Escolar Documentos
Profissional Documentos
Cultura Documentos
GUIA PRÁTICO
Capítulo 1-Introdução
1.1-Redes sem Fio (Wireless Network)
1.2-Padrões de Redes Sem Fio
1.3-Segurança em Redes Sem Fio
1.4-Características de Roteadores WI-FI
1.5-Antenas
Rede sem fio ou mais conhecida por seu nome em inglês wireless network, é uma
infraestrutura de rede que permite a comunicação e transferência de dados entre equipamentos
como, por exemplo, roteadores Wi-Fi, notebooks, impressoras Wi-Fi, smart phones, smart tvs e
muitos outros através do ar utilizando ondas de rádio.
O termo conhecido por Wi-Fi (Wireless Fidelity) é uma marca registrada pela organização
sem fins lucrativos Wi-Fi Alliance (www.wi-fi.org), que certifica produtos de rede local sem fios
(WLAN – Wireless Local Area Network) baseados no padrão IEEE 802.11.
As redes sem fio vem ganhando ano a ano cada vez mais espaço nos pequenos escritórios e
residências pelo fato de serem relativamente fáceis de implantar e configurar, além de seu baixo
custo e também de não necessitar de instalação de cabeamento estruturado. Todos os equipamentos
modernos citados no início deste texto já saem equipados de fábrica com interfaces de rede sem fio,
este fato se torna mais um atrativo para sua adoção pois sua implantação é rápida e sem custos
adicionais necessitando apenas sua configuração para acessar a rede já estabelecida.
É lógico que as redes sem fio também possuem algumas limitações como, por exemplo,
interferências de outras redes sem fio muito próximas e outros equipamentos que utilizam a mesma
frequência 2.4 GHz como micro-ondas e telefones sem fio e ainda barreiras que podem diminuir o
desempenho da rede sem fio como concreto, gesso, vidros blindex, metais, espelhos e ambientes
com muitas paredes de tijolos.
As redes sem fio também podem ser estendidas através de repetidores ou com a instalação
de mais roteadores configurados como pontos de acesso para aumentar o alcance em locais onde o
sinal possui baixa intensidade.
Os roteadores atuais para uso em residências e pequenos escritórios que podemos encontrar
em lojas de produtos de informática possuem todos os padrões de modos de transmissão e
segurança mais comuns para redes sem fio, estas características resultam em uma ampla
compatibilidade com diversos tipos de dispositivos de rede sem fio. Geralmente um roteador Wi-Fi
básico possui pelos menos uma antena de transmissão interna ou externa, um conector RJ-45 para
rede WAN e até quatro conectores RJ-45 para rede LAN.
Agora terminamos por aqui esta breve introdução as redes sem fio (Wi-Fi/Wireless),
podemos prosseguir para algumas explicações mais detalhadas dos padrões e configurações
necessárias para implementar uma rede sem fio, como definir a segurança de acesso, como verificar
o alcance e possíveis barreiras e interferências, testar a taxa de transferência da rede LAN e WAN,
como configurar serviços DHCP, DNS e DDNS, redirecionamento de portas, definir controle de
banda e, por fim, configurar uma rede sem fio estendida com três roteadores.
1.2 PADRÕES DE REDES SEM FIO
O padrão IEEE 802.11 define os modos de transmissão mais comuns encontrados na maioria
das redes sem fio atuais e estão relacionados na tabela logo abaixo.
Um problema clássico de redes sem fio é o fato de que como a transmissão de dados é feita
pelo ar, qualquer pessoa com um equipamento com interface Wi-Fi que esteja ao alcance do sinal
pode interceptar a transmissão e até mesmo conecta-se a rede, deste modo surgiu a necessidade de
criar um meio de proteger as redes sem fio. Este meio de proteção é feito através de senhas de
acesso a rede e encriptação dos dados transmitidos pela rede Wi-Fi. A seguir estão relacionados os
mais comuns meios de proteção para redes Wi-Fi e suas características básicas.
• WEP (Wired Equivalent Privacy): o primeiro protocolo de segurança criado para redes
sem fio utilizando 64/128 bits para encriptação, o protocolo WEP utiliza um sistema de
senhas compartilhadas para criptografar a transmissão de dados. Atualmente o WEP está
obsoleto e por questões de segurança não se deve usar este sistema, pois suas
vulnerabilidades de segurança são bem conhecidas e fáceis de explorar.
