Wednesday, August 1, 2012

Segurança - O ponto forte das redes Wireless



Segurança é um assunto tão relativo em qualquer aspecto da vida e não é diferente em Redes. As redes cabeadas tem a seu favor o fato de sua camada física poder ficar sob  proteção  ao passo que redes Wireless não  pode dar ao luxo de se esconder. Entretando, em ambos os casos, o fator segurança pode se apresentar com vatagens e desvantagens.
  Se por um lado  redes cabeadas estão protegidas em CPDs, shafts e conduítes, as proteções de camadas 2 e 3 podem estar sendo deixadas de lado em função desse sentimento de segurança. Já nas redes Wireless, a completa desproteção da camada física é compensada com uma forte proteção da camada 2 e 3. Porém, tudo depende de como ocorrem as implementações.
  Quando se fala em segurança é preciso citar a famosa passagem da História grega chamada : Cavalo de Tróia. Acredito que todos conheçam, ainda que superficialmente essa passagem. Ela é a personificação de que não adianta construir as mais altas muralhas se você, por livre e espontânea vontade, permitir a entrada do inimigo.
  De nada adianta os anos de pesquisas e os milhões de dólares insvestidos em padrões como WPA e WPA2 se o roteador Wireless não estiver configurado corretamente.
 Outro dia sentado nesse mesmo local de onde escrevo, estudando sobre rede Wireless, lia na apostila sobre as características de um pacote. Como a imagem da apostila estava um pouco ruim, resolvi capturar alguns pacotes para observar os campos descritos na apostila. Clicando no ícone de redes Wireless do Windows, havia duas redes, ambas fechadas com WPA2. Ao clicar em uma delas, como era de se esperar, foi solicitado a senha. Eu não sabia a senha obviamente, mas digitei a senha 12345678 mesmo sabendo que iria ser recusado. O importante era que o Wireshark iria capturar cerca de 10 pacotes apenas nesse procedimento simples.
  Segue um exemplo:







Essa foi uma tentativa em uma rede WPA2 com  senha errada.
 O fato é que ao digitar 12345678 eu recebi a tela abaixo:



Ou seja, a senha da redes Wireless era realmente 12345678.
De volta ao cavalo de Tróia, de que adianta construir proteções se as pessoas se abdicam delas. WPA2 aceita chaves de até 63 caracteres ASCII sendo letras,números,símbolos e underline, ou seja, a senha pode ser algo do tipo : "sdfjhalskjdhurh4*84583745734@erwefSDFSD_F9w0)rw-e08rwe9ufs9ifuis", algo impossível de ser descoberto. Afinal, ela só será digitada uma vêz, os clients  Wireless memorizam as conexões feitas.
  Em fim. Não bastasse a senha previsível, o próprio roteador estava com as configurações default, ou seja, bastou um ipconfig para saber qual o IP do roteador, jogar o IP no browser e digitar "admin". Se eu fosse mal intensionado o dono da rede teria ficado sem rede até resetar as configurações do roteador.
  As pessoas não pensam no risco que correm em vir a ter problemas com a justiça ao deixar redes abertas ou fracamente fechadas como essa.
 Continuando com exemplos, Kevin Mitnick, em seus livros, dizia que suas maiores habilidades não eram técnicas mas sim no campo da psicologia. Quando ele queria invadir a rede de uma empresa ele simplesmente ligava e perguntava a senha. Veja um exemplo:
 - Alo, aqui é Flavio do time de  TI e observamos que seu  usuário e senha podem estar com algum problema. Poderia confirmar suas informações por favor ?

 Acreditem, as  próximas linhas desse diálogo seria o login e senha de um usuário. Na correria do dia-a-dia em uma grande empresa, as pessoas não tem tempo para verificar se Flávio é realmente um funcionário do setor de TI e com tantas coisas para fazer a última coisa que ela quer é ter seu perfil bloqueado na rede.
  Kevin descobria  o tronco-chave de uma empresa e ia ligando em seus números DDRs até encontrar alguém que atendia o telefone. Baseado em sua astúcia e percepção psicológica, ele identificava, até mesmo pela voz, quem era uma vítima em potencial. Entretando esse post não é sobre tecnicas  Hackers e sim sobre má utilização das proteções que temos à nossa disposição.

   Segurança, assim como redes, é construída em camadas. Mesmo em uma rede doméstica é possível dispor de medidas que podem levar a um grau satisfatório de segurança com muito pouco esforço técnico. Ativar WPA2 com um chave complexa, filtragem por MAC address, uma vez que em uma rede doméstica não haverá mais que 3 PCs o que facilita muito. Também podemos desabilitar o envio de Beacons deixando de anunciar o nome da rede para a vizinhança, configure manualmente sua rede no PC de forma que ele faça probe e tome a iniciativa de associar-se a rede.
 Em fim, medidas simples que nos dias atuais qualquer pessoa é capaz de fazer. Com algum tempo na Internet é possível encontrar tutoriais que ensinam a fazer todas essas tarefas.
 Para ambiente mais complexos como um empresa, é possível implantar um servidor de autenticação.
  Vejam:


Mesmo um equipamento simples como o D-link DI-524 possui a opção de autenticação por 802.1x. Isso possibilita uma robustêz considerável à segurança da rede. Mesmo que a implementação exiga o acompanhamento de um profissional técnico, vale a pena por oferecer um nível de segurança alto e uma administração profissional. Com autenticação por RADIUS é possível criar vários usuários. O roteador aqui apenas faz a interface entre os usuários e o servidor RADIUS.
 Em fim, como diz a título do nosso post, segurança é o ponto alto das redes Wireless. Engana-se quem pensa o contrário. Porém, mesmo as mais altas muralhas não serão suficientes se as pessoas deixarem de lado medidas de seguranças elementares.
  
 Assim concluímos . Até o próximo!
 


  

No comments:

Post a Comment