Segurança Wi-Fi: Proteja sua rede sem fio

Mesmo que acredite estar protegido, você também está sujeito a ameaças ao usar a rede Wi-Fi da sua casa ou empresa. Redes tradicionais, cabeadas, oferecem até alguma proteção a mais, já que o acesso físico aos cabos por criminosos é muito mais difícil, tornando a interceptação de dados mais trabalhosa.

Ao mesmo tempo que redes wireless (sem fio) são mais práticas, elas também são mais vulneráveis a ataques. Nelas, cabos são substituídos por espaços vazios para a transferência de dados. Isso quer dizer que não são grandes distâncias que limitam a transferência de dados hoje em dia, e sim a força da onda de rádio. Quando um dispositivo em uma rede wireless local, também chamada de WLAN, transmite dados, basta que um espião tenha um receptor que alcance essas ondas de rádio para interceptar os dados. Devido à facilidade de invasão, é importante melhorar a segurança Wi-Fi.

O que é conexão Wi-Fi?

Wi-Fi, WLAN e rede wireless dizem respeito a exatamente a mesma coisa: a uma rede local sem fio, geralmente usada quando o dispositivo que deseja conectar-se à internet não pode ser cabeado, ou tem cabeamento difícil. Ainda, e principalmente, redes sem fio são populares pela conveniência. Que casa hoje não tem uma rede Wi-Fi, que proporciona acesso à internet sem a necessidade de cabos? Redes Wi-Fi também são bastante comuns em empresas, já que, além de computadores, funcionários precisam usar dispositivos móveis como laptops, tablets e smartphones.

Redes wireless podem ser operadas de três diferentes modos:

• Modo de infraestrutura: A estrutura desse modo é semelhante à de redes móveis. Um ponto de acesso sem fio cuida da coordenação de todos os usuários da rede e envia a eles pequenos pacotes, em intervalos ajustáveis, com informações sobre o nome da rede, as taxas de transmissão suportadas e o tipo de criptografia utilizada. O ponto de acesso é geralmente um roteador.
• Modo de distribuição sem fio: Como redes sem fio usam o mesmo método de endereçamento da Ethernet (internet cabeada), é possível conectar-se a redes com fio (ou a outras redes sem fio) por meio de pontos de acesso. Pontos de acesso aumentam o alcance de redes ao conectarem-se entre eles. Justamente por isso, este é conhecido como modo de distribuição sem fio.
• Modo ad-hoc: Nas redes ad-hoc, uma unidade de controle central não existe, o que significa que a coordenação é assumida pelos respectivos dispositivos finais. Essas redes são usadas para comunicação rápida e direta entre participantes individuais. No entanto, esse modo WLAN não é usado com tanta frequência. Tecnologias alternativas, como Bluetooth, são bem mais comuns.

Desvantagens da rede Wi-Fi

O arcabouço da comunicação em rede por ondas de rádio é especificado pelo IEEE 802.11, do Institute of Electrical and Electronics Engineers (IEEE), dos Estados Unidos. No início, porém, ninguém se preocupava muito com segurança Wi-Fi. A transmissão de dados era feita de forma não criptografada. Ainda, a ausência de requisitos de autenticação de usuários permitia que qualquer pessoa dentro da área de abrangência do sinal tivesse acesso à rede sem fio. Com o passar do tempo, métodos de criptografia e autenticação foram sendo desenvolvidos e aprimorados. Entre eles estão:

• WEP (Wired Equivalent Privacy): O WEP, de 1997, é o padrão mais antigo de criptografia de WLAN. Ele realiza dois métodos de autenticação: o Open System Authentication, ativado para todos os clientes, e o Shared Key Authentication, ativado por senha. Adicionalmente, o WEP inclui métodos de criptografia RC4. Devido a vários pontos fracos, hoje ele é considerado inseguro e desatualizado.
• WPA (WLAN Protected Acess): O WPA baseia-se na arquitetura WEP, tendo sido projetado para eliminar os pontos fracos de seu antecessor. Para isso, o WPA opera com uma chave dinâmica baseada no protocolo TKIP (Temporal Key Integrity Protocol). Apesar da boa intenção, essa tecnologia de criptografia também tem deficiências de segurança. Por isso, desde 2012, novos pontos de acesso sem fio e todos os dispositivos habilitados para WLAN não têm mais permissão para oferecer suporte a esse protocolo.
• WPA2 (WLAN Protected Access 2): O método atual e mais seguro de criptografia e autenticação WLAN, o WPA2, foi lançado em 2004, com o padrão IEEE 802.11i. Em vez de TKIP, o WPA2 usa o método de criptografia AES, muito mais moderno. Caso venha a configurar uma WLAN, você deverá sempre usar os padrões WEP e WPA mais antigos do WPA2.
• WPS (WLAN Protected Setup): O padrão WPS não é uma técnica de transmissão nem de criptografia, mas um recurso de configuração automática, que visa facilitar a configuração da WLAN para novos usuários de uma rede. A autenticação é realizada com o pressionar do botão WPS PBC (fisicamente no ponto de acesso, ou virtualmente por meio de um botão implementado por software ou pela inserção de um WPS PIN). Alternativamente, configurações de rede também podem ser alteradas usando um pen drive USB ou por NFC (aproximação).

