A segurança nas redes sem fio é um ponto fraco, porque os sinais transmitidos propaga-se pelo ar em todas as direções e pode ser captado a distâncias de centenas de metros. A seguir veremos alguns protocolos e métodos utilizados na segurança de redes sem fio:
> Extensible Authentication Protocol
O Extensible Authentication Protocol ou EAP é um protocolo que permite
vários métodos de autenticação como EAP-MD5, EAP-TLS e diversos outros
métodos. As modalidades de autenticação podem ser por certificados de
segurança ou por senhas.
> EAP por certificados de segurança
EAP-TLS: requer a instalação de certificados de segurança no servidor e
nos clientes. Proporciona autenticação mútua, isto é, o servidor
autentica o cliente e vice-versa utilizando o protocolo TLS (Transparent
Layer Substrate).
>
EAP-TTLS: similar ao EAP-TLS porém o certificado somente é instalado no
servidor o que permite a autenticação do servidor por parte do cliente. A
autenticação do cliente por parte do servidor faz-se após estabelecer
uma sessão TLS utilizando outro método como PAP, CHAP, MS-CHAP ou
MS-CHAP v2.
>
PEAP: similar ao EAP-TTLS pois somente requer certificado de segurança
no servidor. Foi desenvolvido por Microsoft, Cisco e RSA Security.
> EAP por senhas
EAP-MD5: utiliza nome de usuário e senha para autenticação. A senha é
transmitida de forma cifrada através do algoritmo MD5. não fornece um
nível de segurança alto pois pode sofrer ataques de “dicionário” isto é
um atacante pode enviar varias senhas cifradas até encontrar uma senha
válida. Não há como autenticar o servidor e não gera chaves WEP
dinâmicas.
LEAP: utiliza node de usuário e senha e suporta chaves WEP dinâmicas.
Por ser uma tecnologia proprietária da Cisco exige que os equipamentos
sejam da Cisco e que o servidor RADIUS seja compatível com o LEAP.
EAP-SPEKE: faz uso do método SPEKE (Simple Password-authenticated
Exponential Key Exchange), que permite ao cliente e servidor
compartilhar uma senha secreta o que proporciona um serviço de
autenticação mútua sem o uso de certificados de segurança.
> Service Set ID
Service Set ID ou SSID é um código alfanumérico que identifica uma rede
sem fio. Cada fabricante utiliza um mesmo código para seus componentes
que fabrica. Você deve alterar este nome e desabilitar a opção de
“broadcast SSID” no ponto de acesso para aumentar a segurança da rede.
Quando o “broadcast SSID” está habilitado o ponto de acesso
periodicamente envia o SSID da rede permitindo que outros clientes
possam conectar-se à rede. Em redes de acesso público é desejável que
seja feita a propagação do SSID para que qualquer um possa conectar-se à
rede. Como o SSID pode ser extraído do pacote transmitido através da
técnica de “sniffing” ele não oferece uma boa segurança para a rede.
Mesmo não oferecendo uma segurança à rede deve-se alterar o nome para
evitar que outros usem sua rede acidentalmente.
> Wired Equivalency Privacy
Wired Equivalency Privacy ou WEP, como sugere o nome este protocolo tem a
intenção de fornecer o mesmo nível de privacidade de uma rede a cabo. É
um protocolo de segurança baseado no método de criptografia RC4 que usa
criptografia de 64 bits ou 128 bits. Ambas utilizam um vetor de
inicialização de 24 bits porém a chave secreta tem um comprimento de 40
bits ou de 104 bits. Todos os produtos Wi-Fi suportam a criptografia de
64 bits porém nem todos suportam a criptografia de 128 bits. Além da
criptografia também utiliza um procedimento de checagem de redundância
cíclica no padrão CRC-32 utilizado para verificar a integridade do
pacote de dados. O WEP não protege a conexão por completo mas somente o
pacote de dados. O protocolo WEP não é totalmente seguro pois já existem
programas capazes de quebrar as chaves de criptografia no caso da rede
ser monitorada durante um tempo longo.
> Wi-Fi protected Access
Wi-Fi Protected Access ou WPA foi elaborado para contornar os problemas
de segurança do WEP. O WPA possui um protocolo denominado TKIP (Temporal
Key Integrity Protocol) com um vetor de inicialização de 48 bits e uma
melhor criptografia de 128 bits. Com a utilização do TKIP a chave é
alterada em cada pacote e sincronizada entre o cliente e o Aceess point,
também faz uso de autenticação do usuário por um servidor central.
> WPA2
Uma melhoria do WPA que utiliza o algoritmo de encriptação denominado AES (Advanced Encryption Standard).
> Remote Authentication Dial–In User Service
Remote Authentication Dial-In User Service ou RADIUS é um padrão de
encriptação de 128 bits proprietária e mais segura porém disponível em
apenas alguns produtos que custam mais caro devido a adição de uma
camada extra de criptografia.
> Media Access Control
Media Access Control ou MAC, cada placa de rede tem seu próprio e único
número de endereço MAC. Desta forma é possível limitar o acesso a uma
rede somente às placas cujos números MAC estejam especificados em uma
lista de acesso. Tem a desvantagem de exigir um maior gerenciamento pois
necessita atualizar a lista de endereços MAC quando troca-se um
computador da rede ou para prover acesso a um visitante ou para redes
públicas. Outra desvantagem deve-se ao fato de poder alterar via
software o número MAC da placa de rede para um outro número válido para
acesso à rede.
> Permissões de acesso
Outra maneira de aumentar a segurança é restringir o acesso a pastas e
arquivos compartilhados através da utilização de senhas. Nunca
compartilhe pastas ou arquivos sem senha.
> Posicionamento físico
Estabelecer uma rede sem fio segura começa com a disposição física dos
pontos de acesso dentro do prédio. Em uma residência, deve-se colocar o
ponto de acesso em algum lugar mais central da residência e não colocar
em uma parede lateral da casa próxima a rua ou próxima a uma
janela.
Nenhum comentário:
Postar um comentário