Mesmo que acredite estar protegido, você também está sujeito a ameaças ao usar a rede Wi-Fi da sua casa ou empresa. Redes tra­di­ci­o­nais, cabeadas, oferecem até alguma proteção a mais, já que o acesso físico aos cabos por cri­mi­no­sos é muito mais difícil, tornando a in­ter­cep­ta­ção de dados mais tra­ba­lhosa.

Ao mesmo tempo que redes wireless (sem fio) são mais práticas, elas também são mais vul­ne­rá­veis a ataques. Nelas, cabos são subs­ti­tuí­dos por espaços vazios para a trans­fe­rên­cia de dados. Isso quer dizer que não são grandes dis­tân­cias que limitam a trans­fe­rên­cia de dados hoje em dia, e sim a força da onda de rádio. Quando um dis­po­si­tivo em uma rede wireless local, também chamada de WLAN, transmite dados, basta que um espião tenha um receptor que alcance essas ondas de rádio para in­ter­cep­tar os dados. Devido à fa­ci­li­dade de invasão, é im­por­tante melhorar a segurança Wi-Fi.

O que é conexão Wi-Fi?

Wi-Fi, WLAN e rede wireless dizem respeito a exa­ta­mente a mesma coisa: a uma rede local sem fio, ge­ral­mente usada quando o dis­po­si­tivo que deseja conectar-se à internet não pode ser cabeado, ou tem ca­be­a­mento difícil. Ainda, e prin­ci­pal­mente, redes sem fio são populares pela con­ve­ni­ên­cia. Que casa hoje não tem uma rede Wi-Fi, que pro­por­ci­ona acesso à internet sem a ne­ces­si­dade de cabos? Redes Wi-Fi também são bastante comuns em empresas, já que, além de com­pu­ta­do­res, fun­ci­o­ná­rios precisam usar dis­po­si­ti­vos móveis como laptops, tablets e smartpho­nes.

Redes wireless podem ser operadas de três di­fe­ren­tes modos:

  • Modo de in­fra­es­tru­tura: A estrutura desse modo é se­me­lhante à de redes móveis. Um ponto de acesso sem fio cuida da co­or­de­na­ção de todos os usuários da rede e envia a eles pequenos pacotes, em in­ter­va­los ajus­tá­veis, com in­for­ma­ções sobre o nome da rede, as taxas de trans­mis­são su­por­ta­das e o tipo de crip­to­gra­fia utilizada. O ponto de acesso é ge­ral­mente um roteador.
  • Modo de dis­tri­bui­ção sem fio: Como redes sem fio usam o mesmo método de en­de­re­ça­mento da Ethernet (internet cabeada), é possível conectar-se a redes com fio (ou a outras redes sem fio) por meio de pontos de acesso. Pontos de acesso aumentam o alcance de redes ao co­nec­ta­rem-se entre eles. Jus­ta­mente por isso, este é conhecido como modo de dis­tri­bui­ção sem fio.
  • Modo ad-hoc: Nas redes* ad-hoc*, uma unidade de controle central não existe, o que significa que a co­or­de­na­ção é assumida pelos res­pec­ti­vos dis­po­si­ti­vos finais. Essas redes são usadas para co­mu­ni­ca­ção rápida e direta entre par­ti­ci­pan­tes in­di­vi­du­ais. No entanto, esse modo WLAN não é usado com tanta frequên­cia. Tec­no­lo­gias al­ter­na­ti­vas, como Bluetooth, são bem mais comuns.

Des­van­ta­gens da rede Wi-Fi

O arcabouço da co­mu­ni­ca­ção em rede por ondas de rádio é es­pe­ci­fi­cado pelo IEEE 802.11, do Institute of Elec­tri­cal and Elec­tro­nics Engineers (IEEE), dos Estados Unidos. No início, porém, ninguém se pre­o­cu­pava muito com segurança Wi-Fi. A trans­mis­são de dados era feita de forma não crip­to­gra­fada. Ainda, a ausência de re­qui­si­tos de au­ten­ti­ca­ção de usuários permitia que qualquer pessoa dentro da área de abran­gên­cia do sinal tivesse acesso à rede sem fio. Com o passar do tempo, métodos de crip­to­gra­fia e au­ten­ti­ca­ção foram sendo de­sen­vol­vi­dos e apri­mo­ra­dos. Entre eles estão:

