Mitos da Segurança do Wi-Fi

capa-intro-redes-sem-fio-blog

Mitos da Segurança do Wi-Fi

Do original Wi-Fi Security Myths por Eric Geier [Publicado em 25 de junho de 2015 / Última Atualização em 25 de junho de 2015]. Tradução e adaptação por Ademar Felipe Fey em 30/06/2015.

A segurança Wi-Fi parece simples: basta ativar a criptografia. Mas às vezes não é tão fácil. Aqui eu vou dar uma olhada em alguns mitos que cercam a segurança Wi-Fi, incluindo algumas técnicas que são geralmente não totalmente compreendidas normalmente.

Não difundir o SSID esconde sua rede Wi-Fi

Desde o início do Wi-Fi, de volta quando foi chamado apenas de 802.11, praticamente todos os roteadores sem fio e pontos de acesso têm permitido que você desabilite a transmissão do Service Set Identifier (SSID) para “esconder” a rede. Como você pode estar ciente, este é o nome da rede sem fio que aparece na lista de redes disponíveis em dispositivos Wi-Fi. Como todos devem conhecer o SSID de uma rede, a fim de tentar se conectar a ela, ele tem sido visto como uma técnica para ajudar a redes sem fio seguras.

No entanto, o que você talvez não saiba é que você não pode parar completamente o SSID que está sendo enviado em uma rede Wi-Fi. Em dispositivos configurados manualmente com o SSID, pedidos de sondagem pode ser enviado contendo o SSID, a fim de encontrar a rede. Isso é apenas um dos poucos lugares diferentes onde o SSID é enviado independentemente se o broadcasting for desligado. Embora dispositivos de usuário final, como computadores Windows ou smartphones, não revelam o SSID do tráfego como este, alguns detectores de sinais (stumblers) e analisadores wireless irão ver o SSID e revelá-lo na lista de redes próximas. Dependendo do tipo e do número de dispositivos conectados, esta revelação pode acontecer muito rapidamente, e também pode ser desencadeada por algumas ferramentas que enviam tráfego falsificado.

Nos primeiros dias do Wi-Fi, a maioria dos dispositivos de usuário final não listava as redes sem fio “escondidas” na sua lista de redes próximas. Assim, podia-se dizer que sua rede era mais segura, pois as pessoas não sabiam que ela existia. No entanto, novamente alguns detectores de sinais (stumblers) sem fio e a maioria dos analisadores sem fio sempre listam as redes sem nome, independentemente se o broadcasting SSID está desativado. Além disso, hoje a maioria dos dispositivos de usuário final irá informar os usuários desses tipos de redes na lista de redes próximas. Embora o SSID não seja mostrado, ele é recuperável com as ferramentas certas, como já discutido.

Não emitir a sua SSID também pode ter um impacto negativo sobre o desempenho da rede sem fio. Por exemplo, os dispositivos poderão enviar mais solicitações e respostas de sondagem, consumindo mais airtime valioso e permitindo menos tempo para o tráfego de dados.

Ativando a filtragem de endereços MAC é seguro

Quase todos os roteadores e pontos de acesso sem fio permitem que você restrinja que determinados computadores e dispositivos podem se conectar. As restrições são impostas entrando os endereços do controle de acesso ao meio (MAC) dos dispositivos. Você geralmente pode inserir endereços autorizados em uma “lista branca” (whitelist) e, em seguida, negar todos os outros endereços ou digitar endereços não autorizados em uma lista negra e, em seguida, permitir todos os outros demais endereços. A primeira opção é a abordagem geralmente referida quando se fala de segurança sem fio.

Alguns acreditam que uma rede é mais segura quando você utiliza a filtragem de endereços MAC whitelist, uma vez que impede que os dispositivos não usando um endereço MAC autorizado de se conectarem. Eu não discordo totalmente; ela pode fornecer alguma segurança, às vezes.

No entanto, tenha em mente que o spoofing do endereço MAC é muito fácil de fazer; você pode alterar rapidamente o endereço MAC da maioria dos dispositivos Wi-Fi. Além disso, os endereços MAC dos dispositivos conectados podem ser facilmente revelados usando alguns stumblers sem fio e a maioria dos analisadores sem fio. Assim, para contornar a filtragem de endereços MAC alguém tem apenas que monitorar as ondas de rádio, falsificar o endereço MAC do seu dispositivo (spoofing), e então eles poderiam tentar se conectar. Se outra opção de segurança, como a WPA2 está habilitada, eles atingem um obstáculo muito mais difícil. No entanto, se a segurança da rede é dependente somente da filtragem, eles provavelmente poderiam se conectar totalmente à rede.

