continuidade das operaes em caso de emergncia, permitindo a recuperao de um desastre.

PLANO DE DESASTRE
Um plano que disponibiliza direes e procedimentos para proteger informaes,
minimizar perdas, garantir estabilidade e permitir a recuperao ordenada em evento
de desastre, como inundao, fogo etc.

POLTICA DE SEGURANA
Conjunto de regras, medidas e procedimentos para determinar os controles de segurana fsica, procedural e pessoal impostas ao gerenciamento, distribuio e
proteo de ativos.
Estrutura na qual a organizao estabelece as necessidades e nveis de segurana
da informao para garantir os objetivos de confidencialidade. Uma poltica de um
conjunto de regras, responsabilidades de proteo e comprometimento da organizao com os sistemas.

266

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

um conjunto de regras e prticas para regular como a organizao gerencia, protege


e distribui informaes sensveis.

PONTO BSICO DE SERVIO INDEPENDENTE


um ponto bsico de servio em que no existe acesso a um sistema de distribuio
disponvel. Uma das estaes no IBSS (ponto bsico de servio independente) pode
ser configurada para iniciar a rede e coordenar as funes de rede, ou seja, executar
as funes de servidor.

PONTO DE SERVIO ESTENDIDO (EXTENDED SERVICE SET)


um ponto ou grupo de pontos bsicos de servio interconectados por um sistema
de distribuio.

POP (POINT OF PRESENCE)


Ponto de presena. Um POP em geral um ponto em que uma provedora de servio
de dados localiza os equipamentos para o acesso local.

PPP (POINT-TO-POINT PROTOCOL)


Protocolo da famlia TCP/IP orientado a conexes ponto a ponto sobre enlaces de
comunicao WAN.

PRIVACIDADE
Desejo do indivduo de no revelar suas informaes pessoais.
Princpio de segurana que protege indivduos do armazenamento e da disseminao
de informaes sobre eles sem autorizao.

PRIVILGIO
Direito concedido a determinado usurio, programa ou processo. Por exemplo, certos
usurios possuem privilgios que lhes permitem acessar certos arquivos em um
sistema. Apenas o administrador do sistema possui os privilgios necessrios para
exportar os dados de um sistema confivel.
Muitos usurios podem compartilhar um atributo de segurana, como, por exemplo,
privilgios de grupos de usurios.

PROFILES NO BLUETOOTH
Os profiles definem como cada aplicao e cada dispositivo deve se adequar infraestrutura Bluetooth. No profile so definidas as mensagens e especificaes do uso do
rdio e dos servios Bluetooth pelo dispositivo. O profile serve como uma interface
mandatria entre o dispositivo e a infraestrutura de rdio e a comunicao Bluetooth.

Glossrio

267

PROTEO DO PERMETRO
Permetro como regio segura e onde os servios de segurana so providos contra
ataques.

PROTETOR DE SURTO
Dispositivo utilizado para bloquear a propagao de raios e descargas atmosfricas
aos dispositivos da rede sem fio em configurao de wireless bridging.

PROTOCOLO
Um conjunto de regras e formatos para troca de informaes, particularmente sobre
uma rede de comunicao.

PROVA DE ENVIO
Uma evidncia de no repdio que prova que a mensagem ou dado foi devidamente
enviado por quem diz t-lo enviado.

PROVA DE ORIGEM
Uma evidncia de no repdio que prova que a mensagem ou dado foi mesmo enviado
pelo originador da mensagem ou dado.

PROVA DE RECEBIMENTO
Uma evidncia de no repdio que prova que o destinatrio da mensagem a recebeu.

PROVA DE SUBMISSO
Uma evidncia de no repdio que prova que a mensagem foi submetida a um determinado destino ou servio.

PVC (PERMANENT VIRTUAL CIRCUIT)


Circuito virtual permanente, estabelecido em um ou mais circuitos fsicos em carter
permanente, muito utilizado em tecnologias como Frame Relay e ATM.

QAM (QUADRATURE AMPLITUDE MODULATION)


Processo de conservao de banda usado rotineiramente em modems. O QAM permite
que dois sinais de portadora ocupem a mesma banda de transmisso.

QUEBRA DE CONFIDENCIALIDADE
Quebra de um contrato no qual havia um acordo de confidencialidade, que acaba
revelando a informao sem o consentimento do outro indivduo que assinou o
contrato. Por exemplo, os tribunais tm julgado condutas ticas de profissionais da
sade devido a no manterem confidencialidade das informaes obtidas durante o
tratamento de pacientes.
268

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

QUEBRA DE SEGURANA
Revelao no autorizada, destruio, modificao de informaes.

RADIUS
Protocolo utilizado em conjunto com o 802.1x para autenticao, autorizao e auditoria de usurios. Normalmente existe um servidor de autenticao RADIUS que se
comunica com os dispositivos que se autenticam usando este protocolo.

RC4
Algoritmo criptogrfico criado pela RSA com base em uma cifra simtrica por fluxo.

RECUPERAO
A restaurao de informaes de backup de forma a garantir que a operao das atividades no seja interrompida.

REENVIO OU REPLAY
O armazenamento de uma mensagem legtima e o reenvio no autorizado da mesma
mensagem.

REGISTRO (ACCOUNTABILITY)
Propriedade que garante que as aes executadas em cada entidade possam ser registradas e rastreadas, caso exista necessidade.
A possibilidade de indivduos ou entidades serem responsabilizados por determinadas
aes, como obter informaes confidenciais sem autorizao.

REGISTRO SECUNDRIO
Um registro que deriva de um registro primrio e contm dados selecionados.

REPDIO
A negao do envio da mensagem por quem a enviou.
Negao de uma das entidades envolvidas na comunicao de ter participado dela.

RESDUO
Dados deixados armazenados em uma mdia antes de serem reescritos ou eliminados.

RETENO
A manuteno ou preservao de informaes em algum formato (como papel, microfilme ou mdia) por um determinado perodo de tempo.

Glossrio

269

REVELAO AUTORIZADA
O envio da informao pessoal a um terceiro por meio de autorizao.

