| 
Por
Ricardo Menezes
(artigo
escrito em 2004)
|
Segurança
em redes wireless ainda é um assunto tratado de forma muito delicada,
tanto pelos que são usuários da tecnologia, quanto pelos
os fabricantes de equipamentos. Segurança, apesar de ser um item
fundamental em qualquer projeto de rede, ainda é tratada com
certo descaso por aqueles que estão montando uma pequena rede.
Apesar dos recursos de segurança atuais não serem 100%
invioláveis, é sempre bom garantir, ao máximo,
que seu ambiente e possíveis dados estejam bem guardados.
Segurança
é o Calcanhar de Aquiles das tecnologias wireless, principalmente
o Wi-Fi. Se já era difícil garantir e proteger redes convencionais
de invasores e bisbilhotagens em geral, imagine como é conseguir
que informações voando pelo ar, de um lado para outro,
sejam protegidas de
pessoas mal-intencionadas. Pensando dessa forma, todas medidas de segurança,
mesmo que simples, são bem-vindas.
Qualquer
pessoa, sem muito conhecimento avançado sobre o assunto, pode
adotar medidas básicas para melhorar a segurança de uma
rede wireless, o que muitas vezes acaba não acontecendo, criando
assim, um verdadeiro paraíso para curiosos e intrusos, geralmente
conhecidos como hackers ou wardrivers.
Para
dificultar ao máximo invasões indesejadas em sua rede
particular e manter vizinhos bisbilhoteiros longe dos seus arquivos,
você pode tomar algumas precauções que veremos a
seguir.
1)
Habilite e configure a encriptação de dados.
Utilizar a
encriptação de dados é a melhor coisa que você pode
fazer para começar a melhorar sua segurança. O método de
encriptação mais comum é o WEP (wired equivalent privacy),
que lhe permite criar chaves de 64, 128 ou 265 bits. Outros métodos, como
o WPA (Wi-Fi Protected Access), também podem ser utilizados, sempre levando
em consideração que a encriptação, apesar de ser um
item fundamental, não é a garantia de uma rede impenetrável.
O novo protocolo Wi-Fi 802.11i especificado pelo IEEE há pouco tempo ,
além das chaves convencionais, também traz o sistema AES (Advanced
Encryption Standard) que demonstra ser um grande avanço no que diz respeito
ao Wi-Fi e seu futuro. Sem
dúvidas, uma rede com dados encriptados, provavelmente espantará
99% dos curiosos de plantão, já que a quebra de chaves de 256 bits
ainda não é uma tarefa para qualquer um. 2)
Defina um SSID.
SSID
(service set identifier) é o nome do seu ponto de acesso, que
equipamentos visitantes precisam saber para conectar-se a ele. Pontos
de acesso costumam vir com SSIDs padrão. Nomes como Linksys,
Default e 3Com são apenas alguns nessa longa lista. Um SSID padrão
pode ser uma informação bastante útil para quem
está tentando invadir uma rede wireless, afinal, sabendo qual
a marca e modelo de determinado aparelho, fica fácil arriscar
e tentar encontrar o endereço de administração
do aparelho, usuário e senha do mesmo. Um SSID padrão
geralmente significa que a rede foi configurada por alguém com
muita pressa e/ou pouco conhecimento.
3)
Mude a senha de administrador do seu hotspot.
Uma vez com o SSID padrão em mãos, é muito simples
chegar ao endereço IP principal, através qual é
possível ter acesso ao módulo de administração
do aparelho. Cada fabricante tem um padrão de endereços
IP que é configurado de fábrica ou quando é dado
"reset" no aparelho, por isso é importante habilitar
a senha do módulo administrador do seu roteador sem fio. Com
a senha habilitada, a vida de um possível insavor fica mais difícil
e
ele não poderá entrar facilmente no módulo de administração,
conseguindo informações valiosas para quem está
atacando. Mesmo assim, com recursos mais avançados, como monitoramento
de pacotes wireless ou força bruta por exemplo, um possível
invasor ainda é capaz de conseguir acesso ao seu roteador ou
demais computadores na rede.