  • WEP (Wired Equi­va­lent Privacy): O WEP, de 1997, é o padrão mais antigo de crip­to­gra­fia de WLAN. Ele realiza dois métodos de au­ten­ti­ca­ção: o Open System Authen­ti­ca­tion, ativado para todos os clientes, e o Shared Key Authen­ti­ca­tion, ativado por senha. Adi­ci­o­nal­mente, o WEP inclui métodos de crip­to­gra­fia RC4. Devido a vários pontos fracos, hoje ele é con­si­de­rado inseguro e de­sa­tu­a­li­zado.
  • WPA (WLAN Protected Acess): O WPA baseia-se na ar­qui­te­tura WEP, tendo sido projetado para eliminar os pontos fracos de seu an­te­ces­sor. Para isso, o WPA opera com uma chave dinâmica baseada no protocolo TKIP (Temporal Key Integrity Protocol). Apesar da boa intenção, essa tec­no­lo­gia de crip­to­gra­fia também tem de­fi­ci­ên­cias de segurança. Por isso, desde 2012, novos pontos de acesso sem fio e todos os dis­po­si­ti­vos ha­bi­li­ta­dos para WLAN não têm mais permissão para oferecer suporte a esse protocolo.
  • WPA2 (WLAN Protected Access 2): O método atual e mais seguro de crip­to­gra­fia e au­ten­ti­ca­ção WLAN, o WPA2, foi lançado em 2004, com o padrão IEEE 802.11i. Em vez de TKIP, o WPA2 usa o método de crip­to­gra­fia AES, muito mais moderno. Caso venha a con­fi­gu­rar uma WLAN, você deverá sempre usar os padrões WEP e WPA mais antigos do WPA2.
  • WPS (WLAN Protected Setup): O padrão WPS não é uma técnica de trans­mis­são nem de crip­to­gra­fia, mas um recurso de con­fi­gu­ra­ção au­to­má­tica, que visa facilitar a con­fi­gu­ra­ção da WLAN para novos usuários de uma rede. A au­ten­ti­ca­ção é realizada com o pres­si­o­nar do botão WPS PBC (fi­si­ca­mente no ponto de acesso, ou vir­tu­al­mente por meio de um botão im­ple­men­tado por software ou pela inserção de um WPS PIN). Al­ter­na­ti­va­mente, con­fi­gu­ra­ções de rede também podem ser alteradas usando um pen drive USB ou por NFC (apro­xi­ma­ção).

Embora WEP e WPA tenham ganhado um sucessor legítimo e mais seguro (WPA2), algumas ope­ra­do­ras ainda utilizam esses dois padrões de­sa­tu­a­li­za­dos para crip­to­gra­far redes Wi-Fi, quando com­pa­tí­veis com o ponto de ação sem fio. Não parece haver malícia por parte dessas empresas, todavia. Muitas o fazem, por exemplo, para que dis­po­si­ti­vos mais antigos também consigam acesso à rede. Contudo, redes com essas con­fi­gu­ra­ções correm altos riscos de acessos não au­to­ri­za­dos. Outros fatores que facilitam in­ter­cep­ta­ção de dados por cri­mi­no­sos são:

  • Nomes de usuário e senhas padrão para pontos de acesso sem fio.
  • Con­fi­gu­ra­ções básicas inseguras para pontos de acesso sem fio.
  • Im­ple­men­ta­ção incorreta de WPA2 e WPS.

Ainda, redes sem fio são vul­ne­rá­veis a ataques de DoS e DDoS, bem como a ataques evil twin. Neste, invasores mal-in­ten­ci­o­na­dos plantam pontos de acesso sem fio falsos em uma rede, usando um* firmware especial. De­sa­vi­sa­dos, usuários da rede acreditam que esses pontos são reais e conectam-se a eles. O evil twin*, ou seja, o “gêmeo mau”, responde com uma so­li­ci­ta­ção de au­ten­ti­ca­ção própria e recebe os dados de acesso da LAN do dis­po­si­tivo vítima. Ele ainda assume o endereço MAC do cliente (MAC proofing), ganhando acesso a todos os dados ne­ces­sá­rios ao es­ta­be­le­ci­mento de uma conecção. Pessoas co­nec­ta­das a redes Wi-Fi públicas são es­pe­ci­al­mente vul­ne­rá­veis a este tipo de ataque.