Limitando os endereços IP impede que outras pessoas se conectem

Para que um dispositivo para se comunicar em uma rede, ele deve ter um endereço IP atribuído a ele, seja atribuído automaticamente via DHCP do roteador da rede ou manualmente atribuído por um IP estático no dispositivo. Foi visto por alguns que limitar o número de endereços IP de um roteador distribui é uma técnica de segurança.

Por exemplo, se existem 10 dispositivos autorizados eles limitam o pool de endereços IP no DHCP do roteador para 10 endereços. Assim, se os dispositivos adicionais tentarem se conectar, eles não recebem um endereço IP e, portanto, não serão capazes de se comunicar na rede. Outra maneira é se desativar o DHCP e, em seguida, atribuirer-se manualmente para os 10 dispositivos um endereço IP, por isso todos os dispositivos adicionais também deve ser configurados manualmente com um endereço IP para poderem se conectar.

O problema com esta técnica de segurança é que os endereços IP também podem ser atribuído manualmente para os dispositivos, independentemente se o DHCP está ativado ou desativado. Além disso, semelhante aos endereços MAC, endereços IP podem ser descobertos por bisbilhoteiros usando alguns stumblers sem fio e a maioria dos analisadores sem fio. Esta técnica pode reduzir a velocidade no processo de hacking no Wi-Fi, mas certamente ela não é uma técnica de segurança real.

O (PSK) modo pessoal de segurança é mais fácil de usar

Como você pode estar ciente, existem dois modos muito diferentes de segurança de acesso Wi-Fi protegido (WPA e WPA2). O modo pessoal, tecnicamente chamado de chave pré-partilhada (PSK), é geralmente visto como o mais fácil para configurar e usar uma vez que tudo que você tem a fazer é criar uma senha no roteador ou pontos de acesso sem fio e, em seguida, digitar uma senha nos computadores e outros dispositivos Wi-Fi ao tentar se conectar. O outro modo, normalmente referido como o modo empresarial, é geralmente visto como muito mais complicado de configurar e usar uma vez que um servidor RADIUS deve ser utilizado para habilitar a autenticação 802.1X, o que permite que cada dispositivo Wi-Fi e usuário final usar o seu próprio credencial de login exclusivo durante a ligação.

Eu certamente concordo que o modo pessoal WPA e WPA2 é muito mais fácil para a configuração inicial; no entanto, também pode ser facilmente o mais difícil e mais demorado modo momento ao longo do tempo para garantir a segurança em redes empresariais. Isso tudo é porque há apenas uma única senha global para o Wi-Fi, que também é normalmente guardada nos dispositivos que se conectam a partir dela. Assim, se um empregado ou membro do pessoal de staff deixa a organização, eles levam a senha com eles. Além disso, se um dispositivo móvel for perdido ou roubado, a senha e capacidade de se conectar pode cair nas mãos erradas. Claro, você sempre pode mudar a senha de acesso Wi-Fi depois destas situações ocorrer, mas isso leva tempo e energia, e isso pode ser esquecido ou ignorado.

Embora o modo empresarial WPA e WPA2 requer um servidor ou serviço RADIUS e requer credenciais de gerenciamento de login para cada dispositivo ou utilizador, é muito mais fácil e seguro alterar as credenciais de login de um usuário do que distribuir uma nova senha global a todos com o modo pessoal.

Resumo

Lembre-se, não difundir o SSID de uma rede não esconde totalmente o nome da rede; ele pode ser revelado pelas ferramentas certas. Filtragem de endereços MAC pode ser facilmente contornado com spoofing e a limitação de endereços IP pode ser rapidamente evitada também. Ativando a Segurança WPA2 com criptografia AES é a melhor abordagem, mas normalmente com o modo empresarial que utiliza autenticação 802.1X através de um servidor RADIUS.

The Author — Eric Geier
Eric Geier (Dayton, Ohio) is a Freelance Tech Writer and Author specializing in computer networking.

Disponível em: http://www.windowsnetworking.com/articles-tutorials/wireless-networking/wi-fi-security-myths.html.

Acesso em: 26/06/2015

capa-intro-redes-sem-fio-blog

Sobre ademarfey

Professor de TI aposentado. Escritor na área de Redes de Computadores e Telecomunicações. Também pesquisa a Imigração Alemã no Brasil desde 2017.
Esse post foi publicado em Wi-FI, Wireless e marcado . Guardar link permanente.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s