4)
Use filtros MAC
Se possível, defina no roteador quais são os endereços
MAC das máquinas autorizadas a se conectar (muitos roteadores
permitem isso). Também limite o número de endereços
IPs fornecidos pelo servidor DHCP do seu ponto de acesso.
5)
Desligue o broadcast do SSID.
O envio do nome SSID pelo sinal é
bastante útil nos casos onde o acesso do ponto é aberto ao público,
pois quem se conecta precisa saber o nome do SSID para efetuar a conexão.
Em redes sem visitantes (apenas computadores que raramente mudam) é possível
desligar o envio do SSID pelo sinal, informando manualmente esse nome aos dispositivos
autorizados a conectar-se ao ponto. Dessa forma, um estranho pode até saber
que a sua rede está ali, mas terá isso como um desafio a mais na
hora de invadir o seu ambiente. Caso a sua opção de broadcast de
SSID esteja habilitada, o ideal então é mudar o nome padrão
para algum outro. 6)
Regule a intensidade do sinal.
Este talvez seja o ponto em que a maioria acaba por pecar ao instalar
uma rede sem fio. Alguns aparelhos permitem que você configure
a força do sinal, reduzindo ao máximo os sinais que ultrapassam
os limites físicos de seu ambiente, impedindo que ele chegue
ao alcance daquele vizinho curioso. O ideal é ir abaixando o
sinal aos poucos e testando nos vários pontos da casa ou ambiente.
Assim, você dificulta ao máximo uma invasão via
rádio, já que a grande maioria dos curiosos de plantão
não vai estar equipada com antenas direcionais de alto ganho.
7)
Instale uma firewall.
Todos os pontos acima estão relacionados aos estágios
a serem vencidos antes do invasor alcançar o seu computador.
A instalação de uma firewall no computador (ou se possível
no roteador) reforça ainda mais a segurança, impedindo
o acesso de pessoas indesejadas, mesmo que elas tenham vencido todos
os estágios anteriores. As mais conhecidos para o mercado doméstico
são as soluções de segurança da Zone Alarm,
McAfee e Norton.
8)
Bloqueie portas e protocolos não utilizados
Muitos
roteadores sem fio e/ou pontos de acesso vêm com firewalls simples,
que servem para filtrar protocolos, aplicações e números
de portas perigosas e/ou não utilizadas pelos computadores que
estão no ambiente de rede. Além desse tipo de precaução,
você também poderá recorrer ao recurso de "port
forwarding", para desviar certos tipos de requisições
externas (netbios, telnet, echo, remote desktop, backdoor, etc), fazendo
com que elas nunca cheguem aos computadores dentro da rede.
Conclusão
Mesmo
que você tome todas as precauções possíveis
para proteger a sua rede sem fio, nada impedirá que alguém
monitore o sinal que trafega por ela, utilizando programas específicos
e amplamente conhecidos. Para evitar ou dificultar isso, as poucas alternativas
que sobram são o controle de intensidade do sinal (tanto do roteador,
quanto dos clientes de rede) e a utilização de encriptação
avançada, já que chaves do tipo WEP podem ser facilmente
quebradas por quem realmente sabe onde quer chegar.
Caso
a sua rede wireless precise de um nível de segurança maior
que a alcançada através das medidas acima, isso indica
que ela precisa ser projetada e implementada por profissionais capacitados.
Redes para escolas, locais públicos, médias e grandes
empresas, condomínios, etc., precisam de atenção
especial. O projeto de uma rede com tamanha importância ou proporções
leva em conta fatores como clima e topografia, sendo uma tarefa para
ser executada por empresas ou profissionais especializados.
Visite
nossa seção de Links/Soluções
wireless e conheça algumas das principais empresas especializadas
em projetar e implementar soluções wireless nos mais diversos
tipos de ambiente.
Segurança
a mais nunca é demais.
|