Aumente sua segurança Wi-Fi para maior proteção

Os pontos fracos listados acima mostram o quão im­por­tante é a segurança Wi-Fi nos dias atuais. Se você acredita que um simples firewall e uma boa senha são su­fi­ci­en­tes, o con­ven­ce­re­mos do contrário. Segurança Wi-Fi abran­gente vai muito além de ligar um roteador, realizar uma con­fi­gu­ra­ção de cinco minutos e registrar uma senha difícil de adivinhar (mas fácil de lembrar). Quanto mais cuidadoso você for, mais bem protegida sua rede sem fio estará.

Segurança Wi-Fi básica: Con­fi­gu­ra­ção correta de pontos de acesso

Pontos de acesso wireless (ge­ral­mente ro­te­a­do­res) são unidades que controlam uma rede cen­tral­mente. Portanto, eles são res­pon­sá­veis também pela segurança. Es­pe­ci­fi­ca­mente, as con­fi­gu­ra­ções que você realiza para este com­po­nente de hardware de­ter­mi­nam se um invasor con­se­guirá obter acesso à sua rede sem fio em poucos segundos, ou se ele ficará somente na tentativa.

Conheça os passos mais im­por­tan­tes em uma con­fi­gu­ra­ção de rede sem fio:

Passo 1: Configure um acesso exclusivo para o ad­mi­nis­tra­dor

Para que um ponto de acesso possa ser con­fi­gu­rado, o firmware deve estar rodando. Ele fornecerá uma interface de usuário aos na­ve­ga­do­res mais comuns, assim que você chamar o endereço de IP do ponto de acesso. O acesso a essa interface é obtido por meio de uma conta de ad­mi­nis­tra­dor, que utiliza um nome de usuário e uma senha padrão. Isso quer dizer que esses dados de login não são ex­clu­si­vos, pois são os mesmos para todos os dis­po­si­ti­vos de mesmo modelo. Ainda, eles ge­ral­mente são muito fáceis de lembrar, como “admin” (para nomes de usuário e senhas) ou “12345”. Altere as in­for­ma­ções de login da conta de ad­mi­nis­tra­dor já no início da con­fi­gu­ra­ção. Anote-as e armazene-as em um local seguro, para que você consiga utilizá-las novamente, em caso de ne­ces­si­dade.

Passo 2: Selecione WPA2 como método de crip­to­gra­fia

É in­dis­cu­tí­vel: entre as opções de crip­to­gra­fia para WLAN, você deve sempre optar pela WPA2, pois suas an­te­ces­so­ras, WPA e WEP, estão de­sa­tu­a­li­za­das e podem re­pre­sen­tar riscos à segurança. Não re­co­men­da­mos que você combine ou misture WPA e WPA2. Em vez disso, use dis­po­si­ti­vos de rede que suportem WPA2 e não dependam de métodos de crip­to­gra­fia antigos. Se você estiver usando um software de con­fi­gu­ra­ção WPS, deverá ativá-lo somente quando ne­ces­sá­rio.

Passo 3: Crie uma senha segura para a sua rede wireless

Até o momento, só se tem co­nhe­ci­mento de ataques de senhas em WPA2, como ataques de força bruta e ataques de di­ci­o­ná­rio. Os dois são, inclusive, bastante populares entre ci­ber­cri­mi­no­sos. É por isso que ninguém deve su­bes­ti­mar a im­por­tân­cia de uma senha WLAN completa. A melhor aposta contra al­go­rit­mos de des­crip­to­gra­fia e di­ci­o­ná­rios usados por fer­ra­men­tas ma­li­ci­o­sas é a con­fi­gu­ra­ção de uma chave WLAN com o maior número de ca­rac­te­res possível, incluindo letras maiús­cu­las, mi­nús­cu­las, números e símbolos. Evite palavras reais e distribua os ca­rac­te­res de forma aleatória. Você também pode anotar sua senha WLAN em um lugar seguro para lembrar-se dela, mas nunca em um arquivo dentro do próprio com­pu­ta­dor.

Passo 4: Dê um nome aleatório à sua rede wireless

Medidas de segurança Wi-Fi servem, prin­ci­pal­mente, para sua proteção pessoal. Portanto, formule um SSID (Service Set Iden­ti­fier) não re­co­nhe­cí­vel. O SSID nada mais é que o nome da sua rede sem fio, que pode ser lida por todos dentro do alcance do sinal. Por isso, a não ser que você esteja operando um um ponto de acesso público, evite utilizar dados pessoais que possam apontar para você, sua empresa ou seu endereço. Muitos preferem, inclusive, ocultar o nome de suas redes sem fio (SSID oculto), pois acham mais seguro. No entanto, SSID ocultos também não estão 100% pro­te­gi­dos e ainda di­fi­cul­tam a conexão de usuários legítimos. Além disso, ocultar o SSID da rede sem fio pode impedir que alguns dis­po­si­ti­vos encontrem o ponto de acesso e, portanto, conectem-se a ele.