REVELAO INDEVIDA
Processo de revelar informaes indevidas a usurios ou sistemas no autorizados
sem o consentimento do proprietrio das informaes.
Em geral, a informao est relacionada com um acordo de confidencialidade, com
propsitos de monitorar a qualidade, educacionais, de pesquisa e administrativos.

RISCO
Efeito agregado da ocorrncia de uma ameaa com um grau de vulnerabilidade tal que
a ameaa e as consequncias em potencial possam impactar a organizao.

ROAMING
Processo automtico de troca do access point no qual a estao est conectada, normalmente ocorre pela mobilidade, e o roaming envolve trocar o nmero do canal de
comunicao.

ROTA ESTTICA
Uma rota includa manualmente em uma tabela de roteamento. As rotas estticas
recebem prioridades sobre outras rotas escolhidas por protocolos dinmicos de roteamento.

ROTEADOR
Equipamento que executa as funes da camada 3 (camada de rede) do modelo OSI e
decide o caminho em que os pacotes so roteadores, com base em algumas mtricas
de otimizao. Roteadores enviam pacotes de uma rede para outra com base nas informaes da camada de rede.

SAFETY
Propriedade do sistema de garantir a preservao das pessoas em um eventual risco.
Termo focado em segurana fsica, como a segurana de um veculo no caso de acidentes.

SCATTERNET
Um conjunto de piconets coexistindo na mesma rea fsica.

SDAP (SERVICE DISCOVERY APPLICATION PROFILE)


Serve para que um dispositivo consiga verificar os servios disponveis no dispositivo
com o qual ele esteja pareado, ou seja, os servios disponveis do dispositivo ao qual
est se conectando.

270

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

SEGURANA
A combinao de disponibilidade, confiabilidade, integridade e auditoria.
Significa controlar o acesso e proteger informaes da revelao acidental ou intencional para usurios no autorizados e de alterao, destruio ou perda.
Proteo dos sistemas de informao contra acessos no autorizados, modificao das
informaes, nos processos de armazenamento, processamento, trnsito e contra-ataques do tipo negao de servio, incluindo as medidas necessrias para detectar,
documentar e contabilizar ameaas.
A segurana de dados e de informaes a proteo efetiva para evitar ocorrncias
no desejadas e revelao acidental ou intencional de informaes a usurios no autorizados. Inclui cpias no autorizadas de informaes, destruio de equipamentos,
deficincias de software, deficincia em sistemas operacionais, erros operacionais,
dano provocado por fogo, gua, fumaa, temperatura excessiva, falha eltrica ou sabotagem.
A proteo da integridade, disponibilidade e confidencialidade de um sistema de
computao e recursos usados para entrada, armazenamento, processamento e comunicao.

SEGURANA FSICA
Proteo fsica de sistemas de computao, prdios, equipamentos de incndio e
outros acidentes naturais, alm de intruso. Tambm relaciona o uso de travas, chaves
e medidas administrativas para controlar o acesso a sistemas de computao e facilidades.

SELAR
Encriptar dados com o propsito de garantir a proteo por confidencialidade.

SENHA
Informao de autenticao confidencial composta de uma string de caracteres.
Uma sequncia que um indivduo apresenta a um sistema para propsito de autenticao.

SENSIBILIDADE
Nvel de importncia designado informao de acordo com o mecanismo de proteo
associado.

SERVIOS DE SEGURANA
Cdigo que implementa e define um conjunto de funcionalidades de segurana, incluindo controle de acesso, auditoria, no repdio, entre outros.

Glossrio

271

SISTEMA BASEADO EM RETINA


Sistema biomtrico que compara o padro dos vasos sanguneos da retina com o
padro pr-armazenado para verificar a autenticidade do usurio.

SISTEMA CRIPTOGRFICO DE CHAVE PBLICA


Sistema criptogrfico que usa algoritmos assimtricos.

SISTEMA CRIPTOGRFICO DE CHAVE SECRETA


Sistema criptogrfico que usa um algoritmo de chave criptogrfica simtrica.

SISTEMA DE DISTRIBUIO (DISTRIBUTION SYSTEM)


Local da topologia em que os pontos de acesso (access points) se interconectam numa
rede cabeada, podendo ser numa rede local padro Ethernet ou num backbone.

SISTEMA DE IMPRESSO DIGITAL


Sistema biomtrico que compara um padro de impresso digital com um padro
anteriormente armazenado para verificar se as impresses so idnticas.

SISTEMA DE RECONHECIMENTO DE ASSINATURA


Sistema biomtrico que compara uma assinatura com um padro anteriormente armazenado.

SISTEMA DE RECONHECIMENTO DE VOZ


Sistema biomtrico que compara um padro de voz com um anteriormente armazenado para fins de autenticidade.

SISTEMA DE SEGURANA
Mecanismos que protegem equipamentos, softwares, sistemas e informaes.

SITE SURVEY
Anlise do local onde ser instalada a rede sem fio, busca identificar como a propagao no local e mede o nvel do sinal da rede sem fio, a partir da colocao de um
access point em um ponto fixo.

SMART CARD
Carto que contm informaes codificadas, em geral armazenadas em um microprocessador. As informaes armazenadas permitem a autenticao e o acesso aos
sistemas.

272

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

SMTP (SIMPLE MAIL TRANSFER PROTOCOL)


Protocolo de gerncia da famlia de protocolos TCP/IP. A maioria dos equipamentos
de rede se comunica com as plataformas de gerncia com base em protocolo SNMP.

SNMP (SIMPLE NETWORK MANAGEMENT PROTOCOL)


Protocolo para troca de informaes de gerncia.

SSID
Identificador da rede sem fio. Todas as estaes na mesma rede sem fio devem utilizar
o mesmo identificador (SSID).

SUPER G
Tecnologia no padronizada que aperfeioa a transmisso de quadros no IEEE 802.11g,
permitindo transmitir a 108Mbps.

TCP (TRANSMISSION CONTROL PROTOCOL)


Protocolo de transporte da famlia TCP/IP, baseado em um sistema de comunicao
confivel e seguro entre dois pontos de uma rede IP.