• WPA (Wi-Fi Protected Access): o protocolo WPA é uma evolução direta do WEP para
resolver seus problemas de segurança. O WPA utiliza um sistema que troca periodicamente a
chave de encriptação (TKIP-Temporal Key Integrity Protocol). Este padrão também é
considerado obsoleto e só deve ser usado em casos raros para compatibilidade entre
equipamentos.
• WPA2 (Wi-Fi Protected Access 2): o protocolo WPA2 é atualmente o padrão de segurança
mais confiável para redes sem fio. O WPA2 utiliza um sistema de criptografia mais robusto
(AES-Advanced Encryption Standard) considerado muito seguro e que utiliza chaves de
criptografia de 128/256 bits. Portanto este padrão deve ser a primeira escolha para manter
uma rede sem fio com um nível aceitável de segurança.
• WPS (Wi-Fi Protected Setup): o protocolo WPS foi criado para facilitar a configuração de
novos dispositivos na rede sem fio sem a necessidade de digitar senhas. Para conectar um
novo dispositivo basta pressionar o botão WPS localizado no roteador e depois apertar o
botão WPS no dispositivo. Este padrão apresentou há algum tempo atrás uma grave falha de
segurança em roteadores que vinham habilitados de fábrica com (WPS PIN) ativado,
portanto para elevar o nível de segurança na rede sem fio é aconselhável desabilitar esta
função.
1.4 CARACTERÍSTICAS DE ROTEADORES WI-FI
Nota: Todos roteadores aqui relacionados possuem os padrões mais comuns como modo de
transmissão (802.11bgn), frequência (2.4 GHz) e segurança (WEP/WPA-TKIP/WPA2-AES/WPS),
além de interface Web para configuração e gerenciamento.
Os roteadores Wi-fi apresentados na tabela anterior possuem por padrão de fábrica, antenas
omnidirecionais de 5 dBi que concentram o sinal em um raio de 360 graus na horizontal. Para que o
desempenho da rede Wi-Fi seja satisfatório em relação as antenas o roteador deve ser instalado na
área central de uma residência ou escritório, as antenas devem sempre ficar na posição vertical e a
uma altura media de 1.30 metros ou mais para maior cobertura do ambiente.
2.1 BSS (Basic Service Set): o conjunto básico de serviços é o modo mais comum para
implementar uma rede sem fio. Este modo é composto de terminais sem fio móveis ou fixos e
terminais cabeados fixos conectados através de um roteador Wi-Fi central fornecendo comunicação
tanto na rede interna cabeada “LAN”, rede sem fio “WLAN” e rede a externa “WAN” Internet. Um
exemplo de BSS pode ser observado no diagrama logo abaixo.
Nota: não esquecer de conectar um cabo cat5 na conexão RJ-45 “WAN” do roteador ao
equipamento fornecido pelo provedor de Internet (Modem, Roteador, Rádio, ONU etc).
4-Para configurar o acesso à Internet é necessário ter previamente as informações dos parâmetros de
configuração do provedor, temos três possíveis tipos de conexões mais comuns utilizadas. Após
terminar a configuração do acesso à Internet teste a conexão abrindo algum site de sua preferência
ou digite no prompt o comando “ping” seguido de algum endereço de algum site. Segue logo abaixo
as telas de configuração com suas devidas explicações.
O tipo de conexão WAN PPPoE é necessário obter através do provedor de Internet o nome
de usuário e a senha de acesso para configurar a conexão.
6-Para configurar o nível de segurança de acesso a rede wireless selecione a versão “WPA2-PSK” e
criptografia “AES”, esta é atualmente a melhor opção de segurança para redes Wi-Fi, para finalizar
escolha uma senha de no mínimo oito dígitos ou maior de preferência e bem elaborada com uma
mistura de letras maiúsculas/minúsculas, números e caracteres especiais. Nota: Nunca utilize a
senha de exemplo usada na captura logo abaixo.
7-Para evitar que usuários da rede sem fio ou invasores externos obtenham acesso fácil a interface
de configuração e gerenciamento do roteador Wi-Fi é necessário alterar o usuário e a senha padrão
através das ferramentas do sistema, digite o nome do novo usuário e uma senha e salve as
mudanças.
Os roteadores Wi-Fi vem de fábrica com um servidor (DHCP – Dynamic Host Configuration
Protocol) para fornecer automaticamente as configurações de endereços IP, mascara de sub-rede,
endereço de “Gateway Padrão” e endereços de servidores de (DNS – Domain Name System) aos
hosts que serão conectados a rede “LAN” e “WLAN”.