Embora WEP e WPA tenham ganhado um sucessor legítimo e mais seguro (WPA2), algumas operadoras ainda utilizam esses dois padrões desatualizados para criptografar redes Wi-Fi, quando compatíveis com o ponto de ação sem fio. Não parece haver malícia por parte dessas empresas, todavia. Muitas o fazem, por exemplo, para que dispositivos mais antigos também consigam acesso à rede. Contudo, redes com essas configurações correm altos riscos de acessos não autorizados. Outros fatores que facilitam interceptação de dados por criminosos são:

• Nomes de usuário e senhas padrão para pontos de acesso sem fio.
• Configurações básicas inseguras para pontos de acesso sem fio.
• Implementação incorreta de WPA2 e WPS.

Ainda, redes sem fio são vulneráveis a ataques de DoS e DDoS, bem como a ataques evil twin. Neste, invasores mal-intencionados plantam pontos de acesso sem fio falsos em uma rede, usando um firmware especial. Desavisados, usuários da rede acreditam que esses pontos são reais e conectam-se a eles. O evil twin, ou seja, o “gêmeo mau”, responde com uma solicitação de autenticação própria e recebe os dados de acesso da LAN do dispositivo vítima. Ele ainda assume o endereço MAC do cliente (MAC proofing), ganhando acesso a todos os dados necessários ao estabelecimento de uma conecção. Pessoas conectadas a redes Wi-Fi públicas são especialmente vulneráveis a este tipo de ataque.

Aumente sua segurança Wi-Fi para maior proteção

Os pontos fracos listados acima mostram o quão importante é a segurança Wi-Fi nos dias atuais. Se você acredita que um simples firewall e uma boa senha são suficientes, o convenceremos do contrário. Segurança Wi-Fi abrangente vai muito além de ligar um roteador, realizar uma configuração de cinco minutos e registrar uma senha difícil de adivinhar (mas fácil de lembrar). Quanto mais cuidadoso você for, mais bem protegida sua rede sem fio estará.

Segurança Wi-Fi básica: Configuração correta de pontos de acesso

Pontos de acesso wireless (geralmente roteadores) são unidades que controlam uma rede centralmente. Portanto, eles são responsáveis também pela segurança. Especificamente, as configurações que você realiza para este componente de hardware determinam se um invasor conseguirá obter acesso à sua rede sem fio em poucos segundos, ou se ele ficará somente na tentativa.

Conheça os passos mais importantes em uma configuração de rede sem fio:

Passo 1: Configure um acesso exclusivo para o administrador

Para que um ponto de acesso possa ser configurado, o firmware deve estar rodando. Ele fornecerá uma interface de usuário aos navegadores mais comuns, assim que você chamar o endereço de IP do ponto de acesso. O acesso a essa interface é obtido por meio de uma conta de administrador, que utiliza um nome de usuário e uma senha padrão. Isso quer dizer que esses dados de login não são exclusivos, pois são os mesmos para todos os dispositivos de mesmo modelo. Ainda, eles geralmente são muito fáceis de lembrar, como “admin” (para nomes de usuário e senhas) ou “12345”. Altere as informações de login da conta de administrador já no início da configuração. Anote-as e armazene-as em um local seguro, para que você consiga utilizá-las novamente, em caso de necessidade.

Passo 2: Selecione WPA2 como método de criptografia

É indiscutível: entre as opções de criptografia para WLAN, você deve sempre optar pela WPA2, pois suas antecessoras, WPA e WEP, estão desatualizadas e podem representar riscos à segurança. Não recomendamos que você combine ou misture WPA e WPA2. Em vez disso, use dispositivos de rede que suportem WPA2 e não dependam de métodos de criptografia antigos. Se você estiver usando um software de configuração WPS, deverá ativá-lo somente quando necessário.