TCP/IP
O padro TCP/IP foi estabelecido em 1981. Define como equipamentos com endereo
de rede podem se comunicar com outros, enviando e recebendo pacotes, sendo as
redes roteadas com os respectivos endereos IP. O TCP corresponde camada de
transporte, camada 4 do modelo de referncia OSI, e disponibiliza uma transmisso
de dados confivel. O IP corresponde camada de rede 3 do modelo OSI.

TDM (TIME DIVISION MULTIPLEXING)


Mtodo de transmisso digital que combina sinais de mltiplas fontes em um nico
canal, com base na multiplexao por tempo.

TELCO
Jargo americano para companhia telefnica.

TEXTO CIFRADO
O resultado da aplicao de encriptao em dados de entrada, texto encriptado.

TEXTO CLARO
Texto legvel; texto que no passou por processo de encriptao ou foi decriptado
usando uma chave correta.

Glossrio

273

TEXTO CLARO
Texto de entrada para uma funo de encriptao ou de sada de uma funo de decriptao.

TKIP (TEMPORAL KEY INTEGRITY PROTOCOL)


Mtodo usado para troca de chaves criptogrficas no WPA.

TOKEN
Usado no contexto de autenticao, dispositivo fsico necessrio para a identificao
de usurios.
Dispositivo eletrnico que pode ser inserido em um sistema de computao para
permitir acesso.

TOPOLOGIA AD HOC
Nessa topologia vrios dispositivos mveis esto interconectados entre si, formando
uma rede. Nesse caso no existe uma topologia predefinida, uma vez que os participantes podem se mover, alterando a topologia da rede.

TOPOLOGIA ESTRUTURADA
Nessa topologia as estaes esto dispostas em uma clula, as quais so controladas
por um access point.

TRABALHADORES REMOTOS
Trabalhadores que fazem uso das novas tecnologias, como banda larga, VPN e telefonia celular para desempenhar suas funes fora de um ambiente tradicional de
escritrio, como, por exemplo, em suas residncias.

TRFEGO
Fluxo de mensagem na rede.

TRANSMISSO
A troca de informaes entre pessoas e programas, ou programas e programas.

TWISTED-PAIR
Utilizados no sistema telefnico, consistem em cabos de cobre tranados entre si de
forma que um cabo auxilia no cancelamento do rudo induzido do outro.

UDP (USER DATAGRAM PROTOCOL)


Protocolo de transporte da famlia TCP/IP, baseado em datagrama extremamente
rpido, porm no confivel e sujeito a erros.

274

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

UPSTREAM
Trfego ou banda enviado pelo usurio do servio.

USURIO
Sujeito que utiliza os sistemas e realiza funes nos sistemas.

USURIO MASCARADO
Usurio no autorizado que tenta se passar por usurio autorizado para ganhar acesso
ao sistema.

VRUS
Programa de computador que fica escondido, atachado a outros arquivos de programas, e tem a caracterstica de se duplicar. Em computadores pessoais, os vrus
atuam medida que um arquivo infectado executado. Um vrus pode diretamente
danificar dados e degradar a performance do sistema, utilizando recursos que ficam
indisponveis para outros sistemas.

VPN (VIRTUAL PRIVATE NETWORK)


Usando tcnicas de tunelamento, criptografia e autenticao, essa tecnologia consegue
estender uma rede corporativa ou no a qualquer mquina conectada Internet.

VULNERABILIDADE
Fraqueza do sistema que pode ser explorada com a finalidade de violar o sistema.
Existem vulnerabilidades de segurana, integridade, disponibilidade e outras. O ato de
explorar uma vulnerabilidade representa uma ameaa que possui um risco associado.

ZIGBEE
ZigBee um padro definido pelo IEEE 802.15.4 para comunicao de rede sem
fio entre dispositivos inteligentes, fazendo parte do conjunto de especificao de
Wireless Personal Area Network. A ideia muito parecida com o Bluetooth, ou seja,
substituir cabos de rede e conexes entre dispositivos.

WAN (WIDE AREA NETWORK)


Rede geograficamente dispersa.
Rede de longa distncia.

WEP (WIRE EQUIVALENT PRIVACY)


Mtodo de criptografia padronizado pelo IEEE 802.11b para uso em redes sem fio.
O objetivo original era prover o mesmo nvel de privacidade de um sistema cabeado,
entretanto, como o WEP baseia-se na cifra RC4, facilmente quebrado.

Glossrio

275

WIFI
Consrcio de fabricantes de rede sem fio que busca criar um modelo de testes de interoperabilidade. Os dispositivos que passam por esses testes podem receber o selo
de certificado WiFi.

WIRELESS BRIDGING
Conexo entre duas localidades, normalmente edifcios fazendo uso do sistema de
rede sem fio, adicionando a ele antenas externas direcionais e amplificadores de sinal.

WLAN
Designao conferida Wireless Lan, ou simplesmente rede local sem fio.

WORM
Programa que pode se autoduplicar e enviar cpias de computador a computador por
meio de conexes de rede. Quando o programa recebido, ele ativado e replicado
para novamente ser propagado pela rede.

WPA (WI-FI PROTECTED ACCESS)


Padro de segurana proposto pelo consrcio WiFi, em 2003, para enderear as vulnerabilidades do WEP. A primeira implementao do WPA adiciona o TKIP ao WEP
de modo a fornecer um melhor mtodo para gerenciamento de chaves, porm continuando a utilizar a cifra RC4.

WPA2 (WI-FI PROTECTED ACCESS 2)


Evoluo do WPA, adiciona a cifra simtrica de bloco AES como substituto do RC4,
tornando o sistema praticamente inquebrvel.