Para personalizar as configurações conforme a necessidade da rede como, por exemplo,
utilizar uma faixa de endereço IP diferente do padrão de fábrica ou utilizar endereços de servidores
de “DNS” públicos e até definir e reservar um endereço estático para algum host associado a seu
endereço físico “MAC”, acesse na interface web do roteador a função “DHCP/Configurações
DHCP” para as devidas alterações personalizadas.
Obs. Sempre altere o endereço IP da interface “LAN” do roteador para que fique dentro da
mesma faixa personalizada que for utilizar na rede.
Configurarão de endereço estático para host, útil em alguns casos como endereçamento de
servidores, impressoras de rede e “DVRs” que necessitem de um endereço fixo na rede “LAN”.
Para gerenciar e verificar quais hosts estão conectados na rede utilizando o servidor
“DHCP” do roteador acesse “DHCP/Lista de Clientes DHCP”, observando a lista de clientes
podemos ter uma visão geral de todos dispositivos conectados automaticamente ao roteador, esta
opção é muito útil para verificarmos se há possíveis hosts não autorizados acessando a rede
“WLAN”.
Ativar a “DMZ” para liberar acesso remoto total para determinado endereço local na rede
“LAN”.
Adicionar porta, endereço IP e protocolo liberados para acesso remoto na rede “LAN”.
Ative o recurso “UPnP” para liberar dispositivos “plug and play” como Xbox.
2.5 DDNS
Para quem não possui um endereço IP estático é necessário criar uma conta em algum
serviço dinâmico de tradução de nomes de domínio para acessar remotamente os recursos da rede
local. Os roteadores do fabricante TP-Link são compatíveis com o serviço grátis (DDNS – Dynamic
Domain Name System) da No-Ip, basta acessar a endereço web “https://www.noip.com/sign-up” e
fornecer as informações solicitadas para cadastro no site.
Após criar a conta de usuário e definir o nome de domínio disponível, acesse na interface do
roteador a opção “DNS dinâmico” e configure o nome de usuário, senha e o nome do domínio
cadastrado no site No-Ip, selecione a opção “Ativar DDNS” clique no botão “Login”, para finalizar
salve as configurações em “Salvar”.
Nota: Uma das vantagens da linha de roteadores do fabricante D-Link é possuir um serviço
de “DDNS” próprio para os seus consumidores. Para utilizar o serviço basta acessar o endereço
web “https://www.dlinkddns.com/signin/” cadastrar usuário, senha, e-mail, número serial do
roteador e endereço “MAC”. Após o cadastro basta configurar o serviço de “DNS” dinâmico do
roteador através da interface web.
2.6 FIREWALL
Os roteadores de linha do fabricante TP-Link possuem um firewall “SPI” básico que já vem
ativado como padrão de fábrica bloqueando todo acesso externo a interface “WAN”.
O firewall (SPI – Stateful Packet Inspection) rastreia o estado das conexões que passam
através do roteador protegendo a rede interna contra possíveis ataques remotos e também possui um
modo avançado para ativar proteções adicionais de rede com autonomia para bloquear estações
localizadas na rede local que possam estar infectadas por alguns tipos de malwares. A primeira
proteção é contra ataques de negação de serviço “DoS – Denial of Service”, as opções seguintes são
filtros utilizados pelo roteador que são configurados através de um limite máximo para limitar o
trafego de pacotes “ICMP/UDP/TCP-SYN” contra ataques de inundação destes protocolos e, por
fim, ignorar pacotes ICMP de “ping” na interface “WAN”.
Obs. As opções de filtros de inundação “FLOOD” só tem efeito ativando a opção de
estatísticas em ferramentas de sistema.
Em alguns casos é necessário criar regras para controlar a largura de banda a fim de evitar
que um determinado “host” monopolize a banda total disponível na Internet como, por exemplo, um
“host” sempre executando algum aplicativo de torrent (uTorrent, BitTorrent) ou aplicativos de
transmissão de vídeos (Smart TVs com Netflix), este procedimento garante que a velocidade da
conexão de Internet seja melhor distribuída entre os usuários da Internet.
O primeiro passo para criar uma regra com limite de largura de banda é reservar um
endereço IP para o “host” a ser controlado e na sequência ativar e definir a velocidade contratada de
entrada (Download) e saída (Upload) fornecida pelo provedor de Internet. Após ativar o controle da
largura de banda é só preencher a lista de regras com as informações de endereço IP, faixa de portas,
protocolos “TCP” ou “UDP”, os limites de saída e entrada que foram definidos, salvar a regra para
finalizar a configuração de controle de largura de banda e reiniciar o roteador Wi-Fi.
