Segurança em rede wireless

Em uma rede cabeada, temos basicamente uma “certa segurança” que não é oferecida pelas redes wireless como paredes, portas, alarmes etc, além das seguranças conhecidas sejam elas firewall, antivírus, antispywares/malwares, tendo como porta de entrada e escuta apenas a internet, com um roteador.
Na rede wireless não temos, na maioria das vezes essas seguranças (paredes, portas, cadeados, alarmes etc), afinal o sinal propaga-se pelo ar, podendo, assim, ser captado.
Na rede wireless temos alguns padrões básicos como:

  • 802.11a – Opera na freqüência 5.4GHZ e permite uma transmissão de dados de até 54Mbps.
  • 802.11b – Opera na freqüência 2.4 a 2.5GHZ e permite transmissão de até 11Mbps.
  • 802.11g – Opera na freqüência 2.4 a 2.5GHZ e permite transmissão de até 54Mbps.

Sendo algum destes padrões, uma rede Wi-fi pode ser estruturada de três modos básicos:

  • IBSS – Independent Basic Service Set ou redes Ad-Hoc, onde os dispositivos comunicam-se diretamente, sem a necessidade de um Access Point.
  • BSS – Basic Service Set, onde os dispositivos se comunicam através de um único Access Point, como clientes.
  • ESS – Extended Service Set, são mais de duas redes Wi-fi conectadas entre si.

IBSS, ou rede Ad-Hoc, devemos ter um cuidado especial com configurações, pois a placa wireless ativada no modo Ad-Hoc, está apta a receber e enviar dados assim que forem solicitados.
A segurança fica direcionada apenas para o sistema operacional, Firewall, antivírus, antispyware etc.
Desta maneira, a placa Wi-Fi deve ficar desabilitada em locais com grande concentração de pessoas suspeitas, como aeroportos, lanchonetes e outros locais com Hot Spots, devendo ser habilitada apenas quando a comunicação se fizer absolutamente necessária.
Uma outra configuração básica que pode e deve ser implementada, sempre que possível, é a configuração da placa ou dispositivo de rede sem fio para que sempre se conecte a redes infra-estruturadas, impedindo assim a frágil comunicação Ad-Hoc.
BSS, geralmente redes infra-estruturadas, podem e devem ter seguranças ativadas através do Access Point, sendo seguranças através de configurações e criptografia.
Assim também ocorre com o ESS, estas configurações e criptografias serão mais detalhadas adiante.

Padrões de segurança básicos em Access Points:
1. DHCP
É necessário um IP válido para se comunicar a uma rede, com o serviço de DHCP desabilitado o intruso terá maior dificuldade em conseguir esse IP.
Não é uma solução definitiva, pois existem maneiras de descobrir o endereço. Exemplo: Procurando em faixas de endereço pré-definidos, ou com decifragem de pacotes capturados.

2. Controle por MAC
Muitos fabricantes fornecem a possibilidade de criar listas de controle de acesso através do endereço físico das placas de rede wireless dos clientes, fazendo com que apenas esses dispositivos se conectem.
O que também por si só é apenas mais uma dificuldade que pode ser usada contra algum intruso, pois diversos equipamentos permitem a mudança do endereço físico.

3. Broadcast do SSID
SSID é o nome que identifica a rede e pelo qual os clientes se conectam ao Access Point. O SSID se propaga em broadcast, ou seja, pode ser recebido por indefinidos “clientes” e sem criptografia. Deve-se, para aumentar a segurança, desativar o broadcast do SSID.
O que também não é a medida definitiva para impedir um intruso, já que existem programas que encontram e se conectam a um SSID oculto. Por exemplo o netstrumbler.

4. Autenticação WEP
É um método de proteção fraco, pois existem diversos softwares que conseguem quebrar sua criptografia. Criptografa de dados em até 128 bits, sua fraqueza se dá na transmissão dos dados criptografados, a quantidade de combinações variáveis é muito pequena, o que leva a repetição dos valores, tornando mais fácil a quebra da criptografia.
A autenticação é feita através de um desafio, que é gerado aleatoriamente, e criptografado com a chave WEP.
O cliente pede autenticação, o Access Point gera o desafio, criptografa com a chave, e o envia ao cliente, o último, por sua vez, descriptografa o desafio com a mesma chave WEP, e reenvia ao Access Point, que a recebe, confirma, e autentica este cliente.
Combinado com as demais configurações e precauções já apresentadas, o WEP se mostra mais uma dificuldade para que o invasor possa conseguir proveito indevido.
Devido a todas as fraquezas encontradas no WEP, houve a necessidade de um mecanismo mais eficiente para proteção, foi criado então o WPA.

5. Autenticação WPA
TKIP é um protocolo de geração de chaves temporais, com 128 bits, e faz com que cada estação da rede tenha uma chave diferente para se comunicar com o AP, uma vez que a chave é gerada com a combinação do endereço MAC de cada estação, evitando assim a repetição encontrada no WEP.
Passphrase é a senha definida pelo usuário, uma frase comum, utilizada na maioria das vezes. Utilizando o padrão 802.1x, o WPA provê o controle de acesso e autenticação mútua entre clientes e Aps através de um servidor de autenticação, como ex: RADIUS.
O cliente inicia a conexão com o autenticador (AP), este por sua vez, pede a identidade ao cliente, a resposta é repassada diretamente ao servidor de autenticação, então o cliente tem acesso a identidade do servidor, só após a autenticação com o servidor, os dados são transmitidos, tendo o cliente acesso total a rede.
WPA2 utiliza o AES em conjunto com o TKIP, tende a ser a solução em segurança Wi-Fi, mas tem necessidade de co-processadores nos dispositivos para que o AES seja processado, e ainda reduz o desempenho das redes onde é implantado.
AES é um cifrador de blocos, trabalha com criptografia de 256 bits.

Como se proteger?
A aplicação das configurações e criptografias citadas, infelizmente, não é garantia da imunidade contra intrusos, todo tipo de criptografia pode ser quebrada, existem milhares de pessoas que trabalham apenas para burlar as seguranças encontradas.
O papel do Administrador de Rede é fundamental para segurança de uma grande, média ou pequena empresa, existem ferramentas que facilitam o serviço de verificação contra ataques, tentativas de quebra de senha, investida de IPs que tentam se conectar a rede etc.

Podem ser usados como aliados:

  • Servidor de Autenticação Padrão 802.1x
  • Servidor Proxy
  • Expiração de senha de usuário
  • Firewalls
  • Alteração da SSID, mesmo sem broadcast.
  • Alteração de gateways, endereços de IP, portas de conexão, senhas de administradores.
  • Atualização, especialização e estudo do próprio administrador da rede.

Preferencialmente, todos combinados, o que demandaria muito tempo e serviço em servidores e configurações, conseguiriam nos prover uma maior segurança.

Alguns programas direcionados a proteção:
Coyote Linux, Mikrotik, PFSense, BackTrack, Look@Lan, Nagios e KFSensor

———-
Fonte: Artigo do Iganem no Viva O Linux

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

w

Conectando a %s