276

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Bibliografia
MORAES, A.F. Redes de Computadores: Fundamentos. So Paulo: rica, 2004.
CIRONE, A.C.; MORAES, A.F. Redes de Computadores da Ethernet a Internet. So
Paulo: rica, 2004.
TANENBAUM, A. Redes de Computadores. So Paulo, Campus, 2003
SOUZA, L.B. Redes de Computadores. Guia Total. So Paulo: rica, 2009.
SANCHES, C.A. Projetando Redes WLAN. Conceitos e Prticas. So Paulo: rica,
2005.
NICHOLS, R.; Lekkas, P. Wireless Security Models, Threats and Solutions. New
York: McGraw-Hill, 2002.
MAXIM, M.; Pollino, D. Wireless Security. Berkley: RSA Press, 2002.
MULLER, N. WiFi for Enterprise. New York: McGrawHill. 2003.
Sites consultados
www.3com.com
www.cisco.com
www.lynksis.com
www.alcatel-lucent.com
www.proxim.com
www.ericson.com
www.netgear.com
www.wifi.org
www.wardriving.org
www.whatis.com
www.ieee.org
www.abnt.org.br
www.sans.org

Bibliograa

277

www.rsasecurity.com
www.mcafee.com
www.verisign.com
www.portalcapes.gov.br
www.sonicwall.com
www.tippingpoint.com
www.checkpoint.com
www.motorola.com
www.backtrack-linux.org
www.netstumbler.com
www.airsnort.shmoo.com
www.aircrack-ng.org
www.wi-fi.org
www.zigbee.org
www.fluke.com

278

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Marcas Registradas
SILCOMTECH - marca registrada da Silcom Manufacturing Technology
3COM - marca registrada da Hewllet Packard
DLINK - marca registrrada da DLINK Corporation Singapore
NETGEAR - marca registrada da Netgear Inc
LUCENT - marca registrada da Alcatel-Lucent Technologies
SYMBOL - marca registrada da Motorola Corporation
CISCO - marca registrada da Cisco Systems Inc.
ENTERASYS - marca registrada da Enterasys Networks
INTERSIL - marcar registrada da Intersil Americas Inc.
MICROSOFT WINDOWS - marca registrada da MicroSoft Corporation
PROXIM marca registrada da Proxim wireless corporation
WIFI ALLIANCE marca registrada da Wireless Fidelity consortium
ZIGBEE ALLIANCE marca registrada da Zigbee Alliance consortium
HP marca registrada da Hewllett Packard
RSA marca registrada da EMC2
VERISIGN marca registrada da Verisign Inc
ERICSSON marca registrada da ERICSSON Corporation
DELL marca registrada da DELL Computers
MOTOROLA marca registrada da Motorola Inc.
LINKSYS marca da Cisco Systems.
Asus marca registrada Asus Inc;
Intel marca regsitrada da Intel Corp
Toshiba marca regsitrada da Toshiba Japan
Belkin marca registrada da Belkin Corp.

Marcas Registradas

279

SMC marca regsitrada da SMC Corp.


Accton marca registrada da Accton
Buffalo marca registrada da Buffalo technologies
Nintendo marca registrada Nintendo Corporation

280

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

ndice Remissivo
802.1x 54

A
Access Point 28, 36, 44, 45, 52, 53
Ad Hoc 45, 46

B
Bluetooth 19

C
Colises 30
CSMA/CA 44
CSMA/CD 44

D
Direct Sequence 25, 26, 43, 46
Dispositivos mveis 46, 49, 51
DSSS 26

E
Ethernet 30, 44

ndice Remissivo

281

F
Fall Back 28, 46, 48
FHSS 25
Frequency Hopping 25, 26, 43

G
Gerenciamento 18, 52, 53

H
Hub 30

I
IEEE 802.11 25, 43, 44, 46, 48, 50, 51, 53
DSSS 26
Infravermelho 19, 43
Interferncia 18, 23, 49
IrDA 20
ISM 20, 21, 22, 44, 49

M
Message Integrity Code 54
Microondas 20
Mobilidade 17, 18
Mobilidade 18
Multipath 23

282

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

O
OFDM 48, 50
Overlay 44

P
PCI 35
PCMCIA 35

R
RC4 53, 54
RF 17, 28, 45
Roaming 28, 45

S
Spread Spectrum 25, 26, 43, 48, 50
SSID 53

T
TKIP 54

U
USB 35

ndice Remissivo

283

W
WEP 53, 54
WiFi 19, 47
wireless 17, 18, 19, 23, 28, 30
Wireless 17, 18, 25, 28, 30, 35, 36, 45, 53, 54
WPA 54

284

Redes sem Fio - Instalao, Congurao e Segurana - Fundamentos

Engenharia de Redes de Computadores


Autor: Marcelo Sampaio de Alencar
Cdigo: 4117 288 pginas Formato: 20,5 x 27,5 cm ISBN: 978-85-365-0411-7 EAN: 9788536504117
O livro apresenta as redes de computadores com enfoque para Engenharia e mostra a evoluo da rede mundial at a Internet,
com base em tecnologia da informao. A Teoria de Filas e as principais definies da rea, incluindo fluxo de dados, classes
e modelos de filas e redes locais, so colocadas, alm dos protocolos e arquiteturas de redes e o modelo de referncia ISO. O
fluxo de pacotes na rede apresentado, assim como o protocolo Internet para voz. As redes de comunicaes pticas, de alta
velocidade e a gerncia integrada de redes e servios so abordadas. O texto pode ser utilizado por estudantes, para treinamento
de engenheiros de empresas de Tecnologia de Informao e Comunicao e demais profissionais da rea.

Gerenciamento de Redes com Microsoft Windows 7 Professional


Autor: Eng. Francisco Baddini
Cdigo: 3394 192 pginas Formato: 17,5 x 24,5 cm ISBN: 978-85-365-0339-4 EAN: 9788536503394
O engenheiro Francisco Baddini, certificado MCSE (Microsoft Certified Systems Engineer) e eleito MVP (Most Valuable Professional) pela Microsoft por quatro anos seguidos, escreveu este livro para todos os profissionais e alunos da rea de informtica
que desejam entender como o Windows 7 atua em um ambiente de rede. Apresenta os tipos de cabeamento, o padro Ethernet,
redes sem fios, topologias e protocolos de rede, bem como a instalao e a configurao de vrios recursos de rede do Windows
7, compartilhamento de Internet, arquivos e impressoras, segurana, o sistema de arquivos NTFS, backup de dados e o servidor
Web IIS.