Reserva de endereço para “host” a ser controlado com limite de largura de banda.
Criar regra com intervalo de endereço IP, portas, protocolos e definir limite de largura de banda
de saída e entrada a serem controlados. Obs. As medidas são em kbps (1 Megabit = 1000 kbps).
8-Para configurar o segundo e terceiro roteador é necessário alterar os endereços IP para não gerar
conflito na rede. Acesse interfaces LAN/WAN e altere o endereço IP conforme a faixa utilizada na
rede. Exemplo se o roteador principal estiver com o IP 192.168.0.1, o segundo roteador devera ser
configurado com o IP 192.168.0.2 e o terceiro roteador com o IP 192.168.0.3. Também pode se usar
outras variações de IP como 192.168.1.1, 192.168.1.2, 192.168.1.3, mas lembre-se de manter
sempre nas mesmas faixas de IP entre os roteadores.
Agora que a rede Wi-Fi esta configurada vamos realizar alguns testes básicos para avaliar a
conectividade da rede sem fio. Até o momento todas as configurações foram feitas através de um
PC ou Notebook conectado ao roteador através de um cabo de rede, agora conecte algum Notebook
de preferência para podermos nos movimentar para diversos pontos do ambiente de cobertura da
rede sem fio.
Com o Notebook já conectado a rede Wi-Fi vamos realizar o primeiro teste para
verificarmos se a atribuição de endereços IP feitas pelo servidor de “DHCP” estão corretas. Abra o
“Prompt de Comando do Windows” e digite o comando “ipconfig” para obter as configurações do
adaptador de rede sem fio instalado no Notebook.
O próximo teste tem a finalidade de testar a conectividade sem fio entre o Notebook e o
Roteador Wi-Fi e medir o “MTU – Maximum Transmission Unit” ideal da rede Wi-Fi, a unidade
máxima de transmissão tem o tamanho padrão de 1500 bytes para redes Ethernet, vamos descontar
o tamanho de 20 bytes do cabeçalho “IP” e 8 bytes do cabeçalho “ICMP” para obtermos o tamanho
de 1472 bytes, digitarmos o comando “ping -f -l 1472 192.168.10.1” para verificarmos se o padrão
do “MTU” esta corretamente configurado no roteador. E na sequência testamos a conectividade na
Internet com o comando “ping www.google.com.br”.
Comando “ping -f -l 1472 192.168.10.1” enviando para o roteador com sucesso de resposta,
testando a conectividade na rede local sem fio e o tamanho ideal de “MTU” da rede local.
Configurar uma rede sem fio aparentemente não é uma tarefa muito difícil para usuários
intermediários de TI, basicamente é preciso somente dar um nome para rede e atribuir uma senha
para acesso seguro a rede Wi-Fi, as demais configurações em muitos casos bastam ficar no padrão
do equipamento para um funcionamento satisfatório. Mas em outros casos podem ocorrer alguns
problemas como, por exemplo, interferências geradas principalmente em locais com muitas redes
Wi-Fi próximas umas das outras que podem prejudicar o seu desempenho e ambientes internos com
muitas paredes e obstáculos para o sinal do Wi-Fi. A seguir será apresentado uma forma simples de
contornar este tipo de problema utilizando um software livre para visualizar informações das redes
Wi-Fi ao redor como, por exemplo, canais que estão sendo utilizados, tipo de criptografia,
endereços MAC e intensidade do sinal. Através desta ferramenta podemos resolver problemas mais
comuns em redes sem fio como veremos a seguir em algumas amostras práticas de seu uso.
Acesse o link https://www.techspot.com/downloads/5936-inssider.html e faça o download da
ferramenta, instale e execute o inSSIDer em um sistema Windows, clique em networks e será
exibida uma janela semelhante a imagem logo abaixo.
Através da interface do inSSIDer temos uma visão geral de todos as redes sem fio próximas
e suas informações de configurações utilizadas. Com estas informações podemos, por exemplo,
verificar a intensidade do sinal e os canais utilizados. Medindo a intensidade de sinal podemos
localizar os pontos onde a intensidade é baixa e também onde a intensidade é satisfatória para
instalar um repetidor para melhorar o sinal, outra informação muito importante que obtemos são os
canais utilizados onde podemos alterar os canais quando estão sobrepostos pra evitar interferências.