Passo 5: Ative as atu­a­li­za­ções au­to­má­ti­cas do firmware

Para que a sua Wi-Fi esteja sempre segura, é fun­da­men­tal que o firmware do ponto de acesso sem fio esteja sempre atu­a­li­zado. Invasores podem tirar proveito de falhas de segurança de versões de­sa­tu­a­li­za­das do software e assumir os direitos de ad­mi­nis­tra­dor do seu sistema, bem como permitir que malwares se infiltrem. Alguns pontos de acesso oferecem a função de atu­a­li­za­ção au­to­má­tica para o firmware instalado, que você pode fa­cil­mente ativar. Em não sendo este o caso, você deve buscar por atu­a­li­za­ções re­gu­lar­mente, baixá-las e instalá-las ma­nu­al­mente.

Extra: Otimize a au­ten­ti­ca­ção com o IEEE 802.1X

O IEEE 802.1X é um conceito de segurança baseado em portas, que só concede acesso a conexões a clientes ha­bi­li­ta­dos, e somente depois que eles são ve­ri­fi­ca­dos e aprovados por um servidor de au­ten­ti­ca­ção (RADIUS). O IEEE 802.1X se baseia em uma lista pre­de­fi­nida, onde busca por in­for­ma­ções sobre se o cliente so­li­ci­tante tem permissão para se conectar ao ponto de acesso sem fio. O método de au­ten­ti­ca­ção é amparado pelo protocolo EAP (Ex­ten­si­ble Authen­ti­ca­tion Protocol), que também suporta WPA2, assim como as variantes WPA2 En­ter­prise, WPA2-1X e WPA2/802.1X.

Prin­ci­pais medidas de segurança Wi-Fi

Se você con­fi­gu­rou seu ponto de acesso sem fio ade­qua­da­mente, seguindo nossas ins­tru­ções, sua rede Wi-Fi já estará re­la­ti­va­mente bem protegida. En­tre­tanto, de­pen­dendo do uso pre­ten­dido, o ideal é que mais alguns passos sejam tomados, findo o processo de con­fi­gu­ra­ção. Como a maioria das redes sem fio está conectada a outras redes, prin­ci­pal­mente pela internet, você deve con­fi­gu­rar o firewall já incluído ou criar seu próprio firewall para filtrar conexões in­de­se­ja­das. Também re­co­men­da­mos que você considere utilizar sistemas de prevenção e detecção de intrusões, para in­ter­rom­per ten­ta­ti­vas de ataque o mais cedo possível.

Se quiser oferecer acesso Wi-Fi aos seus clientes, por exemplo, o ideal é que você torne público um SSID es­pe­cí­fico e separado, que você pode criar e con­fi­gu­rar adi­ci­o­nal­mente. De qualquer forma, como operador de uma rede sem fio, você é cor­res­pon­sá­vel pela forma como sua conexão é usada. Assim, crimes cometidos por meio da sua rede podem ser ra­pi­da­mente atri­buí­dos a você. Por segurança, você pode limitar o uso da largura de banda por terceiros e bloquear sites não con­fiá­veis nas con­fi­gu­ra­ções do roteador.

Em se tratando de segurança Wi-Fi no ambiente de trabalho, re­co­men­da­mos que ope­ra­do­res de rede realizem ve­ri­fi­ca­ções de segurança regulares, com a ajuda de fer­ra­men­tas es­pe­cí­fi­cas. Elas simulam ataques comuns feitos por hackers e verificam se as medidas de segurança im­ple­men­ta­das estão fun­ci­o­nando. Você também pode executar as seguintes ações para manter a segurança da sua rede sem fio:

  • Configure seu ponto de acesso sem fio.
  • Instale com­po­nen­tes adi­ci­o­nais de segurança, como IEEE 802.1X, um firewall ou um programa de detecção de intrusos.
  • Ofereça uma rede Wi-Fi exclusiva para os seus clientes, diferente da rede que você usa para fazer negócios.
  • Cer­ti­fi­que-se de suas fer­ra­men­tas estarem sempre atu­a­li­za­das e fun­ci­o­nando cor­re­ta­mente.

Seguindo nossas dicas, você garantirá que nenhum hacker vai conseguir quebrar sua segurança Wi-Fi.

Ir para o menu principal