Segurança Em Redes Sem Fio

SEGURANÇA EM REDES SEM FIO

Nenhuma rede ou sistema é completamente seguro. Entretanto, as redes sem fio acrescentam um fator extra na questão de segurança, quando comparadas à rede cabeada. Como a transmissão é feita pelo ar, os dados podem ser facilmente conseguidos por alguém com alguns conhecimentos técnicos, possibilitando assim a sua detecção ou sua utilização por pessoas não autorizadas.

Dado o baixo custo, aliado à facilidade de instalação, praticamente sem necessidade de configuração (zeroconf), mesmo um leigo pode instalar rapidamente uma base wireless (ponto de acesso), adquirido no mercado local, usando a sua configuração padrão.

A seguir veremos alguns protocolos e métodos utilizados na segurança de redes sem fio.

• EAP

O EAP (Extensible Authentication Protocol) é um modelo de protocolo ao qual foi desenvolvido para a autenticação no WPA. Sua finalidade é integrar as soluções de autenticação já existentes, como por exemplo, a autenticação utilizada em conexões discadas (RADIUS), permitindo inclusive a possibilidade de uma autenticação com certificação digital. Seu funcionamento se dá pela utilização de um serviço de autenticação, onde o autenticador recebe uma solicitação de um suplicante (entidade que está solicitando a autenticação), onde se encontra em um servidor de autenticação, abrindo uma porta específica para tal solicitação.

• Service Set ID

Service Set ID ou SSID é um código alfanumérico que identifica uma rede sem fio. Cada fabricante utiliza um mesmo código para seus componentes que fabrica. Você deve alterar este nome e desabilitar a opção de “broadcast SSID” no ponto de acesso para aumentar a segurança da rede. Quando o “broadcast SSID” está habilitado o ponto de acesso periodicamente envia o SSID da rede permitindo que outros clientes possam conectar-se à rede. Em redes de acesso público é desejável que seja feita a propagação do SSID para que qualquer um possa conectar-se à rede. Como o SSID pode ser extraído do pacote transmitido através da técnica de “sniffing”, ele não oferece uma boa segurança para a rede. Mesmo não oferecendo uma segurança à rede, deve-se alterar o nome para evitar que outros usem sua rede acidentalmente.

• WEP

WEP (Wired Equivalency Privacy), como sugere o nome, este protocolo tem a intenção de fornecer o mesmo nível de privacidade de uma rede a cabo. É um protocolo de segurança baseado no método de criptografia RC4 que usa criptografia de 64 bits ou 128 bits. Ambas utilizam um vetor de inicialização de 24 bits, porém, a chave secreta tem um comprimento de 40 bits ou de 104 bits. Todos os produtos Wi-Fi suportam a criptografia de 64 bits, porém, nem todos suportam a criptografia de 128 bits. Além da criptografia, também utiliza um procedimento de checagem de redundância cíclica no padrão CRC-32 utilizado para verificar a integridade do pacote de dados. O WEP não protege a conexão por completo mas somente o pacote de dados. O protocolo WEP não é totalmente seguro pois já existem programas capazes de quebrar as chaves de criptografia no caso da rede ser monitorada durante um tempo longo.

• WPA

O WPA (Wi-Fi Protected Access) foi elaborado para contornar os problemas de segurança do WEP. Possui um protocolo denominado TKIP (Temporal Key Integrity Protocol) com um vetor de inicialização de 48 bits e uma melhor criptografia de 128 bits. Com a utilização do TKIP, a chave é alterada em cada pacote e sincronizada entre o cliente e o Access Point, também faz uso de autenticação do usuário por um servidor central.

• WPA2

Uma melhoria do WPA que utiliza o algoritmo de encriptação denominado AES (Advanced Encryption Standard).

RADIUS

RADIUS (Remote Authentication Dial-In User Service) é um padrão de encriptação de 128 bits proprietária e mais segura, porém, disponível em apenas alguns produtos que custam mais caro devido a adição de uma camada extra de criptografia.

• MAC

No MAC (Media Access Control), cada placa de rede tem seu próprio e único número de endereço MAC. Desta forma é possível limitar o acesso a uma rede somente às placas cujos números MAC estejam especificados em uma lista de acesso. Tem a desvantagem de exigir um maior gerenciamento, pois necessita atualizar a lista de endereços MAC quando troca-se um computador da rede ou para prover acesso a um visitante ou para redes públicas. Outra desvantagem deve-se ao fato de poder alterar via software o número MAC da placa de rede para um outro número válido para acesso à rede.

• Permissões de acesso

Outra maneira de aumentar a segurança é restringir o acesso a pastas e arquivos compartilhados através da utilização de senhas. Nunca compartilhe pastas ou arquivos sem senha.

• Posicionamento físico

Estabelecer uma rede sem fio segura começa com a disposição física dos pontos de acesso dentro do prédio. Em uma residência, deve-se colocar o ponto de acesso em algum lugar mais central da residência e não colocar em uma parede lateral da casa, próxima a rua ou próxima a uma janela.

VULNERABILIDADES

Nenhum

...