A intensidade do sinal é medida por números negativos, o que significa que quanto menor o
número maior é a intensidade do sinal, por exemplo observando a imagem acima podemos concluir
que a rede SR com -25 tem um sinal mais forte que a rede BILLY com -91. Podemos concluir
também que a rede SR esta utilizando a tecnologia MIMO pois esta utilizando dois canais
simultâneos 1+5 e que rede TANIA que esta próxima, também está utilizando os mesmos canais
1+5, conhecendo os canais das redes mais próximas podemos decidir mudar o canal da nossa rede
sem fio para algum canal diferente entre 1 a 11, quanto mais distante do canal sobreposto melhor.
Pode ser observado na imagem anterior que a intensidade do sinal da rede wireless SR sem
nenhum obstáculo era -25, agora observaremos na sequência de imagens que foram capturadas atrás
de obstáculos comuns em uma residência como paredes e espelhos qual a perda de sinal na prática.
Medição feita atrás de uma parede de tijolos comuns com cerâmica a 2 metros de distância.
Medição feita atrás de quatro paredes de tijolos comuns com 7 metros de distância.
O meio utilizado para propagar o sinal Wi-Fi é o ar através de ondas de rádio que viajam no
vácuo em linha reta em diversas direções e os principais problemas que podem vir a ocorrer em sua
transmissão são as perdas de sinais devido a perda de intensidade em relação a distância e os efeitos
provocados pelas barreiras em seu caminho como absorção, reflexão, refração e difração.
Além das interferências de outras redes Wi-Fi próximas e obstáculos em ambientes internos
vamos relacionar outras fontes comuns de interferências e mal posicionamento de roteadores que
podem prejudicar o sinal Wi-Fi e o desempenho de uma rede sem fio.
Para aumentar o alcance do sinal Wi-Fi e resolvermos alguns dos problemas citados
anteriormente podemos instalar um repetidor em um ponto onde a intensidade do sinal ainda é forte
no ambiente da rede “WLAN” e repetir o sinal para os locais onde o sinal esta perdendo sua
intensidade e causando problemas na rede sem fio. É recomendado se possível utilizar repetidores
do mesmo fabricante do roteador para evitar possíveis incompatibilidades.
Para configurar um repetidor do fabricante TP-Link conecte um cabo de rede na interface
“LAN” localizado na parte inferior do equipamento e acesse o endereço IP “192.168.0.254” através
de um navegador de sua preferência para visualizar a interface web de configuração e siga os passos
indicados nas capturas de tela logo abaixo.
1-Clique em configuração rápida e aguarde a busca por redes Wi-Fi ser finalizada.
2-Selecione a rede Wi-Fi a ser estendida, digite a senha de acesso e clique em avançar.
Após a implantação da rede Wi-Fi veremos como testar a taxa de transferência real da
“WLAN” através da ferramenta livre de medição ativa de largura de banda máxima iPerf3 que pode
ser baixado através do link “https://iperf.fr/iperf-download.php”.
O “iperf” é uma ferramenta de código aberto que permite medir a taxa de transferência e a
largura de banda de uma rede de computadores através de pacotes “TCP’ ou “UDP”, a ferramenta
gera trafego de dados em modo cliente/servidor, onde um “host” executando o processo cliente gera
um trafego de 10 segundos entre um “host” executando um processo servidor obtendo a velocidade
de transferência e quantidade dados transmitida, através dos resultados obtidos podemos verificar o
desempenho de uma rede.
Depois de baixado a ferramenta descompacte-a para o disco local “C:\” e acesse o diretório
criado através do “prompt”, execute a ferramenta em algum PC de preferência conectado a rede
“LAN” do roteador através de um cabo de rede, execute a ferramenta no modo servidor com o
comando “iperf3.exe -s”.
Em algum notebook conectado a rede WLAN Wi-Fi baixe novamente ou copie a ferramenta
no disco local C:\ execute a ferramenta no modo cliente seguido do endereço IP do PC executando
como servidor com o comando “iperf.exe -c 192.168.10.103”.
O primeiro teste foi feito com a seguinte configuração de rede sem fio: modo 802.11g com
taxa máxima teórica de transferência de 54 Megabits por segundo utilizando apenas um canal de
transmissão “Channel 1”. Através do iperf obtemos a taxa media real de velocidade de transferência
entre um netbook e uma estação de trabalho com uma distância aproximada de 3 metros. O valor
real foi de 18.4 Megabits por segundo conforme mostrado na imagem logo acima.
