A segurança é um dos temas em que foi mais abordado nos últimos anos. Embora a rede wireless seja muito flexível e bem conveniente a vários projetos, temos algumas deficiências relacionados a segurança, e ao implementá-la, devemos atentar para essa questão.
A principal preocupação em relação as redes wireless é referente a diferença entre os meios de transmissão das redes wireless e as redes ethernet. Nas redes wireless, devido o sinal ser transmitido através de radiofrequência (ondas de rádio), fica muito difícil manter controle sobre esse sinal, já que ele se propaga em todas as direções.
O principal objetivo de se implementar segurança em uma rede é para manter a integridade, confidencialidade dos dados e recursos nela trafegado. Por esse motivo, as redes wireless (sem fio) devem receber uma preocupação a mais do que as redes cabeadas no quesito segurança.
Devido a essas medidas extras de segurança que muitas vezes não são tomadas, varias pessoas acham que este tipo de rede não é seguro; existindo assim, um estigma relacionando redes sem fio.
Ao implementar uma rede wireless, os administradores deverão estar atentos aos seguintes aspectos de segurança:
- As redes wireless utilizam sinais de radiofrequência para a comunicação, e qualquer pessoa com um mínimo de equipamento e conhecimento poderá interceptar os dados transmitidos por um cliente wireless (PDAs, notebooks, estações de trabalho ou outros dispositivos wireless);
- Por serem extremamente simples de se implementar, várias pessoas estão utilizando redes wireless em casa, sem nenhum cuidado adicional, e até mesmo em empresas, sem o conhecimento e estudo adequado para implantá-las, gerando interferência em redes sem fio próximas;
- Além das preocupações com os usuários da rede, também são necessários alguns cuidados na configuração dos APs(Access Point), dispositivos através do qual se tem acesso à rede. Os APs são intermediários na comunicação entre os hosts da rede Wi-Fi [NIC BR, 03].
Com o objetivo de tentar resolver esses problemas, algumas medidas de segurança existentes para redes ethernet (redes cabeadas) podem e devem ser aplicadas as redes wireless, quando possível. Por exemplo:
- Firewall - através do firewall, pode-se controlar todo o fluxo de dados que entra e sai de uma rede, através de um conjunto de regras previamente estabelecidas em suas configurações. O firewall pode também ser configurado para soar alarmes ou realizar outra tarefa quando for detectado tráfego suspeito na rede [COUTINHO, 00]. Sendo um componente essencial para uma rede.
- Autenticação e identificação de usuários - a identificação refere-se ao nome do usuário na rede, ao modo que a autenticação poderá ser feita através de senhas, senhas de sessão única, SmartCards, Biometria e outros (alguns métodos são mais eficientes que outros). Passando assim, a disponibilizar dados e recursos somente para pessoas autorizadas.
- Sistema de detecção de intrusão (SDI) - o próprio nome já diz tudo, são sistemas com o objetivo de monitorar e detectar quando o sistema esta sendo invadido. Alguns SDI precisam ser modificados para atuarem nas redes wireless, porem, recomendo usar SDI próprios para redes wireless.
- Servidor proxy - na maioria das vezes, um Proxy é usado por todos os usuários de uma rede interna; esse permite fazer log de tudo que é requisitado, constituindo em mais uma poderosa ferramenta de segurança.
- Antivírus - um dos maiores problemas dos administradores de rede, sem sobra de duvidas, são os vírus. Esses podem destruir dados, prejudicar o funcionamento de sistemas entre outros. Sendo necessário um bom antivírus e fazer a atualização periodicamente, a fim de minimizar esse problema.
- NAT - com o NAT podemos implementar endereços IP privados dentro da rede interna. Assim, os endereços IP da rede interna, são desconhecidos pela rede externa. Aumentando assim a segurança.
- Auditoria - quando utilizada corretamente, a auditoria se torna uma grande aliada de um administrador de rede. Podem ser criados logs de acesso de usuários, dispositivos, requisição de serviços ou dados, arquivos da rede, entre outros. Os logs são um poderoso meio para se descobria a causa de algum problema, comportamentos duvidosos, entre outros.
- Hotspot - é qualquer lugar com redes de fácil acesso, permitindo o acesso de qualquer usuário, porem, com controle do seu uso. Alguns hotspots são totalmente abertos; outros necessitam da instalação de algum aplicativo, com o objetivo de tarifação e segurança; outros hotspots necessitam de senha para se conectar. Em todos os casos, o desafio é tornar a conexão o mais simples e segura possível. Podemos encontrar hotspot em hotéis, restaurante, shoppings, aeroportos e muitos outros locais.
Na prática, teríamos uma rede aberta para a conexão de qualquer usuário, porem, com todas as conexões controladas de modo que nenhum acesso a web/recursos seja possível, a menos que seja feita a autenticação.
- Segurança física - além dos dados e recursos, o acesso ao dispositivos, perímetros de uma rede devem ser protegidos. Devemos levar em consideração a localização, instalações, fenômenos naturais, terrorismo e vandalismo.
Outras medidas de segurança devem ser tomadas especialmente em uma rede wireless. Por exemplo:
- Broadcast do SSID (Service Set ID) - é um conjunto de caracteres que identifica uma rede wireless. Muitos administradores de rede costumam manter o SSID default (SSID de fabrica), permitindo a um atacante descobrir qual é o dispositivo wireless com muita facilidade e posteriormente, explorar possíveis brechas de segurança no equipamento.
- DHCP - sempre que possível, o uso de servidores DHCP devera ser evitado em uma rede wireless. Com o servidor DHCP ativo, sempre que um usuário se conectar na rede wireless, ele recebera um IP valido para se comunicar; o problema é quando um atacante se conectar na rede, acabara recebendo um IP valido e poderá utilizá-lo normalmente. Desabilitando esse serviço, o atacante terá mais trabalho para descobrir um endereço valido.
- Mapeamento por MAC - criando uma lista de acesso através dos endereços MAC dos dispositivos wireless, passando a permitir somente os dispositivos com o devido endereço MAC se conectar ao AP.
- Protocolo de autenticação - o protocolo criado inicialmente para prover segurança em redes wireless foi o WEP (Wired Equivalent Privacy). A fim de corrigir as falhas encontradas no WEP, em 2003, foi criada a primeira versão do WPA (Wi-Fi Protected Access). Em 2004, o WAP foi substituído pelo WAP2, com características adicionais de segurança do que o padrão anterior. O principal objetivo desses protocolos é prover controle de acesso baseado em porta e autenticação mútua entre os clientes e os APs através de um servidor de autenticação.