Existem muitos mitos sobre a segurança das redes WiFi e as boas práticas que devem ser adotadas para reduzir a propensão a cederem a ataques. Há, contudo, medidas e recomendações comprovadas e capazes de esclarecer alguns desses enganos:
1 – Não usar o protocolo WEP
O protocolo WEP (Wired Equivalent Privacy) está “morto” há muito tempo. A sua técnica de cifragem pode ser quebrada facilmente, mesmo pelos mais inexperientes hackers. Portanto, ele não deve ser usado.
Se a organização já o estiver usando, a recomendação é para a troca imediata para o protocolo WPA2 (Wi-Fi Protected Access) com autenticação 802.1X – 802.11i. Se houver dispositivos clientes ou pontos de acesso incapazes de suportar o WPA2, procure fazer atualizações de firmware ou substitua esses equipamentos.
2 – Não usar o modo WPA/WPA2-PSK
O modo de chave pré-partilhada (PSK ou Pre- Shared Key) do WPA ou do WPA2 não é seguro para ambientes empresariais. Quando se usa este modo, a mesma chave tem de ser inserida em cada dispositivo cliente. Assim, este modelo obriga à mudança de chave de cada vez que um funcionário sai ou quando um dispositivo é roubado ou perdido – situação impraticável na maioria dos ambientes.
3 – Implantar a norma 802.11i
O modo EAP (Extensible Authentication Protocol) do WPA e do WPA2 utiliza autenticação 802.1X em vez de chaves PSK, oferecendo a possibilidade de dar a cada usuário ou cliente as suas próprias credenciais de login: nome de usuário e senha e/ou um certificado digital.
As atuais chaves criptográficas são alteradas, apresentadas e verificadas discretamente em segundo plano. Assim, para alterar ou revogar o acesso do usuário, tudo o que é preciso fazer é modificar as credenciais de autenticação em um servidor central – em vez de mudar a PSK em cada dispositivo cliente.
As chaves únicas de pré-sessão também impedem os usuários de espiarem o tráfego uns dos outros – operação fácil com ferramentas como a extensão Firesheep, do Firefox ou a aplicação DroidSheep, para Android.
Conseguir a melhor segurança possível rquer o uso do protolocolo WPA2 com a norma 802.1x, também conhecida como 802.11i. Para ativar e utilizar a autenticação 802.1x, é preciso ter um servidor RADIUS/AAA.
No caso de uso do Windows Server 2008 ou mais recente, deve-se considerar a utilização do Network Policy Server (NPS), ou do Internet Autenticar Service (IAS) de versões anteriores do servidor. Quando não se usa um servidor Windows, pode-se considerar o servidor open source FreeRADIUS.
As configurações 802.1X podem ser implantadas remotamente para dispositivos clientes com o mesmo domínio através da Group Policy caso a empresa use o Windows Server 2008 R2 ou a versão mais recente. De outra forma é possível optar por uma solução de terceiras partes para ajudar a configurar os dispositivos clientes.
4 – Proteger as configurações dos clientes 802.1x
Ainda assim, o modo EAP do protocolo WPA/WPA2 é vulnerável a intrusões nas sessões de comunicação. No entanto, há uma forma de evitar esses ataques, colocando em segurança as configurações EAP do dispositivo cliente. Por exemplo, nas definições de EAP do Windows é possível ativar a validação do certificado do servidor: basta selecionar o certificado de uma autoridade de certificação, especificando o endereço do servidor, desacivando-o de modo a evitar que os usuários sejam levados a confiar em novos servidores ou certificados de autoridades.
Também é possível enviar essas configurações 802.1x para clientes reunidos no mesmo domínio através da implantação de políticas de grupo.
5 – Utilizar um sistema de prevenção de intrusões
Na segurança de redes sem fios não há nada mais importante do que combater diretamente quem pretende tentar ganhar acesso a ela, sem autorização. Por exemplo, muitos hackers podem configurar pontos de acesso não autorizados ou executar ataques de negação de serviço (DDoS).
Para ajudar a detectá-los e combatê-los, é possível implantar um sistema de prevenção de intrusão para redes sem fios (WIPS ou Wireless Intrusion Prevention System). O desenho e as abordagens para sistemas WIPS variam entre os vários fornecedores.
Mas geralmente todos fazem a monitorização das ondas rádio, procurando e alertando para pontos de acesso não autorizados ou atividades nocivas. Há muitos fornecedores com soluções comerciais de WIPS, como a AirMagnet e a Air- Tight Neworks. E existem também opções de open source, como o Snort.
6 – Implantar sistemas de NAP ou NAC
Além da norma 802.11 e do WIPS, deve-se considerar a implantação de um sistema de Network Access Protection (NAP) ou Network Acess Control (NAC). Estes sistemas podem oferecer maior controlo sobre o acesso à rede, com base na identidade do cliente e o cumprimento das políticas definidas.
Podem também incluir-se funcionalidades para isolar os dispositivos cliente problemáticos ou para corrigi-los. Algumas soluções de NAC podem englobar a prevenção de intrusão de rede e funcionalidades de detecção, mas é importante ter a certeza de que também fornecem, especificamente, proteção para redes sem fios.
No caso de se usar o Windows Server 2008 ou uma versão posterior do sistema operativo, o Windows Vista ou posterior nos dispositivos cliente, então é possível usar a funcionalidade NAP, da Microsoft. Em outras situações, é preciso considerar também soluções de terceiros, como o PacketFence, em open source.