Teste de taxa de transferência utilizando modo 802.11n com MIMO.
O segundo teste foi feito com a seguinte configuração de rede sem fio: modo 802.11n com
taxa máxima teórica de transferência de 300 Megabits por segundo utilizando dois canais
simultâneos de transmissão “Channel 1+5”. Através da medição do iperf obtemos a taxa media real
de velocidade de transferência entre um netbook e uma estação de trabalho com uma distância
aproximada de 3 metros. O valor real foi de 51.8 Megabits por segundo conforme mostrado na
imagem logo acima.
Para finalizar a experiência segue logo acima a captura de tela com a melhor medição obtida
através do iperf da taxa de transferência real entre um Netbook Acer Aspire One 532h utilizando
uma interface wireless do fabricante Atheros modelo AR5B95 de 150 Mbps e um rotador wireless
TP-Link N 300 Mbps.
Podemos concluir através da captura que a taxa média real de transferência foi de 74.4 Mbps
utilizando o modo 802.11n com dois canais simultâneos “Channel 1+5” e sinal -28 de intensidade.
Medida obtida através de um teste mais simples fornecido pelo Netflix “fast.com” obtendo
apenas a velocidade de Download da conexão do teste anterior.
Velocidade de transferência máxima das interfaces “LAN” e “WAN” dos roteadores TP-Link
fornecida através do link http://www.tp-link.com.br/faq-465.html.
Velocidade de transferência máxima da interface “LAN” obtido através do iperf na rede local.
CAPÍTULO 8 – TESTES BÁSICOS DE SEGURANÇA E VULNERABILIDADES DE
ROTEADORES
Atualmente a Internet se tornou um local inseguro pois com sua politica em ser uma rede
pública, livre e aberta para todos além de garantir certa privacidade para seus usuários também se
tornou de certa forma um lugar hostil pois enfrentamos todos os dias uma avalanche de e-mails
falsos de “phishing” com links para sites que infestam a Internet de códigos maliciosos, cavalos de
troia que roubam dados pessoais e outros que até podem abrir caminhos de acesso remoto aos PCs
desprotegidos que se encontram conectados na rede mundial de computadores criando uma rede
zumbi conhecida como Botnet e a mais nova ameaça conhecida como “ransonware” que criptografa
os dados do usuário e só libera a chave de acesso através de pagamento online com moeda digital.
Outro risco cotidiano que os usuários de Internet precisam enfrentar são os possíveis ataques
feitos por indivíduos mal-intencionados conhecidos como “crackers” que sempre investem contra
redes desprotegidas com varreduras de portas com a finalidade de encontrar vulnerabilidades a que
possam ser exploradas, ataques de força bruta com a finalidade de descobrir senhas de acesso a
roteadores e servidores expostos na Internet e alguns casos podem até prejudicar o desempenho ou
até mesmo impedir o acesso aos recursos de Internet através de uma ataque conhecido como
negação de serviço (DoS – Denial of Service).
Para uma melhor conscientização sobre segurança na Internet é aconselhável ler a Cartilha
de Segurança para Internet “http://cartilha.cert.br” produzida e distribuída gratuitamente pelo
“CERT.br” Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil e pelo
“NIC.br” Núcleo de Informação e Coordenação do Ponto BR.
Neste cenário sombrio em que se encontra a Internet atualmente é necessário nos
preocuparmos seriamente com a segurança da informação e protegermos o perímetro de nossas
redes locais de computadores contra possíveis ataques externos, neste guia básico de configuração
de redes domésticas, pequenas empresas e escritórios, já vimos como verificar se o “firewall”
básico do roteador esta ativado, como ativar a segurança avançada do “firewall” contra possíveis
ataques de negação de serviço e também como utilizarmos servidores de “DNS” seguros para
bloquear sites suspeitos ou infectados com “malwares”.
Para executarmos alguns testes básicos de vulnerabilidades em roteadores e garantir o
primeiro nível de proteção na rede local “LAN” podemos acessar o site da Gibson Research
Corporation “https://www.grc.com/default.htm”, que fornece gratuitamente diversos testes de
segurança online como varredura de portas, teste de exposição UPnP e outros que veremos nas
capturas de tela logo abaixo.