Segurana em Redes - Fundamentos


Autor: Alexandre Fernandes de Moraes
Cdigo: 325A 264 pginas Formato: 17 x 24 cm ISBN: 978-85-365-0325-7 EAN: 9788536503257
Com linguagem simples e exerccios prticos, este livro explica a segurana de redes. Aborda segurana da informao, confidencialidade, integridade, disponibilidade, principais servios, anlise e gerenciamento de riscos, polticas de segurana, AAA
(Autenticao, Autorizao e Auditoria), criptografia, certificao e assinatura digital, solues de acesso remoto, o papel do RAS
e dos modems, VPNs (Redes Virtuais Privadas) e protocolos, TCP/IP, IP verso 6, solues de firewall, tcnicas de projeto de
segurana, sistemas de deteco de intruso (IDS) e de preveno de intruso (IPS) e segurana em ambientes de rede sem fio.
Destina-se a estudantes das reas tcnicas, de anlise de sistemas e de tecnologia, como tambm ao pblico em geral.

Redes Sem Fio - Instalao, Configurao e Segurana - Fundamentos


Autor: Alexandre Fernandes de Moraes
Cdigo: 3158 288 pginas Formato: 17 x 24 cm ISBN: 978-85-365-0315-8 EAN: 9788536503158
Referncia na rea de redes de computadores e segurana, o livro aborda com clareza as redes sem fio. Apresenta as tecnologias de radiofrequncia, laser e infravermelho, dispositivos e mtodos de acesso ao meio. Explica Basic Service Set, sistema de
distribuio, ponto de servio independente, a padronizao IEEE 802.11 e as tecnologias ZigBee e Bluetooth.
Esclarece os fundamentos da segurana da informao, diretrizes de poltica de segurana e a norma ISO NBR 1.7799. Estuda
criptografia, chaves pblicas e privadas, os algoritmos simtricos e assimtricos, o padro AES, hashing, assinatura e certificados
digitais. Revela os mtodos de autenticao e privacidade dos dados, configurao de uma rede sem fio segura, filtragem MAC
Address, tcnicas de projeto de redes sem fio, solues de firewall, ameaas s redes e ferramentas para identific-las.

Cabeamento Estruturado - Desvendando cada passo: do projeto instalao


Autor: Paulo Srgio Marin
Cdigo: 2076 336 pginas Formato: 17,5 x 24,5 cm ISBN: 978-85-365-0207-6 EAN: 9788536502076
Este livro apresenta temas relacionados ao projeto, instalao, testes e gerenciamento de sistemas de cabeamento estruturado
em cabos de cobre e fibras pticas em diversas aplicaes e ambientes, conforme as principais normas ABNT, ISO, IEC, TIA,
entre outras.Detalha os subsistemas de cabeamento, espaos de telecomunicaes, a Categoria 6A, prticas de instalao,
blindagem e aterramento, gerenciamento, cabeamento residencial e automao predial, bem como um estudo de caso completo.
A terceira edio trata da nova srie de normas norte-americanas ANSI/TIA-568-C (C.0, C.1, C.2 e C.3) e de mudanas importantes nas diretrizes de projeto e instalao de sistemas de cabeamento genrico, nas prticas de instalao e nos sistemas de
cabeamento ptico. Mostra os novos cabos trunking pticos, os arranjos com conectores MPO e uma ampla discusso sobre
polaridade em cabeamento ptico.

Redes

TCP/IP & Conectividade em Redes - Guia Prtico - Edio Revisada, Atualizada e Ampliada
Autor: Lindeberg Barros de Sousa
Cdigo: 2137 192 pginas Formato: 17 x 24 cm ISBN: 978-85-365-0213-7 EAN: 9788536502137
Voltado para estudantes e profissionais da rea de tecnologia, o livro aborda os conceitos gerais da arquitetura TCP/IP e suas
aplicaes na comunicao de dados em redes de computadores, partindo de princpios bsicos, evoluindo para solues e
aplicaes. Abrange a interoperabilidade dos diferentes sistemas e plataformas de hardware e de software utilizando o TCP/IP
como modelo de comunicao. Com clareza apresenta os equipamentos adotados em redes TCP/IP, padres, protocolos e suas
aplicaes, endereamento IP em redes, roteamento, proxy e firewalls.
A quinta edio foi totalmente reestruturada e atualizada, detalhando e implementando assuntos como funcionamento e configurao de roteadores e switches em redes locais e remotas, estudos de casos, arquiteturas de redes corporativas e suas
aplicaes prticas, segurana e wireless, redes virtuais privativas (VPN), exemplos prticos e exerccios.

Redes de Computadores - Guia Total


Autor: Lindeberg Barros de Sousa
Cdigo: 225A 336 pginas Formato: 17,5 x 24,5 cm ISBN: 978-85-365-0225-0 EAN: 9788536502250
Para profissionais e estudantes relacionados com tecnologia, o livro aborda desde os conceitos de redes de computadores at
as solues e aplicaes prticas nas empresas.
uma atualizao do livro Redes de Computadores - Voz, Dados e Imagem. Incorpora novas tecnologias, equipamentos, arquiteturas de redes, alm de apresentar contedo reestruturado.
Descreve redes LAN e WAN, TCP/IP, endereamento IP, funcionamento e configurao de roteadores e switches, roteamento,
protocolos, VPN, redes Frame-Relay, MPLS, ISDN, Internet, redes privativas, segurana, uso de rdio e satlite na comunicao
de dados e demais componentes das redes corporativas. Ao final de cada captulo fornece exerccios para prtica do contedo.
O livro auxilia no processo de deciso e escolha da tecnologia mais adequada aos projetos.

