Uma rede sem fio é um conjunto de sistemas conectados por tecnologia de rádio através do ar. Com um transmissor irradiando os dados transmitidos através da rede em todas as direções, como impedir que qualquer um possa se conectar a ela e roubar seus dados? Um ponto de acesso instalado próximo à janela da sala provavelmente permitirá que um vizinho a dois quarteirões da sua casa consiga captar o sinal da sua rede, uma preocupação agravada pela popularidade que as redes sem fio vêm ganhando. Para garantir a segurança, existem vários sistemas que podem ser implementados, apesar de nem sempre eles virem ativados por default nos pontos de acesso.
O que realmente precisamos saber para que a rede sem fio implementada esteja com o nível correto de segurança? Em primeiro lugar é preciso conhecer os padrões disponíveis, o que eles podem oferecer e então, de acordo com sua aplicação, política de segurança e objetivo, implementar o nível correto e desejado. Ser o último disponível não garante, dependendo de sua configuração, que a segurança será eficiente. É preciso entender, avaliar bem as alternativas e então decidir-se de acordo com sua experiência e as características disponíveis nos produtos que vai utilizar, objetivando também o melhor custo.
A segurança wireless é um trabalho em andamento, com padrões em evolução. Com tempo e acesso suficientes, um hacker persistente provavelmente conseguirá invadir seu sistema wireless. Ainda assim, você pode tomar algumas atitudes para dificultar ao máximo possível o trabalho do intruso. , nas variantes de conotação maléfica da palavra. Temos, assim, práticas típicas concernentes a redes sem fio, sejam estas comerciais ou não, conhecidas como wardriving e warchalking.
Wardriving
O termo wardriving foi escolhido por Peter Shipley (http://www.dis.org/shipley/) para batizar a atividade de dirigir um automóvel à procura de redes sem fio abertas, passíveis de invasão. Para efetuar a prática do wardriving, são necessários um automóvel, um computador, uma placa Ethernet configurada no modo "promíscuo" ( o dispositivo efetua a interceptação e leitura dos pacotes de comunicação de maneira completa ), e um tipo de antena, que pode ser posicionada dentro ou fora do veículo (uma lata de famosa marca de batatas fritas norte-americana costuma ser utilizada para a construção de antenas ) . Tal atividade não é danosa em si, pois alguns se contentam em encontrar a rede wireless desprotegida, enquanto outros efetuam login e uso destas redes, o que já ultrapassa o escopo da atividade. Tivemos notícia, no ano passado, da verificação de desproteção de uma rede wireless pertencente a um banco internacional na zona Sul de São Paulo mediante wardriving, entre outros casos semelhantes. Os aficionados em wardriving consideram a atividade totalmente legítima.
Warchalking
Inspirado em prática surgida na Grande Depressão norte-americana, quando andarilhos desempregados (conhecidos como "hobos" ) criaram uma linguagem de marcas de giz ou carvão em cercas, calçadas e paredes, indicando assim uns aos outros o que esperar de determinados lugares, casas ou instituições onde poderiam conseguir comida e abrigo temporário, o warchalking é a prática de escrever símbolos indicando a existência de redes wireless e informando sobre suas configurações. As marcas usualmente feitas em giz em calçadas indicam a posição de redes sem fio, facilitando a localização para uso de conexões alheias pelos simpatizantes da idéia. O padrão IEEE 802.11 fornece o serviço de segurança dos dados através de dois métodos: autenticação e criptografia. Este padrão 802.11 define duas formas de autenticação: open system e shared key. Independente da forma escolhida, qualquer autenticação deve ser realizada entre pares de estações, jamais havendo comunicação multicast. Em sistemas BSS as estações devem se autenticar e realizar a troca de informações através do Access Point (AP). As formas de autenticação previstas definem:
Autenticação Open System - é o sistema de autenticação padrão. Neste sistema, qualquer estação será aceita na rede, bastando requisitar uma autorização. É o sistema de autenticação nulo.
Autenticação Shared key – neste sistema de autenticação, ambas as estações (requisitante e autenticadora) devem compartilhar uma chave secreta. A forma de obtenção desta chave não é especificada no padrão, ficando a cargo dos fabricantes a criação deste mecanismo. A troca de informações durante o funcionamento normal da rede é realizada através da utilização do protocolo WEP.