7 – Não confiar em SSID escondidos
Um mito da segurança para redes sem fios é o que desabilitando a disseminação dos SSID (Service Set Identifier, elemento que identifica uma rede ) dos pontos de acesso é possível esconder a próprias rede – ou pelo menos os SSID –, tornando mais difícil a vida para os hackers.
No entanto, essa medida só remove o SSID do sinal de presença dos pontos de acessos. Ele ainda está presente no pedido de associação 802.11, na solicitação de sondagem e nos pacotes de resposta também. Assim, um intruso pode descobrir um SSID “escondido” com bastante rapidez – especialmente numa rede muito ocupada – com equipamento de análise de redes sem fios legítimo.
Alguns ainda poderão sugerir a desativação da transmissão dos SSID como camada de segurança suplementar. Mas é importante considerar que essa medida vai ter um impacto negativo sobre as configurações de rede e desempenho. Além disso, é necessário inserir manualmente o SSID nos dispositivos clientes, complicando ainda mais a gestão dos mesmos. A medida também iria provocar o aumento do tráfego de sondagem e aquele inerente aos pacotes de resposta, diminuindo a largura de banda disponível.
Ah! Ainda sobre SSID, muitos administradores de rede ignoram um risco de segurança simples, mas potencialmente perigoso: os usuários, consciente ou inconscientemente, ligam-se a uma rede sem fios vizinha ou não autorizada, abrindo o seu computador a uma possível intrusão. No entanto, filtrar os SSID é uma forma de ajudar a evitar isso.
No Windows Vista e 7, por exemplo, é possível usar os comandos “netsh wlan” para adicionar filtros aos SSID a que os usuário podem ligar- se e até detectar. Para os desktops, pode-se negar o acesso a todos os SSID, exceto os da rede sem fios da organização. Para laptops, é viável negar apenas os SSID das redes vizinhas, permitindo a ligação a outros hotspots.
8 – Não confiar na filtragem de endereços MAC
Outro mito da segurança de redes sem fios é que a filtragem de endereços de controlo de acesso de medias (MAC, de “media access control”) acrescenta outra camada de segurança, controlando que dispositivos cliente que poderão ligar- se à rede.
Isto tem alguma verdade, mas é importante não esquecer que é muito fácil a quem pretende espiar a rede, fazer a monitorização dos endereços MAC autorizados – e depois mudar o endereço MAC do seu computador.
Assim, não se deve implantar a filtragem de endereços MAC pensando que ela vai fazer muito pela segurança. Ela faz sentido como uma forma de controlar, sem grandes burocracias, os computadores e dispositivos com acesso à rede.
Também convém levar em conta o pesadelo que é a gestão de dispositivos envolvida na atualização constante da lista de endereços MAC.
9 – Manter os componentes da rede em segurança física
A segurança dos computadores não tem a ver só com instalação da tecnologia associada a técnicas de criptografia. Proteger fisicamente os componentes da rede é muito importante.
Convém manter os pontos de acesso fora do alcance de intrusos. Uma hipótese é dentro de um teto falso.
Mas há quem opte por montar o ponto de acesso em um local seguro e depois coloque uma antena para cobrir o local pretendido.
Se a segurança fisica não ficar garantida, alguém pode facilmente passar pela infra-estrutura e redefinir um ponto de acesso, para configurações de fábrica nas quais o acesso é totalmente aberto.
10– Não esqueça de proteger os dispositivos móveis
As preocupações com a segurança das comunicações Wi-Fi não podem ser limitadas à rede em si. Os usuários com smartphones, laptops e tablets podem ser protegidos no local da rede. Mas o que acontece quando eles se conectam à Internet através de WiFi ou a um router de comunicações sem fios em casa? É preciso garantir que as suas ligações WiFi são seguras.
Assim como evitar invasões e ações de espionagem. Infelizmente, não é fácil garantir a segurança das ligações por WiFi fora do ambiente empresarial.
É preciso disponibilizar e recomendar soluções. E além disso, formar os utilizadores sobre os riscos das comunicações por WiFi e as medidas de prevenção.
Em primeiro lugar, os portáteis e os netbooks devem ter um firewall pessoal ativa (como o Windows Firewall) para prevenir intrusões. É possível implantar isto através das funcionlidades de Group Policy em ambientes de Windows Server. Ou usar soluções como o Windows Intune para gerir computadores fora do domínio. Depois, é preciso confirmar que o tráfego de Internet do usuário está a salvo de espionagem – através da cifragem.
Nos ambientes com outras redes, é necessário disponibilizar acesso, através de VPN, para a rede empresarial. Se não se quiser usar uma VPN interna, é possível recorrer a serviços de autsourcing, tais como o Hotspot Shield ou o Witopia.
Para os dispositivos iOS (iPhone, iPad e iPod Touch) e os dispositivos Android, é possível usar uma VPN cliente nativa. No entanto, para os BlackBerry e Windows Phone 7, é recomendado que se tenha uma configuração de servidor de mensagens e em conjugação com o dispositivo, para se usar a VPN cliente. É importante confirmar também que qualquer um dos serviços de Internet expostos tenham segurança garantida, só para o usuário não usar a VPN em redes públicas ou pouco fiáveis. Por exemplo, no caso de se oferecer acesso a contas de email (em modo de cliente ou baseado na Internet) fora da rede LAN, WAN ou VPN, é importante utilizar cifragem SSL, para evitar que através de espionagens locais, nas redes pouco fiáveis, se captem dados de autenticação ou mensagens.
Por IDGNow em 21/05/2012
Leia no original aqui.