Redes sem fio podem vir a se tornar grandes dores de cabeça se não forem configuradas para poder navegar com segurança. O alcance do sinal das antenas dos roteadores mais modernos já ultrapassa os 150m, facilitando o emprego de uma técnica furtiva denominada “Wardriving” (onde pessoas saem dirigindo pela cidade com um laptop procurando por redes sem fio desprotegidas), que será debatida em posts futuros, e logo, um ponto de rede sem fio com pouca ou nenhuma configuração torna-se um alvo fácil.
Portanto esta postagem irá apresentar alguns pontos importantes para configurar um roteador wifi de forma segura no seu ambiente.
Recomendações:
1 – Alterar a senha do dispositivo
A grande maioria dos roteadores sem fio vêm com senhas padrões na sua configuração inicial, acessíveis via navegador. Roteadores da Dlink por exemplo, costumam vir com usuário padrão “admin” e senha padrão “admin”, ou em alguns modelos, a senha padrão costuma ser em branco (isso mesmo, sem senha). Já os roteadores da Linksys também usam “admin” como senha padrão dos seus roteadores e isso representa um risco enorme para a segurança da sua rede, visto que são características amplamente difundidas. Portanto o primeiro passo ao configurar uma rede sem fio, é entrar no roteador via interface web e alterar a senha padrão. Lembre-se de utilizar senhas fortes, com caracteres alfanuméricos e símbolos.
Para acessar o roteador, usando o seu navegador (Mozilla Firefox, Google Chrome, etc), acesse o endereço especificado no manual do seu dispositivo, geralmente http://192.168.0.1 para roteadores D-Link e forneça senha e usuários padrões especificados no manual do seu equipamento. Procure a opção de "alteração de senha" e defina uma senha forte para o seu roteador sem fio.
2 – Alterar o SSID da rede
Assim como a senha padrão, grande parte dos roteadores sem fio vem com seu SSID (Service Set Identifier) ou nome da rede, com uma string padrão de no máximo 32 caracteres que normalmente é o nome do fabricante (dlink, linksys, etc). O SSID é o nome público de uma rede sem fio e os dispositivos dessa rede precisam compartilhar o mesmo SSID para se comunicarem. O SSID é caso sensitivo, ou seja “REDECASA” e “redecasa” são SSIDs diferentes, logo, se o roteador estiver configurado como “REDECASA”, a conexão do computador também precisa ter o SSID “REDECASA”.
Alguns softwares como o Netstumbler (www.stumbler.net) são capazes de identificar redes sem fio próximas e mostrar seu SSID como mostra a imagem abaixo.
Redes com os nomes padrões são mais visadas pelos invasores, pois subentende-se que sofreram pouca ou nenhum tipo de configuração e logo são um alvo mais fácil de ser burlado. É recomendável que essa identificação da rede seja alterada
3 – Desabilitar o broadcast de SSID
Por padrão, roteadores sem fio ficam divulgando seu SSID em broadcast, ou seja, em difusão (para todas as direções). É por isso que quando você liga o dispositivo de rede sem fio do seu laptop, ele começa a receber e identificar redes sem fio, recebendo os sinais de roteadores próximos que estão enviando seus SSIDs bem como seu canal por difusão.
Esta opção pode e deve ser desabilitada no roteador, pois evita que sua rede seja descoberta por dispositivos sem fio nas redondezas, fazendo com que o usuário que deseja se conectar a essa rede saiba obrigatoriamente qual o nome e canal a ser confiurado na conexão.
4 – Usar filtro de MAC ADDRESS
De uma maneira bem resumida, cada hardware da rede (adaptadores de redes, interfaces de roteadores...), possui um endereço físico conhecido como MAC ADDRESS (Midia Access Control Address ou Endereço de Controle de Acesso da Mídia), que é um endereço único e exclusivo do hardware em questão que já vem configurado pelo fabricante (na teoria, pois na prática, o MAC ADDRESS pode ser alterado manualmente).
É possível cadastrar no roteador uma lista de endereços físicos que terão acesso a sua interface de rede, dessa maneira os roteadores podem filtrar os dispositivos que terão acesso a rede através dos seus respectivos endereços MAC.
Um dispositivo que tentar acessar a Internet através desse roteador e não tiver seu MAC cadastrado nessa lista, terá seu acesso bloqueado.
Abaixo um exemplo de como verificar o endereço MAC do seu adaptador de rede em ambientes Windows (através do prompt de comando, digite “ipconfig /all” sem as aspas).
No exemplo acima, o MAC é: 00-40-CA-7D-5A-38
Abaixo um exemplo de como verificar o endereço MAC do seu adaptador de rede em ambientes Linux (com o comando “ip a” caso tenha instalado o pacote iproute2 ou com o comando “ifconfig” sem as aspas).
No exemplo acima, o MAC do adaptador eth0 é 00:02:2A:D6:B0:9A
Abaixo segue o exemplo de um Roteador D-Link DIR-300 com filtro de MAC habilitado.
5 – Configurar o roteador para aceitar mudanças nas suas configurações apenas pela rede cabeada
Na maioria dos roteadores é possível especificar quais dispositivos terão acesso a configuração do roteador. É interessante permitir que modificações nas configurações do roteador sejam feitas apenas por um determinado computador na rede cabeada, impedindo que praticantes do wardriving ou demais pessoas com acesso não autorizado possam conectar-se no seu roteador e alterar configurações.
6 – Utilizar criptografia na comunicação
Esse é o aspecto mais importante a ser configurado no roteador. O protocolo de criptografia vai lhe fornecer um bom nível de segurança ao trafegar dados pela rede. Dê preferência ao protocolo WPA (Wi-fi Protected Access), ao invés do WEP, pois seu nível de proteção é maior. Se possível, use WPA2. Além disso, é possível definir o tipo de autenticação e cifragem utilizadas no protocolo. Uma boa recomendação é utilizar WPA2-PSK AES.
Apesar da recomendação de utilizar sempre WPA2, laptops mais antigos não trazem suporte a esse protocolo e se numa rede com 10 laptops wifi, um único não possua suporte a WPA2, o roteador deve ser configurado para um nível menor de segurança com algum protocolo suportado pelo dispositivo mais antigo, ou, o mais sensato, substituir esse dispositivo por algum laptop que suporte essas novas tecnologias (o que nem sempre é possível por razões financeiras).
7 – Utilizar senhas fortes na criptografia
Sempre bom lembrar que para chave da rede é preciso configurar senhas fortes, de preferência utilizando caracteres alfanuméricos, e símbolos.
Abaixo segue um exemplo de um router Dlink-DIR300 com algumas dicas de segurança aplicadas.
Além dessas recomendações, também é interessante desligar o roteador quando não estiver em uso para evitar riscos desnecessários. Além disso, essas recomendações servem para auxiliar a proteger seu roteador wi-fi de acessos não autorizados, mas é bom lembrar que você também deve ter muito cuidado ao acessar a rede de terceiros. Ter acesso a uma rede teoricamente “desprotegida”, não significa que ela não possa estar sendo “monitorada”. É preciso ter cuidado, pois voce pode julgar que está usando a rede wi-fi do vizinho “furtivamente” enquanto esse é que está na verdade "monitorando" sua navegação.
Nenhum comentário:
Postar um comentário