Autenticação do cliente feita com "shared keys"
A autenticação do tipo Open System foi desenvolvida focando redes que não precisam de segurança para autenticidade de dispositivos. Nenhuma informação sigilosa deve trafegar nestas redes já que não existe qualquer proteção. Também se aconselha que estas redes permaneçam separadas da rede interna por um firewall (a semelhança de uma zona desmilitarizada – DMZ).
A autenticação Shared Key utiliza mecanismos de criptografia para realizar a autenticação dos dispositivos. Um segredo é utilizado como semente para o algoritmo de criptografia do WEP na cifragem dos quadros. A forma de obter esta autenticação é a seguinte:
1. Estação que deseja autenticar-se na rede envia uma requisição de autenticação para o AP.
2. O AP responde a esta requisição com um texto desafio contendo 128 bytes de informações pseudorandômicas.
3. A estação requisitante deve então provar que conhece o segredo compartilhado, utilizando-o para cifrar os 128 bytes enviados pelo AP e devolvendo estes dados ao AP.
4. O AP conhece o segredo, então compara o texto originalmente enviado com a resposta da estação. Se a cifragem da estação foi realizada com o segredo correto, então esta estação pode acessar a rede.Dentro do utilitário de configuração você poderá habilitar os recursos de segurança. Na maioria dos casos todos os recursos abaixo vêm desativados por default a fim de que a rede funcione imediatamente, mesmo antes de qualquer coisa ser configurada. Para os fabricantes, quanto mais simples for a instalação da rede, melhor, pois haverá um número menor de usuários insatisfeitos por não conseguir fazer a coisa funcionar. Mas, você não é qualquer um. Vamos então às configurações:
SSID
A primeira linha de defesa é o SSID (Service Set ID), um código alfanumérico que identifica os computadores e pontos de acesso que fazem parte da rede. Cada fabricante utiliza um valor default para esta opção, mas você deve alterá-la para um valor alfanumérico qualquer que seja difícil de adivinhar.Geralmente estará disponível no utilitário de configuração do ponto de acesso a opção "broadcast SSID". Ao ativar esta opção o ponto de acesso envia periodicamente o código SSID da rede, permitindo que todos os clientes próximos possam conectar-se na rede sem saber previamente o código. Ativar esta opção significa abrir mão desta camada de segurança, em troca de tornar a rede mais "plug-and-play". Você não precisará mais configurar manualmente o código SSID em todos os micros.Esta é uma opção desejável em redes de acesso público, como muitas redes implantadas em escolas, aeroportos, etc., mas caso a sua preocupação maior seja a segurança, o melhor é desativar a opção. Desta forma, apenas quem souber o valor ESSID poderá acessar a rede.
WEP
O Wired Equivalency Privacy (WEP) é o método criptográfico usado nas redes wireless 802.11. O WEP opera na camada de enlace de dados (data-link layer) e fornece criptografia entre o cliente e o Access Point. O WEP é baseado no método criptográfico RC4 da RSA, que usa um vetor de inicialização (IV) de 24 bits e uma chave secreta compartilhada (secret shared key) de 40 ou 104 bits. O IV é concatenado com a secret shared key para formar uma chave de 64 ou 128 bits que é usada para criptografar os dados. Além disso, o WEP utiliza CRC-32 para calcular o checksum da mensagem, que é incluso no pacote, para garantir a integridade dos dados. O receptor então recalcula o checksum para garantir que a mensagem não foi alterada.Apenas o SSID, oferece uma proteção muito fraca. Mesmo que a opção broadcast SSID esteja desativada, já existem sniffers que podem descobrir rapidamente o SSID da rede monitorando o tráfego de dados. Eis que surge o WEP, abreviação de Wired-Equivalent Privacy, que como o nome sugere traz como promessa um nível de segurança equivalente à das redes cabeadas. Na prática o WEP também tem suas falhas, mas não deixa de ser uma camada de proteção essencial, muito mais difícil de penetrar que o SSID sozinho.