Para executar o primeiro teste clique no botão “GRC’s Instant UPnP Exposure Test” para
verificar se há exposição do protocolo (SSDP – Simple Service Discovery Protocol) que é
utilizado para anunciar e descobrir serviços de rede automaticamente por roteadores em redes
locais, esta função é (UPnP – Universal Plug and Play) e nunca deve estar exposta na rede
externa “WAN” (Internet). Se receber a mensagem igual à da captura acima “NOT RESPOND”
o roteador passou no teste pois não respondeu a sondagem “UPnP”.
Para executar outro teste clique na opção “Common Ports” que faz uma varredura nas 26 portas
mais comuns de serviços de rede. Se receber a mensagem igual à da captura acima “PASSED”
significa que o roteador ignora completamente os pacotes e não responde a mensagens de
“ICMP” eco “ping” em sua interface “WAN”.
Se o roteador estiver com portas abertas para acesso externo e respondendo a mensagens de
“ICMP” eco “ping” a mensagem recebida será “FAILED” como da captura de tela acima. Neste
caso é necessário revisar as configurações do roteador para resolver o problema.
OBS. Em alguns casos específicos algumas portas como 21 FTP, 22 SSH, 25 SMTP, 80 HTTP,
110 POP3, 443 HTTPS podem estar abertas em uma “DMZ” na rede local.
Clique na opção “All Service Ports” para verificar se existe alguma porta bem conhecida aberta
para acesso externo. Na captura de tela acima o resultado foi ótimo pois das 1055 portas testadas
nenhuma estava exposta na Internet.
Para verificar se as portas de compartilhamento de arquivos em redes “NetBIOS/MS-DS”
utilizados em sistemas Windows estão expostas a rede externa clique na opção “File Sharing”, se
houver algum resultado como a captura acima, revise urgente as configurações do roteador.
Para verificar se uma porta especifica esta aberta digite o número na área central das opções de
teste e clique em “User Specified Custom Port Probe”.
As senhas utilizadas para proteger nossos recursos que se encontram acessíveis na Internet
ou em nossa rede local devem ser muito bem elaboradas e devem ser compostas mesclando letras
maiúsculas, minúsculas, números e caracteres especiais, contendo no mínimo 12 caracteres ou mais
de comprimento, este procedimento é muito importante para evitar a quebra de senhas via softwares
que testam diversas palavras por segundo utilizando dicionários ou de força bruta que testam
diversas combinações de caracteres possíveis.
Para ajudar a definição de senhas seguras podemos utilizar o serviço gratuito “Password
Haystacks” do “https://www.grc.com” para testar a qualidade da composição de uma determinada
senha e verificar o tempo que seria necessário para que algum indivíduo mal-intencionado levaria
para descobrir através de uma ferramenta “hacker” de ataque de força bruta que utiliza a técnica que
testa exaustivamente várias senhas ou chaves até encontrar a correta e obter acesso ao recurso ou
equipamento alvo. Para acessar o serviço com a calculadora interativa de força bruta fornecida pelo
“Gibson Research Corporation” siga os passos abaixo.
Figura 9-1 Opção do serviço “Password Haystacks” no site da “Gibson Research Corporation”
2-Digite a senha elaborada no campo e observe o resultado da calculadora de força bruta. No caso
da senha digitada logo abaixo podemos observar que a senha foi composta de 1 letra maiúscula, 8
letras minúsculas, 3 números “dígitos”, 2 caracteres especiais “símbolos” e com o comprimento
total de 14 caracteres.
3-Observe o resultado com o tempo necessário para procurar exaustivamente o espaço da senha que
foi definida anteriormente. Podemos observar três possíveis cenários de ataques: Ataque Online
com mil tentativas por segundo que levaria aproximadamente 1.57 trilhões de seculos, Ataque
Rápido Offline com cem bilhões de tentativas por segundo que levaria aproximadamente 15.67
milhões de seculos e Ataque de Quebra de Senha Maciço com cem trilhões de tentativas por
segundo que levaria aproximadamente 15.67 mil seculos.
Figura 9-3 Resultado de tempo necessário para quebra da senha digitada para teste.
Nota: Teste diversas senhas possíveis com combinações bem elaboradas para obter um bom nível
de segurança como resultado.
A senha de acesso da rede sem fio é a mais provável de ser atacada pois o “SSID” fica
exposto para qualquer um ao alcance do sinal Wi-Fi e portando basta paciência e disposição do
indivíduo mal-intencionado tentar invadir a rede “WLAN”.