Passo 3: Crie uma senha segura para a sua rede wireless

Até o momento, só se tem conhecimento de ataques de senhas em WPA2, como ataques de força bruta e ataques de dicionário. Os dois são, inclusive, bastante populares entre cibercriminosos. É por isso que ninguém deve subestimar a importância de uma senha WLAN completa. A melhor aposta contra algoritmos de descriptografia e dicionários usados por ferramentas maliciosas é a configuração de uma chave WLAN com o maior número de caracteres possível, incluindo letras maiúsculas, minúsculas, números e símbolos. Evite palavras reais e distribua os caracteres de forma aleatória. Você também pode anotar sua senha WLAN em um lugar seguro para lembrar-se dela, mas nunca em um arquivo dentro do próprio computador.

Passo 4: Dê um nome aleatório à sua rede wireless

Medidas de segurança Wi-Fi servem, principalmente, para sua proteção pessoal. Portanto, formule um SSID (Service Set Identifier) não reconhecível. O SSID nada mais é que o nome da sua rede sem fio, que pode ser lida por todos dentro do alcance do sinal. Por isso, a não ser que você esteja operando um um ponto de acesso público, evite utilizar dados pessoais que possam apontar para você, sua empresa ou seu endereço. Muitos preferem, inclusive, ocultar o nome de suas redes sem fio (SSID oculto), pois acham mais seguro. No entanto, SSID ocultos também não estão 100% protegidos e ainda dificultam a conexão de usuários legítimos. Além disso, ocultar o SSID da rede sem fio pode impedir que alguns dispositivos encontrem o ponto de acesso e, portanto, conectem-se a ele.

Passo 5: Ative as atualizações automáticas do firmware

Para que a sua Wi-Fi esteja sempre segura, é fundamental que o firmware do ponto de acesso sem fio esteja sempre atualizado. Invasores podem tirar proveito de falhas de segurança de versões desatualizadas do software e assumir os direitos de administrador do seu sistema, bem como permitir que malwares se infiltrem. Alguns pontos de acesso oferecem a função de atualização automática para o firmware instalado, que você pode facilmente ativar. Em não sendo este o caso, você deve buscar por atualizações regularmente, baixá-las e instalá-las manualmente.

Extra: Otimize a autenticação com o IEEE 802.1X

O IEEE 802.1X é um conceito de segurança baseado em portas, que só concede acesso a conexões a clientes habilitados, e somente depois que eles são verificados e aprovados por um servidor de autenticação (RADIUS). O IEEE 802.1X se baseia em uma lista predefinida, onde busca por informações sobre se o cliente solicitante tem permissão para se conectar ao ponto de acesso sem fio. O método de autenticação é amparado pelo protocolo EAP (Extensible Authentication Protocol), que também suporta WPA2, assim como as variantes WPA2 Enterprise, WPA2-1X e WPA2/802.1X.

Principais medidas de segurança Wi-Fi

Se você configurou seu ponto de acesso sem fio adequadamente, seguindo nossas instruções, sua rede Wi-Fi já estará relativamente bem protegida. Entretanto, dependendo do uso pretendido, o ideal é que mais alguns passos sejam tomados, findo o processo de configuração. Como a maioria das redes sem fio está conectada a outras redes, principalmente pela internet, você deve configurar o firewall já incluído ou criar seu próprio firewall para filtrar conexões indesejadas. Também recomendamos que você considere utilizar sistemas de prevenção e detecção de intrusões, para interromper tentativas de ataque o mais cedo possível.

Se quiser oferecer acesso Wi-Fi aos seus clientes, por exemplo, o ideal é que você torne público um SSID específico e separado, que você pode criar e configurar adicionalmente. De qualquer forma, como operador de uma rede sem fio, você é corresponsável pela forma como sua conexão é usada. Assim, crimes cometidos por meio da sua rede podem ser rapidamente atribuídos a você. Por segurança, você pode limitar o uso da largura de banda por terceiros e bloquear sites não confiáveis nas configurações do roteador.

Em se tratando de segurança Wi-Fi no ambiente de trabalho, recomendamos que operadores de rede realizem verificações de segurança regulares, com a ajuda de ferramentas específicas. Elas simulam ataques comuns feitos por hackers e verificam se as medidas de segurança implementadas estão funcionando. Você também pode executar as seguintes ações para manter a segurança da sua rede sem fio:

• Configure seu ponto de acesso sem fio.
• Instale componentes adicionais de segurança, como IEEE 802.1X, um firewall ou um programa de detecção de intrusos.
• Ofereça uma rede Wi-Fi exclusiva para os seus clientes, diferente da rede que você usa para fazer negócios.
• Certifique-se de suas ferramentas estarem sempre atualizadas e funcionando corretamente.

Seguindo nossas dicas, você garantirá que nenhum hacker vai conseguir quebrar sua segurança Wi-Fi.