Redes de Computadores - Fundamentos


Autor: Alexandre Fernandes de Moraes
Cdigo: 2021 256 pginas Formato: 17 x 24 cm ISBN: 978-85-365-0202-1 EAN: 9788536502021
O leitor encontra nesta obra os fundamentos de redes de computadores descritos em linguagem simples e objetiva, com casos
reais de uso. Aborda mdias de transmisso, conceitos de sistemas de comunicao, tecnologias de redes locais e de longa
distncia, alm de protocolos e TCP/IP.
Destaca as redes privadas virtuais (VPN), redes sem fio (WiFi) e convergncia de redes, dando especial ateno a VoIP (voz
sobre IP).
A partir da sexta edio foram incorporadas novas tecnologias como Ethernet 10 Gigabits e WiFi 802.11n, alm de noes de
IP verso 6.0. Tambm h um captulo que enfatiza a segurana em redes, que trata de assuntos pertinentes como criptografia,
firewalls, sistemas de deteco e preveno de intruses e biometria.

Data Centers
Desvendando cada passo: conceitos, projeto, infraestrutura fsica e eficincia energtica
Autor: Paulo Srgio Marin
Cdigo: 3660 320 pginas Formato: 17,5 x 24,5 cm ISBN: 978-85-365-0366-0 EAN: 9788536503660
Os vrios aspectos da infraestrutura fsica de data centers so explorados neste livro. Traz de forma prtica e abrangente conceitos de disponibilidade, confiabilidade e redundncia com base em normas tcnicas aplicveis, como ABNT NBR, ISO, IEC,
ANSI, BICSI, TIA, The Uptime Institute, entre outras. Aborda os sistemas eltricos, de climatizao, cabeamento estruturado,
segurana e proteo contra incndio, alm do comissionamento de sites de misso crtica, eficincia energtica e green data
centers (relacionados ao impacto ambiental).
Literatura ideal para estudantes, tcnicos, engenheiros, gerentes de TI, administradores de redes e instaladores de data centers.

Projetos e Implementao de Redes


Fundamentos, Arquiteturas, Solues e Planejamento
Autor: Lindeberg Barros de Sousa
Cdigo: 1666 320 pginas Formato: 17,5 x 24,5 cm ISBN: 978-85-365-0166-6 EAN: 9788536501666
Esta publicao apresenta conceitos iniciais e avanados sobre redes de computador, com exemplos prticos e estudo de
solues. destinada aos profissionais e estudantes da rea de tecnologia da informao que desejam conhecer ou aperfeioar
suas competncias e reforar suas habilidades profissionais.
Abrange as redes de computador desde o fundamento, comunicao de dados, funcionamento de redes pblicas, configuraes
e equipamentos de redes, como roteadores e switches, arquitetura TCP/IP, endereamento IP, at planejamento e solues para
redes corporativas. Traz exerccios para fixao do contedo.

Redes

Estudo Dirigido de Microsoft

Word 2013

Autores: Andr Luiz N. G. Manzano e Maria Izabel N. G. Manzano


Cdigo: 4568 160 pginas Formato: 17 x 24 cm ISBN 978-85-365-0456-8 EAN 9788536504568
As principais ferramentas do Word 2013 para criao de documentos criativos e sofisticados compem este livro. Com diversos
exerccios, ensina como inserir e remover textos, movimentar o cursor, editar documentos, acentuar palavras, fazer a correo
ortogrfica, usar a rea de transferncia, salvar arquivos e imprimi-los.
Tambm explora a formatao de documentos, alinhamentos, recuos de pargrafo, marcadores, tabulao, cabealho, rodap e
numerao de pginas, insero de tabelas e grficos.
Descreve como elaborar um jornal e, ainda, abrange mala direta, uso de textos automticos e etiquetas, mesclagem de documentos
e impresso. Indica como sanar dvidas sobre o programa, usar atalhos para executar comandos, personalizar a barra de status,
revisar o texto e muito mais.

Estudo Dirigido de Microsoft

Excel 2013

Autor: Andr Luiz N. G. Manzano


Cdigo: 449A 208 pginas Formato: 17 x 24 cm ISBN: 978-85-365-0449-0 EAN: 9788536504490
O livro apresenta os principais recursos do Excel 2013, com abordagem simples e dinmica. Estudantes e profissionais da rea podem se beneficiar de explicaes didticas, exemplos prticos, descritos passo a passo, e exerccios, para reforar o aprendizado.
Introduz a nova interface do aplicativo, incluindo grupos, comandos e guias. Ensina a criar e formatar planilhas, inserir frmulas,
trabalhar com funes matemticas, operar com bases de dados, criar grficos, imprimir relatrios e usar comandos de congelamento. Trata do bloqueio de edio e da criao de senhas para planilhas. Apresenta planilhas de consolidao e traz dicas sobre
personalizao e teclas de atalho.

Estudo Dirigido de Microsoft

Excel 2013 - Avanado

Autores: Jos Augusto N. G. Manzano e Andr Luiz N. G. Manzano


Cdigo: 4506 288 pginas Formato: 17 x 24 cm ISBN: 978-85-365-0450-6 EAN: 9788536504506
O livro destaca os recursos avanados do Excel 2013, sendo direcionado para estudantes e profissionais da rea. Em dez captulos, apresenta, demonstra e revisa funes de clculos; abrange a criao e a anlise de bases de dados; compreende o uso de
tabelas e grficos dinmicos. Oferece exemplos de folhas de pagamento, cadastros de alunos, planejamento financeiro e tabelas
de vendas. Descreve a utilizao de macros e recursos relacionados a atividades de programao, incluindo tipos de macro e sua
execuo, cadastros para armazenamento de dados, macros interativas e tcnicas para a personalizao de campos. Oferece,
tambm, exemplos e exerccios.

Integrao de Dados com PowerPivot e Microsoft Excel 2010


Autor: Newton Roberto Nunes da Silva
Cdigo: 4254 192 pginas Formato: 17 x 24 cm ISBN: 978-85-365-0425-4 EAN: 9788536504254
Fornece explicaes passo a passo sobre o PowerPivot para Excel 2010, com exerccios e exemplos para auxiliar estudantes e
profissionais da rea. Explica a instalao do programa e procedimentos para importar dados, formatar colunas, vincular dados
do Excel e atualiz-los no PowerPivot. Aborda relacionamentos, Expresses de Anlise de Dados (Data Analysis Expressions),
segmentaes, relatrios de tabela e grfico dinmico, alm do uso de funes DAX para criar medidas especficas para relatrios
dinmicos. Concluindo, abrange a formatao final do relatrio no PowerPivot, deixando-o com um aspecto mais profissional e com
caractersticas de painel de controle, que consolida dados e exibe-os de forma inteligvel.