O WEP se encarrega de encriptar os dados transmitidos através da rede. Existem dois padrões WEP, de 64 e de 128 bits. O padrão de 64 bits é suportado por qualquer ponto de acesso ou interface que siga o padrão WI-FI, o que engloba todos os produtos comercializados atualmente. O padrão de 128 bits por sua vez não é suportado por todos os produtos. Para habilitá-lo será preciso que todos os componentes usados na sua rede suportem o padrão, caso contrário os nós que suportarem apenas o padrão de 64 bits ficarão fora da rede.Na verdade, o WEP é composto de duas chaves distintas, de 40 e 24 bits no padrão de 64 bits e de 104 e 24 bits no padrão de 128. Por isso, a complexidade encriptação usada nos dois padrões não é a mesma que seria em padrões de 64 e 128 de verdade. Além do detalhe do número de bits nas chaves de encriptação, o WEP possui outras vulnerabilidades. Alguns programas já largamente disponíveis são capazes de quebrar as chaves de encriptação caso seja possível monitorar o tráfego da rede durante algumas horas e a tendência é que estas ferramentas se tornem ainda mais sofisticadas com o tempo. Como disse, o WEP não é perfeito, mas já garante um nível básico de proteção. Esta é uma chave que foi amplamente utilizada, e ainda é, mas que possui falhas conhecidas e facilmente exploradas por softwares como AirSnort ou WEPCrack. Em resumo o problema consiste na forma com que se trata a chave e como ela é "empacotada" ao ser agregada ao pacote de dados.
O WEP vem desativado na grande maioria dos pontos de acesso, mas pode ser facilmente ativado através do utilitário de configuração. O mais complicado é que você precisará definir manualmente uma chave de encriptação (um valor alfanumérico ou hexadecimal, dependendo do utilitário) que deverá ser a mesma em todos os pontos de acesso e estações da rede. Nas estações a chave, assim como o endereço ESSID e outras configurações de rede podem ser definidos através de outro utilitário, fornecido pelo fabricante da placa.Mais Informações:http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html
WPA, um WEP melhorado
Também chamado de WEP2, ou TKIP (Temporal Key Integrity Protocol), essa primeira versão do WPA (Wi-Fi Protected Access) surgiu de um esforço conjunto de membros da Wi-Fi Aliança e de membros do IEEE, empenhados em aumentar o nível de segurança das redes sem fio ainda no ano de 2003, combatendo algumas das vulnerabilidades do WEP.A partir desse esforço, pretende-se colocar no mercado brevemente produtos que utilizam WPA, que apesar de não ser um padrão IEEE 802.11 ainda, é baseado neste padrão e tem algumas características que fazem dele uma ótima opção para quem precisa de segurança rapidamente: Pode-se utilizar WPA numa rede híbrida que tenha WEP instalado. Migrar para WPA requer somente atualização de software. WPA é desenhado para ser compatível com o próximo padrão IEEE 802.11i.
Vantagens do WPA sobre o WEP
Com a substituição do WEP pelo WPA, temos como vantagem melhorar a criptografia dos dados ao utilizar um protocolo de chave temporária (TKIP) que possibilita a criação de chaves por pacotes, além de possuir função detectora de erros chamada Michael, um vetor de inicialização de 48 bits, ao invés de 24 como no WEP e um mecanismo de distribuição de chaves.Além disso, uma outra vantagem é a melhoria no processo de autenticação de usuários. Essa autenticação se utiliza do 802.11x e do EAP (Extensible Authentication Protocol), que através de um servidor de autenticação central faz a autenticação de cada usuário antes deste ter acesso a rede.
RADIUS
Este é um padrão de encriptação proprietário que utiliza chaves de encriptação de 128 bits reais, o que o torna muito mais seguro que o WEP. Infelizmente este padrão é suportado apenas por alguns produtos. Se estiver interessado nesta camada extra de proteção, você precisará pesquisar quais modelos suportam o padrão e selecionar suas placas e pontos de acesso dentro desse círculo restrito. Os componentes geralmente serão um pouco mais caro, já que você estará pagando também pela camada extra de encriptação.Mais Informações:http://www.lockabit.coppe.ufrj.br/index.php
Permissões de acesso
Além da encriptação você pode considerar implantar também um sistema de segurança baseado em permissões de acesso. O Windows 95/98/ME permite colocar senhas nos compartilhamentos, enquanto o Windows NT, 2000 Server, já permitem uma segurança mais refinada, baseada em permissões de acesso por endereço IP, por usuário, por grupo, etc. Usando estes recursos, mesmo que alguém consiga penetrar na sua rede, ainda terá que quebrar a segurança do sistema operacional para conseguir chegar aos seus arquivos. Isso vale não apenas para redes sem fio, mas também para redes cabeadas, onde qualquer um que tenha acesso a um dos cabos ou a um PC conectado à rede é um invasor em potencial.Alguns pontos de acesso oferecem a possibilidade de estabelecer uma lista com as placas que têm permissão para utilizar a rede e rejeitar qualquer tentativa de conexão de placas não autorizadas. O controle é feito através dos endereços MAC das placas, que precisam ser incluídos um a um na lista de permissões, através do utilitário do ponto de acesso. Muitos oferecem ainda a possibilidade de estabelecer senhas de acesso.Somando o uso de todos os recursos acima, a rede sem fio pode tornar-se até mais segura do que uma rede cabeada, embora implantar tantas camadas de proteção torne a implantação da rede muito mais trabalhosa.
