A segurança das redes Wi-Fi (e padrão 8802-11)

Junho 2017

Como instalar uma infraestrutura adaptada para redes sem fio ou para o padrão 802.11

A primeira coisa a fazer na instalação de uma rede sem fios consiste em posicionar inteligentemente os pontos de acesso de acordo com a zona que é preciso cobrir. Não é, contudo, raro que a zona coberta seja muito maior que o esperado, neste caso, é possível reduzir a potência do limite de acesso para adaptar o seu alcance à zona a cobrir.

Como evitar os valores pré estabelecidos

Na primeira instalação de um ponto de acesso, este é configurado com valores por padrão, incluindo a senha do administrador. Um grande número de administradores principiantes considera que a partir do momento em que a rede funciona, é inútil alterar a configuração do ponto de acesso. Contudo, os parâmetros padrão são tais que a segurança é mínima. É, consequentemente, imperativo conectar-se à interface do administrador (geralmente através de uma interface web em uma porta específica do limite de acesso) para definir uma senha de administrador. Por outro lado, para conectar-se a um ponto de acesso é indispensável conhecer o identificador da rede (SSID - Service Set IDentifier, em português Identificador de conjunto de serviços). Assim, é bom alterar o nome da rede, por padrão, e desativar a divulgação (broadcast) deste último na rede. A mudança do identificador de rede padrão é importante pois, em caso contrário, pode dar acesso, para os piratas, aos elementos de informação sobre a marca ou o modelo do ponto de acesso utilizado.

O que é a filtragem de endereços MAC

Cada adaptador de rede (nome genérico para a placa de rede) possui um endereço físico que lhe é próprio, chamado de endereço MAC (Media Access Control, ou em português, Controle de acesso às mídias). Este endereço é representado por 12 números hexadecimais agrupados por pares e separados por travessões.

Os pontos de acesso permitem, geralmente, na sua interface de configuração, gerenciar uma lista de direitos de acesso, chamada ACL (do inglês Access Control List e, em português, Controle da lista de acessos) baseada nos endereços MAC dos equipamentos autorizados a conectar-se à rede sem fios. Esta precaução permite limitar o acesso à rede de outras máquinas, embora, isto não resolva o problema da confidencialidade das trocas de dados.

O que é e para o que serve o protocolo WEP

Para remediar os problemas de confidencialidade das trocas de dados nas redes sem fios, o padrão 802.11 inclui um mecanismo simples de codificação dos dados, trata-se do WEP (Wired equivalent privacy ou Privacidade equivalente com fios em português).


O WEP, é um protocolo encarregado da codificação das tramas 802.11 que utilizam o algoritmo simétrico RC4 com chaves de um comprimento de 64 ou 128 bits. O princípio do WEP é definir, inicialmente, uma chave secreta de 40 ou 128 bits. Esta chave secreta deve ser declarada no ponto de acesso dos clientes. A chave é usada para criar um número pseudo aleatório de um comprimento igual ao comprimento da trama. Assim, cada transmissão de dado é codificada utilizando o número pseudo aleatório como máscara, graças a um Ou-Exclusivo entre o número pseudo aleatório e a trama. O 'Ou exclusivo' é uma porta lógica, que realiza uma operação de subtração e adição binárias no circuito somador ou subtrato. Ela pode aparecer como exclusive-OR, EX-OR.

A chave de sessão compartilhada por todos os computadores é estática, ou seja, para estender um grande número de pontos Wi-Fi é necessário configurá-los utilizando a mesma chave de sessão. Assim, o conhecimento da chave é suficiente para decifrar as comunicações.

Além do mais, saiba que, 24 bits da chave servem unicamente para a iniciação, o que significa que, somente 40 bits dos 64 da chave, servem realmente para calcular, o mesmo acontecendo para a chave de 128 bits onde somente 104 bits serão utilizados.

No caso da chave de 40 bits, um ataque por força bruta (ou seja, tentando todas as possibilidades de chaves) pode conduzir muito rapidamente o pirata a encontrar a chave de sessão. As falhas detectadas, por Mantin e Shamir, relativas à geração da cadeia pseudo aleatória, torna possível a descoberta da chave de sessão, armazenando 100 Mb à 1 Gb de tráfego, criados intencionalmente.

O WEP não é, desta forma, suficiente para garantir uma verdadeira confidencialidade dos dados. Para tanto, é recomendado pôr, pelo menos, uma estação (computador) uma proteção WEP de 128 bits para garantir um nível mínimo de confidencialidade e evitar, desta maneira, 90% dos riscos de intrusão.

Como otimizar a autenticação

Para gerenciar mais facilmente as autenticações, as autorizações e a gestão das contas de usuários (AAA - Authentication, Authorization and Accounting Autenticação, Autorixação e Comtabilização) é possível recorrer a um servidor chamado RADIUS (Remote Authentication Dial-In User Service, e em português, Serviço de discagem para autenticação remota do usuário). O protocolo RADIUS (definido pelos RFC 2865 e 2866), é um sistema cliente/servidor que permite gerenciar de maneira centralizada as contas dos usuários e os direitos de acesso associados.

O certo é que, para todas as comunicações que necessitam um alto nível de segurança, é preferível recorrer à uma codificação dos dados instalando uma rede privada virtual - VPN.

Veja também


Wi-Fi wireless network security (802.11 or WiFi)
Wi-Fi wireless network security (802.11 or WiFi)
Seguridad de red inalámbrica Wi-Fi (802.11o WiFi)
Seguridad de red inalámbrica Wi-Fi (802.11o WiFi)
Sécuriser un réseau WiFi
Sécuriser un réseau WiFi
La sicurezza delle reti senza fili WiFi (802.11 o WiFi)
La sicurezza delle reti senza fili WiFi (802.11 o WiFi)
Última modificação: 5 de maio de 2017 às 07:01 por ninha25.
Este documento, intitulado 'A segurança das redes Wi-Fi (e padrão 8802-11)', está disponível sob a licença Creative Commons. Você pode copiar e/ou modificar o conteúdo desta página com base nas condições estipuladas pela licença. Não se esqueça de creditar o CCM (br.ccm.net) ao utilizar este artigo.