A segurança das redes Wi-Fi (e padrão 8802-11)

Julho 2017

Como instalar uma infraestrutura adaptada para redes sem fio

A primeira coisa a ser feita na instalação de uma [/contents/819-redes-sem-fio-wireless-networks rede sem fios é posicionar inteligentemente os pontos de acesso de acordo com a área a ser coberta. No entanto, é comum que a área coberta seja muito maior do que o esperado; neste caso, é possível reduzir a força do ponto de acesso para adaptar o seu alcance à área de cobertura.

Como evitar o uso de valores predeterminados

Na primeira instalação de um ponto de acesso, este é configurado com valores padrão, incluindo a senha do administrador. Um grande número de administradores principiantes considera que a partir do momento em que a rede funciona, é inútil alterar a configuração do ponto de acesso. No entanto, as configurações padrão têm um nível de segurança mínimo. Por esta razão, é imprescindível registrar-se na interface do administrador (geralmente através de uma interface web em uma porta específica no ponto de acesso) para definir uma senha de administrador.


Por outro lado, para conectar-se a um ponto de acesso é indispensável conhecer o identificador da rede (SSID - Service Set IDentifier). Por isso, é recomendado alterar o nome padrão da rede e desativar a transmissão do nome na rede. Redefinir o identificador de rede padrão é importante, já que pode dar acesso aos hackers às informações sobre a marca ou o modelo do ponto de acesso utilizado.

O que é a filtragem de endereços MAC

Todo adaptador de rede (nome genérico para a placa de rede) possui um endereço físico que lhe é próprio, chamado de endereço MAC (Media Access Control ou Controle de acesso às mídias). Este endereço é representado por 12 números hexadecimais divididos em grupos de dois dígitos separados por hifens.


De um modo geral, as interfaces de configuração dos pontos de acesso permitem manter uma lista de direitos de acesso chamada ACL (Access Control List ou Lista de Controle de Acesso) baseada nos endereços MAC dos dispositivos autorizados a conectarem-se à rede sem fio. Esta precaução permite limitar o acesso à rede de outras máquinas, embora isto não resolva o problema da segurança nas transferências de dados.

O que é e para o que serve o protocolo WEP

Para solucionar os problemas de segurança de transferência de dados nas redes sem fio, o padrão 802.11 inclui um mecanismo simples de codificação de dados chamado WEP (Wired Equivalent Privacy ou Privacidade Equivalente com fio).

O WEP é um protocolo de codificação das tramas de dados 802.11 que utiliza o algoritmo simétrico RC4 com chaves de um comprimento de 64 ou 128 bits. O princípio do WEP é estabelecer uma chave secreta de 40 ou 128 bits com antecedência. Esta chave secreta deve ser declarada tanto no ponto de acesso quanto nos computadores clientes. A chave é usada para criar um número que parece aleatório e de um comprimento igual ao da trama de dados. Assim, cada transmissão de dado é codificada utilizando o número pseudo aleatório como uma máscara, uma operação ou exclusivo é usada para combinar a trama e o número pseudo aleatório em um fluxo de dados codificados.

A chave de sessão que compartilha todos os computadores é estática, ou seja, para fazer funcionar um grande número de computadores sem fio, é necessário configurá-los utilizando a mesma chave de sessão. Assim sendo, o conhecimento da chave é suficiente para decifrar as comunicações.

Além disso, para a inicialização são usados apenas 24 bits da chave, o que significa que apenas 40 dos 64 bits ou 104 dos 128 bits da chave são realmente utilizados para a criptografia.

Para uma chave de 40 bits, com um ataque de força bruta (que tenta todas as chaves possíveis), um hacker pode encontrar a chave de sessão rapidamente. Além disso, uma falha detectada pelo Fluhrer, Mantin e Shamir durante a geração do fluxo pseudo aleatória, permite que se descubra a chave de sessão, ao armazenar 100 MB a 1 GB de tráfego.

Portanto, o WEP não é suficiente para garantir realmente a privacidade dos dados. No entanto, recomendamos utilizar pelo menos uma chave WEP de 128 bits para garantir um nível mínimo de privacidade. Isso pode reduzir o risco de intrusão em 90% dos casos.

Como otimizar a autenticação

Para administrar a autenticação, a autorização e a contabilidade de maneira eficaz (AAA - Authentication, Authorization and Accounting) podemos usar um servidor chamado RADIUS (Remote Authentication Dial In User Service - Serviço de discagem para autenticação remota do usuário). O protocolo RADIUS (definido pelos RFC 2865 e 2866) é um sistema cliente/servidor que permite gerenciar de maneira centralizada as contas dos usuários e os direitos de acesso associados.

Como configurar uma VPN

Para todas as comunicações que requerem um alto nível de segurança, é preferível recorrer a uma codificação dos dados instalando uma rede privada virtual (VPN).

Veja também


Wi-Fi wireless network security (802.11 or WiFi)
Wi-Fi wireless network security (802.11 or WiFi)
Seguridad de red inalámbrica Wi-Fi (802.11o WiFi)
Seguridad de red inalámbrica Wi-Fi (802.11o WiFi)
Sécuriser un réseau WiFi
Sécuriser un réseau WiFi
La sicurezza delle reti senza fili WiFi (802.11 o WiFi)
La sicurezza delle reti senza fili WiFi (802.11 o WiFi)
Última modificação: 10 de julho de 2017 às 05:24 por pintuda.
Este documento, intitulado 'A segurança das redes Wi-Fi (e padrão 8802-11)', está disponível sob a licença Creative Commons. Você pode copiar e/ou modificar o conteúdo desta página com base nas condições estipuladas pela licença. Não se esqueça de creditar o CCM (br.ccm.net) ao utilizar este artigo.