:: Aspectos para a Construo de uma Rede Wireless Segura

As redes locais sem fio, tambm conhecidas como WLANs, so especificadas por rgos internacionais como o IEEE na srie 802.11, onde encontramos o to falado Wi-Fi (802.11b). So redes que utilizam sinais de rdio para a sua comunicao. Estas redes ganharam popularidade pela mobilidade que provem aos seus usurios e pela facilidade de instalao e uso em ambientes domsticos, empresariais, comerciais, etc. Este tipo de rede define duas formas bsicas de comunicao: Modo infra-estrutura: normalmente o mais encontrado, utiliza um concentrador de acesso (Access Point ou AP);

Figura 1 - Modo Infra-Estrutura Modo Ad-Hoc: permite que um pequeno grupo de mquinas se comunique diretamente, sem a necessidade de um AP.

Figura 2 - Modo Ad Hoc

Embora esse tipo de rede seja muito til, existem alguns problemas de segurana que devem ser levados em considerao pelos seus usurios: Os equipamentos utilizam sinais de rdio para a comunicao e qualquer pessoa com um equipamento mnimo como, por exemplo, um PDA ou Laptop provido de uma placa de rede wireless, pode interceptar os dados transmitidos por um cliente wireless; Devido facilidade de instalao, muitas redes desse tipo so instaladas sem nenhum cuidado adicional e at mesmo sem o conhecimento dos administradores de rede. Cuidados bsicos Vrios cuidados devem ser observados quando se pretende conectar um equipamento a uma rede wireless como cliente, quer seja com Laptops, PDAs, estaes de trabalho, etc. Dentre eles, pode-se citar: Firewall - Considerar que a conexo com uma WLAN representa conectar-se a uma rede pblica e, portanto, o computador estar exposto a ameaas. importante que o computador possua um firewall pessoal, com uma verso de antivrus instalada e atualizada, com as ltimas correes de seus softwares (sistema operacional, aplicativos, etc) e no esquecer de desabilitar o compartilhamento de discos, impressoras, etc. Modos de operao - Desabilitar o modo Ad-Hoc. Utilizar esse modo apenas se for absolutamente necessrio e deslig-lo assim que no precisar mais; Protocolos de Segurana Utilizar um protocolo de segurana como, por exemplo, o protocolo WEP (Wired Equivalent Privacy), que permite criptografar o trfego entre o cliente e o AP. O administrador de rede deve verificar se o WEP est habilitado e se a chave diferente daquelas que acompanham a configurao padro do equipamento. O protocolo WEP possui diversas fragilidades e deve ser encarado como uma camada adicional para evitar a escuta no autorizada; Criptografia de dados - Considerar o uso de criptografia nas aplicaes, como por exemplo, o uso de PGP para o envio de e-mails, SSH para conexes remotas ou ainda o uso de VPNs; Utilizao da rede - Habilitar a rede wireless somente quando for us-la e desabilit-la aps o uso. Algumas estaes de trabalho e Laptops permitem habilitar e desabilitar o uso de redes wireless atravs de comandos ou botes especficos. No caso de laptop com cartes wireless PCMCIA, inserir o carto apenas quando for usar a rede e retir-lo ao trmino da conexo. Dicas de Segurana Existem configuraes de segurana mais avanadas para redes wireless, que requerem conhecimentos mais profundos de administrao de redes. O site de notcias ZDNet.com disponibilizou em janeiro de 2003 um texto do especialista americano Scott Lowe sobre segurana em redes sem fio. No artigo em questo, Lowe indica seis aspectos principais para construo de uma rede wireless de maneira segura: Planejar o local ideal da antena O primeiro passo para implementao de pontos de acesso fechado a uma rede wireless est no local em que a antena, que oferece o sinal para os pontos de acesso, vai estar. No se recomenda que a antena fique perto

de janelas - ao menos que o vidro da janela bloqueie tais sinais. O ideal colocar a antena no centro da rea de cobertura. Utilizar o protocolo WEP O WEP (Wired Equivalent Privacy) um mtodo criptogrfico em redes sem fio. Muitos revendedores de redes wireless desabilitam o WEP para facilitar a instalao. No entanto, crackers podem ter acesso imediato em redes sem o WEP habilitado. Mudar o SSID e desabilitar o broadcast O SSID (service set identifier) uma string de identificao utilizada em pontos de acesso a redes sem fios pelo qual os clientes podem iniciar suas conexes. Este identificador fixado pelo fabricante e cada um deles usa um identificador default, como exemplo, "101" para dispositivos da 3Com. Muitos crackers conhecem e utilizam estes identificadores para fazer uso sem autorizao dos servios de redes sem fios. Observar que se deve trocar primeiro o SSID da rede para, posteriormente, desativar o broadcast. Desabilitar o DHCP (Dynamic Host Configuration Protocol) No princpio, isto pode parecer uma ttica de segurana estranha, mas para redes sem fios, faz sentido. Com este passo, os crackers seriam forados a decifrar o IP, a mscara de rede e outros parmetros de TCP/IP exigidos. Se mesmo assim um cracker puder fazer uso do ponto de acesso por qualquer razo, ele precisar ainda entender como configurar de maneira correta o endereo IP. 5. Desabilitar ou modificar os parmetros SNMP (Simple Network Management Protocol) Se a rede suportar o protocolo SNMP, recomendvel desabilit-lo ou modificar seus parmetros. Se essa providncia no for tomada, crackers podero usar o SNMP para conseguir informaes importantes sobre a rede local. Utilizar "access lists" Recomenda-se o uso de listas de acesso, especificando exatamente quais mquinas podero se conectar no ponto de acesso da rede. Para redes wireless domsticas deve-se ter em mente que, dependendo da potncia da antena do AP (Access Point), uma rede domstica pode abranger uma rea muito maior que apenas uma casa. Devido a esse fato, uma rede pode ser utilizada sem o conhecimento do administrador ou ter seu trfego capturado por pessoas que estejam nas proximidades. Assim como nas redes wireless para aplicaes comerciais, deve-se mudar as configuraes padro que acompanham o AP. Alguns exemplos so:

Alterar as senhas; Alterar o SSID (Server Set ID); Desabilitar o broadcast de SSID; Usar sempre que possvel WEP (Wired Equivalent Privacy), para criptografar o trfego entre os clientes e o AP; Trocar as chaves WEP que acompanham a configurao padro do equipamento. Procurar usar o maior tamanho de chave possvel (128 bits); Desligar o AP quando no estiver em uso na rede.