Para proteger a rede “WLAN” contra uma possível invasão é necessário elaborar uma boa
senha com no mínimo 8 caracteres, aqui vale a mesma regra de quanto maior e melhor elaborada
com letras maiúsculas, minúsculas, números e caracteres especiais mais difícil se torna a quebra da
senha, mas se queremos criar uma senha robusta a praticamente impossível de descobrir podemos
acessar o serviço gerador de senhas perfeitas fornecido pelo “Gibson Research Corporation”.
Para utilizar senhas de segurança no WPA2-PSK você pode inserir entre 8 e 63 caracteres
ASCII e entre 8 e 64 caracteres hexadecimais.
Figura 9-4 Opção do serviço “Perfect Passwords” no site da “Gibson Research Corporation”
2-Na página do gerador de senhas perfeitas são disponibilizadas três tipos de senha aleatórias:
hexadecimais de 64 caracteres, ASCII de 63 caracteres e alfanumérico de 63 caracteres, copie uma
das senhas geradas e salve em arquivo de texto em um lugar seguro.
Figura 9-5 Senhas aleatórias geradas pelo serviço “Perfect Passwords” no site da “Gibson
Research Corporation”.
Figura 9-6 Opção de segurança do wireless da interface de configuração web do roteador Wi-Fi
TP-Link TL-WR841N.
Nota: As senhas geradas pelo serviço gerador de senhas perfeitas do site “Gibson Research
Corporation” são consideradas altamente seguras pois a cada acesso feito na página, outras novas
senhas são geradas aleatoriamente totalmente sem um padrão definido e só podem ser exibidas
através de uma conexão “SSL” a prova de falsificação.
ANEXO A – MODELO OSI E PILHA DE PROTOCOLOS TCP/IP
Toda a estrutura da Internet atual é baseada em dois modelos que definem uma organização
em forma de camadas com instruções para a comunicação e o estabelecimento de conexões em
redes locais e na Internet.
O modelo de referência (OSI – Open System Interconnection) foi definido no ano de 1971
pela “ISO” para padronizar os protocolos de comunicação entre os diversos fabricantes de
equipamentos e desenvolvedores de sistemas de rede garantindo a interoperabilidade entre dois ou
mais recursos de redes de computadores independente da tecnologia utilizada.
O modelo conhecido como pilha de protocolos TCP/IP foi criado pelo Departamento de
Defesa dos EUA para seu projeto de redes de comunicação conhecido por ARPANET (Advanced
Research Project Agency Network) em 1969. De 1990 até hoje é o padrão utilizado na Internet.
Logo abaixo segue uma tabela com os endereços IPv4 privados, especiais e reservados que
não podem ser roteados através da Internet, os demais endereços que não fazem parte desta tabela
são considerados públicos e roteáveis na Internet, são atribuídos aos provedores de Internet pela
“IANA” Autoridade de Atribuição de Números de Internet https://www.iana.org/.
Em alguns casos será necessário crimpar um conector RJ-45 a um cabo de rede Cat5e,
segue abaixo uma figura apresentando os dois padrões Ethernet utilizados em redes “LAN”.
Nota: Acesse o link “http://www.hardware.com.br/livros/redes/crimpando-cabos.html” para
instruções detalhadas para crimpagem de cabos de redes locais.
Padrões de sequência de fios T-568A e T-568B para conectores RJ-45 em cabos de rede.
FONTES DE PESQUISA E SUPORTE UTILIZADAS NA ELABORAÇÃO DESTE GUIA
BÁSICO:
http://www.tp-link.com.br/support.html
https://www.dlink.com.br/suporte-dlink
http://www.hardware.com.br/livros/redes/capitulo-redes-wireless.html
http://www.teleco.com.br/tutoriais/tutorialwifimanaus1/pagina_3.asp
https://www.verisign.com/pt_BR/security-services/public-dns/index.xhtml
https://www.opendns.com/
https://www.opendns.com/home-internet-security/
https://connectsafe.norton.com/
https://www.comodo.com/secure-dns/
https://www.gigadns.com.br/
https://www.noip.com/
https://www.dlink.com.br/sites/default/files/product_download/configuracao_dlinkddns.pdf
http://www.gestortecnico.net/2017/07/pra-que-serve-o-firewall-spi-no-roteador.html
https://ntp.br/
https://www.techspot.com/downloads/5936-inssider.html
https://iperf.fr/
https://www.nperf.com/pt/
https://fast.com/pt
https://cartilha.cert.br/
https://www.grc.com/intro.htm
ftp://ftp.registro.br/pub/gts/gts0204/gts0204-09slides-minitutwireless.pdf
https://www.icann.org/
https://www.iana.org/