Guia Prtico de Informtica - Terminologia, Microsoft Windows 7


(Internet e Segurana), Microsoft Office Word 2010, Microsoft Office Excel 2010,
Microsoft Office PowerPoint 2010 e Microsoft Office Access 2010
Autor: Jos Augusto N. G. Manzano
Cdigo: 3349 376 pginas Formato: 20,5 x 27,5 cm ISBN: 978-85-365-0334-9 EAN: 9788536503349
Esta obra apresenta os conceitos essenciais de informtica para o dia a dia, principalmente para leitores nos primeiros estgios
de aprendizagem. Mostra a terminologia da rea, como computadores, sistemas operacionais, programas aplicativos e perifricos,
bem como os recursos do Microsoft Windows 7, Internet e princpios de segurana. Abrange as principais ferramentas do Microsoft
Office 2010: Word (processador de textos), Excel (planilha eletrnica), PowerPoint (gerenciador de apresentaes) e Access
(gerenciador de banco de dados).

Office & Processamento de Dados

Estudo Dirigido de Microsoft

Office PowerPoint 2010

Autor: Andr Luiz N. G. Manzano


Cdigo: 2960 192 pginas Formato: 17 x 24 cm ISBN: 978-85-365-0296-0 EAN: 9788536502960
A verso 2010 do PowerPoint proporciona mais criatividade e produtividade aos trabalhos desenvolvidos com essa ferramenta.
O livro apresenta de forma didtica e objetiva as tcnicas de oratria, conceitos de apresentao, etapas para criao de slides,
formatao, alinhamentos, grficos, aplicao de design e cores, padres, indicao dos meios para obter ajuda, atalhos.
O contedo programtico til a alunos e professores de instituies de ensino e tambm a profissionais da rea.

Informtica - Terminologia - Microsoft Windows 7 - Internet Segurana - Microsoft Office Word 2010 - Microsoft Office Excel 2010
- Microsoft Office PowerPoint 2010 - Microsoft Office Access 2010
Autor: Mrio Gomes da Silva
Cdigo: 3103 360 pginas Formato: 17,5 x 24,5 cm ISBN: 978-85-365-0310-3 EAN: 9788536503103
Embasamento fundamental sobre o uso do computador com Windows 7 e o conjunto de aplicativos Office 2010 encontrado
nesta obra.
Apresenta a histria do computador, unidades de armazenamento, perifricos, funcionalidades e tarefas bsicas do Windows
7, conexo com Internet, navegao, e-mails e ferramentas de segurana. Destaca os principais recursos do Word 2010 para
criao e formatao de textos, ortografia, impresso e reviso, rodaps e tabelas. Explora a criao de planilhas com Excel 2010,
navegao, edio e manipulao de arquivos, operaes bsicas, cpias e formatao de dados, frmulas, funes e grficos.
Com o PowerPoint 2010 ensina como criar apresentaes, estruturar tpicos, usar formas, animaes, transio de slides e impresso. Mostra como criar banco de dados com Access 2010, terminologias, edio de tabelas, digitao de dados, consultas,
formulrios e relatrios. Traz uma srie de exerccios de fixao que objetivam aprimorar o conhecimento transmitido na obra.

Informtica - Conceitos e Aplicaes


Autores: Marcelo Marula e Pio Armando Benini Filho
Cdigo: 0530 408 pginas Formato: 17,5 x 24,5 cm ISBN: 978-85-365-0053-9 EAN: 9788536500539
Este livro indicado como material de apoio aos cursos de Informtica e disciplinas afins dos demais cursos. Pode ser utilizado por
professores (como uma diretriz bsica para a disciplina), alunos (fonte de pesquisa para os principais conceitos) e profissionais de
todas as reas, que necessitem adquirir conhecimentos sobre informtica.
Aborda conceitos bsicos de informtica, caractersticas dos componentes que formam o hardware, definio e classificao dos
softwares, redes, arquiteturas, infraestrutura e servios de Internet, segurana de dados, autenticao, criptografia, antivrus e
firewall.

Informtica Fundamental - Introduo ao Processamento de Dados


Autor: William Pereira Alves
Cdigo: 2724 224 pginas Formato: 17,5 x 24,5 cm ISBN: 978-85-365-0272-4 EAN: 9788536502724
Muitas pessoas utilizam computadores no dia a dia sem ter a menor ideia de como eles e seus diversos componentes e perifricos
trabalham. Pensando neste aspecto, o livro apresenta conceitos e fundamentos de um sistema computacional, explicando como
funcionam monitores, impressoras, escneres, leitores de CD/DVD etc.
Aborda os circuitos lgicos existentes em todos os processadores, como portas AND, OR e XOR, e estuda as bases numricas e
os tipos de memria mais utilizados em computao.
Divide-se em trs partes, sendo a primeira referente arquitetura dos computadores, a segunda sobre os perifricos e a terceira
relacionada ao sistema operacional e softwares mais comuns.
Os captulos possuem diversas questes para fixao do aprendizado.

Estudo Dirigido de Informtica

Bsica

Autores: Andr Luiz N. G. Manzano e Maria Izabel N. G. Manzano


Cdigo: 1284 256 pginas Formato: 17 x 24 cm ISBN: 978-85-365-0128-4 EAN: 9788536501284
A stima edio do livro foi revisada e ampliada, pois h grande preocupao de trazer informaes mais atualizadas frente s
novas tecnologias, alm de muitas novidades.
A obra manteve sua estrutura original no que tange histria e sua cronologia, preservando a linguagem simples e acessvel aos
novos usurios da informtica. Apresenta informaes riqussimas sobre novos recursos computacionais, como, por exemplo, as
tecnologias Bluetooth e Wireless, possibilidades novas dentre muitos recursos oferecidos, alm de contemplar um assunto muito
importante, a segurana de dados, seja em uma simples pgina web ou em um inocente bate-papo em salas de chat ou, ainda,
em mensagens instantneas.