ACL (Access Control List)
Esta é uma prática herdada das redes cabeadas e dos administradores de redes que gostam de manter controle sobre que equipamentos acessam sua rede. O controle consiste em uma lista de endereços MAC (físico) dos adaptadores de rede que se deseja permitir a entrada na rede wireless. Seu uso é bem simples e apesar de técnicas de MAC Spoofing serem hoje bastante conhecidas é algo que agrega boa segurança e pode ser usado em conjunto com qualquer outro padrão, como WEP, WPA etc. A lista pode ficar no ponto de acesso ou em um PC ou equipamento de rede cabeada, e a cada novo cliente que tenta se conectar seu endereço MAC é validado e comparado aos valores da lista. Caso ele exista nesta lista, o acesso é liberado.Para que o invasor possa se conectar e se fazer passar por um cliente válido ele precisa descobrir o MAC utilizado. Como disse, descobrir isso pode ser relativamente fácil para um hacker experiente que utilize um analisador de protocolo (Ethereal, por exemplo) e um software de mudança de MAC (MACShift por exemplo). De novo, para aplicações onde é possível agregar mais esta camada, vale a pena pensar e investir em sua implementação, já que o custo é praticamente zero. O endereço MAC, em geral, está impresso em uma etiqueta fixada a uma placa de rede ou na parte de baixo de um notebook. Para descobrir o endereço MAC do seu computador no Windows XP, abra uma caixa de comando (Iniciar/Todos os Programas/Acessórios/Prompt de Comando), digite getmac e pressione a tecla Enter. Faça isso para cada computador na rede e entre com a informação na lista do seu roteador.
Mantendo a sua rede sem fio segura
Na verdade essa lista de sugestões se aplica para todos os casos, sejam redes sem ou com fios.
1. Habilite o WEP. Como já vimos o WEP é frágil, mas ao mesmo tempo é uma barreira a mais no sistema de segurança.
2. Altere o SSID default dos produtos de rede. SSID é um identificador de grupos de redes. Para se juntar a uma rede, o novo dispositivo terá que conhecer previamente o número do SSID, que é configurado no ponto de acesso, para se juntar ao resto dos dispositivos. Mantendo esse valor default fica mais fácil para o invasor entrar na rede.
3. Não coloque o SSID como nome da empresa, de divisões ou departamentos.
4. Não coloque o SSI como nome de ruas ou logradouros.
5. Se o ponto de acesso suporta broadcast SSID, desabilite essa opção.
6. Troque a senha default dos pontos de acessos e dos roteadores. Essas senhas são de conhecimento de todos os hackers.
7. Tente colocar o ponto de acesso no centro da empresa. Diminui a área de abrangência do sinal para fora da empresa.
8. Como administrador você deve repetir esse teste periodicamente na sua empresa a procura de pontos de acessos novos que você não tenha sido informado.
9. Aponte o equipamento notebook com o Netstumbler para fora da empresa para procurar se tem alguém lendo os sinais que transitam na sua rede.
10. Muitos pontos de acessos permitem que você controle o acesso a ele baseado no endereço MAC dos dispositivos clientes. Crie uma tabela de endereços MAC que possam acessar aquele ponto de acesso. E mantenha essa tabela atualizada.
11. Utilize um nível extra de autenticação, como o RADIUS, por exemplo, antes de permitir uma associação de um dispositivo novo ao seu ponto de acesso. Muitas implementações já trazer esse nível de autenticação dentro do protocolo IEEE 802.11b.
12. Pense em criar uma subrede específica para os dispositivos móveis, e disponibilizar um servidor DHCP só para essa sub-rede.
13. Não compre pontos de acesso ou dispositivos móveis que só utilizem WEP com chave de tamanho 40 bits.
14. Somente compre pontos de acessos com memória flash. Há um grande número de pesquisas na área de segurança nesse momento e você vai querer fazer um upgrade de software no futuro.