Office & Processamento de Dados

Respostas dos Exerccios

CAPTULO 1
1.
e.

Backbones corporativos de empresas

2.
d.

100 m

3.
c.
14
4.
b. CSMA/CA
5.
b.

Processo de migrao entre clulas do sistema.

6.
b.

Quanto menor a banda, menor o alcance da clula.

7.
b.

1 - 6 - 11

8.
b. CTS
9.
a. RTS
10.
c.

Estipula subportadoras usadas para transmitir o sinal e ampliar a banda.

Redes sem Fio - Instalao, Configurao e Segurana - Fundamentos

11.
b.

Maior a banda e menor o alcance.

CAPTULO 2
1.
b.

802.11i com AES

2.
d.

Velocidade da conexo de rede

3.
c. 1993
4.
c.

IEEE in 1997.

5.
b. 15-20Mbps
6.
d.

Foi introduzido antes do 802.11a.

7.
c.

Ponto de servio bsico

8.
b. Modo Infraestrutura
9.
b. Foi criado por um consrcio de fabricantes e a abreviao de wireless
fidelity.

Redes sem Fio - Instalao, Configurao e Segurana - Fundamentos

10.
c.

MIMO com canais de 40MHz

11.
c. 802.11
12.
a.

802.11 a

13.
c.

802.11 n ->

Captulo 3
1.
c.

10 metros

2.
d.

Bluetooth SIG

3.
b. 8
4.
c. Scatternet
5.
b.

SpreadSpectrum Frequence Hopping

6.
d. 768Kbps

Implementao de VPN em Redes sem Fio - Firewalls, IDS e IPS

7.
d. 2.4GHz
8.
b. Bluebugging
9.
b. 250Kbps
10.
c.

A rede cai e os dispositivos se desconectam

11.
d. EDI
12.
c.

Redes sem fio 802.11g

13.
c.

Do rei Viking Harald Blatand

Captulo 4
1.
NetStumbler
2.
13
3.
c.

1, 6, 11

Redes sem Fio - Instalao, Configurao e Segurana - Fundamentos

4
c. Firewall
5.
c.

Interfere na frequncia de 2.4GHz e derruba a rede sem fio.

6.
c.

Fazer a interconexo entre prdios que podem estar a alguns quilometros de


distncia

7.
d.

Adicionar alguns access points a mais.

8.
d.

Interna e externa

9.
b.

Proteger contra descargas atmosfricas.

10.
a. gua

Captulo 5
1.
b. Veracidade
2.
b.

Funes de Hashing

3.
c. Autorizao

Implementao de VPN em Redes sem Fio - Firewalls, IDS e IPS

4.
c.

Negao de servio

5.
c.

Um ponto falho no sistema.

6.
a.

Quantifica a possibilidade de um evento ocorrer.

7.
c. Processo no qual o usurio no possa negar uma ao realizada por ele
mesmo.
8.
c.

ISO 1.7799

9.
c.

A explorao bem-sucedida de uma vulnerabilidade.

10.
b.

Encontrar vulnerabilidades.

Captulo 6
1.
a.

Cincia que permite esconder o texto claro.

2.
d.

Lista de Revogao de Certificados

3.
c.

Pretty Good Privacy

Redes sem Fio - Instalao, Configurao e Segurana - Fundamentos

4.
c. Rijndael
5.
d. Confidencialidade
6.
d. DES
7.
c. CASA
8.
d.

a cincia que estuda formas de quebrar a criptografia.

9.
c.

Julio Csar Cypher - Roma Antiga

10.
d. AES-128

Captulo 7
1.
d. SSID
2.
c. AES
3.
c.

Utiliza o 802.1x com EAP e os usurios so autenticados no servidor RADIUS.

Implementao de VPN em Redes sem Fio - Firewalls, IDS e IPS

4.
b.

Ajuda, porm passvel de MAC Address spoffing.

5.
d. TKIP
6.
c.

Message Integrity Code

7.
c.

Em bloco simtrico de 256 bits

8.
c.

WPA com AES e RADIUS

9.
d.

WPA2 Enterprise

10.
c.

Nmero de antenas

Captulo 8
1.
c.

Rede sem criptografia aberta

2.
d. Aircrack
3.
c.

Com o uso de uma antena adaptada feita de uma latinha de batata.

Redes sem Fio - Instalao, Configurao e Segurana - Fundamentos

4.
d. WEP-128

5.
c. Backtrack
6.
c.

Forno de micro-ondas

7.
d.

Quebrar as chaves WEP.

8.
c.

Uma mquina com uma interface wireless em modo promscuo.

9.
b.

Porque o ar um meio fsico compartilhado.

Captulo 9
1.

c. Tnel e transporte ->

2.
a. Diffie-Hellman, RSA e certificados
3.
d. Rede
4.
a.

Analisar em detalhes exploits na porta 80.

Implementao de VPN em Redes sem Fio - Firewalls, IDS e IPS

5.
c.

Intrusion Detection System

6.
c. O IPS bloqueia o ataque, o IDS no.
7.
d.

Conectando diretamente rede externa.

8.
c.

Devido alta performance que conseguimos com uma arquitetura em ASIC,


inspeo por hardware.

9.
c.

WEP 64 e WEP 128

10.
c.

Usar um firewall para capacidade de firewall e um IPS para o trabalho de IPS.

Captulo 10
1.
c. 11
2.
c.

Usar uma poltica de senha forte, incluindo caracteres especiais.

3.
c.

Protocolo HTTP

4.
b.

10

necessrio adicionar as redes manualmente.

Redes sem Fio - Instalao, Configurao e Segurana - Fundamentos

5.
c.

O gerenciamento complexo, uma vez que cada nova estao adicionada


rede necessita de reconfigurao.

Implementao de VPN em Redes sem Fio - Firewalls, IDS e IPS

11